Menu

Útok hackerů na oblíbený správce hesel: mnoho uživatelů by mělo jednat

05.12.2022 11:25 | Jiří Palyza + Přidat komentář
Útok hackerů na oblíbený správce hesel: mnoho uživatelů by mělo jednat

Útok hackerů na oblíbený správce hesel: mnoho uživatelů by mělo jednat | foto: Thomas Breher/Pixabay

Hackerům se podařilo získat přístup ke cloudovému serveru správce hesel LastPass. Jakých dat se to konkrétně týká, je stále předmětem zkoumání. Uložená hesla uživatelů by měla být chráněna architekturou "nulové znalosti".

LastPass je jedním z nejznámějších správců hesel a ve srovnávacích testech si pravidelně vede dobře. Online služba je ale pod neustálou palbou kritiky a musí neustále vysvětlovat různé bezpečnostní incidenty.

Podobně je tomu i v případě nejnovějšího blogového příspěvku, ve kterém generální ředitel, Karim Toubba, vysvětluje další bezpečnostní problém. V tomto případě se hackerům podařilo získat přístup k údajům uživatelů. Prozatím nebylo zveřejněno, konkrétně kterých údajů se to týká. To je stále předmětem zkoumání bezpečnostních expertů.

Hesla by ale měla být chráněna architekturou "nulové znalosti". To zjednodušeně znamená, že k vašemu hlavnímu heslu, které odemyká přístup k datům uloženým v trezoru, ani k vlastním datům nemá přístup nikdo jiný kromě vás. Dokonce ani LastPass.

Přístup prostřednictvím poskytovatele cloudu

lastpass1

Správce hesel LastPass chrání hesla pomocí architektury "nulové znalosti". | Zdroj: LastPass

Co se ale prozatím o útoku ví: LastPass uvedl, že zjistil neobvyklou aktivitu v rámci cloudového úložiště, poskytovaného třetí stranou. V důsledku toho okamžitě zahájil vyšetřování v těsné spolupráci s bezpečnostní firmou a upozornil orgány činné v trestním řízení.

Doposud bylo zjištěno, že přístup ke cloudovým serverům získaly neoprávněné osoby. Zdá se, že potřebné informace se útočníkům dostaly do rukou už v srpnu 2022 v průběhu jiného incidentu. LastPass ke škodě věci není konkrétnější, ale přiznává "přístup k určitým informacím našich zákazníků". Probíhající vyšetřování by mělo tuto skutečnost objasnit.

LastPass ujišťuje, že hesla jsou bezpečně šifrována a zabezpečena díky použité architektuře nulové znalosti. Stejně jako ostatní správci hesel LastPass šifruje hesla lokálně v zařízeních uživatelů a teprve poté je synchronizuje prostřednictvím cloudových serverů. Zde je důležité bezpečné hlavní heslo, pro které společnost LastPass doporučuje následující kritéria:

Délka: čím delší, tím lepší. Hlavní heslo (Master password) by měl sestávat z minimálně 12 znaků;
Kombinace: kombinujte velká a malá písmena, číslice a speciální znaky;
Heslové fráze: dobrou praxí při tvorbě hesel je použít při jejich vytváření frází. Snadno si tak heslo zapamatujete;
Žádné informace: do hlavního hesla nedávejte žádné osobní údaje, ani jména dětí, ani data narození.

LastPass tvrdí, že má přibližně 33 milionů uživatelů. Pokud patříte mezi ně a chcete se poohlédnout po alternativě, neuděláte chybu, pokud si nezávazně vyzkoušíte Bitwarden. Ten nabízí dobrou bezplatnou verzi. Pokud obecně nechcete svá hesla synchronizovat přes cloudové služby, je dobrou volbou také KeePassXC. Nevýhodou je, že musíte zajistit, aby byla hesla dostupná na všech vašich používaných zařízeních.

Hesla můžete z aplikace LastPass exportovat prostřednictvím nabídky v rozšířených možnostech. Pozor ale na to, že služba hesla uloží do nešifrovaného souboru CSV. Ten můžete importovat do mnoha jiných správců hesel. Pokud to úspěšně dokončíte, je dobré CSV ze systému odstranit.

Zdroj: LastPass

Komentáře

* Hvězdičkou jsou označeny povinné informace.

Zajímavosti ze světa IT v e-mailu

Stačí odeslat svoji e-mailovou adresu


Nemusíte se obávat, váš e-mail ochráníme. Postupujeme podle těchto zásad a obchodních podmínek. Budeme vás pravidelně informovat o novinkách ve světě počítačů a technologií. Díky newsletteru snadno vyhodnotíme, jestli jsme se vám trefili do vkusu.




Komerční sdělení