LastPass ağ güvenliğinin tehlikeye atıldığı haberi elbette ciddi bir konudur. İhlal edilen şirketin bir parola yönetimi hizmeti sağlayan bir şirket olması, ciddiyeti bir veya on kadar artırıyor. Öyleyse neden ben, BT güvenliği hakkında yazarak kariyer yapmış biri, bu konuda saçlarımı koparmayayım? Çekecek hiçbir şeyim olmadığı gerçeğinin çok ötesinde, LastPass ihlali bazılarımız için diğerleri için olduğu kadar büyük bir sorun değil.
Bir LastPass sözcüsü bize şifrelenmiş kullanıcı kasası verilerinin alındığına veya LastPass kullanıcı hesaplarına erişildiğine dair hiçbir kanıt bulamadık. Öyleyse tüm yaygara neyle ilgili, sorabilirsiniz - risk nerede? Benim gördüğüm kadarıyla iki yönlü. Öncelikle, e-posta adresleri ve ilgili şifre hatırlatıcıları tehlikeye atıldığından, sahte ana şifre sıfırlama mesajları şeklinde hedeflenen kimlik avı girişimlerini görmeyi bekliyorum. Bunlara kanmayacağımı düşünmek isterim.
firestick ip adresi nasıl bulunur
İkinci riske gelince, zayıf ana parolalar şu anda kaba kuvvetle kırma girişimlerine tabi olacak, sunucu başına kullanıcı tuzları ve erişilen kimlik doğrulama karmaları sayesinde. Bu tür kırma girişimleri söz konusu olduğunda, LastPass'ın bu kimlik doğrulama karmalarını rastgele bir tuzla güçlendirmesi ve iyi önlem için sunucu tarafı PBKDF2-SHA256'ya ek 100.000 tur attığı gerçeği, onları kırmayı zorlaştırıyor. Ancak, ana parola zayıfsa, yine de kaba kuvvet saldırılarına açık olacaktır; kırmak biraz daha zaman alacak.
Bu nedenle, LastPass çoğu kullanıcı için bir ana parola değişikliğine zorlamakta ve yeni bir cihazdan veya IP adresinden oturum açanlardan e-posta doğrulaması istemektedir. Bununla birlikte, ana parolamı değiştirmeyeceğim, ne de 442 gündür (bir bakalım) çünkü rastgele, karmaşık, 25 karakterden uzun, başka hiçbir yerde kullanılmıyor ve ben ezbere hatırlayabiliyorum. Ek olarak, şu iki sihirli kelimeyle desteklenir: çok faktörlü kimlik doğrulama.
Boom! Endişelendiğim kadarıyla, LastPass ağının çevresine girmek için tüm bu çaba boşuna çünkü çok faktörlü kimlik doğrulama ile yedeklenmiş güçlü bir ana şifre kullanıyorum. Ana parolamın güvenliği bir şekilde ihlal edilmiş olsa bile, saldırganın parola kasamın şifresini çözmek için YubiKey'e (fiziksel bir belirteç) erişmesi gerekir. Bu gelişmiş ayarların kullanımı ücretsizdir ve kullanıcılara bir süredir sunulmaktadır - ayrıca bir YubiKey satın almanıza gerek yoktur; İsterseniz Google Authenticator gibi ücretsiz indirilebilen bir uygulama kullanabilirsiniz. Sunulan herhangi bir site veya hizmette neden iki faktörlü kimlik doğrulamayı (2FA) kullanmayasınız? Yok gerçekten?
Gelişmiş ayarlardan bahsetmişken, kullandığım başka bir tane daha var ve bu bana verilerimin LastPass ile makul ölçüde güvende olduğuna dair başka bir güven katmanı sağlıyor ve bu bir coğrafi erişim kilidi. Parola kasanıza nereden erişilebileceğine karar vermenizi sağlayan ülke kısıtlamaları belirleyebilirsiniz. Yurtdışına seyahat etmiyorsam bunu Birleşik Krallık'ta kilitli tutuyorum, bu durumda ayrılmadan önce söz konusu konumu etkinleştiriyorum. Oh, ayrıca Tor ağlarından girişlere de izin vermiyorum. Paranoyak, moi? Hayır, sadece krallığın bu anahtarlarına erişimi kısıtlamak mantıklı. Senin de olması gerektiği gibi.
LastPass uzlaşmasıyla ilgili beni en çok endişelendiren şey, garip bir şekilde, uzlaşmanın kendisi değil, ona verilen yanıttır; ve özellikle medyanınki - hem profesyonel hem de sosyal. LastPass'ı tekmelemenin altında yatan bir zevk duygusu var gibi görünüyor ve birçoğu size böyle bir habercilik söyledi. Ama bize tam olarak ne söyledin? Burada tam olarak ne oldu? Gördüğümüz kadarıyla hiçbir şifrelenmiş parola verisinin güvenliği ihlal edilmedi ve LastPass, olayı ifşa etme ve kullanıcı güvenini daha da güvence altına almak için adımlar atma konusunda oldukça şeffaf davrandı.
Medyadan muhalifler bize ne yaptırır? Kalem ve kağıda geri dönün ya da daha teknik bir şifreleyin kendi çözümünüz olabilir mi? Her ikisinin de önerildiğini ve ortalama Joe için riski azaltmadığını gördüm, aslında tam tersi. Belki farklı bir şifre yönetimi sağlayıcısına geçersiniz? Yine, bir ihlale maruz kaldıklarında - değilse - nasıl tepki vereceklerini bilmediğinizde bu nasıl yardımcı olur? En azından, yanıt ihlali söz konusu olduğunda LastPass'in topun üzerinde olduğunu biliyorsunuz.
Benim için bir parola yöneticisi çoğu insan için en güvenli seçenek olmaya devam ediyor ve liderliğimi izlerseniz ve güçlü bir ana parolayı çok faktörlü kimlik doğrulama ve bazı oturum kilitleme seçenekleriyle birleştirirseniz, tehlikeye atılma riskini insanca mümkün olduğu kadar azaltırsınız.
Ve bu sevgili okuyucu, bu yüzden ana şifremi değiştirmem gerekmiyor; veya bu konuyla ilgili parola yöneticim.
