Менеджеры паролей — отличный способ повысить вашу онлайн-безопасность, но настоящий кошмар может начаться, если ваша учетная запись менеджера паролей будет взломана. На этой неделе некоторые пользователи LastPass сообщают, что их мастер-пароли, по-видимому, были скомпрометированы, но LastPass утверждает, что все работает технически так, как и должно.
Множество пользователей LastPass в Интернете поделились своей ужасающей ситуацией: оповещения по электронной почте показывают, что кто-то использовал их мастер-пароль для попытки доступа к их учетной записи. Легитимные оповещения, к счастью, уведомляют пользователей о том, что доступ к учетной записи был заблокирован из-за региона, в котором была предпринята попытка.
LastPass, как и другие менеджеры паролей, использует «мастер-пароль» в качестве ключа для разблокировки коллекции паролей пользователя. Зашифрованный сейф паролей и других данных хранится на серверах компании, но мастер-пароль — нет.
В заявлении для How-To-Geek LastPass утверждает, что в настоящее время нет никаких признаков того, что третья сторона нарушила безопасность LastPass, а скорее предполагает, что затронутые пользователи могли использовать свой мастер-пароль в других сервисах.
LastPass расследовал последние сообщения о заблокированных попытках входа и пришел к выводу, что такая активность связана с довольно распространенной бот-активностью, когда злоумышленник или недобросовестный пользователь пытается получить доступ к учетным записям пользователей (в данном случае LastPass), используя адреса электронной почты и пароли, полученные в результате утечек данных из других сторонних, не связанных с нами сервисов. Важно отметить, что у нас нет никаких указаний на то, что учетные записи были успешно доступны, или что сервис LastPass был иным образом скомпрометирован неуполномоченной стороной. Мы регулярно отслеживаем такие виды активности и будем продолжать принимать меры, направленные на обеспечение защиты и безопасности LastPass, его пользователей и их данных.
Что вызывает беспокойство в этой ситуации, так это то, что некоторые пользователи использовали совершенно уникальные пароли в LastPass (что, очевидно, является хорошей практикой), и что некоторые видят, как их учетные записи получают доступ и блокируются *снова*, даже после смены мастер-пароля (по данным Bleeping Computer).
На данный момент кажется, что безопасность LastPass работает должным образом, и эти попытки взлома блокируются. Однако, если вы являетесь пользователем LastPass, вероятно, было бы разумно сменить свой пароль сейчас, а также, возможно, пароли любых особенно конфиденциальных учетных записей.