إن الأخبار التي تفيد بأن أمان شبكة LastPass قد تم اختراقها هي ، بالطبع ، مشكلة خطيرة. إن كون الشركة التي تم اختراقها هي تلك التي توفر خدمة إدارة كلمات المرور مما يزيد من الجدية بمقدار درجة - أو عشرة. فلماذا أنا ، شخص بنى مسيرته المهنية في الكتابة عن أمن تكنولوجيا المعلومات ، وليس التخلص من شعري حيال ذلك؟ بعيدًا عن حقيقة أنه ليس لدي أي شيء لأجربه ، فإن خرق LastPass ليس صفقة كبيرة بالنسبة للبعض منا كما هي بالنسبة للآخرين.
لم نعثر على أي دليل على أنه تم أخذ بيانات خزينة المستخدم المشفرة ولا أنه تم الوصول إلى حسابات مستخدم LastPass ، كما أخبرنا متحدث باسم LastPass. إذن ما كل هذا العناء ، قد تسأل - أين المخاطر؟ حسنًا ، إنها ذات شقين كما أراها. أولاً ، نظرًا لأنه تم اختراق عناوين البريد الإلكتروني وتذكيرات كلمة المرور المرتبطة ، أتوقع أن أرى محاولات تصيد مستهدفة في شكل رسائل مزيفة لإعادة تعيين كلمة المرور الرئيسية. أود أن أعتقد أنني لن أقع في غرام هؤلاء.
عدد الأيام بين تاريخين تتفوق
بالنسبة للمخاطر الثانية ، ستخضع كلمات المرور الرئيسية الضعيفة حاليًا لمحاولات اختراق القوة الغاشمة ، مجاملة من أملاح الخادم لكل مستخدم وتجزئة المصادقة التي يتم الوصول إليها. بقدر ما تذهب محاولات الاختراق هذه ، فإن حقيقة أن LastPass تعزز تجزئات المصادقة هذه باستخدام ملح عشوائي وتلقي 100000 جولة إضافية من PBKDF2-SHA256 من جانب الخادم لإجراء تدبير جيد يجعل من الصعب كسرها. ومع ذلك ، إذا كانت كلمة المرور الرئيسية سيئة ، فستظل مفتوحة لهجمات القوة الغاشمة ؛ سيستغرق الأمر وقتًا أطول قليلاً لحلها.
لذلك يقوم LastPass بفرض تغيير رئيسي لكلمة المرور على معظم المستخدمين ، ويطلب التحقق من البريد الإلكتروني من أولئك الذين يسجلون الدخول من جهاز جديد أو عنوان IP. ومع ذلك ، لن أقوم بتغيير كلمة المرور الرئيسية الخاصة بي ، ولم أقم (دعونا نلقي نظرة) لمدة 442 يومًا الآن لأنها عشوائية ، ومعقدة ، وتتجاوز 25 حرفًا ، ولا يتم استخدامها في أي مكان آخر ، وأنا يمكن أن يتذكرها عن ظهر قلب. بالإضافة إلى ذلك ، يتم دعمه بالكلمتين السحريتين التاليتين: مصادقة متعددة العوامل.
فقاعة! بقدر ما أشعر بالقلق ، فإن كل هذا الجهد للوصول إلى محيط شبكة LastPass هو من أجل لا شيء لأنني أستخدم كلمة مرور رئيسية قوية مدعومة بمصادقة متعددة العوامل. حتى إذا تم اختراق كلمة المرور الرئيسية الخاصة بي بطريقة ما ، فسيتعين على المهاجم الوصول إلى مفتاح YubiKey الخاص بي (رمز مادي) من أجل فك تشفير قبو كلمة المرور الخاصة بي. هذه الإعدادات المتقدمة مجانية للاستخدام وهي متاحة للمستخدمين لبعض الوقت - بالإضافة إلى ذلك ، ليس عليك شراء مفتاح YubiKey ؛ يمكنك استخدام تطبيق مجاني للتنزيل مثل Google Authenticator إذا أردت. لماذا لا تستخدم المصادقة الثنائية (2FA) في أي موقع أو خدمة يتم تقديمها فيها؟ لا جديا؟
بالحديث عن الإعدادات المتقدمة ، هناك إعداد آخر أستخدمه يوفر لي طبقة أخرى من الثقة في أن بياناتي آمنة بشكل معقول مع LastPass ، وهو تأمين الوصول الجغرافي. يمكنك تعيين قيود البلد التي تمكنك من تحديد البلدان التي يمكن من خلالها الوصول إلى مخزن كلمات المرور الخاص بك. أبقي هذا مغلقًا في المملكة المتحدة ما لم أسافر للخارج ، وفي هذه الحالة أقوم بتمكين هذا الموقع المحدد قبل المغادرة. أوه ، وأنا لا أسمح بتسجيل الدخول من شبكات Tor أيضًا. بجنون العظمة ، موي؟ لا ، من المنطقي فقط تقييد الوصول إلى تلك المفاتيح الخاصة بالمملكة. كما يجب أن تكون كذلك.
أكثر ما يقلقني بشأن حل وسط LastPass ليس ، بشكل غريب بما فيه الكفاية ، التسوية نفسها ولكن الاستجابة لها ؛ وخاصة وسائل الإعلام - المهنية والاجتماعية. يبدو أن هناك شعورًا أساسيًا بالبهجة عند ركل LastPass ، وقد أخبرك الكثير من التقارير بهذا النوع. ولكن ماذا قلت لنا بالضبط؟ ماذا حدث بالضبط هنا؟ لم يتم اختراق أي بيانات كلمة مرور مشفرة بقدر ما يمكننا رؤيته ، وكان LastPass شفافًا للغاية في الكشف عن الحدث ووضع الخطوات في مكانها الصحيح لمزيد من ثقة المستخدم.
ماذا يريد منا الرافضون لوسائل الإعلام أن نفعل؟ العودة إلى القلم والورقة ، أو ربما حل تشفير أكثر تقنية بنفسك؟ لقد رأيت كلاهما مقترحين ، ولم يقلل أي منهما من المخاطر على الشخص العادي ، بل على العكس تمامًا في الواقع. ربما تنتقل إلى مزود آخر لإدارة كلمات المرور؟ مرة أخرى ، كيف يساعد ذلك عندما لا تعرف كيف سيكون رد فعلهم عندما - وليس إذا - يتعرضون لخرق؟ على الأقل أنت تعلم أن LastPass موجود على الكرة عندما يتعلق الأمر باستجابة الاختراق.
بالنسبة لي ، يظل مدير كلمات المرور هو الخيار الأكثر أمانًا لمعظم الأشخاص ، وإذا اتبعت خطوتي وجمعت بين كلمة مرور رئيسية قوية مع مصادقة متعددة العوامل وبعض خيارات قفل تسجيل الدخول ، فإنك تقلل من مخاطر الاختراق قدر الإمكان.
وهذا ، عزيزي القارئ ، هو السبب في أنني لست بحاجة إلى تغيير كلمة المرور الرئيسية الخاصة بي ؛ أو مدير كلمات المرور الخاص بي لهذه المسألة.