Hosszabb jelszóra kötelezi a LastPass a felhasználókat
A világ egyik legnagyobb, független felhőalapú jelszókezelő szolgáltatója januártól kötelezővé teszi, hogy az ügyfelek és felhasználók legalább 12 karakterből álló mesterjelszót használjanak.
A LastPass arról tájékoztatta ügyfeleit, hogy a jövőben kötelezővé teszi a minimum 12 karakteres mesterjelszavak használatát. A jelszómódosításra vonatkozó kéréseket fokozatosan küldi ki a cég, a levél érkezése után 72 óra áll rendelkezésre a módosításra. Azoknak az ügyfeleknek, akik már most is 12 vagy több karakterből álló jelszóval rendelkeznek, nincs további teendőjük, az előírásnak nem megfelelő fiókok tulajdonosait azonban arra fogja kérni a rendszer kijelentkezés után, hogy válasszanak hosszabb jelszót. Az ingyenes, prémium és családi fogyasztói fiókok január 8-tól számíthatnak az értesítésre, utánuk következnek a Business és Teams felhasználók a hónap végén.
Ugyan a szolgáltatás 2018 óta alapértelmezett beállításként eddig is ilyen hosszúságú jelszót kért, az ügyfeleknek továbbra is lehetőségük volt lemondani az ajánlott alapértelmezett beállításokról, és kevesebb karakterből álló fő jelszót létrehozni, ha úgy akarták – a későbbiekben erre már nem lesz lehetőség. Idén áprilisban annyi változás történt, hogy a 12 karakteres mesterjelszó beállítása kötelező lett az új fiókok létrehozásához, de a korábban létrehozott regisztrációk továbbra is használhatták az annál rövidebb, már megadott jelszavakat.
A szolgáltatás emellett a következő hónapban beépít egy jelszóellenőrző funkciót, ami az új- és frissített jelszavak megadásakor ellenőrzi, hogy a kódsor kiszivárgott-e korábban ellopott hitelesítőadatokat kínáló csomagokban, vagy adatbázisokban. A módszer hasonló ahhoz, amit a Google Chrome beépített jelszóellenőrzője is kínál: ha a rendszer egyezést talál, az ügyfeleket egy biztonsági figyelmeztető felugró ablakon arra kéri majd, hogy a jövőbeni feltörési kísérletek blokkolása érdekében válasszon másik jelszót.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A biztonsági intézkedéseket és szigorításokat megelőzte, hogy a LastPass 2022 során két alkalommal is biztonsági incidensben volt érintett. A cég november végén közölte, hogy a felhős tárhelyen tárolt adatokhoz illetéktelenek férhettek hozzá, mint később kiderült, a hackerek minden létező - titkosított és titkosítatlan - felhasználói adathoz hozzáférhettek. Az incidens óriási méretű felhasználói bázist érintett, hiszen a világ egyik legnagyobb jelszómenedzsment-szolgáltatója körülbelül 33 millió egyéni és több mint 100 ezer üzleti/céges ügyfelet szolgált ki akkoriban.
A szolgáltatás védvonalai ennek megfelelően meglehetősen szofisztikáltak, így a bejelentkezési azonosítókat és jelszavakat olyan "digitális széfekben" (vault) tárolja, melyek csak a tulajdonos által ismert mesterjelszóval nyithatók, ennek a mesterjelszónak a gondosabb kiválasztására próbálja ösztönözni most a cég a felhasználókat a hosszúságra vonatkozó szigorúbb szabállyal.
A novemberi betörés során ezek az egyébként 256 bites AES-titkosítással ellátott digitális széfek is a hackerek kezébe kerülhettek, melyeket a fejlett kriptográfiai eljárásnak köszönhetően rendkívül nehéz feltörni, ám ahogy arra a LastPass is felhívja a figyelmet, ez csak akkor igaz, ha a fiók tulajdonosa követte a mesterjelszó létrehozásakor a biztonsági ajánlásokat, azaz kellően hosszú, bonyolult és máshol nem használt jelszót állított be mesterjelszónak. Az incidens során ellopott információkat később az illetéktelenek egy másik koordinált támadásban hasznosították, melynek során az illetéktelen behatolónak több mint két hónapig volt hozzáférése az Amazon AWS felhőtároló szerverekhez, ahonnan adatokat sikerült lopni.
2023. októberében a hackerek 4,4 millió dollár értékű kriptovalutát loptak el mint 25 áldozattól magánkulcsok és jelszavak segítségével, amelyeket a LastPass 2022-es feltörése során ellopott adatbázisokból tudtak kinyerni, a biztonsági szakértők szerint a fenyegetés szereplői jó eséllyel még aktívan próbálják hasznosítani az ellopott LastPass mesterjelszavakat anyagi haszonszerzés érdekében.
A szolgáltatás 2022-ben vezette be a jelszó nélküli bejelentkezést a LastPass Authenticatoron keresztül magánszemélyek és vállalkozások számára is. A fejlesztés azonnal népszerűvé vált, már a megjelenése pillanatában ezer felhasználó kezdte el használni a funkciót, ezáltal is jelezve: minimális erőfeszítéssel és fokozott biztonsággal szeretnének belépni alkalmazásaikba. A következő lépésre 2023 nyarán került sor, amikor a jelszó nélküli bejelentkezés a LastPass-ba bármilyen FIDO2 kompatibilis eszköz (például Windows Hello, Mac Touch ID szoftverkulcsok, és USB biztonsági kulcsok, mint a YubiKey vagy a Feitian) segítségével lehetségessé vált.