LastPass är en lösenordshanterarapp, den typ av säkerhetsapplikation som vi alltid rekommenderar människor att använda för att öka säkerheten för sina lösenord. Dessa tjänster kan lagra alla dina lösenord och hjälpa dig att välja unika lösenord för varje onlinekonto. Allt du behöver komma ihåg är ett starkt lösenord. Detta låter dig snabbt logga in på alla onlinekonton vars autentiseringsuppgifter du har sparat på ditt konto. Men om en lösenordshanterare skulle drabbas av ett dataintrång kan en angripare få tillgång till alla andra lösenord. Det är den typen av scenario LastPass-användare har varit rädda för sedan tisdagseftermiddagen när rapporter dök upp som tydde på ett potentiellt dataintrång. LastPass säger dock att det inte drabbades av ett hack, och angripare har inte tillgång till ditt huvudlösenord eller lösenorden på ditt konto.
LastPass skrämma mot dataintrång
Allt började med ett inlägg på HackerNews. En användare sa att LastPass blockerade ett inloggningsförsök från Brasilien. Enligt ett LastPass-e-postmeddelande använde hackarna LastPass-kontots huvudlösenord.
“Det som stör mig är att huvudlösenordet lagrades i en lokal krypterad KeePassX-fil”, skrev personen. “Jag kan föreställa mig att någon har min KeePassX-fil och det (helt olika) lösenordet till den här filen. Om så är fallet är jag i en värld av sårad.”
LastPass bekräftade senare försöket till kontointrång, så e-postmeddelandet som offret fick var inte en nätfiskeattack. Dessutom upplevde andra forumanvändare samma typ av attack.
Detta väckte oro för att LastPass drabbades av ett hack som kan ha avslöjat användarkonton. Ett sådant dataintrång skulle verkligen vara ett mardrömsscenario för alla som använder lösenord lyckas säkra sina onlinekonton.
LastPass drabbades inte av ett massivt lösenordshack
Det är dock inte vad som hände, enligt företaget. I kommentarer till Gizmodo och Apple Insider, LastPass förnekar ett hack. Istället säger företaget att angriparna som försöker göra intrång i konton använder användarnamn och lösenordskombinationer från andra dataintrång. Här är LastPass uttalande:
LastPass undersökte de senaste rapporterna om blockerade inloggningsförsök och vi tror att aktiviteten är relaterad till försök med “credential stuffing”-aktivitet, där en skadlig eller dålig aktör försöker komma åt användarkonton (i det här fallet LastPass) med hjälp av e-postadresser och lösenord som erhållits från tredje part. – partsintrång relaterade till andra icke-anslutna tjänster.
Dessutom sa LastPass att det inte har sett några bevis för faktisk hackning. Angripare hackade inte LastPass användarkonton, förklarade företaget:
Det är viktigt att notera att vi för närvarande inte har någon indikation på att konton har lyckats nås eller att LastPass-tjänsten på annat sätt äventyras av en obehörig part. Vi övervakar regelbundet för denna typ av aktivitet och kommer att fortsätta att vidta åtgärder för att säkerställa att LastPass, dess användare och deras data förblir skyddade och säkra.
Fler goda nyheter om huvudlösenordssäkerhet
I kommentarer till GränsenLastPass förklarade att några av varningarna var fel på grund av ett problem som det har löst:
Vår undersökning har sedan dess funnit att några av dessa säkerhetsvarningar, som skickades till en begränsad delmängd av LastPass-användare, troligen utlöstes av misstag. Som ett resultat av detta har vi justerat våra säkerhetsvarningssystem och detta problem har sedan dess lösts.
Dessa varningar utlöstes på grund av LastPass pågående ansträngningar för att försvara sina kunder från dåliga skådespelare och försök att fylla på autentiseringsuppgifter.
LastPass säger dessutom att appen inte lagrar användarens huvudlösenord. Som ett resultat skulle ett LastPass-hack inte leda till att angripare får tillgång till huvudlösenord:
Det är också viktigt att upprepa att LastPass noll-kunskapssäkerhetsmodell innebär att LastPass inte vid något tillfälle lagrar, har kunskap om eller har tillgång till en användares huvudlösenord.
Det är alla goda nyheter. Men LastPass-användare som kan ha fått varningar om potentiella tredje parts kontoåtkomstförsök kan fortfarande vara oroliga. Om du fick ett av dessa LastPass-e-postmeddelanden bör du överväga att ändra ditt huvudlösenord. Du vill också kontrollera dina känsliga konton som du lagrar i LastPass för obehörig aktivitet. Det är också en bra idé att byta lösenord för dessa tjänster då och då.
Du bör också överväga att lägga till tvåfaktorsautentisering till LastPass och andra känsliga konton.
Om inget kan göra dig lugn, kan du överväga att migrera dina lösenord till konkurrerande tjänster. 1Password är ett sådant alternativ, men det finns andra lösenordshanterare att välja mellan.
