LastPass, популярный менеджер паролей, объявил о новом требовании к своим пользователям использовать сложные мастер-пароли длиной не менее 12 символов для повышения безопасности аккаунтов.
Несмотря на то, что LastPass с 2018 года рекомендовал использовать 12-символьные мастер-пароли, ранее пользователи могли выбирать более слабые пароли.
В новом объявлении LastPass указывается: "Хотя с 2018 года 12-символьный мастер-пароль был стандартной настройкой LastPass, клиенты до сих пор могли отказываться от рекомендуемых настроек и создавать мастер-пароли с меньшим количеством символов".
С апреля 2023 года LastPass требует использовать 12-символьный мастер-пароль для новых аккаунтов и при сбросе пароля, однако старые аккаунты до этого могли использовать пароли короче 12 символов. Теперь LastPass требует 12-символьный мастер-пароль для всех аккаунтов.
Кроме того, LastPass добавил, что начнет проверять новые и обновленные мастер-пароли на соответствие базе данных учетных данных, ранее утекших в даркнет, чтобы убедиться, что они не совпадают с уже скомпрометированными.
Если обнаружится совпадение, клиенты будут уведомлены с помощью всплывающего окна с предупреждением о безопасности и предложением выбрать другой пароль для предотвращения будущих взломов.
В рамках инициативы по повышению безопасности LastPass также начал в мае 2023 года процесс обязательной перерегистрации многофакторной аутентификации (MFA), что привело к проблемам с доступом и блокировке аккаунтов у многих пользователей.
"Эти изменения включают обновление длины и сложности мастер-пароля в соответствии с рекомендациями лучших практик и перерегистрацию многофакторной аутентификации (MFA) среди прочего", - говорит Майк Косак, старший главный аналитик по разведке в LastPass.
"С января 2024 года LastPass будет требовать от всех клиентов использовать мастер-пароль длиной не менее 12 символов.
"В следующем месяце LastPass также начнет немедленно проверять новые и сброшенные мастер-пароли, используя базы данных известных скомпрометированных учетных данных", - добавляет LastPass.
LastPass сообщил BleepingComputer, что клиенты B2C начнут получать уведомления об этих изменениях сегодня, а клиенты B2B – 10 января.
Эти меры являются результатом двух инцидентов безопасности, о которых LastPass сообщил в августе и ноябре 2022 года.
В августе LastPass подтвердил, что его разработческая среда была взломана через скомпрометированный аккаунт разработчика после взлома корпоративного ноутбука инженера-программиста. Во время взлома были украдены исходный код, техническая информация и внутренние секреты.
Информация, украденная в ходе этого инцидента, была использована злоумышленниками в декабрьском взломе, когда они украли данные хранилища клиентов из зашифрованных хранилищ Amazon S3 после взлома компьютера старшего инженера DevOps.
В октябре 2023 года хакеры украли 4,4 миллиона долларов в криптовалюте у более чем 25 жертв, используя приватные ключи и парольные фразы, извлеченные из украденных баз данных LastPass.
Считается, что злоумышленники используют украденные мастер-пароли LastPass для доступа к паролям, ищут парольные фразы криптовалютных кошельков и приватные ключи, используют их для загрузки кошельков на свои устройства и опустошают их.
LastPass заявляет, что его решение для управления паролями используется более чем 33 миллионами людей и 100 000 компаниями по всему миру.
Обновления программ, что нового
• Релиз Chrome 135: обновления безопасности и новые функции
• Android 16 может получить функцию безопасности, аналогичную iOS 18
• «Яндекс» запустил ИИ-сервис «Нейроэксперт» — конкурента Google NotebookLM и ChatGPT
• Android 16 Beta 3.2 доступен для Pixel с улучшениями тактильной отдачи и стабильности
• Apple выпустила первую бета-версию iOS 18.5 для разработчиков
• Обновление Rufus 4.7 BETA: Защита от опасных загрузчиков и исправление уязвимости CVE-2025-26624