ในปี 2022 บริการจัดการรหัสผ่าน LastPass ประสบปัญหาการละเมิดครั้งสำคัญครั้งล่าสุด ซึ่งส่งผลให้ข้อมูลตู้นิรภัยของลูกค้าสูญหาย (โปรดดู “LastPass Share Details of Security Breach,” 24 ธันวาคม 2022) หลายเดือนต่อมา ในที่สุดบริษัทก็ได้ให้ข้อมูลเพิ่มเติมอย่างมีนัยสำคัญเกี่ยวกับการละเมิด ข้อมูลที่ถูกบุกรุก และวิธีที่ผู้ใช้ควรตอบสนอง ข้อมูลใหม่มีประโยชน์ แต่ก็ไม่ทำให้ฉันเสียใจที่เปลี่ยนไปใช้ 1Password
ใน บล็อกโพสต์อย่างระมัดระวัง Karim Toubba CEO ของ LastPass ระบุไทม์ไลน์ที่มีรายละเอียดมากขึ้นของเหตุการณ์ที่เชื่อมโยงกัน 2 เหตุการณ์ โดยมี ก่อนอื่น กำหนดขั้นตอนสำหรับ วินาที จากนั้นเขาชี้ให้ผู้อ่านเห็นกระดานข่าวความปลอดภัยคู่หนึ่งพร้อมการดำเนินการที่แนะนำ: หนึ่งรายการสำหรับ ผู้ใช้ LastPass ฟรี พรีเมียม และครอบครัว และอีกรายการสำหรับ ผู้ใช้ LastPass Business สุดท้าย เขาสรุปว่า LastPass ดำเนินการอย่างไรกับ รักษาความปลอดภัยของระบบให้ดียิ่งขึ้น ฉันชอบรายการประเภทข้อมูลทั้งหมดที่เข้าถึงได้เป็นพิเศษ พร้อมหมายเหตุเกี่ยวกับฟิลด์ที่เข้ารหัส และข้อใดไม่ใช่
โดยเฉพาะอย่างยิ่ง บริษัทกล่าวว่ายังไม่ได้รับการติดต่อจากผู้โจมตีหรือไม่เห็นสิ่งบ่งชี้ใดๆ ของข้อมูลที่กำลังถูกใช้
ไม่มี มีการติดต่อหรือเรียกร้อง และไม่มีการตรวจพบกิจกรรมใต้ดินที่น่าเชื่อถือซึ่งบ่งชี้ว่าผู้คุกคามมีส่วนร่วมในการตลาดหรือขายข้อมูลใด ๆ ที่ได้รับระหว่างเหตุการณ์ทั้งสองอย่าง
หากคุณสนใจ เรื่องความปลอดภัย โพสต์ต่าง ๆ ที่ควรค่าแก่การอ่าน และ LastPass ทำหน้าที่สื่อสารได้ดีขึ้นมากในครั้งนี้ แม้ว่ามันจะเกินกำหนดก็ตาม โดยเฉพาะอย่างยิ่ง หากคุณยังคงใช้ LastPass ฉันขอแนะนำ ทำตามคำแนะนำของบริษัท เพื่อ:
ตรวจสอบให้แน่ใจว่ารหัสผ่านหลักของคุณมีความแข็งแกร่ง เพิ่มจำนวนรหัสผ่านซ้ำ เปิดหรือรีเซ็ตการตรวจสอบสิทธิ์แบบหลายปัจจัย ตรวจสอบแดชบอร์ดความปลอดภัย เปิดการตรวจสอบเว็บมืด
LastPass ยังไม่ได้ ยังทำให้สองตัวเลือกสุดท้ายมีให้สำหรับผู้ใช้ LastPass Free แต่บริษัทบอกว่าจะเปิดใช้งานในไม่ช้า ที่น่าสนใจคือ LastPass ได้เพิ่มจำนวนการทำซ้ำรหัสผ่านอย่างมาก ผู้ใช้ที่ใช้เวลานานบางคนยังคงตั้งค่าไว้ที่ 5,000 ต่ำอย่างไร้เหตุผลในขณะที่ผู้ใช้ใหม่มีการทำซ้ำ 100,000 ครั้ง ค่าดีฟอลต์ตอนนี้คือ 600,000 ซึ่งเป็นการเปลี่ยนแปลงครั้งใหญ่
ฉันสงสัยว่า Karim Toubba ต้องผ่านอะไรมาบ้าง เขาเข้าร่วม LastPass ในตำแหน่ง CEO ในเดือนเมษายน 2022 และการละเมิดครั้งแรกเกิดขึ้นเพียงไม่กี่เดือนต่อมาในเดือนสิงหาคม 2022 บริษัทน่าจะอยู่ในโหมดวิกฤติตั้งแต่นั้นเป็นต้นมา และขอบเขตของการเปลี่ยนแปลง (รวมถึงการละเมิดที่เกิดขึ้นจริงด้วย!) แสดงว่าท่าทางการรักษาความปลอดภัยก่อนหน้านี้มีปัญหา เราหวังว่าตอนนี้ผู้ใหญ่จะรับผิดชอบและกำลังดำเนินการตามขั้นตอนที่ถูกต้องเพื่อป้องกันการละเมิดในอนาคต
การเปลี่ยนไปใช้ 1Password จาก LastPass และ Authy
นอกเหนือจากการระคายเคืองของฉันด้วยอินเทอร์เฟซและฟังก์ชันการทำงานของ LastPass และความน่าเชื่อถือ การละเมิดคือฟางเส้นสุดท้าย ดังนั้นฉันจึงเปลี่ยนไปใช้ 1Password และ นำเข้าข้อมูลของฉันจาก LastPass ฉันเลือกวิธีการส่งออกข้อมูลจาก LastPass และนำเข้าสู่ 1Password เนื่องจากความสามารถในการนำเข้าโดยตรงของ 1Password ไม่ทำงานหากคุณเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัยใน LastPass ฉันไม่สบายใจที่จะปิดการใช้งานแม้เพียงชั่วคราว
ฉันยังไม่พร้อมที่จะลบข้อมูลทั้งหมดออกจาก LastPass แต่นั่นอยู่ในรายการของฉันเมื่อฉันมั่นใจว่า 1Password มีความสามารถทั้งหมดที่ฉันต้องการ. ฉันรู้ว่าบางคนไม่พอใจกับการเปลี่ยนแปลงใน 1Password 8 แต่ในฐานะคนที่ไม่ได้ใช้เวอร์ชันก่อนหน้าเป็นพิเศษ แม้ว่าจะไม่สมบูรณ์แบบ แต่ 1Password นั้นสวยงามกว่า LastPass อย่างเห็นได้ชัด ซึ่งไม่เคยมอบประสบการณ์ใด ๆ ที่คล้ายกับ Mac หรือ iOS แบบดั้งเดิม โดยเฉพาะอย่างยิ่งในช่วงสองสามสัปดาห์ที่ผ่านมาฉันใช้ LastPass เมื่อรู้สึกว่าบริษัทกำลังทำการเปลี่ยนแปลงอย่างรวดเร็วเพื่อแสดงให้ผู้ใช้เห็นว่ากำลังทำอะไรบางอย่าง
ฉันชอบใช้ Apple Watch เป็นพิเศษเพื่อ ปลดล็อก 1Password บน iMac รุ่น 27 นิ้วปี 2020 ของฉัน และนาฬิกาหรือ Touch ID ของฉันบน MacBook Air M1 ของฉัน LastPass แนะนำการยืนยันตัวตนแบบหลายปัจจัยบนแอปมาระยะหนึ่งแล้ว แต่มันไม่เคยยอมรับอินพุตจากแอป watchOS ของมันอย่างถูกต้อง ทำให้ฉันต้องดึง iPhone ออกมาทุกครั้งเพื่อยืนยันการเข้าสู่ระบบในแอป iOS ในภายหลัง ฉันได้รีเซ็ตการยืนยันตัวตนแบบหลายปัจจัยของ LastPass เพื่อใช้รหัสผ่านแบบใช้ครั้งเดียวแบบอิงตามเวลาปกติ (TOTP) ที่ฉันจัดเก็บไว้ใน 1Password ซึ่งจะเติมให้อัตโนมัติทุกครั้งที่ฉันลงชื่อเข้าใช้ LastPass บน Mac ของฉัน ซึ่งเป็นการปรับปรุงที่แตกต่างจากการแตะปุ่ม ในแอป iPhone ของ LastPass
การสนับสนุน 1Password สำหรับ TOTP ถือเป็นชัยชนะครั้งใหญ่ ฉันเริ่มใช้แอปตรวจสอบสิทธิ์ตั้งแต่เนิ่นๆ เมื่อ Google Authenticator เป็นเกมเดียวในเมืองนี้ เมื่อฉันรู้ว่าข้อมูลของเครื่องจะไม่ถ่ายโอนไปยัง iPhone เครื่องใหม่ (ตอนนี้สามารถสแกนรหัส QR บนอุปกรณ์เครื่องเก่าได้แล้ว) ฉันจึงเปลี่ยนไปใช้ Authy ซึ่งทำงานได้ในระดับที่ยอมรับได้และซิงค์กับ Mac, iPhone และ iPad ของฉัน (ฉันลองใช้ LastPass Authenticator ในช่วงสั้น ๆ แต่ใช้ได้เฉพาะกับ iPhone และ iPad และฉันเกลียดการเปลี่ยนไปใช้ iPhone เมื่อเข้าสู่ระบบบน Mac)
Authy ให้ แอป Authy Desktop สำหรับ Mac แต่ทุกครั้งที่ฉันต้องการลงชื่อเข้าใช้บัญชีที่ต้องใช้การตรวจสอบสิทธิ์สองปัจจัย ฉันต้องเปิดใช้ Authy Desktop ค้นหาเว็บไซต์ (ฉัน มี 28 บัญชี) ให้คลิกปุ่มเพื่อคัดลอกโค้ด เปลี่ยนกลับไปเป็นเว็บเบราว์เซอร์ของฉัน แล้ววางโค้ด ฉันคิดเกี่ยวกับการทำให้กระบวนการเป็นอัตโนมัติด้วย Keyboard Maestro แต่มันคงไม่มีอะไรมากไปกว่าการคลิกลิงที่เปราะบาง วิธีที่ 1Password เติม TOTP โดยอัตโนมัติเนื่องจากขั้นตอนถัดไปในกระบวนการเข้าสู่ระบบนั้นช่วยบรรเทาได้มาก
(Glenn Fleishman เตือนฉันว่าคุณสามารถเลือกใช้การรองรับหลายแพลตฟอร์มของ Apple สำหรับ TOTP แทนได้ แต่ ที่ทำงานเฉพาะใน Safari ใน macOS หากคุณใช้เบราว์เซอร์หรือแอพอื่น คุณต้องเปิด Safari > Preferences > Passwords หรือบานหน้าต่างการตั้งค่า/การตั้งค่ารหัสผ่าน ตรวจสอบสิทธิ์ ค้นหา คลิก และคัดลอก ดูบทความของเขา “Add Two-แฟกเตอร์โค้ดในการป้อนรหัสผ่านใน iOS 15, iPadOS 15 และ Safari 15” 7 ตุลาคม 2021 และแน่นอนว่าจะมีช่องโหว่ทั้งหมดของพวงกุญแจ iCloud หาก iPhone และรหัสผ่านของคุณถูกขโมย โปรดดู “ขโมยกับ iPhone ของคุณได้อย่างไร รหัสผ่านสามารถทำลายชีวิตดิจิทัลของคุณได้” 26 กุมภาพันธ์ 2023)
การย้ายการตั้งค่าการตรวจสอบสิทธิ์แบบสองปัจจัยของฉันจาก Authy เป็น 1Password นั้นยุ่งยากและใช้เวลานาน Amazon Web Services เป็นบริการเดียวที่อนุญาตให้ฉันลงทะเบียน 1Password เป็นอุปกรณ์ตรวจสอบสิทธิ์เพิ่มเติม สำหรับบัญชีอื่นๆ ทั้งหมด ฉันต้องรีเซ็ตการตรวจสอบสิทธิ์แบบสองปัจจัยหรือปิดและเปิดใหม่อีกครั้ง ภัยคุกคามจากการถูกล็อคบัญชีโดยสิ้นเชิงนั้นน่ากลัว ดังนั้นฉันจึงระมัดระวังในการเพิ่ม TOTP ใหม่ให้กับทั้ง 1Password และ Authy (อีกครั้ง) ก่อนที่ฉันจะลบบัญชีเก่าใน Authy แม้ว่าฉันจะไม่คาดหวังว่าจะใช้ Authy หลังจากที่ฉันตั้งค่าทุกอย่างใน 1Password แล้ว แต่ก็รู้สึกเหมือนเป็นข้อมูลสำรองที่มีประโยชน์หากการจัดเก็บ TOTP ใน 1Password ควบคู่ไปกับข้อมูลประจำตัวของบัญชีรู้สึกว่าเป็นปัญหา อย่าลืมบันทึกรหัสแบบใช้ครั้งเดียวหรือ”เกา”หากเว็บไซต์เสนอให้เมื่อเปิดใช้การยืนยันตัวตนแบบสองปัจจัย โค้ดเหล่านี้สามารถช่วยชีวิตได้หากคุณมีปัญหา TOTP
เช่นเดียวกับการรายงานข่าวของ Wall Street Journal จากการขโมยรหัสผ่านของ iPhone ฉันพบว่าการละเมิด LastPass เป็นโอกาสในการทบทวนวิธีการรักษาความปลอดภัยรหัสผ่านของฉันใหม่ ฉันไม่พอใจกับ LastPass อย่างสิ้นเชิงก่อนที่จะเกิดการละเมิด แต่ไม่สามารถรวบรวมความกระตือรือร้นในการเปลี่ยนได้ ด้วยการล้างข้อมูลที่ซ้ำกันและปัญหาอื่นๆ ใน 1Password โดยธรรมชาติ เนื่องจากฉันจำเป็นต้องใช้เว็บไซต์ที่เกี่ยวข้อง ฉันจึงสามารถจัดการกับงานที่อาจใหญ่หลวงเกินไปที่จะเผชิญหน้าทั้งหมดได้ในคราวเดียว—ฉันมีข้อมูลการเข้าสู่ระบบมากกว่า 900 รายการ ในที่สุด ฉันจะจัดการรหัสผ่านได้ดีขึ้นกว่าที่เคย
แต่ฉันก็ยังยินดีหากรหัสผ่านรองรับ โปรดดู “ทำไมรหัสผ่านถึงง่ายกว่าและปลอดภัยกว่ารหัสผ่าน” 27 มิถุนายน 2022 —แพร่หลายอย่างรวดเร็วจนฉันไม่ต้องการรหัสผ่านที่น่ารังเกียจเหล่านี้!