Ενώ πολλοί από εμάς αποσυνδέονταν από το Διαδίκτυο για να περάσουμε χρόνο με αγαπημένα πρόσωπα τις γιορτές, η LastPass, ο κατασκευαστής ενός δημοφιλούς προγράμματος ασφαλείας για τη διαχείριση ψηφιακών κωδικών πρόσβασης, παρέδωσε το πιο ανεπιθύμητο δώρο. Δημοσίευσε λεπτομέρειες σχετικά με μια πρόσφατη παραβίαση ασφάλειας κατά την οποία οι εγκληματίες του κυβερνοχώρου είχαν αποκτήσει αντίγραφα των θησαυρών κωδικών πρόσβασης των πελατών, εκθέτοντας πιθανώς τις διαδικτυακές πληροφορίες εκατομμυρίων ανθρώπων.

Από την οπτική γωνία ενός χάκερ, αυτό ισοδυναμεί με το να πετύχεις το τζάκποτ.

Όταν χρησιμοποιείτε έναν διαχειριστή κωδικών πρόσβασης όπως το LastPass ή το 1Password, αποθηκεύει μια λίστα που περιέχει όλα τα ονόματα χρήστη και τους κωδικούς πρόσβασης για τους ιστότοπους και τις εφαρμογές που χρησιμοποιείτε, συμπεριλαμβανομένων τραπεζικών λογαριασμών, υγειονομικής περίθαλψης, email και λογαριασμών κοινωνικής δικτύωσης. Παρακολουθεί αυτή τη λίστα, που ονομάζεται vault, στο διαδικτυακό της σύννεφο, ώστε να έχετε εύκολη πρόσβαση στους κωδικούς πρόσβασής σας από οποιαδήποτε συσκευή. Η LastPass είπε ότι οι χάκερ είχαν κλέψει αντίγραφα της λίστας με τα ονόματα χρηστών και τους κωδικούς πρόσβασης κάθε πελάτη από τους διακομιστές της εταιρείας.

Αυτή η παραβίαση ήταν ένα από τα χειρότερα πράγματα που θα μπορούσαν να συμβούν σε ένα προϊόν ασφαλείας σχεδιασμένο να φροντίζει τους κωδικούς πρόσβασής σας. Αλλά εκτός από το προφανές επόμενο βήμα – να αλλάξετε όλους τους κωδικούς πρόσβασής σας εάν χρησιμοποιούσατε το LastPass – υπάρχουν σημαντικά μαθήματα που μπορούμε να μάθουμε από αυτήν την καταστροφή, όπως ότι τα προϊόντα ασφαλείας δεν είναι αλάνθαστα, ειδικά όταν αποθηκεύουν τα ευαίσθητα δεδομένα μας στο cloud.

Πρώτον, είναι σημαντικό να κατανοήσουμε τι συνέβη: Η εταιρεία είπε ότι οι εισβολείς είχαν αποκτήσει πρόσβαση στη βάση δεδομένων της στο cloud και έλαβαν ένα αντίγραφο των θησαυροφυλακίων δεδομένων δεκάδων εκατομμυρίων πελατών χρησιμοποιώντας διαπιστευτήρια και κλειδιά που είχαν κλαπεί από έναν υπάλληλο του LastPass.

Το LastPass, το οποίο δημοσίευσε λεπτομέρειες σχετικά με την παραβίαση σε μια ανάρτηση ιστολογίου στις 22 Δεκεμβρίου, προσπάθησε να καθησυχάσει τους χρήστες του ότι οι πληροφορίες τους ήταν πιθανώς ασφαλείς. Ανέφερε ότι ορισμένα τμήματα των θησαυροφυλακίων των ανθρώπων – όπως οι διευθύνσεις ιστοτόπων για τους ιστότοπους στους οποίους συνδέθηκαν – δεν ήταν κρυπτογραφημένα, αλλά ότι τα ευαίσθητα δεδομένα, συμπεριλαμβανομένων των ονομάτων χρηστών και των κωδικών πρόσβασης, ήταν κρυπτογραφημένα. Αυτό υποδηλώνει ότι οι χάκερ θα μπορούσαν να γνωρίζουν τον τραπεζικό ιστότοπο που χρησιμοποίησε κάποιος, αλλά να μην έχουν το όνομα χρήστη και τον κωδικό πρόσβασης που απαιτούνται για να συνδεθείτε στον λογαριασμό αυτού του ατόμου.

Το πιο σημαντικό, οι κύριοι κωδικοί πρόσβασης που οι χρήστες δημιούργησαν για να ξεκλειδώσουν τα θησαυροφυλάκια LastPass ήταν επίσης κρυπτογραφημένοι. Αυτό σημαίνει ότι οι χάκερ θα πρέπει στη συνέχεια να σπάσουν τους κρυπτογραφημένους κύριους κωδικούς πρόσβασης για να λάβουν τους υπόλοιπους κωδικούς πρόσβασης σε κάθε θησαυροφυλάκιο, κάτι που θα ήταν δύσκολο να γίνει, εφόσον οι άνθρωποι χρησιμοποιούσαν έναν μοναδικό, περίπλοκο κύριο κωδικό πρόσβασης.

Ο Karim Toubba, Διευθύνων Σύμβουλος της LastPass, αρνήθηκε να πάρει συνέντευξη, αλλά έγραψε σε μια δήλωση που εστάλη μέσω email ότι το περιστατικό απέδειξε τη δύναμη της αρχιτεκτονικής του συστήματος της εταιρείας, η οποία, όπως είπε, διατηρούσε τα ευαίσθητα δεδομένα του θησαυροφυλακίου κρυπτογραφημένα και ασφαλισμένα. Είπε επίσης ότι ήταν ευθύνη των χρηστών να «ασκούν την καλή υγιεινή του κωδικού πρόσβασης».

Πολλοί ειδικοί σε θέματα ασφάλειας διαφώνησαν με την αισιόδοξη περιστροφή του Toubba και είπαν ότι κάθε χρήστης του LastPass πρέπει να αλλάξει όλους τους κωδικούς πρόσβασης του/της.

«Είναι πολύ σοβαρό», είπε ο Sinan Eren, στέλεχος στην Barracuda, μια εταιρεία ασφαλείας. “Θα θεωρούσα όλους αυτούς τους διαχειριζόμενους κωδικούς πρόσβασης σε κίνδυνο.”

Ο Κέισι Έλις, ο επικεφαλής τεχνολογίας της εταιρείας ασφαλείας Bugcrowd, είπε ότι είναι σημαντικό το γεγονός ότι οι εισβολείς είχαν πρόσβαση στις λίστες διευθύνσεων ιστοτόπων που χρησιμοποιούσαν οι άνθρωποι.

«Ας πούμε ότι θα σε κυνηγήσω», είπε ο Έλις. «Μπορώ να κοιτάξω όλους τους ιστότοπους για τους οποίους έχετε αποθηκεύσει πληροφορίες και να τις χρησιμοποιήσω για να σχεδιάσω μια επίθεση. Κάθε χρήστης του LastPass έχει αυτά τα δεδομένα τώρα στα χέρια ενός αντιπάλου.”

Εδώ είναι τα μαθήματα που μπορούμε να μάθουμε όλοι από αυτήν την παραβίαση για να παραμείνουμε ασφαλέστεροι στο διαδίκτυο.

Η πρόληψη είναι καλύτερη από τη θεραπεία.

Η παραβίαση του LastPass είναι μια υπενθύμιση ότι είναι ευκολότερο να ρυθμίσουμε διασφαλίσεις για τους πιο ευαίσθητους λογαριασμούς μας πριν συμβεί μια παραβίαση παρά να προσπαθήσουμε να προστατευτούμε μετά. Ακολουθούν ορισμένες βέλτιστες πρακτικές που πρέπει να ακολουθούμε όλοι για τους κωδικούς μας. οποιοσδήποτε χρήστης του LastPass που είχε κάνει αυτά τα βήματα νωρίτερα θα ήταν σχετικά ασφαλής κατά τη διάρκεια αυτής της πρόσφατης παραβίασης.

– Δημιουργήστε έναν περίπλοκο, μοναδικό κωδικό πρόσβασης για κάθε λογαριασμό. Ένας ισχυρός κωδικός πρόσβασης πρέπει να είναι μακρύς και δύσκολος να τον μαντέψει κάποιος. Για παράδειγμα, πάρτε αυτές τις προτάσεις: «Το όνομά μου είναι Inigo Montoya. Σκότωσες τον πατέρα μου. Ετοιμάσου να πεθάνεις.” Και μετατρέψτε τα σε αυτό, χρησιμοποιώντας αρχικά για κάθε λέξη και ένα θαυμαστικό για τα I: “Mn!!m.Ykmf.Ptd.”

Για όσους χρησιμοποιούν διαχειριστή κωδικών πρόσβασης, αυτός ο εμπειρικός κανόνας είναι υψίστης σημασίας για τον κύριο κωδικό πρόσβασης για να ξεκλειδώσει το θησαυροφυλάκιό σας. Ποτέ μην επαναχρησιμοποιείτε αυτόν τον κωδικό πρόσβασης για οποιαδήποτε άλλη εφαρμογή ή ιστότοπο.

– Για τους πιο ευαίσθητους λογαριασμούς σας, προσθέστε ένα επιπλέον επίπεδο ασφάλειας με έλεγχο ταυτότητας δύο παραγόντων. Αυτή η ρύθμιση περιλαμβάνει τη δημιουργία ενός προσωρινού κωδικού που πρέπει να εισαχθεί εκτός από το όνομα χρήστη και τον κωδικό πρόσβασής σας για να μπορέσετε να συνδεθείτε στους λογαριασμούς σας.

Οι περισσότεροι τραπεζικοί ιστότοποι σάς επιτρέπουν να ρυθμίσετε τον αριθμό του κινητού σας τηλεφώνου ή τη διεύθυνση email σας για να λαμβάνετε ένα μήνυμα που περιέχει έναν προσωρινό κωδικό για να συνδεθείτε. Ορισμένες εφαρμογές, όπως το Twitter και το Instagram, σας επιτρέπουν να χρησιμοποιείτε τις λεγόμενες εφαρμογές ελέγχου ταυτότητας όπως το Google Authenticator και το Authy για τη δημιουργία προσωρινών κωδικών .

Αλλά να θυμάσαι, δεν φταις εσύ.

Ας διευκρινίσουμε ένα μεγάλο πράγμα: Κάθε φορά που παραβιάζονται οι διακομιστές οποιασδήποτε εταιρείας και κλαπούν τα δεδομένα πελατών, φταίει η εταιρεία που δεν σας προστατεύει.

Η δημόσια απάντηση του LastPass στο περιστατικό επιβαρύνει τον χρήστη, αλλά δεν χρειάζεται να το αποδεχτούμε. Αν και είναι αλήθεια ότι η εφαρμογή της «καλής υγιεινής του κωδικού πρόσβασης» θα είχε βοηθήσει να διατηρηθεί ένας λογαριασμός πιο ασφαλής σε περίπτωση παραβίασης, αυτό δεν απαλλάσσει την εταιρεία από την ευθύνη.

Υπάρχουν κίνδυνοι για το σύννεφο.

Αν και η παραβίαση του LastPass μπορεί να είναι καταδικαστική, οι διαχειριστές κωδικών πρόσβασης γενικά είναι ένα χρήσιμο εργαλείο επειδή καθιστούν πιο βολικό τη δημιουργία και την αποθήκευση περίπλοκων και μοναδικών κωδικών πρόσβασης για τους πολλούς λογαριασμούς μας στο Διαδίκτυο.

Η ασφάλεια του Διαδικτύου συχνά περιλαμβάνει τη στάθμιση της ευκολίας έναντι του κινδύνου. Ο Ellis του Bugcrowd είπε ότι η πρόκληση με την ασφάλεια κωδικών πρόσβασης ήταν ότι όποτε οι βέλτιστες πρακτικές ήταν πολύ περίπλοκες, οι άνθρωποι θα έκαναν προεπιλογή ό,τι ήταν πιο εύκολο – για παράδειγμα, χρησιμοποιώντας εύκολα μαντέψιμους κωδικούς πρόσβασης και επανάληψη τους σε ιστότοπους.

Επομένως, μην διαγράφετε τους διαχειριστές κωδικών πρόσβασης. Αλλά να θυμάστε ότι η παραβίαση του LastPass δείχνει ότι παίρνετε πάντα ρίσκο όταν αναθέτετε σε μια εταιρεία την αποθήκευση των ευαίσθητων δεδομένων σας στο cloud της, τόσο βολικό όσο είναι να έχετε πρόσβαση στο θησαυροφυλάκιο του κωδικού πρόσβασής σας σε οποιαδήποτε από τις συσκευές σας.

Ο Eren of Barracuda συνιστά να μην χρησιμοποιείτε διαχειριστές κωδικών πρόσβασης που αποθηκεύουν τη βάση δεδομένων στο σύννεφο τους και αντ ‘αυτού να επιλέξετε ένα που αποθηκεύει το θησαυροφυλάκιο του κωδικού πρόσβασής σας στις δικές σας συσκευές, όπως το KeePass.

Έχετε μια στρατηγική εξόδου.

Αυτό μας φέρνει στην τελευταία μου συμβουλή, η οποία μπορεί να εφαρμοστεί σε οποιαδήποτε διαδικτυακή υπηρεσία: Έχετε πάντα ένα σχέδιο για την απόσυρση των δεδομένων σας –σε αυτήν την περίπτωση, το θησαυροφυλάκιο του κωδικού πρόσβασής σας– σε περίπτωση που συμβεί κάτι που σας κάνει να θέλετε να φύγετε.

Για το LastPass, η εταιρεία παραθέτει βήματα στον ιστότοπό της για την εξαγωγή ενός αντιγράφου της θυρίδας σας σε ένα υπολογιστικό φύλλο. Στη συνέχεια, μπορείτε να εισαγάγετε αυτήν τη λίστα κωδικών πρόσβασης σε διαφορετικό διαχειριστή κωδικών πρόσβασης. Ή μπορείτε να κρατήσετε το αρχείο υπολογιστικού φύλλου για τον εαυτό σας, αποθηκευμένο κάπου ασφαλές και βολικό για χρήση.

Ακολουθώ μια υβριδική προσέγγιση. Χρησιμοποιώ έναν διαχειριστή κωδικών πρόσβασης που δεν αποθηκεύει τα δεδομένα μου στο cloud του. Αντίθετα, κρατάω το δικό μου αντίγραφο του θησαυροφυλακίου μου στον υπολογιστή μου και σε μια μονάδα cloud που ελέγχω μόνος μου. Θα μπορούσατε να το κάνετε αυτό χρησιμοποιώντας μια υπηρεσία cloud όπως το iCloud ή το Dropbox. Αυτές οι μέθοδοι δεν είναι επίσης αλάνθαστες, αλλά είναι λιγότερο πιθανό από τη βάση δεδομένων μιας εταιρείας να στοχοποιηθούν από χάκερ.

Αυτό το άρθρο δημοσιεύθηκε αρχικά στους New York Times.