LastPass – czy LastPass prowadzi rekord mojego głównego hasła
Jeśli nic z tego nie pomoże, skontaktuj się z biurem serwisowym IT i opisz swoją sytuację.
Co mogę zrobić, kiedy zapomniałem o mistrzowskiej hasła LastPass?
Zgadza się, oto sytuacja, w której jestem – zostałem przydzielony do nowego systemu. Zainstalowany LastPass. Login LastPass patrzy na mnie. I jestem pusty. Wskazówka hasła nie działa (głównie dlatego, że po ich ostatniej anomalii zmieniłem hasło główne, ale nie zaktualizowałem pytania wskazówek hasła). Jestem zalogowany do mojego Krypta LastPass za pośrednictwem mojego Nexusa, a także mojego laptopa w moim domu. Ale jak pobrać hasło główne z jednego z nich? Nie mam hasła głównego zapisanego w Vault LastPass ani w żadnym z menedżerów hasła przeglądarki. Nie mam też tego spisania
- Kluczowe punkty:
- Hasła
- Zarządzanie hasłem
- Odzyskiwanie hasła
- LastPass
zapytał 16 maja 2011 o 4:04
Sathyajith bhat ♦ sathyajith bhat
61.3K 38 38 Złote odznaki 177 177 srebrnych odznak 263 263 Brązowe odznaki
lepka sytuacja.
16 maja 2011 o 4:12
4 Answers 4
Nie możesz po prostu przywrócić hasła do ostatniego, jak to zostało podane w najnowszym wpisie na blogu na podanej stronie? – Czy też czegoś mi brakuje.
Wielu użytkowników zmienia hasło, a następnie określa, że go nie pamięta, liczba napotkała również problemy ze zmianami haseł i chcesz wrócić, możesz teraz zrobić to sam bez kontaktu z nami: https: // lastPass.com/cofnij
Pozwala na cofnięcie ostatniego zmiany hasła lub powrót konta do 4. Musisz ponownie udowodnić dostęp do e -maila, aby z niego skorzystać.
Odpowiedzi 16 maja 2011 o 4:12
947 7 7 Srebrne odznaki 14 14 brązowe odznaki
Hmm, przegapiłem to – przechowywałem adres URL, ale nie odwiedziłem postu po pierwszym poście – wypróbuję to.
16 maja 2011 o 4:17
Dzięki, użyłem linku do powrotu do mojego starego hasła i ponownie zmieniłem hasło (!) Z zaktualizowaną wskazówką 🙂
16 maja 2011 o 11:59
Według ich strony są 4 kroki do naśladowania:
1) Próba zalogowania się przez witrynę LastPass pod adresem https: // lastPass.com/. Jeśli jesteś w stanie zalogować się za pośrednictwem strony internetowej, ale nie za pośrednictwem wtyczki, jest to prawdopodobnie problem z dodatkiem LastPass Browser, w którym to przypadku powinieneś zgłosić nam problem bezpośrednio.
2) Jeśli nie możesz zalogować się za pośrednictwem strony internetowej, wypróbuj wskazówkę hasła, że konfigurujesz dla siebie podczas utworzenia konta LastPass. Wskazówka hasła nie jest twoim hasłem głównym.
3) Jeśli wskazówka hasła nie pomoże, przejdź do strony odzyskiwania konta, aby aktywować lokalne hasło i odzyskać konto. Postępuj zgodnie z instrukcjami – jeśli pierwszy komputer, na którym próbujesz uzyskać dostęp, nie działa, wypróbuj ten sam proces na dowolnym innym komputerze, na którym wcześniej uzyskałeś dostęp do konta LastPass.
4) Jeśli w tym momencie nie pamiętałeś hasła, wskazówka na koncie nie doszło do pamięci i wypróbowałeś odzyskiwanie hasła na każdym zalogowanym komputerze, jedynym odwołaniem jest usunięcie konta i rozpoczęcie od pracy.
Wygląda na to, że zrobiłeś pierwsze dwa. Trzecia opcja w jakiś sposób pozwala uzyskać temperaturę, lokalne hasło. Jeśli to nie zadziała, sytuacja nie wygląda dobrze.
LastPass – czy LastPass prowadzi rekord mojego głównego hasła?
Nie, LastPass ma model bezpieczeństwa zerowej wiedzy i nie przechowuje swoich użytkowników’ Hasła główne. Dlatego ważne jest, aby skonfigurować dowolne/wszystkie opcje odzyskiwania hasła głównego dla wszystkich konta LastPass. W szczególności dla LastPass Enterprise upewnij się, że regularnie logujesz się do rozszerzenia przeglądarki, aby w razie potrzeby można było całkowicie zresetować hasło główne. Aby poprosić o resetowanie hasła Masterprise LastPass, skontaktuj się z działem pomocy technicznej doit .
| Słowa kluczowe: | LastPass LastPass LastPass LastPass LastPass LastPass Manager Hasło Manager Enterprise Premium Premium Bezpłatne konto Pracownika Pracownika Student Student Student Know Know Master Hasło | Doc ID: | 103569 |
|---|---|---|---|
| Właściciel: | Peter v. | Grupa: | Biuro Cyberbezpieczeństwa |
| Utworzony: | 2020-07-02 15:13 CDT | Zaktualizowano: | 2022-01-12 10:20 CDT |
| Witryny: | Doit Help Desk, Office of Cyberbezpieczeństwo | ||
| Informacja zwrotna: | 0 0 Komentarz Zaproponuj nowy dokument | ||
Biuro Cyberbezpieczeństwa
Podział technologii informacyjnych
1210 w. Dayton st., Madison, Wisconsin
Copyright © 2023 The Board of Regents of University of Wisconsin System
Master Password LastPass Zapomniany lub nie działa
LastPass (firma) nie ma dostępu do twojego hasła głównego, więc nie mogą go wysłać ani zresetować dla Ciebie. Oto kroki, które możesz podjąć, aby go odzyskać.
Zalecamy zacząć od kroku pierwszego i przejść przez każdy krok w kolejności.
- Spróbuj zalogować się na stronie internetowej https: // lastPass.com/ – Jeśli możesz zalogować się tutaj, odinstaluj rozszerzenie i ponownie zainstaluj i ponownie przetestuj login.
- Jeśli możesz przerywać logowanie: wpisz hasło główne w dokumencie tekstowym i skopiuj/wklej, aby upewnić się, że nie ma literówek. Ponadto sprawdź, czy Lock Caps (na klawiaturze) jest włączona lub wyłączona.
- Jeśli nadal otrzymujesz błąd „nieprawidłowego hasła”, użyj tego linku, aby mieć wskazówkę hasła (którą konfigurujesz podczas utworzenia konta) e -mailem.
To jest wskazówka przypomnienia, a nie Twoje hasło główne. - Jeśli wskazówka nie pomaga, przejdź do th
LastPass – czy LastPass prowadzi rekord mojego głównego hasła
Jeśli nic z tego nie pomoże, skontaktuj się z biurem serwisowym IT i opisz swoją sytuację.
Co mogę zrobić, kiedy zapomniałem o mistrzowskiej hasła LastPass?
Zgadza się, oto sytuacja, w której jestem – zostałem przydzielony do nowego systemu. Zainstalowany LastPass. Login LastPass patrzy na mnie. I jestem pusty. Wskazówka hasła nie działa (głównie dlatego, że po ich ostatniej anomalii zmieniłem hasło główne, ale nie zaktualizowałem pytania wskazówek hasła). Jestem zalogowany do mojego Krypta LastPass za pośrednictwem mojego Nexusa, a także mojego laptopa w moim domu. Ale jak pobrać hasło główne z jednego z nich? Nie mam hasła głównego zapisanego w Vault LastPass ani w żadnym z menedżerów hasła przeglądarki. Nie mam też tego spisania
- Hasła
- Zarządzanie hasłem
- odzyskiwanie hasła
- LastPass
zapytał 16 maja 2011 o 4:04
Sathyajith bhat ♦ sathyajith bhat
61.3K 38 38 Złote odznaki 177 177 srebrnych odznak 263 263 Brązowe odznaki
lepka sytuacja.
16 maja 2011 o 4:12
4 Answers 4
Nie możesz po prostu przywrócić hasła do ostatniego, jak to zostało podane w najnowszym wpisie na blogu na podanej stronie? – Czy też czegoś mi brakuje.
Wielu użytkowników zmienia hasło, a następnie określa, że go nie pamięta, liczba napotkała również problemy ze zmianami haseł i chcesz wrócić, możesz teraz zrobić to sam bez kontaktu z nami: https: // lastPass.com/cofnij
Pozwala na cofnięcie ostatniego zmiany hasła lub powrót konta do 4. Musisz ponownie udowodnić dostęp do e -maila, aby z niego skorzystać.
Odpowiedzi 16 maja 2011 o 4:12
947 7 7 Srebrne odznaki 14 14 brązowe odznaki
Hmm, przegapiłem to – przechowywałem adres URL, ale nie odwiedziłem postu po pierwszym poście – wypróbuję to.
16 maja 2011 o 4:17
Dzięki, użyłem linku do powrotu do mojego starego hasła i ponownie zmieniłem hasło (!) Z zaktualizowaną wskazówką 🙂
16 maja 2011 o 11:59
Według ich strony są 4 kroki do naśladowania:
1) Próba zalogowania się przez witrynę LastPass pod adresem https: // LastPass.com/. Jeśli jesteś w stanie zalogować się za pośrednictwem strony internetowej, ale nie za pośrednictwem wtyczki, jest to prawdopodobnie problem z dodatkiem LastPass Browser, w którym to przypadku powinieneś zgłosić nam problem bezpośrednio.
2) Jeśli nie możesz zalogować się za pośrednictwem strony internetowej, wypróbuj wskazówkę hasła, że konfigurujesz dla siebie podczas utworzenia konta LastPass. Wskazówka hasła nie jest twoim hasłem głównym.
3) Jeśli wskazówka hasła nie pomoże, przejdź do strony odzyskiwania konta, aby aktywować lokalne hasło i odzyskać konto. Postępuj zgodnie z instrukcjami – jeśli pierwszy komputer, na którym próbujesz uzyskać dostęp, nie działa, wypróbuj ten sam proces na dowolnym innym komputerze, na którym wcześniej uzyskałeś dostęp do konta LastPass.
4) Jeśli w tym momencie nie pamiętałeś hasła, wskazówka na koncie nie doszło do pamięci i wypróbowałeś odzyskiwanie hasła na każdym zalogowanym komputerze, jedynym odwołaniem jest usunięcie konta i rozpoczęcie od pracy.
Wygląda na to, że zrobiłeś pierwsze dwa. Trzecia opcja w jakiś sposób pozwala uzyskać temperaturę, lokalne hasło. Jeśli to nie zadziała, sytuacja nie wygląda dobrze.
LastPass – czy LastPass prowadzi rekord mojego głównego hasła?
Nie, LastPass ma model bezpieczeństwa zerowej wiedzy i nie przechowuje swoich użytkowników’ Hasła główne. Dlatego ważne jest, aby skonfigurować dowolne/wszystkie opcje odzyskiwania hasła głównego dla wszystkich konta LastPass. W szczególności dla LastPass Enterprise upewnij się, że regularnie logujesz się do rozszerzenia przeglądarki, aby w razie potrzeby można było całkowicie zresetować hasło główne. Aby poprosić o resetowanie hasła Master Enterprise Ostatnie, skontaktuj się z działem pomocy technicznej doit .
Słowa kluczowe: LastPass LastPass LastPass LastPass LastPass LastPass Manager Hasło Manager Enterprise Premium Premium Bezpłatne konto Pracownika Pracownika Student Student Student Know Know Master Hasło Doc ID: 103569 Właściciel: Peter v. Grupa: Biuro Cyberbezpieczeństwa Utworzony: 2020-07-02 15:13 CDT Zaktualizowano: 2022-01-12 10:20 CDT Witryny: Doit Help Desk, Office of Cyberbezpieczeństwo Informacja zwrotna: 0 0 Komentarz Zaproponuj nowy dokument Biuro Cyberbezpieczeństwa
Podział technologii informacyjnych
1210 w. Dayton st., Madison, Wisconsin
Copyright © 2023 The Board of Regents of University of Wisconsin SystemMaster Password LastPass Zapomniany lub nie działa
LastPass (firma) nie ma dostępu do twojego hasła głównego, więc nie mogą go wysłać ani zresetować dla Ciebie. Oto kroki, które możesz podjąć, aby go odzyskać.
Zalecamy zacząć od kroku pierwszego i przejść przez każdy krok w kolejności.
- Spróbuj zalogować się na stronie internetowej pod adresem https: // lastPass.com – jeśli możesz się tutaj zalogować, odinstaluj rozszerzenie i ponownie zainstaluj i ponownie przetestuj login.
- Jeśli możesz przerywać logowanie: wpisz hasło główne w dokumencie tekstowym i skopiuj/wklej, aby upewnić się, że nie ma literówek. Ponadto sprawdź, czy Lock Caps (na klawiaturze) jest włączona lub wyłączona.
- Jeśli nadal otrzymujesz błąd „nieprawidłowego hasła”, użyj tego linku, aby mieć wskazówkę hasła (którą konfigurujesz podczas utworzenia konta) e -mailem.
To jest wskazówka przypomnienia, a nie Twoje hasło główne. - Jeśli wskazówka nie pomaga, przejdź do strony odzyskiwania konta, aby aktywować lokalne hasło jednorazowe. Pozwala to zmienić hasło główne, jeśli wcześniej zalogowałeś się do LastPass na tym komputerze i jest jedynym sposobem na zresetowanie hasła. Powinieneś wypróbować to we wszystkich przeglądarkach i na wszystkich komputerach, w których użyłeś wtyczki LastPass, aby uzyskać dostęp do konta.
Ta metoda nie działa na urządzeniach mobilnych. Odzyskiwanie konta nie jest obsługiwane na urządzeniach mobilnych lub aplikacjach.
Jeśli ostatnio zmieniłeś hasło główne, powróciłeś do konta lub wyczyściłeś pamięć podręczną przeglądarki dla LastPass, ta metoda może nie działać. Ale i tak spróbuj. - Jeśli zaktualizowałeś hasło główne w ciągu ostatnich 30 dni, możesz przejść przez te kroki, aby powrócić do poprzedniego hasła głównego.
Uwaga: nie zalecamy wybrania opcji „Przywróć”, chyba że potwierdziłeś wsparcie LastPass, że jest to najlepszy sposób działania. - Jeśli widzisz to tylko dla swojego urządzenia mobilnego:
- Sprawdź za pomocą tej samej kopii/wklejania z zwykłego dokumentu tekstowego, że hasło jest wprowadzane poprawnie.
- Odinstaluj i ponownie zainstaluj aplikację.
- Jeśli masz jakieś znaki specjalne w swoim hasłach, może to również powodować problem.
Jeśli nic z tego nie pomoże, skontaktuj się z biurem serwisowym IT i opisz swoją sytuację.
O tym artykule
Ostatnio zaktualizowany:
Piątek, 10 lipca 2020 – 15:19
LastPass w końcu przyznaje: ci oszustowie, którzy się wchodzili? W końcu ukradli Twoje sklepienia hasła…
Popularna firma zarządzająca hasłem LastPass była pod pompą w tym roku, po wtargnięciu sieciowym w sierpniu 2022 r.
Szczegóły o tym, jak po raz pierwszy wpadli napastnicy, są nadal rzadkie, z LastPass’S Pierwszy oficjalny komentarz ostrożnie stwierdzający::
[A] n nieuprawniona strona uzyskała dostęp do części środowiska programistycznego LastPass za pośrednictwem pojedynczego konta dewelopera.
Ogłoszenie uzupełniające około miesiąc później było podobnie niejednoznaczne:
[T] Aktor zagrożenia uzyskał dostęp do środowiska programistycznego za pomocą programisty’s Zakazany punkt końcowy. Podczas gdy metoda zastosowana w początkowym kompromisie punktu końcowego jest niejednoznaczna, aktor zagrożenia wykorzystał swój uporczywy dostęp do podszywania się od programistów, gdy programista pomyślnie uwierzył za pomocą uwierzytelniania wieloskładnikowego.
Tam’nie jest to okropnie pozostawione w tym akapicie, jeśli wyczerpujesz żargon, ale wydaje się, że kluczowe frazy są “Uszkodzony punkt końcowy” (W zwykłym angielskim prawdopodobnie oznacza to: komputer zakażony złośliwym oprogramowaniem), I “trwały dostęp” (oznaczający: Crooks mogli wrócić później w czasie wolnym).
24/7 polowania na zagrożenie, wykrywanie i odpowiedź dostarczane przez zespół ekspertów jako usługa w pełni zarządzana.
Ucz się więcej
2FA nie’T zawsze pomaga
Niestety, jak można przeczytać powyżej, uwierzytelnianie dwuskładnikowe (2FA)’t pomaga w tym konkretnym ataku.
My’Zgaduję to’s, ponieważ LastPass, wspólny dla większości firm i usług online, nie’T dosłownie wymagaj 2FA dla każdego połączenia, w którym potrzebne jest uwierzytelnianie, ale tylko dla tego, co można nazwać uwierzytelnianiem podstawowym.
Szczerze mówiąc, wiele lub większość używanych usług, prawdopodobnie w tym własnego pracodawcy, zazwyczaj robi coś podobnego.
Typowe zwolnienia 2FA, mające na celu czerpanie większości swoich świadczeń bez płacenia zbyt wysokiej ceny za niedogodności, obejmują:
- Robienie pełnego 2FA tylko od czasu do czasu, takie jak żądanie nowych jednorazowych kodów tylko co kilka dni lub tygodni. Jakieś systemy 2FA mogą zaoferować “Pamiętaj mnie przez x dni” Na przykład opcja.
- Wymaganie tylko 2FA do początkowego logowania, Następnie zezwala na jakiś rodzaj “pojedyncze logowanie” System do automatycznego uwierzytelnienia dla szerokiej gamy usług wewnętrznych. Na przykład w wielu firmach zalogowanie się do wiadomości e -mail zapewnia również dostęp do innych usług, takich jak Zoom, GitHub lub inne systemy, których często używasz.
- Wydawanie “Tokeny dostępu do nosiciela” Do zautomatyzowanych narzędzi programowych, Na podstawie okazjonalnych uwierzytelniania 2FA przez programistów, testerów i personelu inżynieryjnego. Jeśli masz zautomatyzowany skrypt kompilacji, który musi uzyskać dostęp do różnych serwerów i baz danych w różnych punktach procesu, nie’T chce, aby skrypt ciągle przerywał, aż poczekasz, aż wpiszą jeszcze kolejny kod 2FA.
- Wymaganie 2FA tylko do pierwszego logowania z nowego urządzenia, takie jak nowy telefon komórkowy. Minimalizuje to liczbę razy, aby samodzielnie przejść przez proces 2FA, a jednocześnie uniemożliwić oszustom po prostu wypróbowanie haseł na własnych urządzeniach.
Nie widzieliśmy żadnych dowodów…
Zgodnie z pewnością, którą podejrzewamy, że LastPass żałuje teraz, firma początkowo powiedziała, że w sierpniu 2022 r.:
Nie widzieliśmy żadnych dowodów na to, że ten incydent wiązał się z dostępem do danych klienta lub zaszyfrowanych sklepień haseł.
Oczywiście, “Nie widzieliśmy żadnych dowodów” Isn’T bardzo mocne stwierdzenie (zwłaszcza dlatego, że firmy nierówne mogą się spełnić, celowo nie poszukiwał dowodów, lub pozwalając komuś innemu zebrać dowody, a następnie celowo odmówić spojrzenia), mimo że to to’Często wszystko, co każda firma może powiedzieć, bezpośrednio po naruszeniu. LastPass zbadał jednak i czuł się w stanie złożyć ostateczne roszczenie do września 2022 r
Chociaż aktor zagrożenia był w stanie uzyskać dostęp do środowiska programistycznego, nasz projekt i kontrole systemu uniemożliwiły aktorowi zagrożenia dostępu do danych klientów lub zaszyfrowanych sklepień haseł.
Niestety, to twierdzenie okazało się trochę zbyt odważne.
Atak, który doprowadził do ataku
LastPass przyznał wcześnie, że oszuści “Wziąłem części kodu źródłowego i niektóre zastrzeżone informacje techniczne LastPass”… I teraz wydaje się, że niektóre z tych skradzionych informacji technicznych wystarczyły, aby ułatwić następujący atak ujawniony w listopadzie 2022 r.:
Ustaliliśmy, że strona nieautoryzowana, wykorzystując informacje uzyskane w incydencie w sierpniu 2022 r., Była w stanie uzyskać dostęp do niektórych elementów naszych klientów’ Informacja.
Aby być uczciwym dla LastPass, firma nie’t Powtórz swoje oryginalne twierdzenie, że nie zostały skradzione żadne sklepienia z hasłem, odnosząc się jedynie do “klienci’ Informacja” Bycie pokrytym. Ale w poprzednich powiadomieniach o naruszeniu firma starannie mówiła dane klienta (co sprawia, że większość z nas myśli o takich informacjach, jak adres, numer telefonu, szczegóły karty płatności i tak dalej) i zaszyfrowane sklepienia hasła jako dwie odrębne kategorie. Tym razem jednak, “klienci’ Informacja” Okazuje się, że obejmuje oba dane klientów, w powyższym sensie, oraz baz danych haseł. Nie dosłownie w noc przed świętami Bożego Narodzenia, ale niebezpiecznie blisko niego, LastPass przyznał, że:
Aktor zagrożenia skopiował informacje z kopii zapasowej, które zawierały podstawowe informacje o koncie klienta i powiązane metadane, w tym nazwy firm, nazwy użytkowników końcowych, adresy rozliczeniowe, adresy e-mail, numery telefonów i adresy IP, z których klienci uzyskali dostęp do usług LastPass Service.
Luźno mówiąc, Crooks wiedzą teraz, kim jesteś, gdzie mieszkasz, które komputery w Internecie są twoje i jak się z Tobą skontaktować elektronicznie. Wstęp trwa:
Aktor zagrożony był również w stanie skopiować kopię zapasową danych sklepienia klienta.
W końcu oszustów ukradli te sklepienia hasła. Co ciekawe, LastPass przyznał również, że to, co opisuje jako “Hasło Vault” Isn’t Właściwie zaklęta kropel (zabawnie opisowe słowo żargonowe znaczenie duży duży obiekt) składające się wyłącznie i całkowicie z zaszyfrowanymi, a zatem niezrozumiałe dane. Te “sklepienia” Dołącz niezaszyfrowane dane, najwyraźniej obejmujące adresy URL dla stron internetowych, które pasują do każdej zaszyfrowanej nazwy użytkownika i hasła. Dlatego Crooks nie tylko wiedzą, gdzie żyjecie ty i twój komputer, dzięki wyciekłymi danymi rozliczeniowymi i adresem IP wspomnianym powyżej, ale także masz szczegółową mapę miejsca, w którym się wybierasz’Re Online:
[C] Dane Vault Ustomer […] są przechowywane w zastrzeżonym formacie binarnym, który zawiera zarówno niezadowolone dane, takie jak adresy URL stron internetowych, jak i w pełni wrażliwe pola wrażliwe, takie jak nazwy użytkownika i hasła witryny, bezpieczne notatki i wypełnione formą danych.
LastPass Hadn’t, biorąc pod uwagę wszelkie inne szczegóły dotyczące niezaszyfrowanych danych, które były przechowywane w tych plikach sklepienia, ale słowa “takie jak adresy URL stron internetowych” powyżej z pewnością sugeruje, że adresy URL są’t Jedyne dane osobowe, które Crooks mogą teraz odczytać bezpośrednio, bez pękania haseł.
Dobre wieści
Dobra wiadomość, LastPass nadal nalega, jest to, że bezpieczeństwo zapasowych haseł w pliku sklepienia nie powinno się różnić od bezpieczeństwa jakiejkolwiek innej kopii zapasowej w chmurze, które zaszyfrowałeś na własnym komputerze, zanim go przesłałeś. Według LastPass dane hasła, które tworzy kopie zapasowe, nigdy nie istnieją w niezaszyfrowanej formie na LastPass’własne serwery, a LastPass nigdy nie przechowuje ani nie widzi głównego hasła. Dlatego, jak mówi LastPass, Twoje zapasowe dane hasła są zawsze przesyłane, przechowywane, dostępne i pobierane w zaszyfrowanej formie, aby oszustowie nadal musieli złamać hasło główne, mimo że mają teraz twoje zasłaniane dane dotyczące hasła do hasła. O ile możemy stwierdzić, Hasła Master LastPass skonfigurowane w ostatnich latach używają tego systemu generowania hasła do soli i rozciągania’s blisko naszych własnych zaleceń, stosując algorytm PBKDF2 z losowymi solami, SHA-256 jako wewnętrzny skrót i 100 100 iteracji.
LastPass nie’t lub mógł’T, powiedzmy, w aktualizacji listopada 2022 r., Jak długo zajęło drugie fala oszustów, aby dostać się do serwerów chmurowych po pierwszym ataku na system programistyczny w sierpniu 2022 r. Ale nawet jeśli założymy, że drugi atak nastąpił natychmiast i był’t zauważyli do później, przestępcy mieli co najwyżej cztery miesiące, próbując złamać główne hasła każdego’S skradziony sklepienie. To’Dlatego rozsądne jest założenie, że tylko użytkownicy, którzy wybrali łatwe do zgady lub wczesne hasła, są poważne, i że każdy, kto miał problemy z zmianą haseł, ponieważ początkowe ogłoszenie o naruszeniu prawdopodobnie wyprzedzają oszustów. Przywdziewać’nie zapominaj, że sama długość nie wystarczy, aby zapewnić przyzwoite hasło. W rzeczywistości anesodtalne dowody sugerują, że 123456, 12345678 i 123456789 są częściej stosowane w dzisiejszych czasach niż 1234, prawdopodobnie z powodu ograniczeń długości nałożonych przez dziś przez dziś przez’S Ekrany logowania. I pamiętaj, że narzędzia do pękania haseł Don’t Po prostu zacznij od AAAA i przejdź jak alfanumeryczny licznik licznik z zzzz. Zzzz . Próbują uszeregować hasła na to, jak są prawdopodobne, że zostaną wybrane, więc powinieneś założyć, że to zrobią “zgadywać” hasła przyjazne dla długich, a przyjaznych ludź! (18 znaków) na długo przed dotarciem do MADV3auqlhxl (12 znaków), a nawet ISM/RMXR3 (9 znaków).
Co robić?
W sierpniu 2022 r. Powiedzieliśmy to: “Jeśli chcesz zmienić niektóre lub wszystkie hasła, my’nie zamierzam cię z tego mówić. [… Ale] Don my’T myślę, że musisz zmienić hasła. (Za co to’S warty, nie ma też LastPass.)” To było oparte na LastPass’stwierdzenia nie tylko, że zapasowe sklepienia hasła zostały zaszyfrowane hasłem znanym tylko, ale także że te skarbce haseł nie były’i tak dostępny. Biorąc pod uwagę zmianę w LastPass’historia oparta na tym, co odkryła od tego czasu, teraz sugerujemy, że ty Zmień swoje hasła, jeśli jest w rozsądny sposób. Zauważ, że Musisz zmienić hasła przechowywane w sklepieniu, a także hasło główne dla samego sklepienia. To’S, aby nawet jeśli oszustowie złamali twoje stare hasło główne w przyszłości, zapas danych hasła, które odkryją w twoim starym sklepieniu, będzie przestarzałe, a zatem bezużyteczne – jak ukryty pirat’S KAZD PLEAK STARYCH BANKNOTÓW, które nie są już prawem przetargu. Powinieneś jednak Najpierw zmień hasło główne, Przed zmianą jakichkolwiek haseł w sklepieniu, jako sposób na zapewnienie, że każdy oszustów, którzy mogli już wymyślić twoje stare hasło główne’t Wyświetl dowolne z nowych haseł w zaktualizowanym sklepieniu.
Jeszcze jedna rzecz…
Aha, i jeszcze jedna rzecz: apel do zespołów X-OPS, personel IT, sysadminów i pisarzy techniczni wszędzie. Kiedy chcesz cię powiedzieć’VE zmieniło hasła lub zalecić innym, aby zmienić ich, możesz Przestań używać mylącego słowa obracać się, i po prostu użyj znacznie wyraźniejszego słowa zmiana Zamiast? Proszę nie’rozmawiać o “Rotacyjne poświadczenia” Lub “Rotacja hasła”, Ponieważ słowo obracać się, Zwłaszcza w informatyce implikuje ustrukturyzowany proces, który ostatecznie obejmuje powtórzenie. Na przykład w komitecie z rotacyjnym przewodniczącym wszyscy robią wiodące spotkania, w z góry określonym cyklu, e.G. Alice, Bob, Cracker, Dongle, Mallory, Susan… a potem Alice jeszcze raz. W kodzie maszyny instrukcja obrotu wyraźnie krąży bity w rejestrze. Jeśli ROL lub ROR (kod maszynowy mnemoniki, które oznaczają rotację idzie w lewo Lub idzie w prawo w nomenklaturze Intel) wystarczająco wiele razy, bity te powrócą do ich pierwotnej wartości. To wcale nie jest to, czego chcesz, kiedy postanowisz zmienić hasła! Co jeśli mój menedżer haseł zostanie zhakowany? Czy ty’Ponownie użytkownik LastPass lub nie, tutaj’s wideo, które zrobiliśmy z pewnymi wskazówkami, jak zmniejszyć ryzyko katastrofy, jeśli ty lub menedżer haseł mieliby zostać zhakowany. (Kliknij COG podczas gry, aby włączyć napisy lub przyspieszyć odtwarzanie). DLACZEGO ‘OBRACAĆ SIĘ’ Nie jest dobrym synonimem ‘ZMIANA’ Tutaj’s The Rotat (dokładniej, instrukcja ROL) w prawdziwym życiu w 64-bitowych oknach. Jeśli złożyłeś i uruchamiasz poniższy kod (użyliśmy poręcznego, minimalistycznego, swobodnego asemblera i linkera z Godevtool.com)…… wtedy powinieneś uzyskać dane wyjściowe:
Obrócony o 0 bitów = c001d00dc0def11e obracał się 4 bity = 001d00dc0def11ec obracał przez 8 bitów = 01D00DC0DEF11EC0 obracał przez 12 bitów = 1D00DC0DEF11EC00 ROTOWANY przez 16 bitów = D00DC0DEF11EC001 ROTATED przez 20 bitów = 00DC0Def101d. Def11EC001D0 Obrócone o 28 bitów = DC0DEF11EC001D00 ROZNIONY o 32 bity = C0DEF11EC001D00D Obrócone przez 36 bitów = 0DEF11EC001D00DC Obrócone przez 40 bitów = def11ec001d00dc0 obrócone przez 44 bity = ef11ec001d00dc0d przez 48 Bits = fet fet. 52 bity = 11EC001D00DC0DEF Obrócone o 56 bitów = 1EC001D00DC0DEF1 Obrócone o 60 bitów = EC001D00DC0DEF11 Obrócone o 64 bity = C001D00DC0DEF11E
Możesz zmienić kierunek i ilość obrotu, zmieniając ROL na ROR i dostosowując numer 4 w tej linii i następujący.
- Podążać @NedSecurity na Twitterze Najnowsze wiadomości z zakresu bezpieczeństwa komputerowego.
- Podążać @NedSecurity na Instagramie W przypadku ekskluzywnych zdjęć, gifów, filmów i lolów!
