LastPass: lepiej zmień swoje hasło

06-05-2011, 13:37

Dostawca menedżera haseł LastPass zauważył w swojej sieci coś niepokojącego. Nie tylko nie ukrył sprawy, ale nawet powiadomił o tym użytkowników, być może nieco przesadzając. Trzeba jednak przyznać, że to "nadmiernie alarmujące" podejście do bezpieczeństwa powinno być przykładem.

Korzystanie z wielu narzędzi wiąże się z ryzykiem wycieku wrażliwych danych. Na co dzień jednak dostawcy tych narzędzi przekonują, że wszystko jest w 100% bezpieczne. Zdarza się też, że wycieki danych są ukrywane lub użytkownicy są o nich powiadamiani zbyt późno. Czasem takie zachowanie tłumaczone jest "badaniem sprawy" lub "łagodzeniem skutków". 

Odmiennie zachował się dostawca usługi LastPass, międzyplatformowego menedżera haseł ułatwiającego przeglądanie internetu. Na jego blogu 4 maja pojawiło się zawiadomienie o możliwym naruszeniu bezpieczeństwa usługi.

>>> Czytaj: FBI ostrzega: Podrobione wideo z bin Ladenem to wirus

Przedstawiciele firmy przyznali, że przyglądając się logom, zauważyli "anomalię ruchu" na jednej z niekrytycznych maszyn trwającą kilka minut. Czasem takie rzeczy się zdarzają i są identyfikowane jako działanie pracownika lub skryptu. W tym przypadku nie udało się znaleźć przyczyny. Co więcej, znaleziono odpowiadającą jej anomalię, dotyczącą bazy danych.

W tej sytuacji przedstawiciele LastPass postanowili przyjąć najgorszy scenariusz - ktoś mógł uzyskać dostęp do bazy danych. Mając to na uwadze, postanowili zmusić użytkowników do zmiany swojego głównego hasła. W czasie tej procedury serwis sprawdza, czy użytkownik jest tym za kogo się podaje (odbywa się to przez porównanie adresów IP). Istnieje ryzyko, że atakujący zdobył jakieś hasła metodą brute force. Niebezpieczeństwo to występuje w przypadku użytkowników stosujących słabe hasła (np. będące powszechnymi słowami).

Dostawca menedżera haseł nie powinien robić niepotrzebnej paniki, jeśli chodzi o bezpieczeństwo. Przedstawiciele LastPass wybrali jednak otwarte informowanie o możliwym problemie, jako drogę bardziej bezpieczną.

CEO LastPass udzielił nawet wywiadu serwisowi PC World, aby dokładnie wyjaśnić całą sytuację. Z wywiadu wynika, że posiadacze silnych haseł nie mają się czego obawiać. Posiadacze słabych haseł powinni zmienić nie tylko swoje hasło, ale także hasła do najważniejszych stron (np. serwisów bankowych), gdyż mogły się one dostać w niepowołane ręce. Ponadto z wywiadu wynika, że sprawa jest ciągle badana i w zebranych danych nie znaleziono jeszcze nic nadzwyczajnego.

Godne pochwały jest również to, że Joe Siegrist (CEO LastPass) potrafi otwarcie powiedzieć: "zawsze gdy przechowujesz dane centralnie, coś ryzykujesz". Siegrist dodaje jednak, że LastPass musi polegać na użytkownikach, którzy odpowiadają choćby za siłę swoich haseł.

>>> Czytaj: Wykradziono informacje na temat użytkowników PlayStation Network


  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy