Mindenkitől megköveteli egy új, erősebb mesterjelszó használatát a LastPass jelszómenedzser, mellyel az egyre erősödő támadási technikák ellen szeretnének védekezni.
A világ egyik legismertebb jelszókezelője, a LastPass még 2022-ben lett hackertámadás áldozata. Ennek során a cég egyik mérnökének a számítógépén lévő sebezhetőséget kihasználva jutottak be a támadók a rendszerekbe, és érzékeny felhasználói adatokat zsákmányoltak – erről itt írtunk bővebben.
A LastPass most egy fontos intézkedést eszközöl, mellyel a jövőben még nagyobb biztonságban lesznek a náluk tárolt jelszavak: arra kérik a felhasználóikat, hogy változtassák meg a mesterjelszavukat. Ez az, amivel minden, a szolgáltatásban tárolt egyedi jelszó hozzáférhető, tehát ennek ismeretében a támadók gyakorlatilag bármihez megszerezhetik a felhasználók belépési adatait.
Egy sima jelszócsere természetesen még nem képviselne különösebb hírértéket, ezt egyébként is célszerű bizonyos időközönként elvégezni. A LastPass azonban ezentúl – az eddigi 8 helyett – megköveteli a 12 karakteres mesterjelszó használatát, derül ki a cég blogbejegyzéséből.
Ez azért fontos változás, mert az elmúlt időszakban egyre erősebbek lettek a különböző jelszófeltörési technikák, melyek dolgát a hosszabb, komplexebb jelszavak megnehezítik. A mesterjelszónak egyébként tartalmaznia kell legalább egy számot, speciális karaktert és nagybetűt is – a 12 karakter pedig csak minimum elvárás, ennél hosszabb is lehet.
Androidos? Ön csak örül, hogy milyen könnyen bejelentkezett - a támadók pedig köszönik a bejelentkezési adatait
Kényelmes dolog az automatikus kitöltés, ha a felhasználói nevek és jelszavak gyors beírásáról van szó, de úgy tűnik, súlyos sérülékenység van a funkcióban.
A jelszóváltozást mindenkitől megköveteli a LastPass, tehát a közeli jövőben minden felhasználó megkapja az erről szóló értesítést. Egyúttal azt is ellenőrizni fogják, hogy az új mesterjelszó korábban már kiszivárgott-e.
Az erős jelszó mellett ugyanakkor a kétlépcsős azonosítást is célszerű bekapcsolni, ahol csak lehetséges: ezzel ugyanis megnehezíthető a támadók dolga, a felhasználónév-jelszó páros ugyanis még nem lesz elég ahhoz, hogy behatoljon egy fiókba – szüksége lesz egy kódgenerátor alkalmazásban vagy SMS-ben kapott, időzített kódra is.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.