Пора менять пароли: LastPass взломали

Официальный блог популярного менеджера паролей LastPass сообщает, что компания стала жертвой атаки. В пятницу LastPass обнаружила подозрительную активность в своей сети, и проведенное за выходные расследование показало, что компания подверглась атаке. Хотя нет никаких улик, указывающих на то, что хакеры забрали какие-либо данные о пользователях LastPass, сервера компании все-таки были скомпрометированы. Хакерам удалось получить доступ к email-адресам пользователей, зашифрованным мастер-паролям, а также секретным словам и фразам, которые сервис запрашивает при восстановлении этих самых паролей.

Компания LastPass старается держать лицо в неприятной ситуации и заявляет, что данные пользователей в безопасности, так как шифрования должно хватить, невзирая на то, что хакеры сумели заполучить доступ к соли и хешам мастер-паролей.  «Мы убеждены, что нашего шифрования достаточно, чтобы защитить большинство пользователей. LastPass усилила хэши аутентификации случайным значением соли и 100 000 итерациями PBKDF2-SHA256 на стороне сервера, в дополнении к итерациям на стороне клиента. Эти меры значительно затруднят атаку на украшенные хеши», — сообщается в блоге.

Помимо вышеперечисленного LastPass извинилась и приняла также более классические, для подобной ситуации, меры. Всем пользователям предлагается сменить мастер-пароль, особенно тем, кто использует тот же самый пароль на других сайтах. Если вход осуществляется с нового устройства или IP, придется подтвердить данные учетной записи (если не включена двухфакторная аутентификация). Менять пароли, которые хранились внутри сервиса, по словами представителей LastPass, не требуется.

Взято с Xakep.ru