Tin tức rằng an ninh mạng LastPass đã bị xâm phạm, tất nhiên, là một vấn đề nghiêm trọng. Rằng công ty bị vi phạm là công ty cung cấp dịch vụ quản lý mật khẩu nâng mức độ nghiêm trọng lên một bậc - hoặc mười. Vậy tại sao tôi, một người đã xây dựng sự nghiệp viết về bảo mật CNTT lại không bứt tóc về nó? Ngoài thực tế là tôi không có gì phải cố gắng, vi phạm LastPass không phải là vấn đề lớn đối với một số người trong chúng ta cũng như đối với những người khác.
Người phát ngôn của LastPass cho biết chúng tôi không tìm thấy bằng chứng nào cho thấy dữ liệu kho tiền của người dùng được mã hóa cũng như tài khoản người dùng LastPass đã bị truy cập. Vì vậy, tất cả những rắc rối về điều gì, bạn có thể hỏi - rủi ro ở đâu? Vâng, nó gấp đôi như tôi thấy. Đầu tiên, vì địa chỉ email và lời nhắc mật khẩu liên quan đã bị xâm phạm, tôi mong đợi sẽ thấy các nỗ lực lừa đảo có mục tiêu dưới dạng thư giả đặt lại mật khẩu chính. Tôi muốn nghĩ rằng tôi sẽ không rơi vào những điều đó.
làm thế nào bạn có thể biết nếu ai đó chặn bạn trên snapchat
Đối với rủi ro thứ hai, mật khẩu chính yếu hiện sẽ phải chịu các nỗ lực bẻ khóa thô bạo, nhờ sự hỗ trợ của các muối máy chủ cho mỗi người dùng và các hàm băm xác thực đang được truy cập. Khi những nỗ lực bẻ khóa như vậy diễn ra, việc LastPass tăng cường các băm xác thực đó bằng một muối ngẫu nhiên và ném thêm 100.000 vòng PBKDF2-SHA256 phía máy chủ để có biện pháp tốt khiến việc phá chúng khó hơn. Tuy nhiên, nếu mật khẩu chính yếu thì nó vẫn có thể bị tấn công bởi các cuộc tấn công brute-force; sẽ chỉ mất thêm một chút thời gian để bẻ khóa nó.
Vì vậy, LastPass đang buộc thay đổi mật khẩu chính đối với hầu hết người dùng và yêu cầu xác minh email từ những người đăng nhập từ thiết bị hoặc địa chỉ IP mới. Tuy nhiên, tôi sẽ không thay đổi mật khẩu chính của mình, cũng như không (hãy xem xét) trong 442 ngày nay vì nó ngẫu nhiên, phức tạp, dài hơn 25 ký tự, nó không được sử dụng ở bất kỳ nơi nào khác, và tôi có thể nhớ nó thuộc lòng. Ngoài ra, nó còn được hỗ trợ bởi hai từ kỳ diệu sau: xác thực đa yếu tố.
Bùm! Theo như tôi biết, tất cả những nỗ lực đó để xâm nhập vào vùng ngoại vi của mạng LastPass chẳng là gì bởi vì tôi sử dụng một mật khẩu chính mạnh được sao lưu bằng xác thực đa yếu tố. Ngay cả khi mật khẩu chính của tôi bị xâm phạm bằng cách nào đó, kẻ tấn công sau đó sẽ phải truy cập vào YubiKey (một mã thông báo vật lý) của tôi để giải mã kho mật khẩu của tôi. Các cài đặt nâng cao này được sử dụng miễn phí và đã có sẵn cho người dùng một thời gian - ngoài ra, bạn không phải mua YubiKey; bạn có thể sử dụng một ứng dụng miễn phí để tải xuống, chẳng hạn như Google Authenticator nếu bạn muốn. Tại sao bạn không sử dụng xác thực hai yếu tố (2FA) tại bất kỳ trang web hoặc dịch vụ nào mà nó được cung cấp? Không, nghiêm túc chứ?
Nói về cài đặt nâng cao, có một cài đặt khác mà tôi sử dụng cung cấp cho tôi một lớp tin tưởng khác về việc dữ liệu của tôi được an toàn hợp lý với LastPass và đó là khóa truy cập theo địa lý. Bạn có thể đặt các giới hạn quốc gia cho phép bạn quyết định các quốc gia mà từ đó kho mật khẩu của bạn có thể được truy cập. Tôi giữ điều này ở lại Vương quốc Anh trừ khi tôi đi du lịch nước ngoài, trong trường hợp đó, tôi bật vị trí cụ thể đó trước khi khởi hành. Ồ, và tôi cũng không cho phép đăng nhập từ mạng Tor. Hoang mang, moi tinh? Không, chỉ hợp lý về việc hạn chế quyền truy cập vào những chìa khóa dẫn đến vương quốc. Như bạn cũng nên như vậy.
Điều khiến tôi lo lắng nhất về thỏa hiệp LastPass không phải, kỳ lạ thay, bản thân thỏa hiệp mà là phản ứng với nó; và đặc biệt là của các phương tiện truyền thông - cả chuyên nghiệp và xã hội. Dường như có một cảm giác thích thú tiềm ẩn khi được đá LastPass, và có rất nhiều thông tin cho bạn biết về kiểu báo cáo như vậy. Nhưng chính xác thì bạn đã nói gì với chúng tôi? Chính xác thì điều gì đã xảy ra ở đây? Theo những gì chúng ta có thể thấy, không có dữ liệu mật khẩu được mã hóa nào bị xâm phạm và LastPass đã khá minh bạch trong việc tiết lộ sự kiện và đưa ra các bước để đảm bảo hơn nữa niềm tin của người dùng.
Những người phản đối phương tiện truyền thông sẽ cho chúng tôi làm gì? Hoàn nguyên về bút và giấy, hoặc một giải pháp kỹ thuật hơn có thể tự mã hóa nó? Tôi đã thấy cả hai đề xuất và không làm giảm rủi ro cho Joe trung bình, thực tế là ngược lại. Có thể chuyển sang một nhà cung cấp dịch vụ quản lý mật khẩu khác? Một lần nữa, điều đó sẽ giúp ích như thế nào khi bạn không biết họ sẽ phản ứng như thế nào khi - không phải nếu - họ bị vi phạm? Ít nhất bạn biết rằng LastPass đang ở trong một quả bóng khi nói đến phản hồi vi phạm.
Đối với tôi, trình quản lý mật khẩu vẫn là tùy chọn an toàn nhất đối với hầu hết mọi người và nếu bạn làm theo hướng dẫn của tôi và kết hợp mật khẩu chính mạnh với xác thực đa yếu tố và một số tùy chọn khóa đăng nhập, bạn sẽ giảm nguy cơ xâm phạm càng nhiều càng tốt về mặt con người.
Và đó, bạn đọc thân mến, đó là lý do tại sao tôi không cần thay đổi mật khẩu chính của mình; hoặc trình quản lý mật khẩu của tôi cho vấn đề đó.
