LastPass, популярный менеджер паролей, объявил о новом требовании к своим пользователям использовать сложные мастер-пароли длиной не менее 12 символов для повышения безопасности аккаунтов.
Несмотря на то, что LastPass с 2018 года рекомендовал использовать 12-символьные мастер-пароли, ранее пользователи могли выбирать более слабые пароли.
В новом объявлении LastPass указывается: "Хотя с 2018 года 12-символьный мастер-пароль был стандартной настройкой LastPass, клиенты до сих пор могли отказываться от рекомендуемых настроек и создавать мастер-пароли с меньшим количеством символов".
С апреля 2023 года LastPass требует использовать 12-символьный мастер-пароль для новых аккаунтов и при сбросе пароля, однако старые аккаунты до этого могли использовать пароли короче 12 символов. Теперь LastPass требует 12-символьный мастер-пароль для всех аккаунтов.
Кроме того, LastPass добавил, что начнет проверять новые и обновленные мастер-пароли на соответствие базе данных учетных данных, ранее утекших в даркнет, чтобы убедиться, что они не совпадают с уже скомпрометированными.
Если обнаружится совпадение, клиенты будут уведомлены с помощью всплывающего окна с предупреждением о безопасности и предложением выбрать другой пароль для предотвращения будущих взломов.
В рамках инициативы по повышению безопасности LastPass также начал в мае 2023 года процесс обязательной перерегистрации многофакторной аутентификации (MFA), что привело к проблемам с доступом и блокировке аккаунтов у многих пользователей.
"Эти изменения включают обновление длины и сложности мастер-пароля в соответствии с рекомендациями лучших практик и перерегистрацию многофакторной аутентификации (MFA) среди прочего", - говорит Майк Косак, старший главный аналитик по разведке в LastPass.
"С января 2024 года LastPass будет требовать от всех клиентов использовать мастер-пароль длиной не менее 12 символов.
"В следующем месяце LastPass также начнет немедленно проверять новые и сброшенные мастер-пароли, используя базы данных известных скомпрометированных учетных данных", - добавляет LastPass.
LastPass сообщил BleepingComputer, что клиенты B2C начнут получать уведомления об этих изменениях сегодня, а клиенты B2B – 10 января.
Эти меры являются результатом двух инцидентов безопасности, о которых LastPass сообщил в августе и ноябре 2022 года.
В августе LastPass подтвердил, что его разработческая среда была взломана через скомпрометированный аккаунт разработчика после взлома корпоративного ноутбука инженера-программиста. Во время взлома были украдены исходный код, техническая информация и внутренние секреты.
Информация, украденная в ходе этого инцидента, была использована злоумышленниками в декабрьском взломе, когда они украли данные хранилища клиентов из зашифрованных хранилищ Amazon S3 после взлома компьютера старшего инженера DevOps.
В октябре 2023 года хакеры украли 4,4 миллиона долларов в криптовалюте у более чем 25 жертв, используя приватные ключи и парольные фразы, извлеченные из украденных баз данных LastPass.
Считается, что злоумышленники используют украденные мастер-пароли LastPass для доступа к паролям, ищут парольные фразы криптовалютных кошельков и приватные ключи, используют их для загрузки кошельков на свои устройства и опустошают их.
LastPass заявляет, что его решение для управления паролями используется более чем 33 миллионами людей и 100 000 компаниями по всему миру.
Обновления программ, что нового
• В бета-версии клиента Steam добавлены иконки поддержки контроллера для SteamOS
• Dimensity 9500: результаты тестов и сравнение с Snapdragon 8 Elite 2
• В Steam добавили информацию о функциях доступности: на страницу игр и в фильтр по поиску
• AMD Radeon Software Adrenalin 25.6.2 Non-WHQL. Поддержка The Alters и FBC: Firebreak
• Новый AI-браузер Dia — «Chrome с мозгами». Но безопасен ли он?
• Huawei Pura 80 Ultra и Pro+: новые смартфоны с передовыми камерами