Hur du skyddar dig mot den nya hotet om dataintrång Lastpass

Igår var det riktiga sättet att stjäla data detekteras från den populära Lastpass Password Manager. Vi rekommenderar att du läser den här artikeln för att inte falla för betet.

Vi använder en mängd olika onlinetjänster och webbapplikationer, som vart och ett är nödvändigt av säkerhetsskäl att ha olika användarnamn och lösenord. Förvara dem alla i huvudet är omöjligt, så mycket utbredda lösenord chefer. De ger säker förvaring och bekväm användning av användarnamn och lösenord inte bara till onlinetjänster, men också att betalningssystemen, bankkonton och så vidare. Därför kan läckage eller hacking av lösenord manager vara ett stort problem för många användare.

En av de mest populära program av detta slag är Lastpass. Det är verkligen en utmärkt lösning som har klarat tidens tand och många attacker från hackare. I går dock en expert på datasäkerhet Shaun Cassidy (Sean Cassidy) har visat sig vara möjligt att nätfiskeattacker på Lastpass. Han fyndigt kallade det LostPass (förlorade lösenord).

Kort sagt, sårbarheter hittas som följer. Först lockar en angripare dig till en webbplats som montrar falska (!) En meddelande om att din session har gått ut och du måste logga in igen. Du har förmodligen sett dessa e-postmeddelanden från Lastpass.

Eftersom falska anmälan klicka på Try Again knapp tar dig med på ett specialtillverkat sida som ser ut precis som ett standardformulär för att ange inloggnings och lösenord Lastpass. Hon även adress kommer att vara nästan densamma, som vanligtvis har officiella webbsidor öppnas av dina installerade tillägg. Med undantag för en liten detalj som jag har markerat i skärmdumpen. Jag är säker på att de flesta användare inte uppmärksamma sådana bagateller ingen uppmärksamhet.

Därefter du anger på den här sidan, ditt användarnamn och lösenord för att logga in Lastpass, och de omedelbart falla i händerna på hackare. Som ett resultat av de senare får tillgång till alla dina webbplatser och kontouppgifter. Attacken fungerar även om du har aktiverat tvåfaktorsautentisering endast sekvens av åtgärder hacker blir ytterligare ett steg. Mer information om arbetet kan läsas LostPass här (På engelska).

Naturligtvis har en fråga, hur man skydda sig mot denna risk. Medan Lastpass utvecklare inte vidta åtgärder för att förhindra en sådan phishing attack, kan användare tillfälligt inaktivera webbaserat förlängning av den här tjänsten. Ja, det är obekvämt och att du måste manuellt kopiera dina lösenord med Lastpass webbsida. Ett mer radikalt alternativ skulle vara att hitta en likvärdig alternativ att lagra lösenord och känslig data.

Har du fortfarande använda Lastpass eller har redan gått över till någon annan lösenord manager?