LastPass, популярный менеджер паролей, объявил о новом требовании к своим пользователям использовать сложные мастер-пароли длиной не менее 12 символов для повышения безопасности аккаунтов.
Несмотря на то, что LastPass с 2018 года рекомендовал использовать 12-символьные мастер-пароли, ранее пользователи могли выбирать более слабые пароли.
В новом объявлении LastPass указывается: "Хотя с 2018 года 12-символьный мастер-пароль был стандартной настройкой LastPass, клиенты до сих пор могли отказываться от рекомендуемых настроек и создавать мастер-пароли с меньшим количеством символов".
С апреля 2023 года LastPass требует использовать 12-символьный мастер-пароль для новых аккаунтов и при сбросе пароля, однако старые аккаунты до этого могли использовать пароли короче 12 символов. Теперь LastPass требует 12-символьный мастер-пароль для всех аккаунтов.
Кроме того, LastPass добавил, что начнет проверять новые и обновленные мастер-пароли на соответствие базе данных учетных данных, ранее утекших в даркнет, чтобы убедиться, что они не совпадают с уже скомпрометированными.
Если обнаружится совпадение, клиенты будут уведомлены с помощью всплывающего окна с предупреждением о безопасности и предложением выбрать другой пароль для предотвращения будущих взломов.
В рамках инициативы по повышению безопасности LastPass также начал в мае 2023 года процесс обязательной перерегистрации многофакторной аутентификации (MFA), что привело к проблемам с доступом и блокировке аккаунтов у многих пользователей.
"Эти изменения включают обновление длины и сложности мастер-пароля в соответствии с рекомендациями лучших практик и перерегистрацию многофакторной аутентификации (MFA) среди прочего", - говорит Майк Косак, старший главный аналитик по разведке в LastPass.
"С января 2024 года LastPass будет требовать от всех клиентов использовать мастер-пароль длиной не менее 12 символов.
"В следующем месяце LastPass также начнет немедленно проверять новые и сброшенные мастер-пароли, используя базы данных известных скомпрометированных учетных данных", - добавляет LastPass.
LastPass сообщил BleepingComputer, что клиенты B2C начнут получать уведомления об этих изменениях сегодня, а клиенты B2B – 10 января.
Эти меры являются результатом двух инцидентов безопасности, о которых LastPass сообщил в августе и ноябре 2022 года.
В августе LastPass подтвердил, что его разработческая среда была взломана через скомпрометированный аккаунт разработчика после взлома корпоративного ноутбука инженера-программиста. Во время взлома были украдены исходный код, техническая информация и внутренние секреты.
Информация, украденная в ходе этого инцидента, была использована злоумышленниками в декабрьском взломе, когда они украли данные хранилища клиентов из зашифрованных хранилищ Amazon S3 после взлома компьютера старшего инженера DevOps.
В октябре 2023 года хакеры украли 4,4 миллиона долларов в криптовалюте у более чем 25 жертв, используя приватные ключи и парольные фразы, извлеченные из украденных баз данных LastPass.
Считается, что злоумышленники используют украденные мастер-пароли LastPass для доступа к паролям, ищут парольные фразы криптовалютных кошельков и приватные ключи, используют их для загрузки кошельков на свои устройства и опустошают их.
LastPass заявляет, что его решение для управления паролями используется более чем 33 миллионами людей и 100 000 компаниями по всему миру.
Обновления программ, что нового
• NVIDIA анонсировала DLSS 5 на базе нейронного рендеринга для фотореалистичной графики
• Red Magic 11 Air Trace Edition вышла глобально: характеристики и цена
• Новый REDMI Smart TV A50 от Xiaomi: 4K-разрешение, 144 Гц и ОС Surge по бюджетной цене
• Представлены наушники AirPods Max 2 с чипом H2 и поддержкой Lossless-аудио
• Как «Приватный экран» Samsung Galaxy S26 Ultra влияет на заряд батареи
• Обновления Samsung Galaxy с 9 по 15 марта 2026 года: свежие патчи безопасности и расширение бета-теста One UI 8.5