Varování: Správce hesel LastPass znovu pod útokem!

Kyberbezpečnostní tým Masarykovy univerzity varuje po několika úspěšných útocích před používáním správce hesel LastPass.

18. 1. 2023

Bez popisku

O co jde?

Provozovatel správce hesel LastPass byl v minulém roce dvakrát pod útokem hackerských skupin. Naposledy se tak stalo minulý měsíc. Podle všech informací útočníci získali přístup k datům uživatelů jako jsou jména, adresy, e-maily, telefony a IP adresy posledních přístupů. Útočníci tyto údaje mohou prodat nebo je použít pro phishingové a spear-phishingové kampaně namířené nejen proti uživatelům, ale i organizacím.

Útočníkům se však také podařilo získat to vůbec nejdůležitější, a to zálohy šifrovaných hesel uživatelů. Samotná hesla díky politice „Zero Knowledge“ LastPass nikde neukládá, tudíž dalším krokem útočníků bude prolomení získaných šifrovaných hesel. Pokusit se o to mohou pomocí útoku hrubou silou, kdy program útočníka zkouší všechny možné kombinace, dokud heslo neprolomí.

Společně se šifrovanými hesly útočníci získali i nešifrovaná data. Z nich jsou patrně nejcitlivější adresy webů, ke kterým si uživatelé hesla ukládali. Celkově tyto hackerské útoky představují pro uživatele LastPass citelný zásah do jejich soukromí.

Co dělat?

Pokud tedy správce hesel LastPass využíváte, dbejte zvýšené opatrnosti, nejlépe však přesedlejte na jinou aplikaci, viz níže. Útočníci totiž pronikli ke kontaktním údajům uživatelů. To znamená, že za pomocí metod sociálního inženýrství se z vás mohou pokusit vylákat osobní a citlivá data. Co je to sociální inženýrství a jak se proti němu bránit se dozvíte v našem online kurzu Kyberkompas.

Prolomení zašifrovaných hesel pomocí útoku hrubou silou může být velmi obtížné až nereálné. Avšak pouze v případě, že si uživatel zvolil dostatečně silné heslo. Právě útok hrubou silou bývá Achillovou patou krátkých a slabých hesel. Pokud tedy chcete LastPass i nadále používat, důrazně doporučujeme si nastavit hlavní heslo ke správci hesel tak, aby bylo dostatečně silné. Také je vhodné si nastavit i dvoufázové ověření. S vytvořením nového a silného hesla vám pak pomůže kurz Kyberkompas.

Závěr

Vzhledem k závažným bezpečnostním incidentům pak Kyberbezpečnostní tým Masarykovy univerzity doporučuje všem stávajícím uživatelům správce hesel LastPass nadále nepoužívat. Je proto vhodné zvolit nového správce hesel. Můžeme vám například doporučit aplikaci Bitwarden. Tento správce hesel je jednoduchý a poskytuje uživateli dostatečnou funkcionalitu. Především však na rozdíl od LastPass není spojen se žádnými bezpečnostními incidenty a jedná se o tzv. open source aplikaci, tudíž je Bitwarden ověřený komunitou. Vzhledem těmto důvodům představuje Bitwarden momentálně nejlepší volbu mezi správci hesel.


 

BONUS

Postup pro přenos vašich hesel z aplikace LastPass do Bitwarden

Aktivujte svůj LastPass účet v prohlížeči a zvolte Account Options -> Advanced -> Export. Zde vyberte LastPass CSV File a po zadání master hesla si uložte CSV soubor s hesly do počítače. Následně se přihlaste do Bitwarden.

  1. Zde klikněte na záložku Tools”.
  2. Vyberte Import Data”.
  3. Následně zvolte formát (LastPass csv.).
  4. Vyberte z vašeho počítače soubor, kam jste si hesla z LastPass uložili.
  5. V posledním kroku klikněte na “Import data”. Tím by se vaše hesla s LastPass měla importovat do Bitwarden.
  6. Po úspěšném importu si z počítače smažte soubor s hesly z LastPass, který jste pro import použili.
  7. Smažte si účet a údaje z aplikace LastPass.

Pokud LastPass v prohlížeči nemáte, otevřete si stránku www.lastpass.com. Zde přihlaste, klikněte na Advanced options” a v postranním menu vyberte záložku Export”. V tomto případě nezískáte přímo CSV soubor, ale zobrazí se vám všechna hesla i data s nimi spojená – označte si je pomocí Ctrl+A a zkopírujte do textového editoru (můžete použít například Notepad). Zkopírovaná hesla uložte z textového editoru jako CSV soubor. V Bitwarden je pak postup pro import již stejný, viz postup výše.

Pokud budete mít s importem nějaké problémy, doporučujeme navštívit přímo návod na import hesel z oficiálních stránek.


Více článků

Přehled všech článků

Používáte starou verzi internetového prohlížeče. Doporučujeme aktualizovat Váš prohlížeč na nejnovější verzi.