Kuinka suojautua uudelta LastPass-hakkerointiuhalta

2024 Kirjoittaja: Malcolm Clapton | [email protected]. Viimeksi muokattu: 2023-12-17 03:55

Eilen löydettiin todellinen tapa varastaa tietoja suositusta LastPass-salasanojen hallinnasta. Suosittelemme, että luet tämän artikkelin, jotta et lankea syöttiin.

Käytämme monia verkkopalveluita ja verkkosovelluksia, joista jokainen vaatii turvallisuussyistä erilaisia kirjautumistunnuksia ja salasanoja. On mahdotonta pitää niitä kaikkia päässäsi, minkä vuoksi salasanojen hallintaohjelmat ovat yleisiä. Ne tarjoavat luotettavan tallennuksen ja kätevän kirjautumistunnusten ja salasanojen käytön paitsi verkkopalveluissa, myös maksujärjestelmissä, pankkitileissä ja niin edelleen. Siksi tällaisen salasanan hallinnan vuotamisesta tai murtamisesta voi tulla suuri ongelma monille käyttäjille.

Yksi suosituimmista tämän tyyppisistä sovelluksista on LastPass. Tämä on todella loistava ratkaisu, joka on kestänyt ajan kokeen ja lukuisat hakkerihyökkäykset. Kuitenkin eilen tietoturva-asiantuntija Sean Cassidy havaitsi mahdollisen tietojenkalasteluhyökkäyksen LastPassia vastaan. Hän antoi sen taitavasti nimeksi LostPass (kadonneet salasanat).

Lyhyesti sanottuna löydetty haavoittuvuus näyttää tältä. Ensin hyökkääjä houkuttelee sinut sivustolleen, joka näyttää väärennetyn (!) ilmoituksen, että istuntosi on vanhentunut ja sinun on kirjauduttava uudelleen sisään. Olet luultavasti nähnyt vastaavia LastPass-ilmoituksia.

Koska ilmoitus on väärennös, Yritä uudelleen -painikkeen napsauttaminen vie sinut erityisesti laaditulle sivulle, joka näyttää täsmälleen tavalliselta LastPass-kirjautumis- ja salasanalomakkeelta. Sillä on jopa lähes sama osoite kuin asennettujen laajennusten avaamilla selainpalvelusivuilla yleensä. Lukuun ottamatta pientä yksityiskohtaa, jonka olen korostanut kuvakaappauksessa. Olen varma, että useimmat käyttäjät eivät kiinnitä huomiota tällaiseen pikkuasioihin.

Seuraavaksi kirjoitat käyttäjätunnuksesi ja salasanasi tälle sivulle kirjautuaksesi LastPassiin, ja ne joutuvat välittömästi hakkereiden käsiin. Tämän seurauksena jälkimmäisillä on täysi pääsy kaikkiin sivustoihisi ja käyttöoikeustietoihisi. Hyökkäys toimii, vaikka kaksivaiheinen todennus olisi käytössä, vain hakkerin toimintosarja on askeleen pidemmälle. Voit lukea lisää LostPassin toiminnasta (englanniksi).

Tietenkin ihmettelet, kuinka voit suojautua tältä vaaralta. Kunnes LastPassin kehittäjät ryhtyvät toimiin tällaisten tietojenkalasteluhyökkäysten estämiseksi, käyttäjät voivat tilapäisesti poistaa tämän palvelun selainlaajennuksen käytöstä. Kyllä, tämä on hankalaa ja pakottaa sinut kopioimaan vaaditut salasanat manuaalisesti LastPass-verkkosivulta. Radikaalimpi vaihtoehto on löytää vastaava vaihtoehto salasanojen ja luottamuksellisten tietojen tallentamiseen.

Käytätkö edelleen LastPassia vai oletko vaihtanut toiseen salasanahallintaan?