Birçoğumuz tatillerde sevdiklerimizle vakit geçirmek için internetin fişini çekerken, popüler bir dijital şifre yönetimi güvenlik programının yapımcıları LastPass en istenmeyen hediyeyi verdi. Siber suçluların müşterilerin parola kasalarının kopyalarını ele geçirerek milyonlarca kişinin çevrimiçi bilgilerini potansiyel olarak ifşa ettiği yakın tarihli bir güvenlik ihlalinin ayrıntılarını yayınladı.
Bir bilgisayar korsanının bakış açısına göre bu, büyük ikramiyeyi kazanmanın eşdeğeridir.
LastPass veya 1Password gibi bir şifre yöneticisi kullandığınızda, banka, sağlık, e-posta ve sosyal ağ hesapları dahil olmak üzere kullandığınız web siteleri ve uygulamalar için tüm kullanıcı adlarının ve şifrelerin bir listesini saklar. Kasa adı verilen bu listeyi çevrimiçi bulutunda izler ve parolalarınıza herhangi bir cihazdan kolayca erişmenizi sağlar. LastPass, bilgisayar korsanlarının her müşterinin kullanıcı adı ve şifre listesinin kopyalarını şirketin sunucularından çaldığını söyledi.
Bu ihlal, parolalarınızı korumak için tasarlanmış bir güvenlik ürününün başına gelebilecek en kötü şeylerden biriydi. Ancak bir sonraki adım olan LastPass’i kullandıysanız tüm şifreleri değiştirmek dışında, bu fiyaskodan öğrenebileceğimiz önemli dersler var; güvenlik ürünlerinin, özellikle hassas verilerimizi sakladıklarında kusursuz olmadığı gerçeği de dahil. bulut.
İlk olarak, ne olduğunu anlamak önemlidir: Şirket, davetsiz misafirlerin bulut veritabanına erişim sağladığını ve bir LastPass çalışanından çalınan kimlik bilgileri ve anahtarları kullanarak on milyonlarca müşterinin veri kasasının bir kopyasını ele geçirdiğini söyledi.
Güvenlik açığının ayrıntılarını 22 Aralık tarihli bir blog gönderisinde yayınlayan LastPass, kullanıcılarına bilgilerinin muhtemelen güvende olduğu konusunda güvence vermeye çalıştı. İnsanların kasalarının bazı bölümlerinin – kaydoldukları sitelerin web sitesi adresleri gibi – şifrelenmemiş olduğunu, ancak kullanıcı adları ve şifreler dahil olmak üzere bu hassas verilerin şifrelendiğini söyledi. Bu, bilgisayar korsanlarının birinin kullandığı bankacılık web sitesini bilebileceğini, ancak o kişinin hesabına giriş yapmak için gereken kullanıcı adı ve şifreye sahip olamayacağını gösterir.
En önemlisi, kullanıcıların LastPass kasalarının kilidini açmak için ayarladıkları Ana Parolalar da şifrelenmiştir. Bu, bilgisayar korsanlarının her kasadaki geri kalan parolaları almak için şifrelenmiş ana parolaları kırması gerektiği anlamına gelir; bu, insanlar benzersiz, karmaşık bir ana parola kullandıkları sürece zor olacaktır.
LastPass CEO’su Karim Toubba bir röportajı reddetti, ancak e-postayla gönderilen bir açıklamada, olayın şirketin hassas kasa verilerini şifreli ve güvenli tuttuğunu söylediği sistem mimarisinin gücünü gösterdiğini yazdı. Ayrıca, “iyi parola hijyeni uygulama”nın kullanıcıların sorumluluğunda olduğunu söyledi.
Pek çok güvenlik uzmanı, her LastPass kullanıcısının tüm parolalarını değiştirmesi gerektiğini söyleyerek Bay Toubba’nın iyimser yaklaşımına katılmadı.
Bir güvenlik firması olan Barracuda’nın yöneticilerinden Sinan Eren, “Durum çok ciddi. “Bütün bu yönetilen parolaların ele geçirilmiş olduğunu düşünürdüm.”
Güvenlik firması Bugcrowd’un baş teknoloji sorumlusu Casey Ellis, davetsiz misafirlerin kullanıcılar tarafından kullanılan web sitesi adreslerinin listelerine erişmesinin önemli olduğunu söyledi.
Bay Ellis, “Diyelim ki peşinize düştüm,” dedi. “Bilgi depoladığınız tüm web sitelerine bakabilir ve bunu bir saldırı planlamak için kullanabilirim. Herhangi bir LastPass kullanıcısı artık bu verileri bir rakibin elinde tutuyor.”
Çevrimiçi ortamda daha güvenli kalmak için hepimizin bu ihlalden çıkarabileceği dersler şunlardır.
Önleme tedaviden daha iyidir.
LastPass ihlali, bir ihlal gerçekleşmeden önce en hassas hesaplarımız için koruma önlemleri almanın, sonrasında kendimizi korumaya çalışmaktan daha kolay olduğunu hatırlatır. Parolalarımız için hepimizin izlemesi gereken en iyi uygulamalardan bazıları şunlardır; Bu adımları önceden atmış olan herhangi bir LastPass kullanıcısı, bu son ihlal sırasında nispeten güvende olabilirdi.
Önemli bir şeyi açıklığa kavuşturalım: Ne zaman bir şirketin sunucuları ihlal edilse ve müşteri verileri çalınsa, sizi korumamak şirketin suçudur.
LastPass’ın olaya verdiği tepki, suçu kullanıcıya yüklüyor ama bunu kabul etmek zorunda değiliz. “İyi parola hijyeni” uygulamasının, bir ihlal durumunda bir hesabın daha güvenli kalmasına yardımcı olacağı doğru olsa da, bu, şirketi sorumluluktan muaf tutmaz.
Bulut risk taşır.
LastPass’i ihlal etmek yıkıcı hissettirse de, birçok internet hesabımız için karmaşık ve benzersiz parolalar oluşturmayı ve saklamayı daha kolay hale getirdikleri için parola yöneticileri genellikle yararlı bir araçtır.
İnternet güvenliği genellikle rahatlık ve riski dengelemekle ilgilidir. Bugcrowd’dan Bay Ellis, şifre güvenliğiyle ilgili zorluğun, en iyi uygulamalar çok karmaşık olduğunda, insanların daha basit olana geri dönmesi olduğunu söyledi – tahmin etmesi kolay şifreler kullanmak ve bunları tekrarlamak için web sitelerinde kullanmak gibi.
Bu yüzden şifre yöneticilerini silmeyin. Ancak, LastPass ihlalinin, parola kasanıza herhangi bir cihazınızdan erişilebilir olması ne kadar uygun olursa olsun, bir şirkete hassas verilerinizi kendi bulut yapılarında depolaması için emanet ettiğinizde her zaman risk aldığınızı gösterdiğini unutmayın.
Barracuda’dan Eren Bey, veritabanını kendi bulutlarında depolayan parola yöneticilerini kullanmamanızı ve bunun yerine parola kasanızı KeePass gibi kendi cihazlarınızda depolayan birini seçmenizi önerir.
Bir çıkış stratejiniz olsun.
Bu da bizi, herhangi bir çevrimiçi hizmete uygulanabilecek son tavsiyeme getiriyor: Şirketten ayrılmanıza neden olacak bir şey olması durumunda verilerinizi – bu durumda şifre kasanızı – dışarı çıkarmak için her zaman bir planınız olsun.
LastPass için şirket, web sitesinde kasanızın bir kopyasını bir elektronik tabloya aktarma adımlarını listeler. Daha sonra bu parola listesini başka bir parola yöneticisine aktarabilirsiniz. Veya elektronik tablo dosyasını kendinize saklayabilir ve onu kullanabileceğiniz güvenli ve uygun bir yerde saklayabilirsiniz.
Hibrit bir yaklaşım izliyorum. Verilerimi kendi bulutunda depolamayan bir şifre yöneticisi kullanıyorum. Bunun yerine, kasamın kendi kopyasını bilgisayarımda ve kendi kontrol ettiğim bir bulut sürücüsünde tutuyorum. Bunu, iCloud veya Dropbox gibi bir bulut hizmeti kullanarak yapabilirsiniz. Yine, bu yöntemler kusursuz değildir, ancak bilgisayar korsanları tarafından saldırıya uğrama olasılıkları bir şirketin veritabanına göre daha düşüktür.
Bir bilgisayar korsanının bakış açısına göre bu, büyük ikramiyeyi kazanmanın eşdeğeridir.
LastPass veya 1Password gibi bir şifre yöneticisi kullandığınızda, banka, sağlık, e-posta ve sosyal ağ hesapları dahil olmak üzere kullandığınız web siteleri ve uygulamalar için tüm kullanıcı adlarının ve şifrelerin bir listesini saklar. Kasa adı verilen bu listeyi çevrimiçi bulutunda izler ve parolalarınıza herhangi bir cihazdan kolayca erişmenizi sağlar. LastPass, bilgisayar korsanlarının her müşterinin kullanıcı adı ve şifre listesinin kopyalarını şirketin sunucularından çaldığını söyledi.
Bu ihlal, parolalarınızı korumak için tasarlanmış bir güvenlik ürününün başına gelebilecek en kötü şeylerden biriydi. Ancak bir sonraki adım olan LastPass’i kullandıysanız tüm şifreleri değiştirmek dışında, bu fiyaskodan öğrenebileceğimiz önemli dersler var; güvenlik ürünlerinin, özellikle hassas verilerimizi sakladıklarında kusursuz olmadığı gerçeği de dahil. bulut.
İlk olarak, ne olduğunu anlamak önemlidir: Şirket, davetsiz misafirlerin bulut veritabanına erişim sağladığını ve bir LastPass çalışanından çalınan kimlik bilgileri ve anahtarları kullanarak on milyonlarca müşterinin veri kasasının bir kopyasını ele geçirdiğini söyledi.
Güvenlik açığının ayrıntılarını 22 Aralık tarihli bir blog gönderisinde yayınlayan LastPass, kullanıcılarına bilgilerinin muhtemelen güvende olduğu konusunda güvence vermeye çalıştı. İnsanların kasalarının bazı bölümlerinin – kaydoldukları sitelerin web sitesi adresleri gibi – şifrelenmemiş olduğunu, ancak kullanıcı adları ve şifreler dahil olmak üzere bu hassas verilerin şifrelendiğini söyledi. Bu, bilgisayar korsanlarının birinin kullandığı bankacılık web sitesini bilebileceğini, ancak o kişinin hesabına giriş yapmak için gereken kullanıcı adı ve şifreye sahip olamayacağını gösterir.
En önemlisi, kullanıcıların LastPass kasalarının kilidini açmak için ayarladıkları Ana Parolalar da şifrelenmiştir. Bu, bilgisayar korsanlarının her kasadaki geri kalan parolaları almak için şifrelenmiş ana parolaları kırması gerektiği anlamına gelir; bu, insanlar benzersiz, karmaşık bir ana parola kullandıkları sürece zor olacaktır.
LastPass CEO’su Karim Toubba bir röportajı reddetti, ancak e-postayla gönderilen bir açıklamada, olayın şirketin hassas kasa verilerini şifreli ve güvenli tuttuğunu söylediği sistem mimarisinin gücünü gösterdiğini yazdı. Ayrıca, “iyi parola hijyeni uygulama”nın kullanıcıların sorumluluğunda olduğunu söyledi.
Pek çok güvenlik uzmanı, her LastPass kullanıcısının tüm parolalarını değiştirmesi gerektiğini söyleyerek Bay Toubba’nın iyimser yaklaşımına katılmadı.
Bir güvenlik firması olan Barracuda’nın yöneticilerinden Sinan Eren, “Durum çok ciddi. “Bütün bu yönetilen parolaların ele geçirilmiş olduğunu düşünürdüm.”
Güvenlik firması Bugcrowd’un baş teknoloji sorumlusu Casey Ellis, davetsiz misafirlerin kullanıcılar tarafından kullanılan web sitesi adreslerinin listelerine erişmesinin önemli olduğunu söyledi.
Bay Ellis, “Diyelim ki peşinize düştüm,” dedi. “Bilgi depoladığınız tüm web sitelerine bakabilir ve bunu bir saldırı planlamak için kullanabilirim. Herhangi bir LastPass kullanıcısı artık bu verileri bir rakibin elinde tutuyor.”
Çevrimiçi ortamda daha güvenli kalmak için hepimizin bu ihlalden çıkarabileceği dersler şunlardır.
Önleme tedaviden daha iyidir.
LastPass ihlali, bir ihlal gerçekleşmeden önce en hassas hesaplarımız için koruma önlemleri almanın, sonrasında kendimizi korumaya çalışmaktan daha kolay olduğunu hatırlatır. Parolalarımız için hepimizin izlemesi gereken en iyi uygulamalardan bazıları şunlardır; Bu adımları önceden atmış olan herhangi bir LastPass kullanıcısı, bu son ihlal sırasında nispeten güvende olabilirdi.
Her hesap için karmaşık, benzersiz bir parola oluşturun. Güçlü bir parola uzun ve tahmin edilmesi zor olmalıdır. Örneğin şu cümleleri ele alalım: “Benim adım Inigo Montoya. babamı öldürdün Ölmeye hazırlanın.” Ve her kelime için baş harfleri ve I’ler için bir ünlem işareti kullanarak onları şu hale getirin: “Mn!!m.Ykmf.Ptd.”
Parola yöneticisi kullananlar için, kasanızın kilidini açmak için bu ana parola kuralı çok önemlidir. Bu şifreyi asla başka bir uygulama veya web sitesi için kullanmayın.
En hassas hesaplarınız için bir tane ekleyin iki faktörlü kimlik doğrulama ile ek güvenlik katmanı. Bu ayar, hesaplarınıza giriş yapmadan önce kullanıcı adınıza ve şifrenize ek olarak girilmesi gereken geçici bir kod oluşturur.
Çoğu bankacılık sitesi, cep telefonu numaranızı veya e-posta adresinizi geçici bir giriş kodu içeren bir mesaj alacak şekilde ayarlamanıza izin verir. Twitter ve Instagram gibi bazı uygulamalar, geçici kodlar oluşturmak için Google Authenticator ve Authy gibi sözde kimlik doğrulayıcı uygulamaları kullanmanıza izin verir.
Önemli bir şeyi açıklığa kavuşturalım: Ne zaman bir şirketin sunucuları ihlal edilse ve müşteri verileri çalınsa, sizi korumamak şirketin suçudur.
LastPass’ın olaya verdiği tepki, suçu kullanıcıya yüklüyor ama bunu kabul etmek zorunda değiliz. “İyi parola hijyeni” uygulamasının, bir ihlal durumunda bir hesabın daha güvenli kalmasına yardımcı olacağı doğru olsa da, bu, şirketi sorumluluktan muaf tutmaz.
Bulut risk taşır.
LastPass’i ihlal etmek yıkıcı hissettirse de, birçok internet hesabımız için karmaşık ve benzersiz parolalar oluşturmayı ve saklamayı daha kolay hale getirdikleri için parola yöneticileri genellikle yararlı bir araçtır.
İnternet güvenliği genellikle rahatlık ve riski dengelemekle ilgilidir. Bugcrowd’dan Bay Ellis, şifre güvenliğiyle ilgili zorluğun, en iyi uygulamalar çok karmaşık olduğunda, insanların daha basit olana geri dönmesi olduğunu söyledi – tahmin etmesi kolay şifreler kullanmak ve bunları tekrarlamak için web sitelerinde kullanmak gibi.
Bu yüzden şifre yöneticilerini silmeyin. Ancak, LastPass ihlalinin, parola kasanıza herhangi bir cihazınızdan erişilebilir olması ne kadar uygun olursa olsun, bir şirkete hassas verilerinizi kendi bulut yapılarında depolaması için emanet ettiğinizde her zaman risk aldığınızı gösterdiğini unutmayın.
Barracuda’dan Eren Bey, veritabanını kendi bulutlarında depolayan parola yöneticilerini kullanmamanızı ve bunun yerine parola kasanızı KeePass gibi kendi cihazlarınızda depolayan birini seçmenizi önerir.
Bir çıkış stratejiniz olsun.
Bu da bizi, herhangi bir çevrimiçi hizmete uygulanabilecek son tavsiyeme getiriyor: Şirketten ayrılmanıza neden olacak bir şey olması durumunda verilerinizi – bu durumda şifre kasanızı – dışarı çıkarmak için her zaman bir planınız olsun.
LastPass için şirket, web sitesinde kasanızın bir kopyasını bir elektronik tabloya aktarma adımlarını listeler. Daha sonra bu parola listesini başka bir parola yöneticisine aktarabilirsiniz. Veya elektronik tablo dosyasını kendinize saklayabilir ve onu kullanabileceğiniz güvenli ve uygun bir yerde saklayabilirsiniz.
Hibrit bir yaklaşım izliyorum. Verilerimi kendi bulutunda depolamayan bir şifre yöneticisi kullanıyorum. Bunun yerine, kasamın kendi kopyasını bilgisayarımda ve kendi kontrol ettiğim bir bulut sürücüsünde tutuyorum. Bunu, iCloud veya Dropbox gibi bir bulut hizmeti kullanarak yapabilirsiniz. Yine, bu yöntemler kusursuz değildir, ancak bilgisayar korsanları tarafından saldırıya uğrama olasılıkları bir şirketin veritabanına göre daha düşüktür.