LastPass уведомила сегодня пользователей сайта Сегодня компания LastPass уведомила своих клиентов о том, что теперь они должны использовать сложные мастер-пароли, состоящие минимум из 12 символов, для повышения безопасности своих учетных записей.
Несмотря на то, что LastPass неоднократно заявляла. что требование о 12-символьном мастер-пароле действует с 2018 года, у пользователей была возможность использовать более слабые пароли.
"Исторически сложилось так, что с 2018 года мастер-пароль из 12 символов является настройкой LastPass по умолчанию, однако у клиентов была возможность отказаться от рекомендуемых настроек по умолчанию и создать мастер-пароль с меньшим количеством символов, если они того пожелают", - говорится в сообщении LastPass. сообщил в новом сегодняшнем объявлении.
LastPass начал применять требование 12-символьного мастер-пароля с апреля 2023 года для новых учетных записей или сброса пароля, но старые учетные записи все еще могли использовать пароли с меньшим количеством символов. Начиная с этого месяца, LastPass вводит требование 12-символьного мастер-пароля для всех учетных записей.
Кроме того, LastPass добавила, что начнет проверять новые или обновленные мастер-пароли по базе данных учетных данных, ранее просочившихся в темную паутину, чтобы убедиться, что они не совпадают с уже взломанными аккаунтами.
Если совпадение будет обнаружено, клиенты получат предупреждение в виде всплывающего окна с предупреждением о безопасности и предложат выбрать другой пароль, чтобы блокировать будущие попытки взлома.
В рамках усилий по повышению безопасности учетных записей LastPass в мае 2023 года также запустил принудительный процесс повторной многофакторной аутентификации (MFA), в результате чего многие пользователи столкнулись с значительные проблемы со входом в систему и блокировкой своих аккаунтов.
"Эти изменения включают в себя требование к клиентам обновить длину и сложность мастер-пароля в соответствии с рекомендуемыми лучшими практиками, а также побуждение клиентов к повторной регистрации многофакторной аутентификации (MFA), среди прочего", - сказал Майк Косак, старший главный аналитик LastPass.
"Начиная с января 2024 года, LastPass введет требование, чтобы все клиенты использовали мастер-пароль, состоящий как минимум из 12 символов.
"В следующем месяце LastPass также начнет немедленно проверять новые или сброшенные мастер-пароли по базе данных известных взломанных учетных данных, чтобы убедиться, что пароль не был ранее раскрыт в Dark Web".
LastPass сообщила genshin, что клиенты B2C начнут получать электронные письма об этих изменениях уже сегодня, а клиенты B2B - 10 января.
Мастер-пароли взломаны после взлома в 2022 году
Эти меры являются прямым следствием двух нарушений безопасности, о которых LastPass сообщила в в августе 2022 года и ноябре 2022 года.
В августе компания подтвердила, что ее среда разработчиков была взломана через взломанную учетную запись разработчика после того, как злоумышленники взломали корпоративный ноутбук инженера-программиста. В ходе взлома были похищены исходный код, техническая информация и некоторые внутренние системные секреты LastPass.
Информация, украденная в этом инциденте, была использована злоумышленниками в декабрьском взломе, когда они также похитили данные хранилища клиентов из зашифрованных ведер Amazon S3 после того, как взлома компьютера старшего инженера DevOps используя уязвимость удаленного выполнения кода для установки кейлоггера.
В октябре 2023 года хакеры похитили криптовалюту на сумму 4,4 миллиона долларов у более чем 25 жертв, используя приватные ключи и парольные фразы, которые они смогли извлечь из баз данных LastPass, украденных в ходе взлома LastPass в 2022 году.
Согласно исследованию разработчика MetaMask Тейлора Монахана и ZachXBTПредполагается, что теперь угрожающие лица взламывают украденные мастер-пароли LastPass, чтобы получить доступ к паролю.
Используя этот доступ, угрожающие лица ищут пароли, учетные данные и приватные ключи криптовалютных кошельков и загружают их на свои устройства, чтобы выкачать из них все средства.
LastPass утверждает, что его решением для управления паролями пользуются более 33 миллионов человек и 100 000 компаний по всему миру.
