LastPass je jedním z nejznámějších správců hesel a ve srovnávacích testech si pravidelně vede dobře. Online služba je ale pod neustálou palbou kritiky a musí neustále vysvětlovat různé bezpečnostní incidenty.
Podobně je tomu i v případě nejnovějšího blogového příspěvku, ve kterém generální ředitel, Karim Toubba, vysvětluje další bezpečnostní problém. V tomto případě se hackerům podařilo získat přístup k údajům uživatelů. Prozatím nebylo zveřejněno, konkrétně kterých údajů se to týká. To je stále předmětem zkoumání bezpečnostních expertů.
Hesla by ale měla být chráněna architekturou "nulové znalosti". To zjednodušeně znamená, že k vašemu hlavnímu heslu, které odemyká přístup k datům uloženým v trezoru, ani k vlastním datům nemá přístup nikdo jiný kromě vás. Dokonce ani LastPass.
Přístup prostřednictvím poskytovatele cloudu
Správce hesel LastPass chrání hesla pomocí architektury "nulové znalosti". | Zdroj: LastPass
Co se ale prozatím o útoku ví: LastPass uvedl, že zjistil neobvyklou aktivitu v rámci cloudového úložiště, poskytovaného třetí stranou. V důsledku toho okamžitě zahájil vyšetřování v těsné spolupráci s bezpečnostní firmou a upozornil orgány činné v trestním řízení.
Doposud bylo zjištěno, že přístup ke cloudovým serverům získaly neoprávněné osoby. Zdá se, že potřebné informace se útočníkům dostaly do rukou už v srpnu 2022 v průběhu jiného incidentu. LastPass ke škodě věci není konkrétnější, ale přiznává "přístup k určitým informacím našich zákazníků". Probíhající vyšetřování by mělo tuto skutečnost objasnit.
LastPass ujišťuje, že hesla jsou bezpečně šifrována a zabezpečena díky použité architektuře nulové znalosti. Stejně jako ostatní správci hesel LastPass šifruje hesla lokálně v zařízeních uživatelů a teprve poté je synchronizuje prostřednictvím cloudových serverů. Zde je důležité bezpečné hlavní heslo, pro které společnost LastPass doporučuje následující kritéria:
– Délka: čím delší, tím lepší. Hlavní heslo (Master password) by měl sestávat z minimálně 12 znaků;
– Kombinace: kombinujte velká a malá písmena, číslice a speciální znaky;
– Heslové fráze: dobrou praxí při tvorbě hesel je použít při jejich vytváření frází. Snadno si tak heslo zapamatujete;
– Žádné informace: do hlavního hesla nedávejte žádné osobní údaje, ani jména dětí, ani data narození.
LastPass tvrdí, že má přibližně 33 milionů uživatelů. Pokud patříte mezi ně a chcete se poohlédnout po alternativě, neuděláte chybu, pokud si nezávazně vyzkoušíte Bitwarden. Ten nabízí dobrou bezplatnou verzi. Pokud obecně nechcete svá hesla synchronizovat přes cloudové služby, je dobrou volbou také KeePassXC. Nevýhodou je, že musíte zajistit, aby byla hesla dostupná na všech vašich používaných zařízeních.
Hesla můžete z aplikace LastPass exportovat prostřednictvím nabídky v rozšířených možnostech. Pozor ale na to, že služba hesla uloží do nešifrovaného souboru CSV. Ten můžete importovat do mnoha jiných správců hesel. Pokud to úspěšně dokončíte, je dobré CSV ze systému odstranit.
Zdroj: LastPass
