Η LastPass ενημέρωσε τους πελάτες ότι απαιτείται πλέον να χρησιμοποιούν πιο σύνθετα master passwords που θα αποτελούνται από τουλάχιστον 12 χαρακτήρες. Στόχος είναι η ενίσχυση της ασφάλειας των λογαριασμών τους.
Αν και υπήρχε η απαίτηση για ένα master password 12 χαρακτήρων από το 2018 (προεπιλεγμένη ρύθμιση), οι χρήστες είχαν τη δυνατότητα να παρακάμψουν τις προτεινόμενες ρυθμίσεις και να χρησιμοποιήσουν έναν πιο αδύναμο κωδικό με λιγότερους χαρακτήρες.
Ωστόσο, η υπηρεσία LastPass άρχισε να επιβάλλει ένα master password 12 χαρακτήρων από τον Απρίλιο του 2023 για νέους λογαριασμούς ή password resets, αλλά αυτή η αλλαγή δεν επηρέαζε τους παλαιότερους λογαριασμούς. Από αυτόν τον μήνα, όμως, όλοι οι λογαριασμοί καλούνται να εφαρμόσουν έναν πιο ισχυρό κωδικό πρόσβασης.
Δείτε επίσης: Google Chrome: Σκανάρει αυτόματα για παραβιασμένους κωδικούς πρόσβασης
“Από τον Ιανουάριο του 2024, η LastPass θα επιβάλει να χρησιμοποιούν όλοι οι πελάτες ένα master password με τουλάχιστον 12 χαρακτήρες”.
Τα οφέλη της χρήσης LastPass master passwords με 12 χαρακτήρες είναι πολλά. Πρώτον, οι μεγαλύτεροι κωδικοί πρόσβασης είναι πιο πολύπλοκοι, άρα είναι πιο δύσκολο να τους μαντέψει ή να τους αποκρυπτογραφήσει κάποιος.
Έπειτα, οι μεγαλύτεροι κωδικοί πρόσβασης αυξάνουν τον αριθμό των πιθανών συνδυασμών, κάτι που επιβραδύνει σημαντικά την προσπάθεια επίθεσης με brute force.
Επιπλέον, η LastPass είπε ότι θα αρχίσει να ελέγχει νέους ή ενημερωμένους κωδικούς πρόσβασης σε μια βάση δεδομένων με credentials που είχαν προηγουμένως διαρρεύσει στο dark web. Εάν βρεθεί αντιστοίχιση, οι πελάτες θα ειδοποιηθούν και θα τους ζητηθεί να επιλέξουν έναν άλλο κωδικό.
Το Μάιο του 2023, η υπηρεσία ξεκίνησε επίσης μια διαδικασία αναγκαστικής εφαρμογής ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Δείτε επίσης: Ποια λάθη κάνετε με τους κωδικούς πρόσβασης;
Παραβιάσεις master passwords
Αυτά τα μέτρα είναι το άμεσο αποτέλεσμα δύο παραβιάσεων ασφαλείας της LastPass που αποκαλύφθηκαν τον Αύγουστο και τον Νοέμβριο του 2022.
Τον Αύγουστο, η εταιρεία επιβεβαίωσε ότι το developer environment της παραβιάστηκε μέσω ενός παραβιασμένου λογαριασμού προγραμματιστή. Κατά τη διάρκεια της παραβίασης, έκλεψαν source code, τεχνικές πληροφορίες και ορισμένα μυστικά εσωτερικού συστήματος της LastPass.
Οι πληροφορίες που κλάπηκαν, χρησιμοποιήθηκαν αργότερα για την επόμενη παραβίαση, όταν έκλεψαν επίσης vault data.
Δείτε επίσης: Τα πιο χρησιμοποιημένα password του 2023, είναι οι δικοί σας στη λίστα;
Τον Οκτώβριο του 2023, hackers έκλεψαν κρυπτονομίσματα αξίας 4,4 εκατομμυρίων δολαρίων από περισσότερα από 25 θύματα, χρησιμοποιώντας ιδιωτικά κλειδιά και passphrases που μπορούσαν να εξαγάγουν από βάσεις δεδομένων LastPass (που είχαν κλαπεί σε παραβιάσεις της LastPass το 2022).
Σύμφωνα με ειδικούς, οι επιτιθέμενοι μπορούν τώρα να σπάνε κλεμμένα LastPass master passwords για να αποκτήσουν πρόσβαση στον κωδικό πρόσβασης. Χρησιμοποιώντας αυτήν την πρόσβαση, οι επιτιθέμενοι αναζητούν cryptocurrency wallet passphrases, credentials, και private keys και τα χρησιμοποιούν για να κλέψουν χρήματα.
Πηγή: www.bleepingcomputer.com
