A LastPass megvédi felhasználóit a több helyen használt jelszavak okozta veszélytől

Az elmúlt hetekben számos forrásból értesülhettünk arról, hogy több jól ismert szolgáltatás – mint például a LinkedIn és a MySpace – adatszivárgási és biztonsági incidensek áldozatává vált. Az ilyen jelentős adatszivárgások következtében sajnos felhasználónevek és jelszavak milliói válnak szabad prédává. Ezekből az adatokból a hackerek akkor húzhatnak a legegyszerűbben hasznot, ha más fiókokat is fel tudnak törni velük, ezért az eltulajdonított felhasználónév-jelszó kombinációkkal szisztematikusan megpróbálnak bejelentkezni más webhelyekre is.

Mivel a felhasználók általában több fiókjuk védelméhez is ugyanazt a jelszót választják, a támadók az ilyen, úgynevezett „használt jelszavas támadásokkal” más webhelyeken regisztrált fiókokhoz is könnyedén hozzáférhetnek. A felhasználók így azokon a webhelyeken is veszélynek vannak kitéve, amelyeknél nem merült fel biztonsági probléma, hiszen jelszavaikat nem csak egy-egy helyhez használják. A LastPass jelszókezelő az egyik legnépszerűbb a piacon, de sajnos ez nem jelent garanciát arra, hogy a mi szolgáltatásunkat nem érheti hasonló támadás. Mivel a jelszavak ismételt felhasználása igen elterjedt (és veszélyes) gyakorlat, igyekszünk minden rendelkezésünkre álló eszközzel megóvni felhasználóinkat az emiatt rájuk leselkedő veszélyektől – esetenként akár saját maguktól is.

Biztonságtechnikai mérnökeink folyamatos megfigyelés alatt tartják a világhálót olyan felhasználónevek és jelszavak után kutatva, amelyek feltört webhelyekről kerültek nyilvánosságra. Ha új adatszivárgási incidensekről értesülünk, azonnal megszerezzük a kiszivárgott hitelesítő adatok listáját, és összehasonlítjuk azt a saját felhasználói adatbázisunkkal. Így meg tudjuk állapítani, hogy az érintett személyek rendelkeznek-e LastPass-fiókkal. Ha igen, a felhasználó védelme érdekében tüstént zároljuk is az érintett fiókot. Ez a LastPass berkeiben évek óta bevett gyakorlat, amellyel gondoskodunk felhasználóink proaktív védelméről.

Az eddig megtett lépések

A legutóbbi LinkedIn incidens esetében az adatokat már néhány évvel korábban eltulajdonították, de a felhasználóneveket és jelszavakat tartalmazó lista csak most került fel az internetre. Ennek fényében zároltuk a kiszivárgott hitelesítő adatokkal ellátott LastPass-fiókokat. Ugyanakkor hangsúlyozzuk, hogy a LastPass szolgáltatásnál nem merült fel adatszivárgás vagy biztonsági probléma. A fiókok zárolása csupán előzetes védőintézkedés azon felhasználók védelme érdekében, akik más, feltört webhelyeken is használták ugyanazokat a jelszavaikat.

A LastPass a fő jelszót is tárolja?

Nem, a LastPass sosem menti el az Ön fiókjának fő jelszavát. Ha nyilvánosságra kerülnek olyan jelszavak, amelyeket más webhelyekről tulajdonítottak el, a LastPass azokat egy parancsfájllal szimulált bejelentkezési kísérlettel ellenőrzi. A parancsfájl a LastPassba való bejelentkezéskor alkalmazott PBKDF2 függvénnyel a megszokott módon legenerálja azt a hashértéket, amellyel megállapítható, hogy a megadott jelszó helyes-e. Ezután összevetjük a parancsfájl által létrehozott és az adatbázisunkban tárolt jelszóhasheket. Ha ezek megegyeznek, az azt jelenti, hogy a LastPass-fiókhoz is a feltört webhelyen már használt jelszó van beállítva, ezért a fiókot zároljuk.

A LastPass-felhasználók teendői

Ha fiókja le lett tiltva, jelszókezelőnk megkéri önt arra, hogy jelentkezzen be egy megbízható helyről, igazolja a személyazonosságát, és aktiválja a fiókját. A zárolás feloldásához kövesse a következő lépéseket:

  1. Jelentkezzen be a webes tárolóba (https://lastpass.com).
  2. A rendszer ekkor elindítja az aktiválási folyamatot.
  3. E folyamat részeként jelentkezzen be a bővítményen vagy a webes tárolón keresztül. A rendszer ekkor megkéri önt a fő jelszó átállítására.

Ha egy bejelentkezési kísérlet során arról értesül, hogy a fiókja zárolva van, a hitelesítési folyamat megkezdéséhez látogasson el a https://lastpass.com webhelyre. Ha ekkor egy ismeretlen eszközről vagy helyről próbál meg bejelentkezni, rendszerünk megkéri önt arra, hogy jelentkezzen be egy korábban már megbízhatóként megjelölt eszközről vagy egy olyan helyről (IP-címről), ahonnan korábban már használta fiókját.

A folyamat befejeztével a rendszer feloldja a fiók zárolását, így lecserélheti a fő jelszavát egy új, biztonságosabb kódra.

Ezt követően célszerű lefuttatni a LastPass biztonsági ellenőrzését, amellyel beazonosíthatja a tárolójában azokat a webhelyeket, amelyeken ugyanazt a jelszót használja, szolgáltatásunk pedig erős és egyedi jelszavakat generál ezekhez a fiókokhoz. A biztonsági ellenőrzés akkor is előnyére válhat, ha máshol nem használta fel fő LastPass-jelszavát, mivel gondoskodik arról, hogy minden látogatott webhelyen egyedi jelszó védje fiókját.