Le tiers mot de passe populaire Manager LastPass a indiqué hier qu'il peut jaillir ont été entaillés et que quelques usernames d'E-mail et mots de passe principaux ont pu avoir été volés. Est-ce que ceci le signifie est l'heure d'émigrer à un autre mot de passe Manager, ou même abandonne le concept entier de la gestion en ligne de mot de passe pour une solution de stylo-et-papier ?

La chambre forte de mot de passe de LastPass dans Firefox. (Crédit : Inc., LastPass)

Etant donné les faits de la situation du blog de LastPass signalez expliquer ce qui s'est produit, je ne dirait non à donner à LastPass l'initialisation, et certainement pas à abandonner la gestion numérique de mot de passe pour un « peu de livre noir. »

Laisser une traînée de papier est une idée affreuse pour deux raisons. Le premier est que si vous perdez votre livre ou il obtient volé, c'est allé et vous avez une chance statistiquement minuscule de la récupérer. L'autre est que le livre lui-même offre la sécurité nulle. Si quelqu'un d'autre le voit, vos mots de passe sont compromis même si le livre n'obtient pas volé. De n'importe quel angle, il est juste une mauvaise idée.

Avant que j'obtienne à pourquoi il est CORRECT de coller avec LastPass, bien que, passons en revue certains directeurs de mot de passe d'utilisation de personnes de raisons des tiers en premier lieu. Bien que les cinq navigateurs principaux offrent maintenant une certaine méthode de protection par mot de passe et gestion, y compris syncing entre les dispositifs de mutliple, beaucoup de gens se sont assemblés à la tiers protection par mot de passe parce qu'elle tend à être navigateur-agnostique. Vous pouvez lui accéder de n'importe quel navigateur, incluant sur votre Smartphone, et les tiers fournisseurs fournissent souvent plus de dispositifs, tels qu'une sécurité plus forte, grouper de mot de passe, une génération de mot de passe, note-prendre mot de passe-associée, et un mot de passe partageant aux individus de confiance.

En fait, une des meilleures raisons d'employer LastPass est qu'elle emploie 256 le chiffrage du bit AES pour protéger vos données, et la compagnie est seulement concentrée sur assurer la protection par mot de passe. LastPass emploie également à sens unique salé hache, qui n'est pas un mets pomme de terre-basé. « A salé des informations parasites » en termes cyptographic signifie que des nombres binaires aléatoires sont employés en même temps qu'un mot de passe pour s'assurer que le transfert de données est légitime et ne sont pas charriés. Il empêche les tables précréées de mot de passe d'être employé pour accéder au système, parce que la partie binaire aléatoire des informations parasites serait trop grande pour charrier facilement.

LastPass remarquable dans son blog annonçant l'infraction possible que la compagnie a saisi l'occasion de mettre en application a salé la protection des informations parasites 256-AES avec PBKDF2. C'est une façon très forte de chiffrage, et nous apporte à pourquoi c'est toujours une bonne idée de continuer à employer LastPass. À la différence des données de profil haut récentes le vol enferme impliquer des compagnies comme Sony, Ashampoo, Verizon, et Epsilon, LastPass a été très reçu avec l'information sur les étapes que la compagnie a pris pour assurer la protection continue d'utilisateur. Ceci inclut noter qu'en dépit de l'évidence mince que l'infraction possible avait affecté beaucoup de clients, LastPass a décidé de prendre la mesure de précaution de remettre à zéro tout le monde principal, et pas simplement ceux des utilisateurs sur le serveur affecté.

Le paragraphe principal du poteau de blog de LastPass annonçant l'infraction possible est ceci:

« Dans ce cas-ci, nous ne pourrions pas constater que cause de racine. Après la fouille dans l'anomalie, nous avons trouvé une anomalie assortie semblable mais plus petite du trafic d'une de nos bases de données dans la direction opposée (plus de trafic a été envoyé de la base de données comparée à ce qui a été reçu sur le serveur). Puisque nous ne pouvons pas expliquer cette anomalie non plus, nous allons être paranoïdes et assumer le plus mauvais: que les données que nous entreposé dans la base de données a été accédé de façon ou d'autre. Nous savons que rudement la quantité de données transférées et de celle il est assez grande pour avoir les adresses de l'E-mail des personnes transférées, le sel de serveur, et leur mot de passe salé hache de la base de données. Nous savons également que la quantité de données prises n'est pas assez à distance d'avoir tiré les gouttes chiffrées des données de beaucoup d'utilisateurs. « 

Ainsi, supposant que LastPass est direct et ne se trouve pas, de rapport le sens suivant de marques également:

« Si vous avez un fort, l'expression non-dictionnaire-basée de mot de passe ou de passage, ceci ne devrait pas vous effectuer--la menace potentielle ici brute-force votre mot de passe principal en utilisant des mots de dictionnaire, puis allant à LastPass avec ce mot de passe obtenir vos données. Malheureusement pas chacun sélectionne un mot de passe principal qui est immunisé contre forcer brutal.

« Au compteur que la menace potentielle, nous vont forcer chacun pour changer leurs mots de passe principaux. En plus, nous allons vouloir une indication que vous soyez toi, par l'un ou l'autre qui s'assure que vous venez d'un bloc d'IP que vous avez employé avant d'ou par valider votre adresse d'E-mail. « 

Encore, honnêteté arrogante de LastPass--ce qui évidemment peut être trop pour certains--il s'avère que LastPass prend des mesures extrêmes de protéger tous ses utilisateurs contre ce qui potentiellement pourrait avoir été une infraction de données. Un autre Reason que LastPass pourrait exiger de tous les utilisateurs de remettre à zéro leurs mots de passe est que la compagnie n'a pas accès au sel hache sur ses propres serveurs. Ils ne pourraient pas voir vos mots de passe s'ils voulaient à.

C'est ce genre de franchise franche au sujet des infractions de données des lesquelles d'autres compagnies feraient bien pour apprendre. Les infractions de données sont inévitables. Il n'y a aucune une telle chose comme système indéréglable, si nous parlons des mises à jour de définition de virus de sécurité ou fixons des données sur un serveur. Mais comme de plus en plus de nos données personnelles est stocké vers le haut dans le nuage, ce qui différenciera les sociétés responsables et les compagnies de les insouciantes est communication claire et rapide au sujet des mises à niveau de sécurité et des infractions de données.

Histoires relatives
LastPass (revue)
LastPass Pocket pour USB et usage en différé (téléchargement x86 | x64)
Comment éviter de partager l'information personnelle en ligne
Étude: Cause de négligence de la plupart des infractions de données