Om du någonsin har använt LastPass bör du ändra alla dina lösenord nu

Om du någonsin har använt LastPass bör du ändra alla dina lösenord nu
Läsare som du hjälper till att stödja MUO. När du gör ett köp med hjälp av länkar på vår webbplats kan vi tjäna en affiliate-provision. Läs mer.

Personliga detaljer och lösenordsvalv som innehåller inloggningsuppgifter för miljontals användare är nu i händerna på brottslingar. Om du någonsin har använt lösenordshanteraren, LastPass, bör du ändra alla dina lösenord för allt nu. Och du bör omedelbart vidta ytterligare åtgärder för att skydda dig själv.





Vad hände under 2022 LastPass dataintrång?

hänglåst metallhus

LastPass är en lösenordshanteringstjänst som fungerar på en 'freemium'-modell. Användare kan lagra alla sina lösenord och inloggningar för onlinetjänster med LastPass och komma åt dem via webbgränssnittet, genom webbläsartillägg och genom dedikerade smartphoneappar.



Lösenord lagras i 'valv', som skyddas av ett enda huvudlösenord.





roliga saker att göra med en hallon pi

I augusti 2022 tillkännagav LastPass att brottslingar hade använt ett utvecklat konto för att komma åt LastPass utvecklingsmiljö, källkod och teknisk information.

Ytterligare detaljer släpptes i november 2022, när LastPass lade till att vissa kunddata hade avslöjats.



Den verkliga allvaret av intrånget avslöjades den 22 december, när en LastPass blogginlägg noterade att brottslingar hade använt en del av informationen som erhölls i den tidigare attacken för att stjäla säkerhetskopierade data inklusive kundnamn, adresser och telefonnummer, e-postadresser, IP-adresser och partiella kreditkortsnummer. Dessutom lyckades de stjäla användarlösenordsvalv som innehöll okrypterade webbadresser och webbplatsnamn, samt krypterade användarnamn och lösenord.

Är det svårt för brottslingar att knäcka ditt LastPass-huvudlösenord?

Teoretiskt sett, ja, hackare borde ha svårt att knäcka ditt huvudlösenord. LastPass-blogginlägget noterar att om du använder deras rekommenderade standardinställningar, 'skulle det ta miljontals år att gissa ditt huvudlösenord med allmänt tillgänglig lösenordsknäckningsteknik.'



LastPass kräver att huvudlösenordet ska vara minst 12 tecken, och rekommenderar 'att du aldrig återanvänder ditt huvudlösenord på andra webbplatser.'

LastPass är dock unikt bland lösenordshanteringstjänster genom att det tillåter användare att ställa in ett lösenordstips för att påminna dem om sitt huvudlösenord om de skulle tappa det.



Detta uppmuntrar faktiskt användare att använda ord och fraser i ordlistan som en del av sitt lösenord, snarare än ett riktigt slumpmässigt starkt lösenord. Inget lösenordstips kommer att hjälpa om ditt lösenord är 'lVoT=.N]4CmU'.

LastPass lösenordsvalven har varit i händerna på brottslingar sedan en tid tillbaka, och även om de är krypterade kommer de så småningom bli föremål för brute force attacker .

Angripare kommer att finna sitt arbete lättare tack vare existensen av massiva databaser med vanliga lösenord. Du kan ladda ner en 17GB lösenordslista som innehåller de 613 miljoner vanligaste lösenorden från haibeenpwned , till exempel. Andra lösenords- och autentiseringslistor finns tillgängliga på den mörka webben.

Att prova var och en av de halv miljarder vanligaste nycklarna mot ett enskilt valv skulle ta minuter, och även om relativt få skulle vara de 12 tecken som krävs, är det troligt att cyberbrottslingar enkelt kommer att kunna bryta sig in i en stor del av valven.

vad ska du göra om din facebook är hackad

Lägg därtill att datorkraften ökar år från år, och att motiverade kriminella kan använda distribuerade nätverk för att hjälpa till med insatsen; 'miljoner år' verkar inte möjligt för de flesta konton.

Påverkar LastPass-överträdelsen bara lösenord?

hackare som kör en kod

Medan huvudnyheterna är att brottslingar kan ta sig tid att bryta sig in i ditt LastPass-valv, kan de dra nytta av dig på andra sätt genom att använda ditt namn, adress, telefonnummer, e-postadress, IP-adress och delvis kreditkortsnummer.

Dessa kan användas för ett antal skändliga syften, inklusive spearphishing-attacker mot dig och dina kontakter , identitetsstöld, att ta krediter och lån i ditt namn, och SIM-bytesattacker.

Hur kan du skydda dig själv efter dataintrången i LastPass?

Du bör anta att inom några år kommer ditt huvudlösenord att äventyras och alla lösenord som finns i kommer att vara kända för brottslingar. Du bör ändra dem nu och använda unika lösenord som du aldrig har använt förut och som inte finns i någon av de vanliga lösenordslistorna.

När det gäller de andra databrottslingarna som erhållits från LastPass, du bör frysa din kredit , och anlita en kreditövervakningstjänst för att övervaka alla nya kort- eller låneansökningar i ditt namn. Om du kan ändra ditt telefonnummer utan alltför mycket besvär bör du också göra det.

Ta ansvar för din egen säkerhet

Det är lätt att skylla LastPass för dataintrången som gjorde att dina lösenordsvalv och personliga detaljer hamnade i händerna på kriminella, men lösenordshanteringstjänster som säkrar ditt liv och hjälper dig att skapa unika kombinationer är fortfarande det bästa sättet att säkra ditt onlineliv.

Ett sätt att göra det svårare för potentiella tjuvar att få tag på dina viktiga data är att ha en lösenordshanterare på din egen hårdvara. Det är billigt, lätt att göra, och vissa lösningar, som VaultWarden, kan till och med distribueras på en Raspberry Pi Zero.