LastPass hackeado: altere sua senha mestra e ative a autenticação multifator

O LastPass divulgou hoje um aviso de segurança em seu blog, informando aos usuários que seus servidores foram invadidos e que alguns dados foram roubados. A seguir, veja o que o LastPass disse, como alterar sua senha mestra e habilitar a autenticação multifator por uma boa medida.

LastPass hackeado

Em um publicação no blog, O LastPass deu alguns detalhes limitados sobre o que aconteceu:

Queremos notificar nossa comunidade que, na sexta-feira, nossa equipe descobriu e bloqueou atividades suspeitas em nossa rede. Em nossa investigação, não encontramos evidências de que os dados criptografados do cofre do usuário foram coletados, nem que as contas de usuário do LastPass foram acessadas. A investigação mostrou, no entanto, que os endereços de email da conta LastPass, lembretes de senha, sais de servidor por usuário e hashes de autenticação foram comprometidos.

Estamos confiantes de que nossas medidas de criptografia são suficientes para proteger a grande maioria dos usuários. O LastPass fortalece o hash de autenticação com um sal aleatório e 100.000 rodadas de PBKDF2-SHA256 no lado do servidor, além das rodadas executadas no lado do cliente. Esse fortalecimento adicional dificulta o ataque dos hashes roubados com velocidade significativa.

A empresa também disse: “Exigimos que todos os usuários que estão efetuando login em um novo dispositivo ou endereço IP primeiro verifiquem sua conta por email, a menos que você tenha a autenticação multifator ativada. Como precaução adicional, também solicitaremos que os usuários atualizem sua senha mestra. ”

Uma coisa que é bastante irritante para muitos usuários é que eles estão descobrindo essas notícias nos sites. Como a empresa também disse em seu post, os e-mails estão sendo enviados a todos os usuários sobre o incidente de segurança. No momento da redação deste artigo, eu não recebi um e, pela aparência dos comentários no blog LastPass, não tinha muitos outros usuários.

Alterar sua senha mestra LastPass

Para alterar sua senha mestra, e clique em Configurações da conta no painel esquerdo.

Em seguida, na janela Configurações da conta, clique em Alterar senha mestra na seção Credenciais de login.

Isso o levará à página Redefinição de senha, onde você pode simplesmente seguir as instruções na tela para alterar sua senha mestra. Durante o processo, o LastPass irá criptografar tudo e enviará um email de verificação de que você alterou o mestre.

Habilitar autenticação MultiFactor para LastPass

Enquanto você estiver nisso, recomendamos que você ative a autenticação multifator para sua conta LastPass. Ele adiciona uma camada extra de segurança à sua conta e oferece mais tranqüilidade ao saber que suas senhas são seguras.

Em seu comunicado de hoje, o LastPass disse: “Exigimos que todos os usuários que estão efetuando login em um novo dispositivo ou endereço IP primeiro verifiquem sua conta por e-mail, a menos que você tenha autenticação multifator ativado."

Mostramos como Ativar autenticação de dois fatores do LastPass alguns anos atrás. O processo é extremamente simples e não há melhor maneira de proteger sua conta LastPass. Honestamente, no clima online que temos hoje, ativar a autenticação de dois fatores não é mais opcional se você deseja manter suas contas online seguras. Nós falamos sobre isso em profundidade aqui no groovyPost e planejamos nos concentrar ainda mais nas próximas semanas.

Para habilitar a autenticação de dois fatores ou multifator no Lastpass, basta ir para Configurações da conta> Opções do multifator e selecionar o método que você deseja usar... O Google Authenticator é provavelmente o mais fácil.

Existem outros serviços que os usuários que possuem uma conta Premium (US $ 12 / ano) podem usar como scanners de impressões digitais e chaves USB.

Atualização 16/6/2015:

Hoje finalmente recebi um email do LastPass sobre o problema de segurança. É curto e não fornece muito mais detalhes do que já sabemos.

Caro usuário do LastPass,

Queríamos alertar você de que, recentemente, nossa equipe descobriu e bloqueou imediatamente atividades suspeitas em nossa rede. Nenhum dado criptografado do cofre do usuário foi obtido; no entanto, outros dados, incluindo endereços de email e lembretes de senha, foram comprometidos.

Estamos confiantes de que os algoritmos de criptografia que usamos protegerão suficientemente nossos usuários. Para garantir ainda mais sua segurança, exigimos a verificação por e-mail ao fazer login a partir de um novo dispositivo ou endereço IP e solicitaremos que os usuários atualizem suas senhas principais.

Pedimos desculpas pelo inconveniente, mas acreditamos que isso protegerá melhor os usuários do LastPass. Obrigado pela sua compreensão e por usar o LastPass.

Saudações,
A equipe LastPass

No geral, isso não parece entrar em pânico, pois as senhas armazenadas no seu cofre estão bem protegidas e não deveriam ter sido comprometidas. No entanto, você definitivamente desejará alterar sua senha mestra e ativar a autenticação multifator o mais rápido possível.