اگر تا به حال از LastPass استفاده کرده اید، اکنون باید همه رمزهای عبور خود را تغییر دهید

مدیر رمز عبور، LastPass، توسط هکرها نقض شده است، به این معنی که رمزهای عبور اصلی شما ممکن است برای فروش باشد.

اطلاعات شخصی و خزانه های رمز عبور حاوی اعتبارنامه ورود میلیون ها کاربر اکنون در دست مجرمان است. اگر تا به حال از مدیر رمز عبور LastPass استفاده کرده اید، اکنون باید همه رمزهای عبور خود را برای همه چیز تغییر دهید. و باید فوراً اقدامات بیشتری را برای محافظت از خود انجام دهید.

در نقض داده LastPass 2022 چه اتفاقی افتاد؟

LastPass یک سرویس مدیریت رمز عبور است که بر روی مدل “freemium” کار می کند. کاربران می‌توانند تمام رمزهای عبور و لاگین خود را برای سرویس‌های آنلاین با LastPass ذخیره کنند و از طریق رابط وب، از طریق افزونه‌های مرورگر و از طریق برنامه‌های اختصاصی گوشی هوشمند به آن‌ها دسترسی داشته باشند.

گذرواژه‌ها در “حفظه‌ها” ذخیره می‌شوند که با یک رمز عبور اصلی محافظت می‌شوند.

در آگوست 2022، LastPass اعلام کرد که مجرمان از یک حساب توسعه دهنده در معرض خطر برای دسترسی به محیط توسعه LastPass، کد منبع و اطلاعات فنی استفاده کرده اند.

جزئیات بیشتر در نوامبر 2022 منتشر شد، زمانی که LastPass اضافه کرد که برخی از داده های مشتری فاش شده است.

شدت واقعی نقض در 22 دسامبر فاش شد، زمانی که یک پست وبلاگ LastPass اشاره کرد که مجرمان از برخی از اطلاعات به دست آمده در حمله قبلی برای سرقت اطلاعات پشتیبان از جمله نام مشتری، آدرس و شماره تلفن، آدرس ایمیل، آدرس IP، استفاده کرده اند. و شماره کارت اعتباری جزئی علاوه بر این، آنها موفق به سرقت مخازن رمز عبور کاربران حاوی آدرس های اینترنتی و نام سایت های رمزگذاری نشده و همچنین نام های کاربری و رمزهای عبور رمزگذاری شده شدند.

مطلب مرتبط: آیا TikTok در ایالات متحده ممنوع است؟

آیا شکستن رمز اصلی LastPass شما برای مجرمان دشوار است؟

از نظر تئوری، بله، هکرها باید رمز عبور اصلی شما را شکست دهند. پست وبلاگ LastPass اشاره می‌کند که اگر از تنظیمات پیشنهادی پیش‌فرض آن‌ها استفاده کنید، «میلیون‌ها سال طول می‌کشد تا رمز عبور اصلی خود را با استفاده از فناوری شکستن رمز عبور که به طور کلی در دسترس است حدس بزنید.»

LastPass نیاز به رمز عبور اصلی حداقل 12 کاراکتر دارد و توصیه می کند “هرگز از رمز عبور اصلی خود در وب سایت های دیگر استفاده مجدد نکنید.”

با این حال، LastPass در بین سرویس های مدیریت رمز عبور منحصر به فرد است، زیرا به کاربران اجازه می دهد تا در صورت گم کردن رمز عبور، رمز عبور اصلی خود را به آنها یادآوری کنند.

به طور موثر، این کاربران را تشویق می کند تا از کلمات و عبارات فرهنگ لغت به عنوان بخشی از رمز عبور خود استفاده کنند، نه یک رمز عبور تصادفی قوی. اگر رمز عبور شما “lVoT=.N]4CmU باشد، هیچ راهنمایی رمز عبور کمکی نخواهد کرد.

مخازن رمز عبور LastPass مدتی است که در دست مجرمان قرار گرفته است، و با وجود اینکه رمزگذاری شده اند، در نهایت در معرض حملات brute force قرار خواهند گرفت.

مهاجمان به لطف وجود پایگاه های داده عظیم رمزهای عبور رایج، کار خود را آسان تر خواهند کرد. به عنوان مثال، می توانید یک لیست رمز عبور 17 گیگابایتی شامل 613 میلیون رمز عبور رایج را از haveibeenpwned دانلود کنید. سایر گذرواژه‌ها و لیست‌های اعتبار در وب تاریک در دسترس هستند.

مطلب مرتبط: 4 بهترین مکان برای ذخیره کدهای بازیابی

امتحان کردن هر یک از نیم میلیارد کلید رایج در مقابل یک طاق انفرادی چند دقیقه طول می کشد، و اگرچه تعداد نسبتاً کمی 12 کاراکتر مورد نیاز است، این احتمال وجود دارد که مجرمان سایبری بتوانند به راحتی به نسبت خوبی از خزانه ها نفوذ کنند.

به این واقعیت اضافه کنید که قدرت محاسباتی سال به سال افزایش می‌یابد و مجرمان با انگیزه می‌توانند از شبکه‌های توزیع شده برای کمک به این تلاش استفاده کنند. “میلیون ها سال” برای اکثر حساب ها امکان پذیر به نظر نمی رسد.

آیا نقض LastPass فقط روی رمزهای عبور تأثیر می گذارد؟

در حالی که خبر اصلی این است که مجرمان می توانند وقت خود را صرف نفوذ به صندوق LastPass شما کنند، آنها می توانند با استفاده از نام، آدرس، شماره تلفن، آدرس ایمیل، آدرس IP و شماره کارت اعتباری جزئی از شما به روش های دیگری سوء استفاده کنند.

از اینها می توان برای تعدادی از اهداف پلید از جمله حملات spearphishing علیه شما و مخاطبین شما، سرقت هویت، گرفتن اعتبار و وام به نام شما، و حملات تعویض سیم کارت استفاده کرد.

چگونه می توانید پس از نقض داده های LastPass از خود محافظت کنید؟

شما باید فرض کنید که ظرف چند سال، رمز عبور اصلی شما به خطر می افتد و تمام رمزهای عبور موجود در آن برای مجرمان شناخته می شود. اکنون باید آنها را تغییر دهید و از رمزهای عبور منحصر به فردی استفاده کنید که قبلاً هرگز استفاده نکرده اید و در هیچ یک از لیست های رمز عبور رایج وجود ندارد.

مطلب مرتبط: چگونه هکرها از هوش مصنوعی مولد در حملات خود استفاده می کنند و چه کاری می توانیم در مورد آن انجام دهیم

با توجه به سایر مجرمان به دست آمده از LastPass، باید اعتبار خود را مسدود کنید و از یک سرویس نظارت بر اعتبار برای نظارت بر هر کارت جدید یا درخواست وام به نام خود استفاده کنید. اگر می‌توانید شماره تلفن خود را بدون دردسر زیاد تغییر دهید، باید این کار را نیز انجام دهید.

مسئولیت امنیت خود را بپذیرید

به راحتی می توان LastPass را به خاطر نقض داده ها سرزنش کرد که باعث شد انبارهای رمز عبور و اطلاعات شخصی شما به دست مجرمان بیفتد، اما خدمات مدیریت رمز عبور که زندگی شما را ایمن می کند و به شما کمک می کند ترکیب های منحصر به فرد ایجاد کنید هنوز بهترین راه برای ایمن سازی زندگی آنلاین شما هستند.

یکی از راه‌های سخت‌تر کردن دسترسی سارقان احتمالی به داده‌های حیاتی شما، میزبانی یک مدیر رمز عبور بر روی سخت‌افزار خود است. این کار ارزان و آسان است و برخی از راه‌حل‌ها مانند VaultWarden را می‌توان حتی در Raspberry Pi Zero پیاده‌سازی کرد.