Mať heslá uložené v špecializovanej službe takisto nie je bez rizika.
Ukladanie hesiel v LastPass je stále lepšou alternatívou, ako na to použiť internetový prehliadač, no aj tu treba byť obozretný. Sama služba totiž oznámila, že sa stáva terčom útoku v podobe hádania hesiel. Na svojom blogu zároveň informovala o tom, že heslá používateľov drží oddelene hlavného servera, tam má iba hash reťazce odvodených zo skutočných hesiel.
Zverejnenie správy na blogu bolo na popud od používateľov, ktorí dostávajú správy o blokovaní prístupu k službe. Nie, že by sa do nej nedostali, ide o preventívne opatrenie, ak sa pokúšate prihlásiť z neznámej lokality a rôznych zariadení. Takého informácie, hoci nie priamo blokovanie posielajú aj iné servery. Deje sa to vtedy, ak sa napríklad do kryptomenovej burzy prihlásite z nového zariadenia a to v systéme ešte nemajú evidované, ako to, z ktorého ste sa už kedysi prihlásili.
Útok prebieha tak, že hackeri sa snažia prihlásiť pomocou zverejnených emailových adries a uniknutých hesiel. Tieto heslá nemusia byť naviazané na LastPass. Ide len o pokus, ktorý sa občas vypláca, keďže používatelia majú jedno heslo rovnaké vo viacerých službách. V prípade tejto služby by ste mali mať silné heslo, ktoré bude unikátne a nebude rovnaké ako kdekoľvek inde vo vašich službách na internete. Takto vznikajú pokusy o hádania prístupu. Neznamená to, že hackeri získali vaše heslá. Používajú staré s tým, že sa možno trafia.
Vo výsledku sa teda nedá hovoriť o tom, že servery LastPass boli kompromitované alebo by išlo o únik hesiel. Správcovia preverili bezpečnosť a podľa oficiálneho vyhlásenia nezistili žiadne napadnutie škodlivým softvérom alebo nejakým typom malvéru či phishingovými aktivitami cez podvodné rozšírenie prehliadača. Takisto je podľa interného šetrenia možné, že varovné emaily boli niektorým používateľom zaslané omylom. Resp. sa dá tvrdiť, že ich zaslaniu predchádzalo falošné spustenie varovania a toto v službe odstránili a upravili podmienky sledovania podozrivých aktivít. Takto sa vyhnú hlásením poplachov, ktoré sa budú dať považovať za falošné. Prakticky ide o zjemnenie podmienok vo forme ich spúšťača, no zároveň tak, aby zostala zachovaná pôvodná myšlienka bezpečnosti.
Celá idea ohľadne sledovania podozrivých aktivít môže nabrať na dôležitosti práve v prípadoch ako bol tento. Tu je z bezpečnostného hľadiska nastavené aj upozorňovanie na neúspešné prihlásenie. Takto máte ďalšiu možnosť, ako dostávať varovanie a dostanete ho aj vy, ak sa budete vy sami neúspešne prihlasovať. Preto aj prvé prihlasovanie z nového zariadenia vyžaduje potvrdenie z vygenerovaného odkazu, ktorý dostanete vzápätí do emailovej schránky.
Najlepším spôsobom, ako si ochrániť konto na LastPass, je používať dvojfaktorovú autentifikáciu a skutočne unikátne a silné heslo. Ak totiž niekto odhalí prístup do vášho konta, budú všetky heslá v ňom odhalené, aj keby mali extra silný tvar neuhádnuteľný slovníkovým útokom.
Zdroj: LastPass blog
Prečítajte si aj: