LastPass установил ограничение на минимальную длину мастер-пароля в 12 символов для всех аккаунтов

2023-09-22 2477 комментарии
Компания LastPass официально объявила об изменении требований к мастер-паролю для всех учетных записей. Мастер-пароль — это основной пароль, используемый для получения доступа к хранилищу паролей LastPass

Пользователи LastPass получили электронное письмо, в котором сообщается, что «все мастер-пароли должны иметь длину минимум 12 символов». Клиенты с более короткими мастер-паролями, будут вынуждены обновить их и привести в соответствие с новыми требованиями.

Еще в 2018 году LastPass установил ограничение на минимальную длину мастер-пароля в 12 символов для новых пользователей. Все учетные записи, созданные после этого изменения, должны были использовать мастер-пароли с 12 символами или более.

Однако, на старые учетные записи тогда это требование не распространялось. Компания LastPass была основана в 2008 году, и пользователи, создавшие учетные записи в период с 2008 по 2018 год, могли использовать мастер-пароли, состоящие менее чем из 12 символов.

Короткие пароли считаются уязвимыми, так как при атаках методом перебора требуется меньше времени для их раскрытия. Например, пароли, состоящие из 6 символов, перебираются очень быстро, даже если в них используются цифры, прописные и строчные буквы и символы.

На перебор пароля из 12 символов даже с одним и тем же набором символов могут уйти годы.

Отказ от тотального введения минимальной длины пароля был не единственной ошибкой компании. LastPass также изменила количество итераций PBKDF2 с 5000 до 100100, но должным образом не обеспечила соблюдение данного ограничения.

А после взлома своей инфраструктуры LastPass старые учетные записи подвергались более серьезному риску компрометации, чем новые аккаунты с длинными мастер-паролями.

Теперь наступает время изменений, которые нужно было ввести еще в 2018 году. Все пользователи LastPass, использующие мастер-пароль, состоящий менее чем из 12 символов, должны будут его сменить.

LastPass рекомендует пользователям настроить «восстановление учетной записи» перед внесением изменений. Это единственный способ восстановить доступ к учетной записи, если мастер-пароль не получится вспомнить.

Если длина пароля менее 12 символов, то существующие пользователи увидят сообщение с инструкцией по обновлению мастер-пароля следующего содержания:

Это нативное оповещение будет последним уведомлением перед тем, как вы будете вынуждены выйти из системы и установить новый мастер-пароль.

Лучше не медлить с обновлением мастер-пароля, чтобы избежать возможных блокировок учетных записей или задержек с запросами в службу поддержки, которые могут возникнуть при введении этого изменения.

Большинство пользователей, возможно, захотят установить пароли, состоящие более чем из 12 символов. Хотя такие пароли будет нелегко запомнить, это значительно повышает эффективность защиты от атак «грубой силы».

 

© . По материалам Ghacks
Комментарии и отзывы

Нашли ошибку?

Новое на сайте