LastPass هک شد: برنامه مدیریت پسوورد خود را تغییر دهید

واقعیت این هست که این خبر خوبی نیس و میتونه برای هر کاربر این سرویس نگرانی ایجاد کنه؛ ولی چیزی که مهمتر هست اینه که واقع بینانه به این موضوع نگاه بشه:

1. اولا هیچ شکی در لزوم استفاده از پسوردهای قوی و یکتا و نگهداری اونها با استفاده از سیستم های مدیریت پسورد نظیر lastpass وجود نداره. (اگر شک دارید توضیحات مطلب راهنمای جامع لست پس رو حتما مرور کنید)

2. دوما همونطور که یکی از دوستان یادآوری کردن امنیت هیچوقت مطلق نیست و همیشه با چالش هایی در سطوح مختلف مواجه میشه و این نیازمند به روز بودن و همگام شدن با متدهای جدید و جدیدتره.

3. سوما lastpass از متد PBKDF2-SHA256 در سمت سرور برای کد کردن اطلاعات و تولید هش استفاده میکنه که فوق العاده قوی هست و رمزگشایی از این هش ها بسیار سخت و زمان بر هست (اگر نگیم تقریبا غیر ممکنه).

4. نکته خیلی مهمی که کاربرای lastpass باید بدونن اینه که طبق خبر رسمی این کمپانی توی وبلاگش، این فعالیت های مشکوک مهمترین چیزی رو که تهدید میکنه رمزعبور اصلی شما یا همون Master Password اونم بصورت «خام و هش» هست. به عبارتی رمزعبورهای موجود در مخزن شما کماکان دست نخورده، کد شده و ایمن هستن و تنها با فرض اینکه نفوذگر قادر به رمزگشایی Master Password بشه (که با توجه به مورد قبلی که گفتم چیزی نزدیک به محال هست، اونم برای این حجم از کاربر)، تازه میتونه کمی نگرانی جدی تر بشه.

5. اما. اما .اما! با فرض اینکه حتی نفوذگر بتونه رمز اصلی کاربرای لست پس رو رمزگشایی و از حالت هش خارج کنه، تازه نوبت به فیلترهای امنیتی بعدی میرسه. اگر مطلب راهنمای جامع Lastpass که پیشتر در زومیت نوشته بودم و در این خبر هم بهش اشاره شده رو مطالعه کرده باشید، به شما اعمال تنظیمات و فیلترهای امنیتی رو پیشنهاد داده بودم که اگر از اونا استفاده کرده باشید عملا الان هیچ نگرانی ندارید. به عنوان مثال گفتم که دسترسی به حساب کاربریتون رو محدود به آی پی های کشور ایران بکنید و احراز هویت دوگانه رو هم فعال کنید. با این دو قابلیت، حتی اگر Master Password شما کشف هم بشه، هیچ ارزشی برای هکر نداره، چون یا به آی پی ایران دسترسی نداره و یا به موبایل شما! (و یا به هیچکدوم). بنابراین عملا استخراج پسوردهای مخزن شما محال هست.

6. لست پس اعلام کرده که تنها در صورتی تغییر Master Password الزامیه که از همین رمز برای اکانتها و سایت های ذخیره شده در مخزنتون هم استفاده کرده باشید. (که واقعا بعید میدونم کسی همچین حماقتی کرده باشه!)

7. نکته دیگه اینه که یه کمپانی معتبر با این حجم از کاربر و این سطح از اعتبار و تخصص بیکار نمیشینه تا حتی با وقوع چنین اتفاقی، نفوذگر به کارش ادامه بده. لست پس توی اطلاعیه خودش به این نکته اشاره کرده که، دسترسی از دستگاه های جدید و یا آی پی های ناشناس به حساب های کاربرا محدود شده و قبل از ورود به حساب از یه دستگاه جدید، ایمیل تایید برای شما ارسال میشه.

8. فقط و فقط به عنوان احتیاط بیشتر، اگر از پسورد بسیار ساده (کلمات قابل حدس و زیر 10 کارکتر) برای رمز عبور اصلی استفاده کردید، نسبت به تغییرش با یه رمز عبور قوی و استاندارد در اولین زمان اقدام کنید و فراموش نکنید که از لایه های امنیتی مثل احراز هویت دوگانه و محدودیت آی پی برای اکانتتون حتما و حتما بهره بگیرید.

9. همیشه به روز باشید