Защита пользователей LastPass от повторного использования паролей

Вероятно, вы заметили, что новости снова и снова пестрят заголовками о серьезных утечках данных и инцидентах с безопасностью на таких крупных сайтах, как LinkedIn и MySpace. К сожалению, из-за подобных значительных утечек данных миллионы имен пользователей и паролей оказались в распоряжении злоумышленников. Чтобы использовать эти учетные данные, хакерам проще всего систематически пытаться войти на другие веб-сайты с помощью похищенных комбинаций имени пользователя и пароля.

Люди очень часто используют одинаковый пароль многократно. Это позволяет хакерам быстро получить доступ к учетным записям на других веб-сайтах, что называется атакой с повторным использованием паролей. У атакуемого веб-сайта нет проблем с безопасностью, но его пользователи подвергаются риску, так как использовали одинаковые пароли на нескольких веб-сайтах. Мы гордимся тем, что предлагаем самый популярный диспетчер паролей, но это не значит, что наша служба является неуязвимой для атак такого рода. А так как повторное использование паролей является чрезвычайно распространенной (и очень опасной) практикой, мы делаем все возможное, чтобы защитить своих пользователей, пусть даже от самих себя.

Поэтому наши инженеры по безопасности постоянно отслеживают появление в Интернете имен пользователей и паролей, полученных в ходе взломов других веб-сайтов. Если нам становится известно о новых утечках, мы незамедлительно получаем списки скомпрометированных имен пользователей и паролей и сопоставляем их с нашей базой пользователей, чтобы выявить уязвимые учетные записи LastPass. Если обнаруживается совпадение, мы сразу блокируем учетную запись, чтобы защитить хранилище пользователя. Специалисты LastPass прибегают к этой мере уже на протяжении нескольких лет с целью превентивной защиты наших пользователей.

Какие шаги мы предпринимаем?

В случае недавнего инцидента с LinkedIn, собственно утечка данных произошла несколько лет назад, но список имен пользователей и паролей оказался в Интернете только сейчас. В качестве меры предосторожности мы заблокировали учетные записи пользователей LastPass, которые были обнаружены в хакерском списке. Нужно подчеркнуть: в сервисе LastPass не было утечек и проблем с безопасностью, это превентивная мера с нашей стороны, призванная защитить пользователей, использовавших одинаковые пароли на взломанных веб-сайтах.

Хранит ли LastPass мой главный пароль?

Нет, у LastPass нет доступа к вашему главному паролю. При утечках паролей с других веб-сайтов LastPass запускает скрипт, имитирующий попытки входа с использованием скомпрометированных данных. Этот скрипт выполняет стандартное хэширование PBKDF2, которое LastPass использует при каждом вашем входе, что позволяет нам проверить подлинность введенного вами пароля. После этого мы сравниваем результат работы скрипта с хэшем пароля, хранящимся в нашей базе данных. Если хэши паролей совпадают, становится ясно, что вы использовали в своей учетной записи LastPass не уникальный пароль, и мы блокируем ее.

Что могут сделать пользователи LastPass?

Если ваша учетная запись была заблокирована, вам будет предложено выполнить вход из надежного места, чтобы проверить и разблокировать вашу учетную запись. Процедура разблокирования учетной записи приведена ниже.

  1. Выполните вход в хранилище по адресу: https://lastpass.com/.
  2. Начнется процесс разблокирования.
  3. На этом этапе выполните вход с помощью расширения или веб-хранилища. Откроется страница сброса главного пароля.

Если при попытке входа отображается сообщение о том, что ваша учетная запись заблокирована, перейдите на веб-сайт https://lastpass.com, чтобы пройти процедуру проверки. Если вы выполняете вход с неизвестного устройства или из нового места, вам будет предложено выполнить вход со старого надежного устройства или из старого места (со старого IP-адреса), которое вы ранее использовали для доступа к учетной записи.

По окончании проверки ваша учетная запись будет разблокирована, и вы сможете установить новый и надежный главный пароль.

После этого мы настоятельно рекомендуем пройти Проверку безопасности LastPass, чтобы выявить в вашем хранилище другие веб-сайты, для которых используются неуникальные пароли. LastPass может помочь вам заменить эти пароли надежными и уникальными. Даже если вы не использовали главный пароль к LastPass на других веб-сайтах, сейчас подходящее время пройти Проверку безопасности и удостовериться, что на каждом веб-сайте вы используете уникальный пароль.