LastPass bugün müşterilerine, hesaplarının güvenliğini artırmak için artık minimum 12 karakterden oluşan karmaşık ana şifreler kullanmaları gerektiğini bildirdi.
LastPass, 2018’den bu yana 12 karakterlik ana şifre zorunluluğunun olduğunu defalarca söylese de, kullanıcılar daha zayıf bir şifre kullanma olanağına sahip oldu.
LastPass, “Geçmişte, 2018’den bu yana LastPass’ın varsayılan ayarı 12 karakterli ana şifre olsa da, müşteriler hâlâ önerilen varsayılan ayarlardan vazgeçip isterlerse daha az karakterli bir ana şifre oluşturmayı seçebiliyorlardı.” bugün yeni bir duyuruda söyledi.
LastPass, Nisan 2023’ten bu yana yeni hesaplar veya şifre sıfırlamalar için 12 karakterlik ana şifre zorunluluğunu uygulamaya başladı, ancak eski hesaplar yine de 12 karakterden az şifreler kullanabilir. LastPass, bu aydan itibaren tüm hesaplar için 12 karakterlik ana şifre zorunluluğunu zorunlu kılıyor.
Ayrıca LastPass, yeni veya güncellenmiş ana şifrelerin, halihazırda güvenliği ihlal edilmiş hesaplarla eşleşmediklerinden emin olmak için daha önce karanlık ağda sızdırılmış bir kimlik bilgileri veritabanına göre kontrol etmeye başlayacağını da sözlerine ekledi.
Bir eşleşme bulunursa, müşteriler bir güvenlik uyarısı açılır penceresi aracılığıyla uyarılacak ve gelecekteki şifre kırma girişimlerini engellemek için başka bir şifre seçmeleri istenecektir.
Hesap güvenliğini artırmaya yönelik aynı çabanın bir parçası olarak LastPass, Mayıs 2023’te zorunlu çok faktörlü kimlik doğrulama (MFA) yeniden kayıt sürecini başlattı ve bu, birçok kullanıcının önemli oturum açma sorunları yaşamasına ve hesaplarının kilitlenmesine yol açtı.
LastPass Kıdemli Baş İstihbarat Analisti Mike Kosak, “Bu değişiklikler, müşterilerin önerilen en iyi uygulamaları karşılamak için ana şifre uzunluklarını ve karmaşıklıklarını güncellemelerini gerektirmeyi ve müşterilerin çok faktörlü kimlik doğrulamalarını (MFA) yeniden kaydetmelerini istemeyi içeriyor” dedi. .
“Ocak 2024’ten itibaren LastPass, tüm müşterilerin en az 12 karakterden oluşan bir ana şifre kullanmasını zorunlu kılacak.
“Önümüzdeki ay, LastPass, şifrenin daha önce Dark Web’de açığa çıkmadığından emin olmak için, bilinen ihlal edilmiş kimlik bilgilerinin yer aldığı bir veritabanına karşı yeni veya sıfırlanan ana şifreleri anında kontrol etmeye başlayacak.”
LastPass, BleepingComputer’a, B2C müşterilerinin bu değişikliklerle ilgili e-postaları bugün almaya başlayacağını, B2B müşterilerinin ise bunları 10 Ocak’ta alacağını söyledi.
Ana şifreler 2022 ihlalinden sonra kırıldı
Bu önlemler, LastPass’ın Ağustos 2022 ve Kasım 2022’de açıklanan iki güvenlik ihlalinin doğrudan sonucudur.
Ağustos ayında şirket, saldırganların bir yazılım mühendisinin kurumsal dizüstü bilgisayarına sızmasının ardından, geliştirici ortamının güvenliği ihlal edilmiş bir geliştirici hesabı aracılığıyla ihlal edildiğini doğruladı. İhlal sırasında kaynak kodunu, teknik bilgileri ve bazı LastPass dahili sistem sırlarını çaldılar.
Bu olayda çalınan bilgiler daha sonra Aralık ayındaki ihlalde tehdit aktörleri tarafından kullanıldı ve üst düzey bir DevOps mühendisinin bilgisayarını bir keylogger yüklemek için uzaktan kod yürütme güvenlik açığı kullanarak tehlikeye attıktan sonra şifrelenmiş Amazon S3 klasörlerinden müşteri kasası verilerini çaldılar.
Ekim 2023’te bilgisayar korsanları, LastPass’in 2022 ihlallerinde çalınan LastPass veritabanlarından alabilecekleri özel anahtarları ve parolaları kullanarak 25’ten fazla kurbandan 4,4 milyon dolar değerinde kripto para birimi çaldı.
MetaMask geliştiricisinin araştırmasına göre Taylor Monahan Ve ZachXBTTehdit aktörlerinin artık şifreye erişim sağlamak için çalınan LastPass ana şifrelerini kırdığına inanılıyor.
Bu erişimi kullanarak, tehdit aktörleri kripto para cüzdanı parolalarını, kimlik bilgilerini ve özel anahtarları arar ve bunları kullanarak cüzdanları kendi cihazlarına yükleyerek tüm fonları boşaltır.
LastPass, şifre yönetimi çözümünün şu anda dünya çapında 33 milyondan fazla kişi ve 100.000 işletme tarafından kullanıldığını söylüyor.