मुख्य अन्य मैं अपना लास्टपास मास्टर पासवर्ड क्यों नहीं बदल रहा हूँ

मैं अपना लास्टपास मास्टर पासवर्ड क्यों नहीं बदल रहा हूँ



यह खबर कि लास्टपास नेटवर्क सुरक्षा से समझौता किया गया है, निश्चित रूप से एक गंभीर मुद्दा है। जिस कंपनी का उल्लंघन किया जा रहा है, वह एक पासवर्ड-प्रबंधन सेवा प्रदान करती है जो गंभीरता को एक पायदान - या दस तक बढ़ा देती है। तो मैं क्यों हूं, जिसने आईटी सुरक्षा के बारे में लिखने पर अपना करियर बनाया है, इसके बारे में मेरे बाल नहीं खींच रहे हैं? इस तथ्य से परे कि मेरे पास टग करने के लिए कोई नहीं है, लास्टपास उल्लंघन हम में से कुछ के लिए उतना बड़ा सौदा नहीं है जितना कि यह दूसरों के लिए है।

none

हमें कोई सबूत नहीं मिला है कि एन्क्रिप्टेड उपयोगकर्ता वॉल्ट डेटा लिया गया था और न ही लास्टपास उपयोगकर्ता खातों को एक्सेस किया गया था, एक लास्टपास प्रवक्ता हमें बताता है। तो आप किस बारे में उपद्रव कर सकते हैं, आप पूछ सकते हैं - जोखिम कहाँ है? वैसे यह दुगना है जैसा कि मैं इसे देखता हूं। सबसे पहले, चूंकि ईमेल पते और संबंधित पासवर्ड अनुस्मारकों से समझौता किया गया है, मैं नकली मास्टर-पासवर्ड-रीसेट संदेशों के रूप में लक्षित फ़िशिंग प्रयासों को देखने की अपेक्षा करता हूं। मुझे लगता है कि मैं उनके लिए नहीं गिरूंगा।

कैसे पता करें कि आपका फोन अनलॉक है या नहीं

दूसरे जोखिम के लिए, कमजोर मास्टर पासवर्ड वर्तमान में ब्रूट-फोर्स क्रैकिंग प्रयासों के अधीन होंगे, सर्वर प्रति-उपयोगकर्ता लवण और प्रमाणीकरण हैश तक पहुंच के सौजन्य से। जहां तक ​​इस तरह के क्रैकिंग प्रयासों की बात है, तो यह तथ्य कि लास्टपास एक यादृच्छिक नमक के साथ उन प्रमाणीकरण हैश को मजबूत करता है और अच्छे उपाय के लिए सर्वर-साइड PBKDF2-SHA256 के अतिरिक्त 100,000 राउंड में फेंकता है, जिससे उन्हें तोड़ना कठिन हो जाता है। हालाँकि, यदि मास्टर पासवर्ड खराब है तो यह अभी भी क्रूर-बल के हमलों के लिए खुला रहेगा; इसे क्रैक करने में अभी थोड़ा और समय लगेगा।

तो लास्टपास अधिकांश उपयोगकर्ताओं पर एक मास्टर पासवर्ड परिवर्तन के लिए मजबूर कर रहा है, और उन लोगों से ईमेल सत्यापन मांग रहा है जो एक नए डिवाइस या आईपी पते से लॉग इन करते हैं। हालाँकि, मैं अपना मास्टर पासवर्ड नहीं बदलूंगा, और न ही मैं (आइए एक नज़र डालते हैं) 442 दिनों के लिए क्योंकि यह यादृच्छिक है, यह जटिल है, यह 25 वर्णों से अधिक लंबा है, इसका उपयोग कहीं और नहीं किया जाता है, और मैं इसे दिल से याद कर सकते हैं। इसके अलावा, यह निम्नलिखित दो जादुई शब्दों द्वारा समर्थित है: बहुकारक प्रमाणीकरण।

बूम! जहां तक ​​मेरा सवाल है, लास्टपास नेटवर्क की परिधि में आने का वह सारा प्रयास व्यर्थ है क्योंकि मैं मल्टीफैक्टर प्रमाणीकरण द्वारा समर्थित एक मजबूत मास्टर पासवर्ड का उपयोग करता हूं। यहां तक ​​​​कि अगर मेरे मास्टर पासवर्ड से किसी तरह समझौता किया गया था, तो हमलावर को मेरे पासवर्ड वॉल्ट को डिक्रिप्ट करने के लिए मेरे YubiKey (एक भौतिक टोकन) तक पहुंचना होगा। ये उन्नत सेटिंग्स उपयोग करने के लिए स्वतंत्र हैं और कुछ समय के लिए उपयोगकर्ताओं के लिए उपलब्ध हैं - साथ ही, आपको एक YubiKey खरीदने की आवश्यकता नहीं है; आप चाहें तो Google Authenticator जैसे फ्री-टू-डाउनलोड ऐप का उपयोग कर सकते हैं। आप किसी भी साइट या सेवा पर टू-फैक्टर ऑथेंटिकेशन (2FA) का उपयोग क्यों नहीं करेंगे, जहां इसकी पेशकश की जाती है? नहीं, सचमुच में?

उन्नत सेटिंग्स की बात करें तो, एक और है जिसका मैं उपयोग करता हूं जो मुझे विश्वास की एक और परत प्रदान करता है कि मेरा डेटा लास्टपास के साथ यथोचित रूप से सुरक्षित है, और वह है भौगोलिक-पहुंच वाला लॉकडाउन। आप देश प्रतिबंध सेट कर सकते हैं जो आपको उन देशों को तय करने में सक्षम बनाता है जहां से आपके पासवर्ड वॉल्ट तक पहुंचा जा सकता है। जब तक मैं विदेश यात्रा नहीं कर रहा हूं, मैं इसे यूके में बंद रखता हूं, उस स्थिति में मैं प्रस्थान करने से पहले उस विशिष्ट स्थान को सक्षम करता हूं। ओह, और मैं टोर नेटवर्क से भी लॉगिन की अनुमति नहीं देता। पैरानॉयड, मोई? नहीं, राज्य के लिए उन चाबियों तक पहुंच को प्रतिबंधित करने के बारे में समझदार। जैसा आपको भी होना चाहिए।

लास्टपास समझौता के बारे में मुझे जो सबसे ज्यादा चिंता है, वह अजीब तरह से पर्याप्त नहीं है, बल्कि समझौता ही है, बल्कि इसकी प्रतिक्रिया है; और विशेष रूप से मीडिया का - पेशेवर और सामाजिक दोनों। ऐसा लगता है कि लास्टपास को किक करने में खुशी की एक अंतर्निहित भावना है, और बहुत से लोगों ने आपको इस प्रकार की रिपोर्टिंग के बारे में बताया है। लेकिन आपने हमें वास्तव में क्या बताया? वास्तव में यहाँ क्या हुआ है? जहां तक ​​​​हम देख सकते हैं, किसी भी एन्क्रिप्टेड पासवर्ड डेटा से समझौता नहीं किया गया है, और लास्टपास घटना का खुलासा करने और उपयोगकर्ता के विश्वास को और सुरक्षित करने के लिए कदम उठाने में काफी पारदर्शी रहा है।

मीडिया के विरोधियों ने हमसे क्या किया होगा? पेन और पेपर पर वापस लौटें, या अधिक तकनीकी इसे स्वयं एन्क्रिप्ट करें समाधान हो सकता है? मैंने दोनों का सुझाव देखा है, और न ही औसत जो के लिए जोखिम को कम करता हूं, वास्तव में इसके विपरीत। हो सकता है कि किसी भिन्न पासवर्ड-प्रबंधन प्रदाता के पास जाएं? दोबारा, यह कैसे मदद करता है जब आप नहीं जानते कि वे कैसे प्रतिक्रिया देंगे - अगर नहीं - वे उल्लंघन का सामना करते हैं? कम से कम आप जानते हैं कि जब ब्रीच प्रतिक्रिया की बात आती है तो लास्टपास गेंद पर होता है।

मेरे लिए, अधिकांश लोगों के लिए एक पासवर्ड मैनेजर सबसे सुरक्षित विकल्प है, और यदि आप मेरे नेतृत्व का पालन करते हैं और एक मजबूत मास्टर पासवर्ड को मल्टीफैक्टर प्रमाणीकरण और कुछ लॉगिन लॉकडाउन विकल्पों के साथ जोड़ते हैं, तो आप समझौता करने के जोखिम को जितना संभव हो उतना कम करते हैं।

और वह, प्रिय पाठक, इसलिए मुझे अपना मास्टर पासवर्ड बदलने की आवश्यकता नहीं है; या उस मामले के लिए मेरा पासवर्ड मैनेजर।

दिलचस्प लेख

संपादक की पसंद

none
अपने फोन को साइलेंट पर वाइब्रेट कैसे करें
क्या आपको कभी अपने फोन को साइलेंट पर रखने के बाद भी कॉल या मैसेज पर नजर रखनी पड़ी? अगर वह परिचित लगता है, तो आप अकेले नहीं हैं। जीवन की व्यस्त गति के साथ, प्रत्येक आधुनिक इंटरनेट उपयोगकर्ता को बने रहने की आवश्यकता हो सकती है
none
विंडोज 10 डिवाइस पर एपीके फाइल कैसे चलाएं
यदि आप एक एंड्रॉइड डिवाइस के मालिक हैं, तो आपको पता होना चाहिए कि एपीके फाइलें आपके फोन या टैबलेट का उपयोग करने के लगभग हर पहलू में एक आवश्यक भूमिका निभाती हैं। वास्तव में, वे सभी ऐप्स जिनके बिना आप नहीं रह सकते, वास्तव में हैं
none
अभी भी विंडोज एक्सपी पर? अब एक अनौपचारिक सर्विस पैक है
Microsoft ने अप्रैल में Windows XP पर प्लग वापस खींच लिया, लेकिन ऐसा लगता है कि कुछ प्रशंसक अभी भी पुराने OS को जाने देने के लिए बिल्कुल तैयार नहीं हैं। ऐसे उपयोगकर्ताओं के लिए, एक डेवलपर जिसे केवल के रूप में जाना जाता है
none
एमुलेटर के बिना पीसी पर एंड्रॉइड गेम्स कैसे खेलें [5 गाइड]
पेज पर प्रोग्रामेटिक रूप से ऑटो विज्ञापनों को अक्षम नहीं कर सकते, इसलिए हम यहां हैं!
none
Xbox Live पर अपना वास्तविक नाम कैसे बदलें
अपनी गोपनीयता ऑनलाइन बनाए रखना कठिन और कठिन होता जा रहा है। इसलिए बहुत से लोग अपने कई खातों के लिए उपनाम का उपयोग करने का विकल्प चुनते हैं। यदि आप कुछ गुमनामी बनाए रखना चाहते हैं तो यह विचार करने योग्य है
none
यह कैसे देखें कि विंडोज 10 का आखिरी बूट तेज स्टार्टअप, सामान्य शटडाउन या हाइबरनेशन से था
यदि आप यह जानने में रुचि रखते हैं कि आपके पिछले ऑपरेटिंग सिस्टम का शटडाउन प्रकार क्या था (फास्ट स्टार्टअप, सामान्य शटडाउन या हाइबरनेशन), तो यहां आप विंडोज 10 में उस जानकारी को देख सकते हैं।
none
अपने परिवार और दोस्तों को ई-मेल करने के लिए Corrlinks का उपयोग कैसे करें
CorrLinks स्वीकृत ईमेल प्रणाली है जो संघीय कैदियों को बाहरी दुनिया के साथ संवाद करने की अनुमति देती है। कारागार ब्यूरो कैदियों को ट्रस्ट फंड लिमिटेड इनमेट कंप्यूटर सिस्टम (TRULINCS) तक पहुंचने की अनुमति देता है जो दोस्तों या रिश्तेदारों को ईमेल भेज सकता है।