خرق في LastPass له دروس في كلمة المرور لنا جميعًا
بينما كان الكثير منا ينقطع الاتصال بالإنترنت لقضاء بعض الوقت مع أحبائهم خلال العطلات ، فإن LastPass ، صانع برنامج أمان شهير لإدارة كلمات المرور الرقمية ، قدّم أكثر الهدايا غير المرغوب فيها. تنشر تفاصيل حول خرق أمني حديث حصل فيه مجرمو الإنترنت على نسخ من خزانات كلمات مرور العملاء ، مما قد يؤدي إلى كشف معلومات الملايين من الأشخاص عبر الإنترنت.
من وجهة نظر الهاكر ، هذا يعادل الفوز بالجائزة الكبرى.
عندما تستخدم مدير كلمات مرور مثل LastPass أو 1Password ، فإنه يخزن قائمة تحتوي على جميع أسماء المستخدمين وكلمات المرور الخاصة بالمواقع والتطبيقات التي تستخدمها ، بما في ذلك الحسابات المصرفية والرعاية الصحية والبريد الإلكتروني والشبكات الاجتماعية. إنه يتتبع تلك القائمة ، المسماة المخزن ، في سحابة الإنترنت الخاصة به حتى تتمكن من الوصول بسهولة إلى كلمات المرور الخاصة بك من أي جهاز. قال LastPass إن المتسللين سرقوا نسخًا من قائمة أسماء المستخدمين وكلمات المرور لكل عميل من خوادم الشركة.
كان هذا الخرق أحد أسوأ الأشياء التي يمكن أن تحدث لمنتج أمان مصمم للعناية بكلمات المرور الخاصة بك. ولكن بخلاف الخطوة التالية الواضحة – لتغيير جميع كلمات المرور الخاصة بك إذا كنت تستخدم LastPass – هناك دروس مهمة يمكننا تعلمها من هذه الكارثة ، بما في ذلك أن منتجات الأمان ليست مضمونة ، خاصة عندما تقوم بتخزين بياناتنا الحساسة في السحابة.
أولاً ، من المهم فهم ما حدث: قالت الشركة إن المتسللين تمكنوا من الوصول إلى قاعدة البيانات السحابية الخاصة بها وحصلوا على نسخة من خزانات البيانات لعشرات الملايين من العملاء باستخدام بيانات الاعتماد والمفاتيح المسروقة من أحد موظفي LastPass.
حاولت LastPass ، التي نشرت تفاصيل الاختراق في منشور مدونة يوم 22 ديسمبر ، طمأنة مستخدميها بأن معلوماتهم ربما كانت آمنة. وقالت إن بعض أجزاء خزائن الأشخاص – مثل عناوين مواقع الويب الخاصة بالمواقع التي قاموا بتسجيل الدخول إليها – كانت غير مشفرة ، ولكن تم تشفير البيانات الحساسة ، بما في ذلك أسماء المستخدمين وكلمات المرور. قد يشير هذا إلى أن المتسللين يمكنهم معرفة موقع الويب المصرفي الذي استخدمه شخص ما ولكن ليس لديهم اسم المستخدم وكلمة المرور المطلوبين لتسجيل الدخول إلى حساب هذا الشخص.
الأهم من ذلك ، أن كلمات المرور الرئيسية التي أنشأها المستخدمون لإلغاء تأمين خزائن LastPass الخاصة بهم تم تشفيرها أيضًا. وهذا يعني أن المتسللين سيضطرون بعد ذلك إلى كسر كلمات المرور الرئيسية المشفرة للحصول على بقية كلمات المرور في كل قبو ، وهو أمر يصعب القيام به طالما أن الأشخاص يستخدمون كلمة مرور رئيسية فريدة ومعقدة.
كريم طوبا ، الرئيس التنفيذي لشركة LastPass ، رفض إجراء مقابلة لكنه كتب في بيان عبر البريد الإلكتروني أن الحادث أظهر قوة بنية نظام الشركة ، والتي قال إنها تحافظ على تشفير وتأمين بيانات الخزنة الحساسة. وقال أيضًا إن مسؤولية المستخدمين “ممارسة نظافة كلمات المرور بشكل جيد”.
اتفق العديد من خبراء الأمن مع فكرة السيد توبا المتفائلة بأن كل مستخدم على LastPass يجب أن يغير كل كلمات المرور الخاصة به.
قال سنان إرين ، المسؤول التنفيذي في شركة باراكودا للأمن: “إنه أمر خطير للغاية”. “سأعتبر كل كلمات المرور المُدارة هذه مخترقة.”
قال كيسي إليس ، كبير مسؤولي التكنولوجيا في شركة الأمن Bugcrowd ، إنه من المهم أن يتمكن المتسللون من الوصول إلى قوائم عناوين مواقع الويب التي يستخدمها الأشخاص.
قال السيد إليس: “دعنا نقول إنني قادم بعدك”. “يمكنني إلقاء نظرة على جميع مواقع الويب التي قمت بحفظ المعلومات الخاصة بها واستخدام ذلك للتخطيط لهجوم. كل مستخدم على LastPass لديه هذه البيانات الآن في أيدي الخصم “.
فيما يلي الدروس التي يمكن أن نتعلمها جميعًا من هذا الاختراق للبقاء أكثر أمانًا على الإنترنت.
الوقاية خير من العلاج.
يعد خرق LastPass بمثابة تذكير بأنه من الأسهل إعداد ضمانات لحساباتنا الأكثر حساسية قبل حدوث الخرق بدلاً من محاولة حماية أنفسنا بعد ذلك. فيما يلي بعض أفضل الممارسات التي يجب أن نتبعها جميعًا لكلمات المرور الخاصة بنا ؛ أي مستخدم LastPass قد اتخذ هذه الخطوات مسبقًا سيكون آمنًا نسبيًا أثناء هذا الخرق الأخير.
-
أنشئ كلمة مرور معقدة وفريدة من نوعها لكل حساب. يجب أن تكون كلمة المرور القوية طويلة وصعبة على أي شخص تخمينها. على سبيل المثال ، خذ هذه الجمل: “My name is Inigo Montoya. لقد قتلت والدي. استعد للموت.” وقم بتحويلها إلى هذا ، باستخدام الأحرف الأولى لكل كلمة وعلامة تعجب لـ I: “Mn !! m.Ykmf.Ptd.”
بالنسبة لأولئك الذين يستخدمون مدير كلمات المرور ، تعد هذه القاعدة العامة ذات أهمية قصوى بالنسبة إلى كلمة المرور الرئيسية لفتح قبو الخاص بك. لا تقم أبدًا بإعادة استخدام كلمة المرور هذه لأي تطبيق أو موقع آخر.
-
بالنسبة إلى حساباتك الأكثر حساسية ، أضف امتداد طبقة إضافية من الأمان مع المصادقة ذات العاملين. يتضمن هذا الإعداد إنشاء رمز مؤقت يجب إدخاله بالإضافة إلى اسم المستخدم وكلمة المرور قبل أن تتمكن من تسجيل الدخول إلى حساباتك.
تتيح لك معظم المواقع المصرفية إعداد رقم هاتفك المحمول أو عنوان بريدك الإلكتروني لتلقي رسالة تحتوي على رمز مؤقت لتسجيل الدخول. تتيح لك بعض التطبيقات ، مثل Twitter و Instagram ، استخدام ما يسمى بتطبيقات المصادقة مثل Google Authenticator و Authy لإنشاء رموز مؤقتة .
لكن تذكر ، هذا ليس خطأك.
دعنا نوضح شيئًا واحدًا كبيرًا: عندما يتم اختراق خوادم أي شركة وسرقة بيانات العميل ، فإن خطأ الشركة هو فشلها في حمايتك.
تلقي استجابة LastPass العامة للحادث المسؤولية على المستخدم ، لكن لا يتعين علينا قبول ذلك. على الرغم من أنه من الصحيح أن ممارسة “حفظ كلمة المرور بشكل جيد” كان من الممكن أن يساعد في الحفاظ على أمان الحساب بشكل أكبر في حالة الاختراق ، إلا أن هذا لا يعفي الشركة من المسؤولية.
هناك مخاطر على السحابة.
على الرغم من أن خرق LastPass قد يكون أمرًا مضرًا ، إلا أن مديري كلمات المرور بشكل عام أداة مفيدة لأنها تجعل إنشاء وتخزين كلمات مرور معقدة وفريدة من نوعها لحساباتنا على الإنترنت أكثر ملاءمة.
غالبًا ما ينطوي أمان الإنترنت على موازنة الملاءمة مقابل المخاطر. قال السيد إليس من Bugcrowd إن التحدي الذي يواجه أمان كلمة المرور هو أنه كلما كانت أفضل الممارسات معقدة للغاية ، فإن الأشخاص يتخلفون عن كل ما هو أسهل – على سبيل المثال ، باستخدام كلمات مرور يسهل تخمينها وتكرارها عبر المواقع.
لذلك لا تشطب مديري كلمات المرور. لكن تذكر أن خرق LastPass يوضح أنك تخاطر دائمًا عند تكليف شركة بتخزين بياناتك الحساسة في السحابة الخاصة بها ، بقدر ما هو ملائم للوصول إلى خزنة كلمة المرور الخاصة بك على أي من أجهزتك.
يوصي السيد إرين من Barracuda بعدم استخدام مديري كلمات المرور الذين يقومون بتخزين قاعدة البيانات على السحابة الخاصة بهم وبدلاً من ذلك اختيار مدير يخزن مخزن كلمات المرور على أجهزتك الخاصة ، مثل KeePass.
لديك استراتيجية خروج.
يقودنا ذلك إلى نصيحتي الأخيرة ، والتي يمكن تطبيقها على أي خدمة عبر الإنترنت: ضع دائمًا خطة لسحب بياناتك – في هذه الحالة ، خزنة كلمة المرور الخاصة بك – في حالة حدوث شيء ما يجعلك ترغب في المغادرة.
بالنسبة لـ LastPass ، تسرد الشركة الخطوات على موقعها على الويب لتصدير نسخة من مخزنك إلى جدول بيانات. ثم يمكنك استيراد قائمة كلمات المرور هذه إلى مدير كلمات مرور مختلف. أو يمكنك الاحتفاظ بملف جدول البيانات لنفسك ، وتخزينه في مكان آمن ومريح للاستخدام.
أنا أتبع نهجًا هجينًا. أستخدم مدير كلمات المرور الذي لا يخزن بياناتي في السحابة الخاصة به. بدلاً من ذلك ، أحتفظ بنسختي الخاصة من مخزني على جهاز الكمبيوتر الخاص بي وفي محرك سحابي أتحكم فيه بنفسي. يمكنك القيام بذلك باستخدام خدمة سحابية مثل iCloud أو Dropbox. هذه الأساليب ليست مضمونة أيضًا ، لكنها أقل احتمالًا من استهداف قاعدة بيانات الشركة من قبل المتسللين.