खबर है कि लास्टपास नेटवर्क सुरक्षा से समझौता किया गया है निःसंदेह, यह एक गंभीर मुद्दा है। जिस कंपनी का उल्लंघन किया जा रहा है वह वह कंपनी थी जो पासवर्ड-प्रबंधन सेवा प्रदान करती है, गंभीरता को एक पायदान - या दस गुना बढ़ा देती है। तो मैं, जिसने आईटी सुरक्षा के बारे में लिखकर अपना करियर बनाया है, इस बारे में अपने बाल क्यों नहीं खींच रहा? इस तथ्य से परे कि मेरे पास खींचने के लिए कोई नहीं है, लास्टपास "उल्लंघन" हममें से कुछ के लिए उतना बड़ा मामला नहीं है जितना दूसरों के लिए है।
लास्टपास के प्रवक्ता ने हमें बताया, "हमें इस बात का कोई सबूत नहीं मिला है कि एन्क्रिप्टेड उपयोगकर्ता वॉल्ट डेटा लिया गया था और न ही लास्टपास उपयोगकर्ता खातों तक पहुंच बनाई गई थी।" तो फिर यह हंगामा किस बात का है, आप पूछ सकते हैं - जोखिम कहां है? खैर, जैसा कि मैं इसे देखता हूं, यह दुगना है। सबसे पहले, चूंकि ईमेल पते और संबंधित पासवर्ड अनुस्मारक से समझौता किया गया है, मुझे नकली मास्टर-पासवर्ड-रीसेट संदेशों के रूप में लक्षित फ़िशिंग प्रयास देखने की उम्मीद है। मैं यह सोचना चाहता हूं कि मैं उनके झांसे में नहीं आऊंगा।
दूसरे जोखिम के लिए, कमजोर मास्टर पासवर्ड वर्तमान में क्रूर-बल क्रैकिंग प्रयासों के अधीन होंगे, सर्वर प्रति-उपयोगकर्ता लवण और प्रमाणीकरण हैश तक पहुंच के सौजन्य से। जहां तक इस तरह के क्रैकिंग प्रयासों की बात है, तो तथ्य यह है कि लास्टपास उन प्रमाणीकरण हैश को यादृच्छिक रूप से मजबूत करता है अच्छे माप के लिए नमक और सर्वर-साइड PBKDF2-SHA256 के अतिरिक्त 100,000 राउंड फेंकता है जिससे इसे तोड़ना कठिन हो जाता है उन्हें। हालाँकि, यदि मास्टर पासवर्ड खराब है तो यह अभी भी क्रूर-बल के हमलों के लिए खुला रहेगा; इसे क्रैक करने में अभी थोड़ा और समय लगेगा।
इसलिए लास्टपास अधिकांश उपयोगकर्ताओं पर मास्टर पासवर्ड बदलने के लिए बाध्य कर रहा है, और नए डिवाइस या आईपी पते से लॉग इन करने वालों से ईमेल सत्यापन मांग रहा है। हालाँकि, मैं 442 दिनों तक अपना मास्टर पासवर्ड नहीं बदलूंगा और न ही बदलूंगा (आइए एक नजर डालें) क्योंकि यह है यादृच्छिक, यह जटिल है, यह 25 अक्षरों से अधिक लंबा है, इसका कहीं और उपयोग नहीं किया जाता है, और मैं इसे इसके द्वारा याद कर सकता हूँ दिल। इसके अलावा, यह निम्नलिखित दो जादुई शब्दों द्वारा समर्थित है: मल्टीफैक्टर प्रमाणीकरण।
बूम! जहां तक मेरा सवाल है, लास्टपास नेटवर्क की परिधि में आने का सारा प्रयास व्यर्थ है क्योंकि मैं मल्टीफैक्टर प्रमाणीकरण द्वारा समर्थित एक मजबूत मास्टर पासवर्ड का उपयोग करता हूं। भले ही मेरे मास्टर पासवर्ड से किसी तरह से छेड़छाड़ की गई हो, फिर भी हमलावर को मेरे पासवर्ड वॉल्ट को डिक्रिप्ट करने के लिए मेरी YubiKey (एक भौतिक टोकन) तक पहुंच प्राप्त करनी होगी। ये "उन्नत सेटिंग्स" उपयोग के लिए निःशुल्क हैं और कुछ समय से उपयोगकर्ताओं के लिए उपलब्ध हैं - साथ ही, आपको YubiKey खरीदने की ज़रूरत नहीं है; यदि आप चाहें तो आप Google Authenticator जैसे निःशुल्क-डाउनलोड ऐप का उपयोग कर सकते हैं। आप किसी भी साइट या सेवा पर दो-कारक प्रमाणीकरण (2एफए) का उपयोग क्यों नहीं करेंगे जहां यह पेश किया जाता है? कोई गंभीरता नहीं है?
उन्नत सेटिंग्स की बात करें तो, एक और सेटिंग है जिसका मैं उपयोग करता हूं जो मुझे एक और परत प्रदान करती है लास्टपास के साथ मेरा डेटा यथोचित सुरक्षित है, और यह एक भौगोलिक-पहुँच है, इस पर मुझे पूरा भरोसा है लॉकडाउन। आप "देश प्रतिबंध" सेट कर सकते हैं जो आपको उन देशों को तय करने में सक्षम बनाता है जहां से आपका पासवर्ड वॉल्ट एक्सेस किया जा सकता है। जब तक मैं विदेश यात्रा नहीं कर रहा होता हूं, मैं इसे यूके में लॉक करके रखता हूं, ऐसी स्थिति में मैं प्रस्थान करने से पहले उस विशिष्ट स्थान को सक्षम कर देता हूं। ओह, और मैं टोर नेटवर्क से भी लॉगिन की अनुमति नहीं देता। पागल, मोई? नहीं, राज्य की उन चाबियों तक पहुंच को प्रतिबंधित करने के बारे में सिर्फ समझदारी है। जैसा आपको भी होना चाहिए.
लास्टपास समझौते के बारे में जो बात मुझे सबसे अधिक चिंतित करती है, वह विचित्र रूप से पर्याप्त नहीं है, बल्कि समझौता ही है, बल्कि इसकी प्रतिक्रिया है; और विशेष रूप से मीडिया का - पेशेवर और सामाजिक दोनों। ऐसा प्रतीत होता है कि लास्टपास को किक करने में आनंद की एक अंतर्निहित अनुभूति हो रही है, और बहुत सारी "आपको ऐसा बताया गया है" जैसी रिपोर्टिंग। लेकिन आपने हमें वास्तव में क्या बताया? यहाँ वास्तव में क्या हुआ है? जहां तक हम देख सकते हैं, किसी भी एन्क्रिप्टेड पासवर्ड डेटा से समझौता नहीं किया गया है, और लास्टपास घटना का खुलासा करने और उपयोगकर्ता के विश्वास को और अधिक सुरक्षित करने के लिए कदम उठाने में काफी पारदर्शी रहा है।
मीडिया के नकारने वाले हमसे क्या करवाएंगे? कलम और कागज पर वापस लौटें, या शायद अधिक तकनीकी "इसे स्वयं एन्क्रिप्ट करें" समाधान? मैंने दोनों को सुझाव देते हुए देखा है, और न ही औसत जो के लिए जोखिम को कम किया है, वास्तव में इसके विपरीत। शायद किसी भिन्न पासवर्ड-प्रबंधन प्रदाता के पास जाएँ? फिर, यह कैसे मदद करता है जब आप नहीं जानते कि उल्लंघन होने पर वे कैसे प्रतिक्रिया देंगे - यदि नहीं - तो क्या होगा? कम से कम आप जानते हैं कि जब उल्लंघन प्रतिक्रिया की बात आती है तो लास्टपास सबसे आगे रहता है।
मेरे लिए, एक पासवर्ड मैनेजर अधिकांश लोगों के लिए सबसे सुरक्षित विकल्प बना हुआ है, और यदि आप मेरे निर्देशों का पालन करते हैं और एक मजबूत मास्टर को जोड़ते हैं मल्टीफैक्टर प्रमाणीकरण और कुछ लॉगिन लॉकडाउन विकल्पों के साथ पासवर्ड, आप समझौता के जोखिम को उतना ही कम करते हैं जितना कि मानवीय रूप से संभव।
और, प्रिय पाठक, यही कारण है कि मुझे अपना मास्टर पासवर्ड बदलने की आवश्यकता नहीं है; या उस मामले के लिए मेरा पासवर्ड मैनेजर।
