Objavljeno: 16.6.2015 09:00

Vdor v LastPass

Pri podjetju LastPass so sporočili, da so v petek opazili in takoj blokirali sumljiv promet na njihovem omrežju. Pri pregledu dogajanja sklepajo, da naj ne bi prišlo do kraje uporabniških podatkov ali vdora v uporabniške račune. Je pa preiskava pokazala, da naj bi napadalci prišli do elektronskih naslovov, opomnikov za spreminjanje gesel, overiteljskih kod (authentication hash) ter naključnih števil (random salt), s katerim so se šifrira podatke.

Pri LastPass so sicer mnenja, da uporabljajo dovolj zahtevno šifriranje podatkov, da ti naj ne bi bili v nevarnosti. Poleg šifriranja na strani uporabnika se overiteljske kode na njihovih strežnikih dodatno šifrirajo z kombinacijo naključnega števila in 100.000 ponovitev z algoritmom PBKDF2-SHA256. Zaradi tega naj bi bilo dešifriranje izredno težko in počasno.

Vseeno pa zahtevajo od vseh uporabnikov, ki se bodo v račun prijavili iz nove naprave ali novega naslova IP, da potrdijo prijavo preko elektronske pošte – izjema so uporabniki, ki imajo vključeno dvostopenjsko overitev. Kot dodaten korak prosijo tudi, da uporabniki spremenijo glavno geslo, ni pa potrebe po spreminjanju gesel na posameznih spletnih straneh. Uporabnike so sicer že obvestili po elektronski pošti.

Pri podjetju so sicer poudarili, da sodelujejo z državnimi organi in varnostnimi strokovnjaki, vseeno pa verjamemo, da bo to kar hud udarec, če ne drugega za ugled podjetja. Uporaba tovrstnih storitev je po našem mnenju vseeno občutno varnejša kot uporaba ponavljajočih se gesel na različnih spletnih straneh – ravno praksa recikliranja enakih gesel je ena izmed najnevarnejših za varnost naše digitalne prisotnosti.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentarji

jernejkrum | 16.6.2015 | 13:59

Ravno sem hotel kupiti premium različico, zdej pa to. A se vam zdi boljša 1password in shramba vaulta v oblaku (dropbox) ?

Jure Forstnerič | 16.6.2015 | 14:03

Jah, kolega uporablja 1password in je z njim zelo zadovoljen, je pa res, da bi to do včeraj trdili tudi za LastPass. Shranjevanje občutljivih stvari v oblaku se nam zdi načeloma še manj varno, je pa v vsakem primeru težko z gotovostjo trditi, kaj je varno in kaj ni...

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji