LastPass, популярный менеджер паролей, объявил о новом требовании к своим пользователям использовать сложные мастер-пароли длиной не менее 12 символов для повышения безопасности аккаунтов.
Несмотря на то, что LastPass с 2018 года рекомендовал использовать 12-символьные мастер-пароли, ранее пользователи могли выбирать более слабые пароли.
В новом объявлении LastPass указывается: "Хотя с 2018 года 12-символьный мастер-пароль был стандартной настройкой LastPass, клиенты до сих пор могли отказываться от рекомендуемых настроек и создавать мастер-пароли с меньшим количеством символов".
С апреля 2023 года LastPass требует использовать 12-символьный мастер-пароль для новых аккаунтов и при сбросе пароля, однако старые аккаунты до этого могли использовать пароли короче 12 символов. Теперь LastPass требует 12-символьный мастер-пароль для всех аккаунтов.
Кроме того, LastPass добавил, что начнет проверять новые и обновленные мастер-пароли на соответствие базе данных учетных данных, ранее утекших в даркнет, чтобы убедиться, что они не совпадают с уже скомпрометированными.
Если обнаружится совпадение, клиенты будут уведомлены с помощью всплывающего окна с предупреждением о безопасности и предложением выбрать другой пароль для предотвращения будущих взломов.
В рамках инициативы по повышению безопасности LastPass также начал в мае 2023 года процесс обязательной перерегистрации многофакторной аутентификации (MFA), что привело к проблемам с доступом и блокировке аккаунтов у многих пользователей.
"Эти изменения включают обновление длины и сложности мастер-пароля в соответствии с рекомендациями лучших практик и перерегистрацию многофакторной аутентификации (MFA) среди прочего", - говорит Майк Косак, старший главный аналитик по разведке в LastPass.
"С января 2024 года LastPass будет требовать от всех клиентов использовать мастер-пароль длиной не менее 12 символов.
"В следующем месяце LastPass также начнет немедленно проверять новые и сброшенные мастер-пароли, используя базы данных известных скомпрометированных учетных данных", - добавляет LastPass.
LastPass сообщил BleepingComputer, что клиенты B2C начнут получать уведомления об этих изменениях сегодня, а клиенты B2B – 10 января.
Эти меры являются результатом двух инцидентов безопасности, о которых LastPass сообщил в августе и ноябре 2022 года.
В августе LastPass подтвердил, что его разработческая среда была взломана через скомпрометированный аккаунт разработчика после взлома корпоративного ноутбука инженера-программиста. Во время взлома были украдены исходный код, техническая информация и внутренние секреты.
Информация, украденная в ходе этого инцидента, была использована злоумышленниками в декабрьском взломе, когда они украли данные хранилища клиентов из зашифрованных хранилищ Amazon S3 после взлома компьютера старшего инженера DevOps.
В октябре 2023 года хакеры украли 4,4 миллиона долларов в криптовалюте у более чем 25 жертв, используя приватные ключи и парольные фразы, извлеченные из украденных баз данных LastPass.
Считается, что злоумышленники используют украденные мастер-пароли LastPass для доступа к паролям, ищут парольные фразы криптовалютных кошельков и приватные ключи, используют их для загрузки кошельков на свои устройства и опустошают их.
LastPass заявляет, что его решение для управления паролями используется более чем 33 миллионами людей и 100 000 компаниями по всему миру.
Обновления программ, что нового
• В России запретили IP-телефонию для ограничения телефонного мошенничества
• МТС выпустила игровую приставку для облачного гейминга
• Samsung Galaxy S25: Локальная обработка ИИ на Snapdragon 8 Elite
• Масштабный сбой в работе ChatGPT и генератора видео Sora
• Роскомнадзор: вводить штрафы за использование VPN в России не планируется
• Обновление Intel ARC Game On Driver 32.0.101.6332 Non-WHQL: Исправления для процессоров Intel Core Ultra серии 2