यह खबर कि लास्टपास नेटवर्क सुरक्षा से समझौता किया गया है, निश्चित रूप से एक गंभीर मुद्दा है। जिस कंपनी का उल्लंघन किया जा रहा है, वह एक पासवर्ड-प्रबंधन सेवा प्रदान करती है जो गंभीरता को एक पायदान - या दस तक बढ़ा देती है। तो मैं क्यों हूं, जिसने आईटी सुरक्षा के बारे में लिखने पर अपना करियर बनाया है, इसके बारे में मेरे बाल नहीं खींच रहे हैं? इस तथ्य से परे कि मेरे पास टग करने के लिए कोई नहीं है, लास्टपास उल्लंघन हम में से कुछ के लिए उतना बड़ा सौदा नहीं है जितना कि यह दूसरों के लिए है।
हमें कोई सबूत नहीं मिला है कि एन्क्रिप्टेड उपयोगकर्ता वॉल्ट डेटा लिया गया था और न ही लास्टपास उपयोगकर्ता खातों को एक्सेस किया गया था, एक लास्टपास प्रवक्ता हमें बताता है। तो आप किस बारे में उपद्रव कर सकते हैं, आप पूछ सकते हैं - जोखिम कहाँ है? वैसे यह दुगना है जैसा कि मैं इसे देखता हूं। सबसे पहले, चूंकि ईमेल पते और संबंधित पासवर्ड अनुस्मारकों से समझौता किया गया है, मैं नकली मास्टर-पासवर्ड-रीसेट संदेशों के रूप में लक्षित फ़िशिंग प्रयासों को देखने की अपेक्षा करता हूं। मुझे लगता है कि मैं उनके लिए नहीं गिरूंगा।
कैसे पता करें कि आपका फोन अनलॉक है या नहीं
दूसरे जोखिम के लिए, कमजोर मास्टर पासवर्ड वर्तमान में ब्रूट-फोर्स क्रैकिंग प्रयासों के अधीन होंगे, सर्वर प्रति-उपयोगकर्ता लवण और प्रमाणीकरण हैश तक पहुंच के सौजन्य से। जहां तक इस तरह के क्रैकिंग प्रयासों की बात है, तो यह तथ्य कि लास्टपास एक यादृच्छिक नमक के साथ उन प्रमाणीकरण हैश को मजबूत करता है और अच्छे उपाय के लिए सर्वर-साइड PBKDF2-SHA256 के अतिरिक्त 100,000 राउंड में फेंकता है, जिससे उन्हें तोड़ना कठिन हो जाता है। हालाँकि, यदि मास्टर पासवर्ड खराब है तो यह अभी भी क्रूर-बल के हमलों के लिए खुला रहेगा; इसे क्रैक करने में अभी थोड़ा और समय लगेगा।
तो लास्टपास अधिकांश उपयोगकर्ताओं पर एक मास्टर पासवर्ड परिवर्तन के लिए मजबूर कर रहा है, और उन लोगों से ईमेल सत्यापन मांग रहा है जो एक नए डिवाइस या आईपी पते से लॉग इन करते हैं। हालाँकि, मैं अपना मास्टर पासवर्ड नहीं बदलूंगा, और न ही मैं (आइए एक नज़र डालते हैं) 442 दिनों के लिए क्योंकि यह यादृच्छिक है, यह जटिल है, यह 25 वर्णों से अधिक लंबा है, इसका उपयोग कहीं और नहीं किया जाता है, और मैं इसे दिल से याद कर सकते हैं। इसके अलावा, यह निम्नलिखित दो जादुई शब्दों द्वारा समर्थित है: बहुकारक प्रमाणीकरण।
बूम! जहां तक मेरा सवाल है, लास्टपास नेटवर्क की परिधि में आने का वह सारा प्रयास व्यर्थ है क्योंकि मैं मल्टीफैक्टर प्रमाणीकरण द्वारा समर्थित एक मजबूत मास्टर पासवर्ड का उपयोग करता हूं। यहां तक कि अगर मेरे मास्टर पासवर्ड से किसी तरह समझौता किया गया था, तो हमलावर को मेरे पासवर्ड वॉल्ट को डिक्रिप्ट करने के लिए मेरे YubiKey (एक भौतिक टोकन) तक पहुंचना होगा। ये उन्नत सेटिंग्स उपयोग करने के लिए स्वतंत्र हैं और कुछ समय के लिए उपयोगकर्ताओं के लिए उपलब्ध हैं - साथ ही, आपको एक YubiKey खरीदने की आवश्यकता नहीं है; आप चाहें तो Google Authenticator जैसे फ्री-टू-डाउनलोड ऐप का उपयोग कर सकते हैं। आप किसी भी साइट या सेवा पर टू-फैक्टर ऑथेंटिकेशन (2FA) का उपयोग क्यों नहीं करेंगे, जहां इसकी पेशकश की जाती है? नहीं, सचमुच में?
उन्नत सेटिंग्स की बात करें तो, एक और है जिसका मैं उपयोग करता हूं जो मुझे विश्वास की एक और परत प्रदान करता है कि मेरा डेटा लास्टपास के साथ यथोचित रूप से सुरक्षित है, और वह है भौगोलिक-पहुंच वाला लॉकडाउन। आप देश प्रतिबंध सेट कर सकते हैं जो आपको उन देशों को तय करने में सक्षम बनाता है जहां से आपके पासवर्ड वॉल्ट तक पहुंचा जा सकता है। जब तक मैं विदेश यात्रा नहीं कर रहा हूं, मैं इसे यूके में बंद रखता हूं, उस स्थिति में मैं प्रस्थान करने से पहले उस विशिष्ट स्थान को सक्षम करता हूं। ओह, और मैं टोर नेटवर्क से भी लॉगिन की अनुमति नहीं देता। पैरानॉयड, मोई? नहीं, राज्य के लिए उन चाबियों तक पहुंच को प्रतिबंधित करने के बारे में समझदार। जैसा आपको भी होना चाहिए।
लास्टपास समझौता के बारे में मुझे जो सबसे ज्यादा चिंता है, वह अजीब तरह से पर्याप्त नहीं है, बल्कि समझौता ही है, बल्कि इसकी प्रतिक्रिया है; और विशेष रूप से मीडिया का - पेशेवर और सामाजिक दोनों। ऐसा लगता है कि लास्टपास को किक करने में खुशी की एक अंतर्निहित भावना है, और बहुत से लोगों ने आपको इस प्रकार की रिपोर्टिंग के बारे में बताया है। लेकिन आपने हमें वास्तव में क्या बताया? वास्तव में यहाँ क्या हुआ है? जहां तक हम देख सकते हैं, किसी भी एन्क्रिप्टेड पासवर्ड डेटा से समझौता नहीं किया गया है, और लास्टपास घटना का खुलासा करने और उपयोगकर्ता के विश्वास को और सुरक्षित करने के लिए कदम उठाने में काफी पारदर्शी रहा है।
मीडिया के विरोधियों ने हमसे क्या किया होगा? पेन और पेपर पर वापस लौटें, या अधिक तकनीकी इसे स्वयं एन्क्रिप्ट करें समाधान हो सकता है? मैंने दोनों का सुझाव देखा है, और न ही औसत जो के लिए जोखिम को कम करता हूं, वास्तव में इसके विपरीत। हो सकता है कि किसी भिन्न पासवर्ड-प्रबंधन प्रदाता के पास जाएं? दोबारा, यह कैसे मदद करता है जब आप नहीं जानते कि वे कैसे प्रतिक्रिया देंगे - अगर नहीं - वे उल्लंघन का सामना करते हैं? कम से कम आप जानते हैं कि जब ब्रीच प्रतिक्रिया की बात आती है तो लास्टपास गेंद पर होता है।
मेरे लिए, अधिकांश लोगों के लिए एक पासवर्ड मैनेजर सबसे सुरक्षित विकल्प है, और यदि आप मेरे नेतृत्व का पालन करते हैं और एक मजबूत मास्टर पासवर्ड को मल्टीफैक्टर प्रमाणीकरण और कुछ लॉगिन लॉकडाउन विकल्पों के साथ जोड़ते हैं, तो आप समझौता करने के जोखिम को जितना संभव हो उतना कम करते हैं।
और वह, प्रिय पाठक, इसलिए मुझे अपना मास्टर पासवर्ड बदलने की आवश्यकता नहीं है; या उस मामले के लिए मेरा पासवर्ड मैनेजर।