Pod koniec grudnia ubiegłego roku pojawiła się w mediach kolejna informacja o wycieku danych użytkowników menedżera haseł LastPass. W ręce cyberprzestępców mogły wpaść zarówno adresy e-mail, loginy, jak i klucze dostępu do danych przechowywanych w chmurze. Chester Wisniewski, ekspert firmy Sophos, podsumowuje sytuację, w jakiej znalazły się miliony klientów LastPass oraz przedstawia największe przeszkody w walce o bezpieczne sposoby logowania.
Do wycieku informacji z LastPass doszło dzięki uzyskaniu przez hakerów już w sierpniu 2022 r. dostępu do danych firmy przechowywanych w chmurze. Według zapewnień przedsiębiorstwa informacje, które dostały się w ręce cyberprzestępców, są szyfrowane 256-bitowym kluczem AES i pozostaną nienaruszone bez dostępu do haseł głównych, znanych wyłącznie użytkownikom.
Twórcy menedżera haseł przekonują, że klienci, którzy zabezpieczyli wirtualne sejfy unikalnym i silnym hasłem głównym o długości przynajmniej 12 znaków, mogą spać spokojnie. LastPass uspokaja, że złamanie takich haseł za pomocą ogólnodostępnych technologii zajęłoby miliony lat.
Co możesz zrobić po wycieku danych z LastPass?
Korzystający z rozwiązań LastPass mimo wszystko powinni zakładać najgorszy scenariusz. Środkami zaradczymi, które należy podjąć w pierwszej kolejności, są zmiana haseł oraz aktywacja uwierzytelniania dwuskładnikowego.
Wyciek unaocznił ważny problem w zapewnianiu bezpieczeństwa wszystkich użytkowników – brak standaryzacji dotyczącej używanych haseł oraz wymaganych zabezpieczeń. Jakie są tego przyczyny?
Koszty wdrożenia nowych rozwiązań
Tokeny w formie elektronicznych urządzeń do generowania haseł nie należą do najtańszych rozwiązań. Przystępne cenowo nie są również smartfony, które mimo swojej powszechności, wykluczają m.in. osoby z niektórymi niepełnosprawnościami. Do tego urządzenia mobilne są podatne na ataki hakerskie. Dlatego technologiczni giganci stawiają na nowe metody kryptografii, takie jak klucze biometryczne. Minie jednak sporo czasu, zanim narzędzia te zostaną spopularyzowane na szeroką skalę. Nie jest też pewne, czy przyjmą się one wśród zwykłych użytkowników.
Brak wymagań, brak wspólnych rozwiązań
Klucze U2F (Universal Second Factor), czyli urządzenia służące do bezpiecznego logowania z wykorzystaniem dodatkowego składnika uwierzytelniającego, są skutecznym narzędziem chroniącym przed skutkami phishingu. Nie ma jednak przepisów, które nakazywałyby korzystanie z takich rozwiązań na wszystkich stronach internetowych wymagających logowania. Podobnych regulacji nie ma także w zakresie wymaganej długości haseł czy konieczności stosowania weryfikacji dwuskładnikowej.
Niektóre serwisy dopuszczają krótkie i proste hasła, inne wymagają od użytkownika stworzenia naprawdę skomplikowanego kodu dostępu. Brak jednolitego standardu utrudnia zapewnienie bezpieczeństwa oraz opóźnia wprowadzanie nowych, skuteczniejszych rozwiązań ochronnych.
Brak gotowości na zmiany
Wielu użytkowników postrzega weryfikację dwuskładnikową jako niedogodność. Z tego powodu nawet w niektórych bankach wciąż nie jest ona obowiązkowa. To samo dotyczy innych usług – firmy wolą narażać swoich klientów na niższy poziom zabezpieczeń niż stracić ich ze względu na wydłużony proces logowania do swoich usług. Ponadto, potencjalne problemy wynikające np. z uzyskaniem dostępu do konta przez token zostawiony przez klienta w domu, generują koszty, których firmy nie chcą brać na siebie. Aby sytuacja uległa zmianie, potrzebne jest odgórne nakazanie stosowania odpowiednich zabezpieczeń.
Uruchomienie dwuskładnikowej weryfikacji zdecydowanie zwiększa bezpieczeństwo użytkownika i jego danych. Warto stosować ją wszędzie, gdzie to tylko możliwe, w szczególności przy logowaniu do skrzynki e-mail, mediów społecznościowych czy bankowości internetowej.
Silne hasło nie oznacza skutecznej ochrony
Przypadek wycieku danych LastPass powinien skłonić użytkowników do zwracania jeszcze większej uwagi na bezpieczeństwo informacji przechowywanych u dostawców usług związanych z cyberbezpieczeństwem. Nie oznacza to jednak, że powinniśmy zrezygnować z samych rozwiązań ochronnych.
Ranking zabezpieczeń stosowanych przy weryfikacji dwuskładnikowej (w kolejności od najbardziej bezpiecznych rozwiązań, po te najbardziej wrażliwe na ataki):
- Klucz U2F/token
- Zabezpieczenia biometryczne (skaner odcisku palca, skaner twarzy)
- Aplikacje mobilne do weryfikacji dwuskładnikowej, jak Google Authenticator lub Microsoft Authenticator
- Kod logowania dostarczany w wiadomości SMS
- Hasło bez dodatkowych zabezpieczeń
Hasło to zdecydowanie za mało, nawet jeśli jest długie i silne, czyli składające się z małych i dużych liter oraz znaków specjalnych. Zwłaszcza jeśli jedna kombinacja używana jest jako klucz dostępu do kilku różnych serwisów. Dlatego polecanym rozwiązaniem wciąż pozostają menedżery haseł. Wirtualny sejf, zabezpieczony trudnym do złamania hasłem i dwuskładnikową weryfikacją, jest o wiele bezpieczniejszy, niż dobrze schowany notatnik z zapisanymi danymi dostępowymi.
Należy też pamiętać, że tożsamości online i offline nie są już dwoma różnymi bytami. Włamanie na skrzynkę e-mail może poważnie zagrozić życiu prywatnemu, jak i zawodowemu.
