Parola yöneticisini vuran veri ihlali olayı (yeni sekmede açılır) Şirket, LastPass’in bu yılın başlarında hırsızların müşterilere ait şifreli şifre kasalarını çaldığını gördüğünü doğruladı.
Parola kasası, insanların parolalarını sakladığı yerdir, bu nedenle saldırganlar kasaların şifresini çözmenin bir yolunu bulursa, orada kayıtlı tüm parolaları okuyabilirler.
bir Güncelleme (yeni sekmede açılır) LastPass blogunda yayınlanan CEO Karim Toubba, tehdit aktörlerinin müşteri kasası verilerine erişmek ve bunları sızdırmak için bir LastPass çalışanından çalınan bulut depolama anahtarlarını kullandığını söyledi. Çalınan veriler, şifrelenmiş istihbaratın – şifre kasaları ve şifrelenmemiş bilgilerin – kasada depolanan web adresleri, adlar, e-posta adresleri, telefon numaraları ve bazı durumlarda – fatura bilgilerinin bir birleşimidir.
Ana şifre güvenli
İyi haber şu ki, şifre kasaları “tescilli bir ikili formatta” saklanıyor, yani içeriği gerçekten okumak neredeyse imkansız. Bunun için saldırganların, müşterinin (umarız) dışında kimsenin bilmediği ana parolasına ihtiyacı olacaktır. LastPass bu bilgiyi bilmediğini iddia ediyor.
Toubba, “Bu şifrelenmiş alanlar 256-bit AES şifreleme ile korunuyor ve yalnızca Zero Knowledge mimarimiz kullanılarak her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarıyla çözülebilir.” dedi. “Bir hatırlatma olarak, ana parola LastPass tarafından asla bilinmez ve LastPass tarafından depolanmaz veya korunmaz.”
Yine de şirket, siber suçluların “ana parolanızı tahmin etmek ve aldıkları kasa verilerinin kopyalarının şifresini çözmek için kaba kuvvet kullanmaya çalışabilecekleri” konusunda uyardı; bu, kullanıcılar zayıf ve tahmin etmesi kolay ana parolalar oluşturduysa sorun olabilir.
Ana şifrelerinin kırılabileceğinden endişe edenler için şu anda yapılacak en iyi şey şifreyi daha dayanıklı bir şifreyle değiştirmek olacaktır. Kasanızın içeriğinin tehlikede olabileceğine inanmak için bir nedeniniz varsa, o zaman güvende kalmanın tek yolu parolaları değiştirmektir (mümkün olduğunda çok faktörlü kimlik doğrulamayı ayarlamak dışında).