Пользователей LastPass будет предложено сменить их мастер-пароли, компания сообщила, что ее сеть была взломана в пятницу.
Компания признала взлом в своём блоге в понедельник, после расследования “подозрительной активности” обнаруженная её командой безопасности. Как утверждает LastPass, расследование не выявило никаких свидетельств того, что злоумышленники украли зашифрованные данные пользователей из хранилищ паролей, ни того что злоумышленникам удалось получить доступ к учетным записям пользователей LastPass. При этом злоумышленникам удалось украсть учетные записи, адреса электронной почты, напоминаний пароля, так называемые соли и аутентификационные хэши.
Хеши и соли позволяют злоумышленнику выяснить, любой слабый мастер пароль, хотя генеральный директор Joe Siegrist сказал в LastPass используются различные виды защиты (включая шифрование PBKDF2-SHA256 на стороне сервера) “сделать это сложно, атаковать украденные хэшей с любой значительной скоростью.”
Из-за этого, каждый, кто использует сервис придется установить новый мастер-пароль для хранилища, и любой желающий войдя в свою учетную запись с нового устройства или IP-адрес нужно будет подтвердить свою личность с помощью электронной почты, если они не имеют двухфакторную аутентификацию.
LastPass позволяет людям хранить пароли для различных сайтов и могут затем войти в эти сайты автоматически, поэтому их не нужно запоминать отдельные пароли. Она включает в себя инструменты для генерации надежных паролей сложных символьных строк, и пользователю нужно только помнить мастер-пароль для использования услугой. Но ее безопасность, конечно, зависит от LastPass.
Мастер изменения паролей особенно актуально для пользователей со слабыми паролями, например, одно слово из словаря, который будет наиболее подверженных риску того, что их пароли подберут. Люди, которые используют свой мастер-пароль для всех учетных записей необходимо сменить пароль для этих сайтов.
Это не первый раз, что LastPass был взломан. В 2011 году компания также была атакована, хотя эта атака отличается тем, что LastPass не сразу понял то, что было взято.
LastPass - это одиз из самых популярных среди хранителей паролей сегодня, отчасти потому, что компания предлагает свои услуги бесплатно, чтобы пользователи, которые хотят защитить свои данные входа в систему и других данных. На данный момент, не ясно, сколько пользователей пострадали во время атаки.