Néhányan attól tartottak, hogy feltörték, vagy megpróbálták feltörni a LastPass-t, de úgy tűnik, hogy nem ez történt - számolt be a Gizmodo. A történet azzal kezdődött, hogy a HackerNews fórumon egy felhasználó azt állította, hogy kapott egy emailt a szolgáltatástól, amelyben arra figyelmeztetik, hogy egy brazil IP-címről megpróbáltak bejutni a fiókjába a mesterjelszava használatával. A posztoló nyilván megijedt, hiszen a mesterjelszó az a kulcs, amely minden ajtót kinyit: ha ezt tudja a támadó, akkor a felhasználó összes, a platformon tárolt jelszavához hozzáfér. Ezután többen jelezték, hogy ők is hasonló emailt kaptak a LastPass-től.

Hogyan működnek a jelszókezelők?

Többször írtunk már arról a Rakétán, hogy a jelszavak használata mennyi kockázatot rejt magában. Ha túl egyszerűt választunk, könnyen ki lehet találni. Ha túl bonyolultat, akkor nem tudjuk megjegyezni. Ráadásul ha ugyanazt használjuk több helyen, akkor egyetlen adatszivárgással megpecsételődik a sorsunk, hiszen egy szemfüles hacker bármelyik fiókunkba bejuthat a megszerzett karaktersorral. Nem véletlenül hirdette azt nemrég a Microsoft, hogy a jelszavak ideje lejárt. De amíg nincs jobb megoldás arra, hogy azonosítsuk magunkat, addig a jelszókezelő szoftverek segíthetnek: megjegyezhetetlenül hosszú és összetett jelszavakat generálhatunk a segítségükkel, majd egy helyen tárolhatjuk azokat. Így amikor belépnénk valahova, csak elő kell varázsolnunk a programból az ottani, kellőképp bonyolult és kitalálhatatlan jelszavunkat, mondjuk azt, hogy AHjkvd_bHGsAJ%!56534.

Tehát egyetlen jelszót kell csak megjegyeznünk: azt, amivel a többi jelszavunkhoz hozzáférünk.

A The Verge-nek nyilatkozva a LastPass képviselői azt állították, hogy nem voltak veszélyben a felhasználóik mesterjelszavai. A legvalószínűbb, hogy hackerek azzal próbálkoztak, hogy máshol kiszivárgott jelszavakkal belépjenek az áldozatok LastPass fiókjaiba - ami aláhúzza, hogy mennyire fontos, hogy a mesterjelszavunkat sehol máshol ne alkalmazzuk. Emellett úgy tűnik, hogy a figyelmeztető üzenetek egy részét tévedésből küldték ki. Akárhogy is, a cég kiemelte: mivel nem tudják (vagyis kódolva tárolják) a felhasználóik mesterjelszavait, így azok ki sem kerülhetnek tőlük.

Persze ezek a rendszerek sem tökéletesek, tavasszal például a Passwordstate nevű programra bízott információk egy ideig szabadon hozzáférhetőek voltak. Ettől függetlenül még mindig okosabb így tárolni a jelszavainkat, mint túl könnyűeket választani, vagy szenvedni a túl bonyolultak megjegyzésével - különösen, ha a kétlépcsős azonosítást is bekapcsoljuk a jelszókezelőnkben, és mindenhol máshol, ahol lehetséges.

(Fotó: Unsplash/Towfiqu Barbhuiya/Twitter@ethmessages)