Менеджер паролей призван обеспечить безопасность работы в Интернете и позволяет нам не запоминать множество паролей. Однако если кто-то узнает мастер пароль, он получит доступ ко всей базе данных и данным для доступа ко всем Интернет-сервисам. Об этом должен знать любой пользователь менеджера паролей. Насколько быстро и неожиданно ваши данные могут оказаться в опасности, показывает неприятность, случившаяся с менеджером паролей LastPass в выходные.
CEO компании Джо Сигрист сообщил в блоге, что в пятницу на их серверах была зафиксирована и заблокирована "подозрительная активность". На серверах хранятся все пользовательские данные для управления паролями. Какую информацию удалось получить хакерам, неизвестно, но они получили доступ к серверу и узнали некоторые данные. Это могут быть адреса электронной почты, напоминатели паролей и хеш-коды аутентификации. Пользовательские данные и пароли в незашифрованном текстовом виде от различных сервисов, как показывает предварительный анализ, остались не тронутыми. Что касается мастер-пароля, получить его непросто, поскольку взлом займёт очень много времени, ведь он хранится в зашифрованном виде. LastPass использует случайно сгенерированные данные (соль) и 100 000 итераций шифрования PBKDF2 SHA256. Кроме того, сервис позволяет вход в базу данных с нового устройства только после дополнительной email-аутентификации.
Тем не менее, пользователям LastPass рекомендуется изменить свой мастер-пароль в целях безопасности, особенно если это такие пароли, как "123456", "password1" или "robert1". Узнать такие пароли хакерам будет совсем не сложно. Для полной уверенности рекомендуется заменить и сохранённые в LastPass пароли доступа к разным сервисам.
Однако по причине наплыва пользователей доступ к серверу LastPass в настоящее время ограничен. LastPass уже оповестила своих пользователей об инциденте в электронном письме.