Το LastPass ενημέρωσε τους πελάτες σήμερα ότι απαιτείται πλέον να χρησιμοποιούν σύνθετους κύριους κωδικούς πρόσβασης με τουλάχιστον 12 χαρακτήρες για να αυξήσουν την ασφάλεια των λογαριασμών τους.
Αν και
Το LastPass έχει πει επανειλημμένα
ότι υπάρχει απαίτηση κύριου κωδικού πρόσβασης 12 χαρακτήρων από το 2018, οι χρήστες είχαν τη δυνατότητα να χρησιμοποιήσουν έναν πιο αδύναμο.
“Ιστορικά, ενώ ο κύριος κωδικός πρόσβασης 12 χαρακτήρων ήταν η προεπιλεγμένη ρύθμιση του LastPass από το 2018, οι πελάτες εξακολουθούσαν να έχουν τη δυνατότητα να παραιτηθούν από τις προτεινόμενες προεπιλεγμένες ρυθμίσεις και να επιλέξουν να δημιουργήσουν έναν κύριο κωδικό πρόσβασης με λιγότερους χαρακτήρες, εάν το ήθελαν”, LastPass
είπε
σε νέα σημερινή ανακοίνωση.
Το LastPass έχει αρχίσει να επιβάλλει μια απαίτηση κύριου κωδικού πρόσβασης 12 χαρακτήρων από τον Απρίλιο του 2023 για νέους λογαριασμούς ή επαναφορές κωδικών πρόσβασης, αλλά οι παλαιότεροι λογαριασμοί θα μπορούσαν να εξακολουθούν να χρησιμοποιούν κωδικούς πρόσβασης με λιγότερους από 12 χαρακτήρες. Από αυτόν τον μήνα, το LastPass επιβάλλει πλέον την απαίτηση κύριου κωδικού πρόσβασης 12 χαρακτήρων για όλους τους λογαριασμούς.
Επιπλέον, το LastPass πρόσθεσε ότι θα αρχίσει επίσης να ελέγχει νέους ή ενημερωμένους κύριους κωδικούς πρόσβασης σε μια βάση δεδομένων διαπιστευτηρίων που είχαν προηγουμένως διαρρεύσει στον σκοτεινό ιστό για να διασφαλίσει ότι δεν ταιριάζουν με ήδη παραβιασμένους λογαριασμούς.
Εάν βρεθεί αντιστοίχιση, οι πελάτες θα ειδοποιηθούν μέσω ενός αναδυόμενου παραθύρου προειδοποίησης ασφαλείας και θα τους ζητηθεί να επιλέξουν έναν άλλο κωδικό πρόσβασης για να αποκλείσουν μελλοντικές προσπάθειες διάρρηξης.
Ως μέρος της ίδιας προσπάθειας για την αύξηση της ασφάλειας του λογαριασμού, το LastPass ξεκίνησε επίσης μια διαδικασία αναγκαστικής επανεγγραφής πολλαπλών παραγόντων (MFA) τον Μάιο του 2023, η οποία οδήγησε πολλούς χρήστες να αντιμετωπίσουν σημαντικά προβλήματα σύνδεσης και να αποκλειστούν από τους λογαριασμούς τους.
«Αυτές οι αλλαγές περιλαμβάνουν την απαίτηση από τους πελάτες να ενημερώσουν το μήκος και την πολυπλοκότητα του κύριου κωδικού πρόσβασης για να ανταποκρίνονται στις προτεινόμενες βέλτιστες πρακτικές και την προτροπή των πελατών να εγγράψουν εκ νέου τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA), μεταξύ άλλων», δήλωσε ο Mike Kosak, Ανώτερος Κύριος Αναλυτής Πληροφοριών στο LastPass. .
«Από τον Ιανουάριο του 2024, το LastPass θα επιβάλει την απαίτηση να χρησιμοποιούν όλοι οι πελάτες έναν κύριο κωδικό πρόσβασης με τουλάχιστον 12 χαρακτήρες.
“Τον επόμενο μήνα, το LastPass θα ξεκινήσει επίσης άμεσους ελέγχους για νέους ή επαναφορά κύριων κωδικών πρόσβασης σε μια βάση δεδομένων γνωστών παραβιασμένων διαπιστευτηρίων, προκειμένου να διασφαλίσει ότι ο κωδικός πρόσβασης δεν έχει προηγουμένως εκτεθεί στο Dark Web.”
Το LastPass είπε στο BleepingComputer ότι οι πελάτες B2C θα αρχίσουν να λαμβάνουν email σχετικά με αυτές τις αλλαγές σήμερα, με τους πελάτες B2B να τα λαμβάνουν στις 10 Ιανουαρίου.
Οι κύριοι κωδικοί πρόσβασης έσπασαν μετά την παραβίαση του
2022
Αυτά τα μέτρα είναι το άμεσο αποτέλεσμα δύο παραβιάσεων ασφαλείας του LastPass που αποκαλύφθηκαν τον Αύγουστο του 2022 και τον Νοέμβριο του 2022.
Τον Αύγουστο, η εταιρεία επιβεβαίωσε ότι το περιβάλλον προγραμματιστή της παραβιάστηκε μέσω ενός παραβιασμένου λογαριασμού προγραμματιστή, αφού οι εισβολείς εισέβαλαν στον εταιρικό φορητό υπολογιστή ενός μηχανικού λογισμικού. Κατά τη διάρκεια της παραβίασης, έκλεψαν τον πηγαίο κώδικα, τις τεχνικές πληροφορίες και ορισμένα μυστικά εσωτερικού συστήματος του LastPass.
Οι πληροφορίες που κλάπηκαν σε αυτό το περιστατικό χρησιμοποιήθηκαν αργότερα από παράγοντες απειλών κατά την παραβίαση του Δεκεμβρίου, όταν έκλεψαν επίσης δεδομένα θησαυροφυλάκιο πελατών από τους κρυπτογραφημένους κάδους
Amazon
S3, αφού παραβίασαν τον υπολογιστή ενός ανώτερου μηχανικού
DevOps
χρησιμοποιώντας μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα για την εγκατάσταση ενός keylogger.
Τον Οκτώβριο του 2023, χάκερ έκλεψαν
κρυπτονομίσματα
αξίας 4,4 εκατομμυρίων δολαρίων από περισσότερα από 25 θύματα χρησιμοποιώντας ιδιωτικά κλειδιά και φράσεις πρόσβασης που μπορούσαν να εξαγάγουν από βάσεις δεδομένων LastPass που είχαν κλαπεί σε παραβιάσεις του LastPass το 2022.
Σύμφωνα με έρευνα του προγραμματιστή MetaMask
Τέιλορ Μόναχαν
και
ZachXBT
πιστεύεται ότι οι φορείς απειλών σπάζουν τώρα τους κλεμμένους κύριους κωδικούς πρόσβασης του LastPass για να αποκτήσουν πρόσβαση στον κωδικό πρόσβασης.
Χρησιμοποιώντας αυτήν την πρόσβαση, οι φορείς απειλών αναζητούν φράσεις πρόσβασης πορτοφολιού κρυπτονομισμάτων, διαπιστευτήρια και ιδιωτικά κλειδιά και τα χρησιμοποιούν για να φορτώσουν τα πορτοφόλια στις δικές τους
συσκευές
για να τους αφαιρέσουν όλα τα χρήματα.
Η LastPass λέει ότι η λύση διαχείρισης κωδικών πρόσβασης χρησιμοποιείται πλέον από πάνω από 33 εκατομμύρια ανθρώπους και 100.000 επιχειρήσεις σε όλο τον κόσμο.
VIA:
bleepingcomputer.com
