Populární služba LastPass vydala prohlášení, v němž oznámila, že blíže neidentifikovaní útočníci získali údaje uživatelů služby. Konkrétně e-mailové adresy, nápovědy k heslům, hashovaná hesla a soli k nim. Podle dostupných informací nedošlo k úniku dalších uživatelských dat, tedy zejména ne přihlašovacích údajů k dalším službám uloženým v LastPassu.

Uživatelé služby tedy nejsou bezprostředně ohroženi, jakkoliv se jim doporučuje změnit si master heslo pro LastPass. Provozovatel služby zároveň bude po přihlášeních z nových adres nebo zařízení požadovat ověření e-mailem, pokud nemají zapnutou dvoufaktorovou autentizaci. Zároveň ji doporučuje zapnout, k této radě se tímto důrazně připojujeme.

Je nutné říct, že LastPass vzniklou situaci zvládl velice dobře. Rozhodně lépe než většina firem v podobné situaci?

Zaprvé, hesla byla dobře zabezpečena a je extrémně nepravděpodobné, že by se útočníkovi mohlo podařit heslo prolomit. Sto tisíc opakování PBKDF2-SHA256 je dostatečné zabezpečení i relativně slabých uživatelských hesel. Reálně největší nebezpečí, které uživatelům hrozí, je zvýšené množství spamu a útoky sociálním inženýrstvím.

Zadruhé, firma reagovala rychle a otevřeně. Jasně informovala o tom, jaké údaje útočníci získali a jaké nebezpečí hrozí,

Zatřetí reagovala smysluplně, způsobem řešícím problém a nejenom PR trikem. Všem účtům efektivně zavedla dvoufázovou autentizaci (e-mailem) pro přihlášení z neznámých IP adres nebo zařízení. Takže i pokud by se útočníkům podařilo snadné heslo získat, nedokážou se s ním přihlásit.

Snad jediné, co lze LastPassu vytknout, je, že si nedokázali odpustit tradiční floskuli v duchu, že bezpečnost a soukromí svých uživatelů berou velice vážně. Ale jeden nemůže chtít všechno, že ano.