LastPass er en mye brukt tjeneste for generering og sikker lagring av passord. Men i går kunngjorde selskapet at det har vært utsatt for nettverksinnbrudd.
Passordene?
Det er ingenting som tyder på at selve passordene som LastPass oppbevarer for brukerne, har blitt berørt. Derimot viser selskapets etterforskning at brukerdata som e-postadresser, passordpåminnelser, server-per-bruk-salt og autentiseringshasher har blitt kompromittert.
– Vi er sikre på at våre krypteringstiltak er tilstrekkelige til å beskytte den store majoriteten av brukerne, skriver selskapet.
Dette innebærer at autentiseringshashen på serveren er styrket med et vilkårlig salt og kjørt 100 000 ganger med den langsomme PBKDF2-SHA256-funksjonen. Dette kommer i tillegg til tiltak som gjøres i klienten.
Les også: Vil narre hackere med falske passord
Må bekrefte
For å være på den sikre siden krever selskapet nå at brukere som logger seg inn via en ny IP-adresse eller med en ikke tidligere brukt enhet, bekrefter kontoen ved hjelp av e-post.
Dette gjelder dog ikke brukere som har aktivert flerfaktor autentisering.
Morgendagens sikkerhet? Bygger sikkerhetsmaskin inn i microSD-kort
Masterpassord
I tillegg vil alle brukerne måtte bytte sitt masterpassord. Dersom dette passordet også har blitt tatt i bruk andre steder, bør det byttes ut overalt. Brukerne vil også bli varslet om situasjonen via e-post.
De krypterte brukerdataene hos LastPass, som inneholder blant annet passordene som tjenesten oppbevarer, ble ifølge selskapet ikke tatt. Det er derfor ikke nødvendig å bytte ut alle passordene man har.
I kommentarene til kunngjøringen går det klart fram at flere anser innbruddet som en stygg ripe i lakken for LastPass, selv om passordene som selskapets tjeneste skal beskytte, ikke skal være berørt.
Gammel sårbarhet: – Windows er slepphendt med passordene