LastPass compromesso: modifica della password principale, abilitazione dell'autenticazione a più fattori

LastPass ha rilasciato oggi un avviso di sicurezza sul suo blog per informare gli utenti che i suoi server sono stati violati e alcuni dati sono stati rubati. Ecco cosa ha detto LastPass, come modificare la password principale e abilitare l'autenticazione a più fattori per una buona misura.

LastPass Hacked

In un post sul blog, LastPass ha fornito alcuni dettagli limitati su ciò che è accaduto:

Vogliamo informare la nostra comunità che venerdì il nostro team ha scoperto e bloccato attività sospette sulla nostra rete. Nella nostra indagine, non abbiamo trovato prove del fatto che siano stati acquisiti dati crittografati per il deposito degli utenti, né che sia stato effettuato l'accesso agli account degli utenti di LastPass. L'indagine ha dimostrato, tuttavia, che gli indirizzi e-mail dell'account LastPass, i promemoria password, i sali server per utente e gli hash di autenticazione sono stati compromessi.

Siamo certi che le nostre misure di crittografia siano sufficienti a proteggere la stragrande maggioranza degli utenti. LastPass rafforza l'hash di autenticazione con un salt casuale e 100.000 round di PBKDF2-SHA256 sul lato server, oltre ai round eseguiti sul lato client. Questo ulteriore rafforzamento rende difficile attaccare gli hash rubati con una velocità significativa.

La società ha anche affermato: “Stiamo richiedendo che tutti gli utenti che accedono da un nuovo dispositivo o indirizzo IP prima verificino il loro account tramite e-mail, a meno che non sia abilitata l'autenticazione a più fattori. Come ulteriore precauzione, chiederemo anche agli utenti di aggiornare la loro password principale. "

Una cosa che è piuttosto irritante per molti utenti è che stanno scoprendo queste notizie sui siti web. Come la società ha anche detto nel suo post che le e-mail vengono inviate a tutti gli utenti a proposito dell'incidente di sicurezza. Al momento della stesura di questo articolo, non ne ho ricevuto uno e, a quanto pare, i commenti sul blog LastPass non hanno molti altri utenti.

Modifica la password principale di LastPass

Per modificare la password principale e fare clic su Impostazioni account dal riquadro a sinistra.

Quindi, nella finestra Impostazioni account, fai clic su Cambia password principale nella sezione Credenziali di accesso.

Questo ti porterà alla pagina di reimpostazione della password dove puoi semplicemente seguire le istruzioni sullo schermo per cambiare la tua password principale. Durante il processo, LastPass crittograferà nuovamente tutto e ti invierà un'email di verifica che hai modificato il master.

Abilita autenticazione a più fattori per LastPass

Mentre ci sei, ti consigliamo di abilitare l'autenticazione a più fattori per il tuo account LastPass. Aggiunge un ulteriore livello di sicurezza al tuo account e ti darà più tranquillità che le tue password sono sicure.

Nella sua dichiarazione di oggi, LastPass ha dichiarato: "Stiamo richiedendo a tutti gli utenti che accedono da un nuovo dispositivo o indirizzo IP di verificare prima il loro account tramite e-mail, a meno che tu non abbia autenticazione a più fattori abilitato."

Ti abbiamo mostrato come Abilita autenticazione LastPass a due fattori alcuni anni fa. Il processo è estremamente semplice e non esiste un modo migliore per proteggere il tuo account LastPass. Onestamente, nel clima online che abbiamo oggi, abilitare l'autenticazione a due fattori non è più facoltativo se si desidera proteggere i propri account online. Ne abbiamo parlato in profondità qui a groovyPost e prevediamo di concentrarci ancora di più su questo nelle prossime settimane.

Per abilitare l'autenticazione a due fattori o multifattore in Lastpass, vai su Impostazioni account> Opzioni multifattore e seleziona il metodo che desideri utilizzare... Google Authenticator è probabilmente il più semplice.

Esistono altri servizi che gli utenti che dispongono di un account Premium ($ 12 / anno) possono utilizzare come scanner di impronte digitali e chiavi USB.

Aggiornamento del 16/06/2015:

Oggi ho finalmente ricevuto un'e-mail da LastPass sul problema di sicurezza. È breve e non fornisce molti più dettagli di quello che sappiamo già.

Gentile utente LastPass,

Volevamo avvisarti che, recentemente, il nostro team ha scoperto e bloccato immediatamente attività sospette sulla nostra rete. Non sono stati acquisiti dati crittografati per il deposito utente, tuttavia altri dati, inclusi indirizzi e-mail e promemoria password, sono stati compromessi.

Siamo certi che gli algoritmi di crittografia che utilizziamo proteggeranno sufficientemente i nostri utenti. Per garantire ulteriormente la tua sicurezza, richiediamo la verifica via e-mail quando effettuano l'accesso da un nuovo dispositivo o indirizzo IP e chiederemo agli utenti di aggiornare le loro password principali.

Ci scusiamo per l'inconveniente, ma alla fine crediamo che questo proteggerà meglio gli utenti di LastPass. Grazie per la comprensione e per l'utilizzo di LastPass.

Saluti,
Il team di LastPass

Nel complesso, questo non sembra essere nulla di cui preoccuparsi poiché le password archiviate nel Vault sono ben protette e non avrebbero dovuto essere compromesse. Tuttavia, vorrai sicuramente cambiare la tua Master Password e abilitare l'autenticazione a più fattori il prima possibile.