Populäres aus dritter Quellekennwort Manager LastPass deckte gestern auf, daß es hervorquellen kann ist zerhackt worden und daß einige E-mail usernames und Vorlagenkennwörter gestohlen worden sein können. Bedeutet dieses es ist Zeit, zu einem anderen Kennwort Manager abzuwandern oder sogar verläßt das gesamte Konzept des on-line-Kennwortmanagements für eine Feder-undpapier Lösung?

Die LastPass Kennwortwölbung in Firefox. (Anerkennung: Inc., LastPass)

Den Sachverhalt der Situation vom LastPass blog dargelegt geben Sie das Erklären was geschah, ich würde sagen nicht zum Geben LastPass der Aufladung und definitiv nicht zum Verlassen des digitalen Kennwortmanagements für ein „weniges schwarzes Buch.“ bekannt

Eine Papierspur zu lassen ist eine horrende Idee aus zwei Gründen. Das erste ist daß, wenn Sie Ihr Buch verlieren, oder es gestohlen erhält, es ist gegangen und Sie haben eine statistisch kleine Wahrscheinlichkeit des Zurückgewinnens sie. Das andere ist, daß das Buch selbst nullsicherheit anbietet. Wenn Jemand ander es sieht, werden Ihre Kennwörter verglichen, selbst wenn das Buch nicht gestohlen erhält. Von jedem möglichem Winkel ist es eine schlechte Idee gerecht.

Bevor ich gelange an, warum es OKAY ist, mit LastPass zu haften, obwohl, einige der aus dritter Quellekennwortmanager des Grundleutegebrauches an erster Stelle wiederholen lassen Sie uns. Obwohl die fünf Hauptdatenbanksuchroutinen jetzt irgendeine Methode des Kennwortschutzes und des Managements, einschließlich das Syncing zwischen mutliple Vorrichtungen, vieler Leute anbieten, haben sich zum aus dritter QuelleKennwortschutz geschart, weil er neigt, Datenbanksuchroutine-agnostisch zu sein. Sie können es von jeder möglicher Datenbanksuchroutine zugänglich machen und auf Ihrem Smartphone einschließen, und die aus dritter Quelleverkäufer stellen häufig mehr Eigenschaften, wie werthaltigere Sicherheit, Kennwortgruppierung, Kennworterzeugung, Kennwort-verbundenes Anmerkung-Nehmen und Kennwort, das zu verläßlichen Einzelpersonen teilt zur Verfügung.

Tatsächlich ist einer der besten Gründe, LastPass zu verwenden, daß er 256 Verschlüsselung des Bits AES verwendet, um Ihre Daten zu schützen, und die Firma wird nur auf das Zur Verfügung stellen des Kennwortschutzes gerichtet. LastPass verwendet auch Einweg gesalzt hackt, das nicht eine Kartoffel-gegründete Zubereitung ist. „Salzte Durcheinander“ in den cyptographic Bezeichnungen bedeutet, daß gelegentliche binäre Zahlen in Verbindung mit einem Kennwort verwendet werden, um sicherzugehen, daß die Datenübertragung gesetzmaßig ist und Sein nicht spoofed. Es verhindert, daß vorentwickelte Kennworttabellen verwendet, um zum System Zutritt zu erhalten, weil das gelegentliche binäre Teil des Durcheinanders leicht zum spoof zu groß sein würde.

LastPass, das in seinem blog verkündet den möglichen Bruch gemerkt wurde, daß die Firma die Gelegenheit wahrgenommen hat einzuführen, salzte Schutz des Durcheinanders 256-AES mit PBKDF2. Dieses ist eine sehr starke Weise der Verschlüsselung und holt uns zu, warum es noch eine gute Idee ist fortzufahren, LastPass zu verwenden. Anders als neue Hochprofil Daten umkleidet Diebstahl das Mit.einbeziehen der Firmen wie Sony, Ashampoo, Verizon, und Epsilon, LastPass ist mit Informationen über die Schritte sehr bevorstehend gewesen, welche die Firma genommen hat, um anhaltenden Benutzerschutz sicherzustellen. Dieses schließt die Anmerkung daß trotz des dünnen Beweises, daß der mögliche Bruch viele Kunden beeinflußt hatte ein, LastPass entschied, den vorbeugenden Schritt des Zurückstellens Vorlagen jeder zu unternehmen, und nicht gerade die der Benutzer auf dem betroffenen Bediener.

Der Schlüsselpunkt vom LastPass blog Pfosten, der den möglichen Bruch verkündet, ist dieser:

„In diesem Fall, könnten wir nicht finden daß Wurzelursache. Nachdem wir in die Abweichung geforscht hatten, fanden wir eine ähnliche aber kleinere zusammenpassende Verkehr Abweichung von einer unserer Datenbanken in der entgegengesetzten Richtung (mehr Verkehr wurde von der Datenbank gesendet, die verglichen wurde mit, was auf dem Bediener empfangen wurde). Weil wir nicht diese Abweichung auch nicht erklären können, werden wir paranoid sein und das schlechteste annehmen: daß die Daten, die wir in der Datenbank speicherten, wurde irgendwie erreicht. Wir wissen, daß ungefähr die Menge der Daten, die geübertragen werden und der deren es genug groß ist, Adressen E-mail der gebrachten Leute, das Bedienersalz zu haben und ihr gesalztes Kennwort von der Datenbank hackt. Wir wissen auch, daß die Menge der genommenen Daten nicht entfernt genug, verschlüsselte Blobs Daten vieler Benutzer gezogen zu haben ist. „

So annehmend, daß LastPass gerad ist und nicht liegt, die folgende Aussage auch Marken Richtung:

„Wenn Sie ein starkes haben, sollte nicht-Wörterbuch-gegründete Kennwort- oder Durchlaufphrase, diese nicht Sie auswirken--die mögliche Drohung hier Rohling-zwingt Ihr Vorlagenkennwort, Wörterbuchwörter verwendend, dann, zu LastPass mit diesem Kennwort gehend, Ihre Daten zu erhalten. Leider wählt nicht jeder ein Vorlagenkennwort aus, das gegen das rohe Zwingen immun ist.

„Zum Kostenzähler, dem mögliche Drohung, wir jeder zwingen werden, um ihre Vorlagenkennwörter zu ändern. Zusätzlich werden wir eine Anzeige, daß Sie Sie sind, durch irgendein wünschen, das sicherstellt, daß Sie von einem IP Block kommen, den Sie benutzt haben, vor oder indem Sie Ihre E-mail Adresse validierten. „

Wieder anmaßende Ehrlichkeit von LastPass--welches zu viel für einige Leute zugegebenermaßen sein kann--es scheint, daß LastPass extreme Maßnahmen ergreift, zu schützen alle seine Benutzer vor, was ein Datenbruch möglicherweise gewesen sein konnte. Ein anderes Reason, daß LastPass alle Benutzer erfordern konnte, ihre Kennwörter zurückzustellen, ist, daß die Firma nicht Zugang zum Salz hat, hackt auf seinen eigenen Bedienern. Sie konnten nicht Ihre Kennwörter sehen, wenn sie zu wünschten.

Es ist diese Art der direkten Offenheit über Datenbrüche, denen andere Firmen gut tun würden, um zu erlernen von. Datenbrüche sind unvermeidlich. Es gibt keine solche Sache wie ein harmloses System, ob wir über Sicherheit Virus-Definition Updates sprechen oder Daten bezüglich eines Bedieners sichern. Aber wie immer mehr von unseren persönlichen Daten wird oben in der Wolke gespeichert, was die verantwortlichen Korporationen unterscheidet und Firmen von reckless freie und schnelle Kommunikation über Sicherheit Aufsteigen und Datenbrüche ist.

In Verbindung stehende Geschichten
LastPass (Bericht)
LastPass Pocket für USB und indirekten Gebrauch (Download x86 | x64)
Wie man vermeidet, persönliches Info online zu teilen
Studie: Nachlässigkeitursache der meisten Datenbrüche