Online-security-Unternehmen LastPass veröffentlicht eine Bekanntmachung gestern auf der offiziellen Unternehmens-blog, dass es erkannt und blockiert verdächtige Aktivitäten im Netzwerk der Firma.
Laut den Informationen auf dem blog, das Unternehmen habe keine Hinweise darauf, dass LastPass-Benutzer-Konten zugegriffen wurde oder der Benutzer vault-Daten heruntergeladen wurde. Das Unternehmen hat nicht erwähnen, wenn es zum ersten mal bemerkt die Verletzung aber einige Anwender berichteten, dass Sie anfingen zu erhalten spam-E-Mail-Adressen ausschließlich für die Passwort-manager-Konto am 8. Juni.
LastPass’ Untersuchung bestätigt, dass Konto-E-Mail-Adressen, Passwort-Erinnerungen, server und pro Benutzer-Salze und-Authentifizierung hashes kompromittiert wurden.
Das Unternehmen, Vertrauen in den service der Schutzfunktionen aktiviert, die zusätzliche Sicherheitsmaßnahmen für die Mehrheit der Konten.
Zum Beispiel, es erfordert, dass alle Benutzer, um das Konto zu verifizieren, indem Sie wieder eine E-Mail wenn ein neues Gerät oder eine IP-Adresse verwendet, um Zugriff auf das Konto. Dies ist nicht der Fall für die log-ins auf bekannte Geräte oder von bekannten IP-Adressen, und auch nur dann der Fall, wenn die multi-Faktor-Authentifizierung nicht verwendet wird.
Darüber hinaus erhalten die Benutzer aufgefordert, die Aktualisierung Ihrer master-Passwort.
Das Unternehmen wird demnächst mit Informationen. Er schickte E-Mails an alle Benutzer informiert Sie über die Sicherheit Vorfall.
Da die verschlüsselten user-Daten wurden nicht gestohlen, LastPass erfordert keine Benutzer ändern Kennwörter für Webseiten und Dienste gespeichert, die vom service in der cloud.
Die Informationen, die gestohlen wurden, können verwendet werden, indem Sie die Angreifer zu entschlüsseln master-Passwörter, vor allem, wenn schwache Passwörter wurden ausgewählt durch den Benutzer.
Was Sie tun sollten
Obwohl Sie möglicherweise nicht aufgefordert, ändern Sie Ihr master-Passwort, können Sie es ändern wollen, unabhängig davon, dass. Dies kann direkt auf der LastPass-Webseite zum Beispiel.
Darüber hinaus ist es empfehlenswert, ermöglichen mehrstufige Authentifizierung für Konten hinzufügen einer zweiten Schicht von Schutz zu Ihnen.
LastPass unterstützt eine Vielzahl von software-und hardware-basierte Authentifizierung Optionen, von denen einige sind nur für premium-Nutzer.
Sobald Sie damit die Sicherheits-Funktion, log-ins erfordern eine zweite Authentifizierung Schritt, die unabhängig von den Daten gespeichert LastPass. Zum Beispiel, können Sie Google Authenticator, die eine Anwendung von Google, zu erstellen Sie codes, die für den zweiten login-phase. Angreifer müssen den Zugang zu Ihrem Handy oder mobilen Gerät mit Google-Authenticator ausgeführt wird, zu diesem Schritt.
Abgesehen davon, dass, die Sie benötigen, um sicherzustellen, dass Sie nicht re-verwenden Sie Ihr master-Passwort. Wenn Sie getan haben, ist es empfehlenswert, ändern Sie es sofort.
Nicht zuletzt, da die Angreifer zu fassen bekam, der E-Mail-Adressen, erhalten Sie spam-E-Mails oder social-engineering-Angriffe, die versuchen, Daten zu stehlen von Ihnen direkt.
Schlusswort
Der service erlitt eine Verletzung zurück im Jahr 2011, da war ich betroffen. Ich machte die Entscheidung dann zurück zu schalten, um die lokale Passwort-manager KeePass nach dem Wechsel Hunderte von account-Passwörter im Internet.
Online-Passwort-Dienstleistungen sind high-Profil Ziele für Angreifer, wie Sie store-accounts für Tausende oder sogar Millionen von Benutzern.
Jetzt Sie: Sind Sie von der Verletzung betroffenen?