LastPass, популярный менеджер паролей, объявил о новом требовании к своим пользователям использовать сложные мастер-пароли длиной не менее 12 символов для повышения безопасности аккаунтов.
Несмотря на то, что LastPass с 2018 года рекомендовал использовать 12-символьные мастер-пароли, ранее пользователи могли выбирать более слабые пароли.
В новом объявлении LastPass указывается: "Хотя с 2018 года 12-символьный мастер-пароль был стандартной настройкой LastPass, клиенты до сих пор могли отказываться от рекомендуемых настроек и создавать мастер-пароли с меньшим количеством символов".
С апреля 2023 года LastPass требует использовать 12-символьный мастер-пароль для новых аккаунтов и при сбросе пароля, однако старые аккаунты до этого могли использовать пароли короче 12 символов. Теперь LastPass требует 12-символьный мастер-пароль для всех аккаунтов.
Кроме того, LastPass добавил, что начнет проверять новые и обновленные мастер-пароли на соответствие базе данных учетных данных, ранее утекших в даркнет, чтобы убедиться, что они не совпадают с уже скомпрометированными.
Если обнаружится совпадение, клиенты будут уведомлены с помощью всплывающего окна с предупреждением о безопасности и предложением выбрать другой пароль для предотвращения будущих взломов.
В рамках инициативы по повышению безопасности LastPass также начал в мае 2023 года процесс обязательной перерегистрации многофакторной аутентификации (MFA), что привело к проблемам с доступом и блокировке аккаунтов у многих пользователей.
"Эти изменения включают обновление длины и сложности мастер-пароля в соответствии с рекомендациями лучших практик и перерегистрацию многофакторной аутентификации (MFA) среди прочего", - говорит Майк Косак, старший главный аналитик по разведке в LastPass.
"С января 2024 года LastPass будет требовать от всех клиентов использовать мастер-пароль длиной не менее 12 символов.
"В следующем месяце LastPass также начнет немедленно проверять новые и сброшенные мастер-пароли, используя базы данных известных скомпрометированных учетных данных", - добавляет LastPass.
LastPass сообщил BleepingComputer, что клиенты B2C начнут получать уведомления об этих изменениях сегодня, а клиенты B2B – 10 января.
Эти меры являются результатом двух инцидентов безопасности, о которых LastPass сообщил в августе и ноябре 2022 года.
В августе LastPass подтвердил, что его разработческая среда была взломана через скомпрометированный аккаунт разработчика после взлома корпоративного ноутбука инженера-программиста. Во время взлома были украдены исходный код, техническая информация и внутренние секреты.
Информация, украденная в ходе этого инцидента, была использована злоумышленниками в декабрьском взломе, когда они украли данные хранилища клиентов из зашифрованных хранилищ Amazon S3 после взлома компьютера старшего инженера DevOps.
В октябре 2023 года хакеры украли 4,4 миллиона долларов в криптовалюте у более чем 25 жертв, используя приватные ключи и парольные фразы, извлеченные из украденных баз данных LastPass.
Считается, что злоумышленники используют украденные мастер-пароли LastPass для доступа к паролям, ищут парольные фразы криптовалютных кошельков и приватные ключи, используют их для загрузки кошельков на свои устройства и опустошают их.
LastPass заявляет, что его решение для управления паролями используется более чем 33 миллионами людей и 100 000 компаниями по всему миру.
Обновления программ, что нового
• Нейросеть Алиса научилась разбирать задания по 7 школьным предметам прямо в Поиске Яндекса
• Xiaomi представила новую серию телевизоров TV S Pro Mini LED 2026 с частотой обновления до 330 Гц
• Вышло обновление One UI 8 для Samsung Galaxy S25
• KB5065083: Microsoft представила новый метод для корректной регистрации устаревших устройств с Windows 11
• Обмен файлами между Android и Apple: Vivo X300 получает аналог AirDrop
• Новое приложение Т-Банка для iPhone добавило бесконтактную оплату через T-Pay – успейте скачать в App Store