| 3 января 2024 г. — 15:54 PT
В 2022 году LastPass столкнулся с крупной атакой, когда хакеры получили доступ к конфиденциальным данным пользователей через уязвимость, обнаруженную на компьютере одного из инженеров компании. Спустя более двух лет после этого инцидента LastPass объявил о новых мерах по улучшению защиты данных пользователей, которые теперь будут обязаны установить более надежный мастер-пароль.
LastPass теперь требует более надежный мастер-пароль
В среду в блоге LastPass сообщил, что пользователям будет предложено установить новый мастер-пароль для защиты своих учетных записей на платформе. Новый пароль должен состоять минимум из 12 символов, в то время как ранее требовалось всего 8 символов.
По данным компании, хотя Национальный институт стандартов и технологий (NIST) заявляет, что пароли должны состоять минимум из 8 символов, более продвинутые методы взлома паролей и методы перебора побудили компанию установить новый, более строгий стандарт. Пароль также должен содержать как минимум один специальный символ, цифру и букву в верхнем регистре.
Компания подтверждает, что с прошлого года всем новым пользователям или существующим пользователям, которым требовалось сбросить свой мастер-пароль, уже предлагалось установить 12-символьный пароль. С сегодняшним изменением все будут обязаны обновить свой мастер-пароль LastPass. LastPass также заявил, что будет проверять базу данных, чтобы убедиться, что новый пароль не был скомпрометирован ранее.
Внедряя требование к минимальной длине мастер-пароля в 12 символов, а также увеличивая количество итераций PBKDF2, которые мы внедрили ранее в этом году, мы проактивно помогаем нашим клиентам создавать более сильные и надежные ключи шифрования для доступа и шифрования данных своих хранилищ LastPass.
Крупный инцидент безопасности
LastPass не упоминает напрямую инцидент безопасности, затронувший компанию в 2022 году, лишь заявляя, что изменения «внедряются в ответ на постоянно меняющуюся среду киберугроз».
В то время хакеры получили доступ к таким данным клиентов LastPass, как пароли, имена, электронные адреса, адреса, номера телефонов и многое другое. В прошлом году LastPass сообщил, что учетные данные серверов Amazon AWS, используемых компанией, были украдены у инженера DevOps через уязвимость, обнаруженную в платформе Plex Media.
Было скомпрометировано более 15 миллионов паролей. После инцидента LastPass предпринял ряд шагов для предотвращения будущих атак. Инженеру была оказана помощь в усилении безопасности его персональной сети, а в системы LastPass были добавлены новые многофакторные методы аутентификации.
Если вы являетесь пользователем LastPass, обязательно обновите свой мастер-пароль прямо сейчас. Вы можете узнать больше о LastPass на официальном сайте.