Múlt héten pénteken feltörték a freemium jelszókezelő szolgáltatás, a LastPass rendszerét. Az incidensről tegnap jelentettek meg hivatalos közleményt a szolgáltatás blogján. Ebben azt írják, a felhasználói fiókokhoz nem fértek hozzá, de azt nem tudják pontosan, hogy hány felhasználót érint a támadás.

A közlemény szerint a támadók hozzáfértek a fiókokhoz tartozó e-mail címekhez, az autentikációs hashekhez, valamint a jelszó-emlékeztetőkhöz. A LastPass azzal nyugtatta a felhasználóit, hogy biztonsági rendszere – beleértve a titkosítást – elég erős ahhoz, hogy ezekkel az információkkal bármit is kezdhessenek a támadók.

Változtasson jelszót! Mindenhol!

Ennek ellenére arra kérik a felhasználóikat, hogy változtassák meg a LastPass-fiókjukhoz tartozó mesterjelszavukat, valamint minden olyan szolgáltatásét is, amelynél esetleg ezt a mesterjelszót használták a bejelentkezéshez. Mi pedig azt javasoljuk, hogy változtassák meg az összes jelszavukat. Ha még nem tették meg, ez pont jó program ma estére, hogy holnap is nyugodtan ébredhessenek.

Azok a felhasználók, akinek az adatait érintette az incidens, a bejelentkezéskor külön kapnak egy figyelmeztetést, hogy módosítsák a jelszavukat. Ezt akkor is érdemes megtenni, ha könnyen visszafejthető jelszót használtak. (Bár aki ilyen jelszót használ, valószínűleg azért teszi, mert képtelen megjegyezni egy bonyolultabb, kis- és nagybetűt és számokat is tartalmazó, értelmetlen karaktersort.)

Ha valaki új eszközről vagy IP címről jelentkezik be, a LastPass egy megerősítő e-maillel ellenőrzi a bejelentkezőt, kivéve, ha a felhasználó már amúgy is többlépcsős azonosítást választott.

Nem jó ötlet a felhőben tárolni?

A LastPass incidense után nyilván megint beindulhat a vita a felhőszolgáltatások biztonsági problémáiról. Kétségtelen ugyanis, hogy azok a szolgáltatások, ahol nagyobb tömegben lehet hozzájutni értékes felhasználói adatokhoz, a kiberbűnözők számára értékesebb célpontok, mint például egy egyéni, helyi jelszómenedzser – feltéve, hogy az illető nem egy fontos cég még fontosabb vezetője. Az ilyen emberek meg remélhetőleg szuperbiztonságos, például önmegsemmisítésre képes eszközökön tárolják a titkos információikat, beleértve azokat a jelszavaikat is, melyeket nem tudnak fejben tartani. (Azt rebesgették, hogy a Paksi Atomerőmű egyik igazgatójától ellopott laptopon is valami hasonló mechanizmus védte a titkos adatokat.)

Ugyanakkor az is tény, hogy a felhőszolgáltatások mögött sokkal fejlettebb biztonsági rendszerek működhetnek, mint a lokális megoldásokban. Ráadásul a felhőszolgáltatások megkerülhetetlenek. Ám ha jót akarunk maguknak, minden ilyen szolgáltatásban eltérő jelszót és – már ha a szolgáltatás biztosítja – többlépcsős azonosítást használunk. Az azonban könnyen belátható, hogy egy határon túl gyakorlatilag kezelhetetlenné válik a rengeteg jelszó, főleg ha valóban erős jelszavakat választunk.

A LastPass ráadásul egy sor kényelmi szolgáltatást is kínál, például azt, hogy automatikusan kitölti bármely online szolgáltatáson a bejelentkezési formot, ha annak belépési adatait a LastPassban tároljuk.

A jelszókezelő szolgáltatásnál legutóbb négy éve merült fel biztonsági incidens gyanúja.