Berita bahwa keamanan jaringan LastPass telah disusupi, tentu saja merupakan masalah serius. Bahwa perusahaan yang dibobol adalah perusahaan yang menyediakan layanan manajemen kata sandi meningkatkan keseriusan satu tingkat - atau sepuluh. Jadi mengapa saya, seseorang yang telah membangun karir dengan menulis tentang keamanan TI, tidak berusaha keras untuk melakukannya? Jauh di luar fakta bahwa saya tidak punya apa-apa untuk ditarik, pelanggaran LastPass bukanlah masalah besar bagi sebagian dari kita seperti bagi orang lain.
Kami tidak menemukan bukti bahwa data kubah pengguna terenkripsi diambil atau akun pengguna LastPass diakses, juru bicara LastPass memberi tahu kami. Jadi, ada apa lagi, Anda mungkin bertanya - di mana risikonya? Yah itu dua kali lipat seperti yang saya lihat. Pertama, karena alamat email dan pengingat kata sandi terkait telah disusupi, saya berharap melihat upaya phishing yang ditargetkan dalam bentuk pesan penyetelan ulang sandi master palsu. Saya ingin berpikir saya tidak akan jatuh cinta pada mereka.
cara membuat server proxy
Adapun risiko kedua, kata sandi master yang lemah saat ini akan mengalami upaya peretasan brute force, dengan izin garam server per pengguna dan hash otentikasi sedang diakses. Sejauh upaya cracking seperti itu berjalan, fakta bahwa LastPass memperkuat hash otentikasi tersebut dengan garam acak dan memasukkan 100.000 putaran tambahan PBKDF2-SHA256 sisi server untuk ukuran yang baik membuatnya lebih sulit untuk dipecahkan. Namun, jika kata sandi utama buruk maka masih terbuka untuk serangan brute-force; hanya perlu sedikit waktu untuk memecahkannya.
Jadi LastPass memaksa perubahan kata sandi utama pada sebagian besar pengguna, dan meminta verifikasi email dari mereka yang masuk dari perangkat atau alamat IP baru. Saya tidak akan, bagaimanapun, mengubah kata sandi utama saya, saya juga tidak (mari kita lihat) selama 442 hari sekarang karena ini acak, rumit, panjangnya lebih dari 25 karakter, tidak digunakan di tempat lain, dan saya bisa mengingatnya dengan hati. Selain itu, ini didukung oleh dua kata ajaib berikut: autentikasi multifaktor.
Ledakan! Sejauh yang saya ketahui, semua upaya untuk masuk ke periferal jaringan LastPass tidak ada artinya karena saya menggunakan kata sandi utama yang kuat yang didukung oleh otentikasi multifaktor. Bahkan jika kata sandi utama saya entah bagaimana dikompromikan, penyerang harus mengakses YubiKey saya (token fisik) untuk mendekripsi brankas kata sandi saya. Setelan lanjutan ini gratis untuk digunakan dan telah tersedia untuk pengguna selama beberapa waktu - plus, Anda tidak perlu membeli YubiKey; Anda dapat menggunakan aplikasi unduhan gratis seperti Google Authenticator jika Anda mau. Mengapa Anda tidak menggunakan otentikasi dua faktor (2FA) di situs atau layanan mana pun yang menawarkannya? Tidak, serius?
Berbicara tentang pengaturan lanjutan, ada satu lagi yang saya gunakan yang memberi saya lapisan kepercayaan lain bahwa data saya cukup aman dengan LastPass, dan itu adalah penguncian akses geografis. Anda dapat mengatur batasan negara yang memungkinkan Anda untuk memutuskan negara dari mana brankas kata sandi Anda dapat diakses. Saya tetap mengunci ini ke Inggris kecuali saya bepergian ke luar negeri, dalam hal ini saya mengaktifkan lokasi spesifik itu sebelum saya berangkat. Oh, dan saya juga tidak mengizinkan login dari jaringan Tor. Paranoid, moi? Tidak, hanya masuk akal tentang membatasi akses ke kunci-kunci kerajaan itu. Seperti seharusnya juga.
Yang paling mengkhawatirkan saya tentang kompromi LastPass bukanlah, anehnya, kompromi itu sendiri tetapi respons terhadapnya; dan terutama media - baik profesional maupun sosial. Tampaknya ada perasaan senang yang mendasari diambil dalam menendang LastPass, dan banyak yang memberi tahu Anda tipe pelaporan yang begitu baik. Tapi apa sebenarnya yang kamu ceritakan pada kami? Apa sebenarnya yang terjadi di sini? Sejauh yang kami lihat, tidak ada data kata sandi terenkripsi yang telah dikompromikan, dan LastPass cukup transparan dalam mengungkapkan peristiwa tersebut dan menerapkan langkah-langkah untuk lebih mengamankan kepercayaan pengguna.
Apa yang akan dilakukan para penentang media agar kita lakukan? Kembali ke pena dan kertas, atau solusi enkripsi yang lebih teknis mungkin? Saya telah melihat keduanya disarankan, dan tidak mengurangi risiko bagi rata-rata Joe, justru sebaliknya. Mungkin pindah ke penyedia pengelolaan kata sandi yang berbeda? Sekali lagi, bagaimana hal itu membantu ketika Anda tidak tahu bagaimana tanggapan mereka ketika - bukan jika - mereka mengalami pelanggaran? Setidaknya Anda tahu bahwa LastPass ada di bola ketika datang ke respon pelanggaran.
Bagi saya, pengelola kata sandi tetap menjadi pilihan paling aman bagi kebanyakan orang, dan jika Anda mengikuti petunjuk saya dan menggabungkan kata sandi utama yang kuat dengan otentikasi multifaktor dan beberapa opsi penguncian masuk, Anda mengurangi risiko kompromi sebanyak mungkin secara manusiawi.
Dan itu, pembaca yang budiman, itulah mengapa saya tidak perlu mengubah kata sandi utama saya; atau pengelola kata sandi saya dalam hal ini.
