Комментарии участников:
Нигде небезопасно. Как чувствовал, что это произойдет: отказался от пользования подобными онлайн-сервисами еще два года назад.
Вроде пока советуют ничего не трогать — сервис может быть все еще под контролем злоумышленников.
У меня в напоминании о пароле стоит «пароль как пароль» )))
У меня в напоминании о пароле стоит «пароль как пароль» )))
перевод
Уважаемые Пользователя Lastpass,
Мы хотели предупредить вас, что, совсем недавно, наша команда обнаружила и незамедлительно блокировали подозрительную активность в нашей сети. Не зашифрованные пользовательские хранилища данных было принято, однако других данных, включая адреса электронной почты и пароля, напоминания, был скомпрометирован.
Мы уверены, что алгоритмы шифрования, которые мы используем, будет в достаточной мере защитить пользователей. В целях дальнейшего обеспечения вашей безопасности, мы требуем, чтобы проверка по email при входе с нового устройства или IP-адрес, и будет предлагающее пользователям обновлять свои мастер-пароли.
Приносим свои извинения за неудобства, но в конечном счете мы считаем, что это позволит лучше защитить пользователей lastpass. Спасибо за понимание, и за использование lastpass.
Уважаемые Пользователя Lastpass,
Мы хотели предупредить вас, что, совсем недавно, наша команда обнаружила и незамедлительно блокировали подозрительную активность в нашей сети. Не зашифрованные пользовательские хранилища данных было принято, однако других данных, включая адреса электронной почты и пароля, напоминания, был скомпрометирован.
Мы уверены, что алгоритмы шифрования, которые мы используем, будет в достаточной мере защитить пользователей. В целях дальнейшего обеспечения вашей безопасности, мы требуем, чтобы проверка по email при входе с нового устройства или IP-адрес, и будет предлагающее пользователям обновлять свои мастер-пароли.
Приносим свои извинения за неудобства, но в конечном счете мы считаем, что это позволит лучше защитить пользователей lastpass. Спасибо за понимание, и за использование lastpass.
включая адреса электронной почты и пароля, напоминания, был скомпрометирован.Не совсем точный перевод, пропущена важная вещь-были засвечены не пароли и напоминания, а напоминатели паролей, так что всё нормально…
Я сам долго думал как же перевести эти «reminders» и только после опубликования новости вспомнил хорошее слово из винды — «подсказка пароля» )))
Думаю, пока нет повода для паники, бо вот перевод на Comss.ru
В процессе внутреннего расследованияпрямых доказательств потери зашифрованных пользовательских данных не было обнаружено. Кроме того, признаков доступа к аккаунтам пользователей LastPass Password Manager также не зарегистрировано. Тем не менее, расследование показало, что электронные адреса, напоминания паролей, персональные криптографические модификаторы и хеши аутентификации были взломаны.
Представители компании уверены, что шифрования данных достаточно для защиты большинства пользователей. LastPass улучшает безопасность хэша аутентификации с помощью случайных значений и 100 000 итераций PBKDF2-SHA256, выполняемых на серверной стороне в дополнение к итерациям, исполняемым на клиентской части. Дополнительное усиление затрудняет атаки украденных хешей с любой значительной скоростью.
Тем не менее, вендор принимает дополнительные меры, чтобы удостовериться в безопасности данных. Пользователи, которые попытаются зайти в аккаунт LastPass с нового устройства или нового IP-адреса будут вынуждены пройти подтверждение операции по электронной почте, если мультифакторная аутентификация не активирована. В качестве дополнительной меры предосторожности, LastPass будет призывать пользователей поменять мастер-пароль.
Соответствующее электронное сообщение было отправлено всем пользователям, которых коснулся данный инцидент. LastPass будет побуждать пользователей поменять мастер-пароль. Однако, Вы можете не обновлять мастер-пароль, пока не получите соответствующий запрос. Как бы то ни было, если Вы использовали ваш мастер-пароль на других сайтах, Вам нужно поменять пароли на данных сайтах.
Так как зашифрованные данные не были украдены, Вам не нужно менять пароли для сайтов, сохраненные в хранилище LastPass. Как всегда, компания рекомендует активировать мультифакторную аутентификацию для дополнительной защиты вашего аккаунта.
Безопасность и конфиденциальность являются главными приоритетами LastPass. На протяжении многих лет компания использует прозрачные проактивные методы для защиты своих пользователей. В дополнение к перечисленным мерам, LastPass работает совместно с специализированными службами и судебными экспертами.
“Мы извиняемся за необходимости выполнения дополнительных шагов проверки аккаунта и обновления мастер-пароля, но верим, что данные меры обеспечат Вам лучшую защиту. Спасибо за понимание и поддержку” — сообщается в официальном блоге LastPass.
Часто задаваемые вопросы:
— Почему меня не оповестили по электронной почте?
— Соответствующие электронные письма были отправлены всем пользователям, которых коснулся данный инцидент. Рассылка занимает больше времени, чем публикация сообщения в блоге, но мы пытаемся уведомить всех пользователей как можно скорее.
— Нужно ли мне поменять мастер-пароль прямо сейчас?
— Учетные записи LastPass заблокированы. Доступ к своему аккаунту возможен только с доверенного IP-адреса или устройства — в противном случае потребуется верификация. Поэтому Мы уверены, что ваш аккаунт LastPass находится в безопасности. Тем не менее, если Вы использовали слабые пароли в качестве мастер-пароля (например: robert1, mustang, 123456799, password1!) или использовали мастер-пароль на других сайтах, нужно изменить его.
LastPass Security Notice. Перевод Comss.ru.
Поэтому лучше пользоваться оффлайновыми программами, а на онлайн сервисах хранить только шифрованные массивы данных.
У меня стоит обычный Keepass на нескольких устройствах с синхронизацией на Гугл и на Амазон. При возможном взломе, нгичего не теряю.
У меня стоит обычный Keepass на нескольких устройствах с синхронизацией на Гугл и на Амазон. При возможном взломе, нгичего не теряю.
Так и изначально зачем доверять пароли ко всему одному сайту, может он под АНБ?
Тоже использую офлайновый KeePass
Тоже использую офлайновый KeePass
Зачем запоминать разные пароли к 30 сайтам, если можно это доверить программе, а самому запомнить только один сложный пароль к этой программе?
Дело привычки — результат, как говориться — на лицо.:) Не доверяю я всем этим облачным хранилищам, и т.д.
да, но иметь один пароль ко всем сайтам — небезопасно, а запоминать множество паролей — не так легко. Подобные сервисы позволяют хранить пароли к не особо важным сайтам. А банковские пароли и пароли на основную почту можно и запомнить.
Ну допустим даже не 30, а к 10-20, если пароли где то 15-20 символов со спецсимволами и разным регистром букв типа Qs#jhS@15$FgpvCLlbGq@,cкажем так непросто и рискованно. Забудешь один символ… или регистр конкретного символа, и мучайся потом…