LastPass má problém. Hlavní hesla k uživatelským účtům buď unikla, nebo je někdo trefil

15
LastPass
LastPass
-
Zdroj: Depositphotos

Uživatelé populární služby na správu hesel LastPass hlásí, že jejich hlavní heslo někdo použil k pokusu o přihlášení. Provozovatel tyto pokusy sice na základě jiné geolokace útočníka detekoval, zablokoval a uživatele poté informoval, ale zdá se, že LastPass nyní nemusí být bezpečný.

Služba LastPass tvrdí, že nejde o únik z její databáze. Útočníci prý zřejmě zkoušejí jména a hesla získané z jiných uniklých databází a někdy se holt trefí. Tomuto tvrzení ovšem neodpovídají zkušenosti uživatelů. Někteří totiž píší, že dané heslo měli pouze pro LastPass a z jiné databáze tedy pocházet nemůže.

Další uživatelé uvádí, že si hlavní heslo změnili, ale i s novým se do jejich účtu opět někdo pokusil přihlásit. Pokud si zkusili celý účet zrušit, dostali se jen k chybové hlášce. Kde je problém je tedy momentálně nejasné. LastPass však útoky zatím zřejmě odchytává.

LastPass k události vydal zprávu, kde uvádí, že jeho databáze prolomena nebyla. Doporučuje, abyste měli silné heslo, které jinde nepoužíváte a ani v minulosti jste jej nikde nezadávali. Hlavní heslo by „mělo být dlouhé a jedinečné a mělo by obsahovat různé typy znaků“. 

Prolomením hlavního hesla by útočník získal přístup ke všem dalším uloženým službám. LastPass doporučuje zapnout dvoufaktorové ověření, které by mělo další služby lépe ochránit. Pokud LastPass používáte, určitě svůj účet zkontrolujte a hlavní heslo si změňte.

zdroj: LastPass, bleepingcomputer

LastPass má problém. Hlavní hesla k uživatelským účtům buď unikla, nebo je někdo trefil
Ohodnoťte tento článek!
3.9 (77.14%) 7 hlasů

15 KOMENTÁŘE

        • Lastpass byl už hackovaný několikrát a víc než hashe nikdo nedostal. Tohle je na 99% problém u uživatelů, kteří si pořídili keylogger.
          Nejslabší článek je vždy uživatel, pak služba, která skladuje hesla v plaintextu a až poslední Lastpass.

          • Pokud LastPass nemá data uživatele šifrována na straně klienta (což si myslím že nemá – aspoň co jsem si to před lety vyhodnocoval), tak technicky vzato lidi za Lastpassem mají možnost ta data dešifrovat.

            Jak je totiž známo, drtivá většina útoků přichází zevnitř – ať už přímo, nebo zprostředkovaně. A hesla, ke kterým má přístup někdo jiný (a je jedno, jestli za to platím, či ne) nejsou zabezpečená hesla.

            Chápu, že dnes v době cloudů je relaxed security standard („zodpovědný“ je poskytovatel služby, který se v okamžiku průšvihu omluví), ale já jsem ze staré školy.

            • Já mám za to, že data jsou šifrovaná na straně klienta. Když měním heslo, tak to ukazuje šifrování a následné zasílání do LastPass.

            • KRoman47: Máš pravdu, asi jsem to zaměnil s nějakou jinou službou.

              V takovém případě to vypadá na to, že uživatelé nevěnovali pozornost zabezpečení a ochraně svého master hesla.

          • Přesně. Není důvod používat speciální synchronizační službu hesel, na kterou se zaměřují tisíce hackerů, když synchronizaci souboru zařídí kterákoli už používaná služba. Kepass je nejlepší – už kvůli starožitnému, hustému rozhraní.

      • viz. reakce od tynyta, nejde tim vstupovat do jinych aplikaci, ani me nenapadlo, ze by to nekdo takto mohl chtit.
        Kazdy prohlizec ma nejakeho spravce hesel a nedulezita hesla jako je prihlaseni na cnews si proste ulozim do nej. Dulezita hesla preci nechci, aby se nekde dokazala vyplnovat automaticky a databazi nechci mit otevrenou, ale po vetsinu casu zamcenou. Tudiz odemknu databazi, prekopiruju heslo a zamknu databazi.

    • Ne, nelze jej používat jako neustále aktivní password manažer (pokud vím – používám Keepass2Android) – a osobně pro to nevidím jediný racionální důvod.
      KeyVault by měl mít databázi otevřenou po co nejkratší možnou dobu a rozhodně by neměl mít nějaké API pro přístup jiných aplikací, natož pro předávání hesel. Obojí je poměrně zásadní snižování security levelu.

      Jinak je použitelnost Keepass2Android velmi dobrá, zakotvil jsem u něj po vyzkoušení několika jiných aplikací schopných otevírat kdbx databáze.