LastPass ужесточает требования к мастер-паролям

Служба управления паролями LastPass теперь требует от некоторых своих пользователей выбирать более длинные мастер-пароли. LastPass объясняет, что изменения необходимы для того, чтобы все клиенты были защищены их последними улучшениями безопасности. Однако критики утверждают, что это шаг имеет мало общего с улучшением безопасности и больше похож на пиар-ход, который не поможет многим ранним пользователям, чьи хранилища паролей были раскрыты в ходе нарушения безопасности в 2022 году.

Ранее на этой неделе LastPass отправил уведомление пользователям, в котором сообщалось, что им придется обновить свой мастер-пароль, если его длина менее 12 символов. Официально это изменение было введено еще в 2018 году, но некоторое неопределенное количество ранних клиентов компании так и не были обязаны увеличивать длину своих мастер-паролей.

В ноябре 2022 года LastPass сообщил о нарушении безопасности, в ходе которого хакеры украли хранилища паролей, содержащие как зашифрованные, так и открытые данные более чем для 25 миллионов пользователей. С тех пор ряд экспертов в области безопасности пришли к выводу, что злоумышленники, вероятно, смогли взломать некоторые из украденных хранилищ LastPass, что привело к кражам криптовалюты на сумму в шесть цифр.

Критики, включая создателя Adblock Plus Владимира Паланта, заявляют, что последние действия LastPass являются лишь пиар-трюком. Палант отметил, что многие старые пользователи LastPass не были обновлены до более безопасных настроек шифрования, предлагаемых новым пользователям на протяжении последних лет. Например, количество "итераций" (сколько раз мастер-пароль проходит через процедуры шифрования компании) для многих старых пользователей изначально было от "1" до "500", в то время как для новых пользователей с 2013 года это значение составляло 5000 итераций по умолчанию.

Палант также отметил, что последние изменения не помогут пользователям, пострадавшим от нарушения безопасности в 2022 году, и рекомендовал всем изменить все свои пароли, что LastPass до сих пор не рекомендует.

Генеральный директор LastPass Карим Тубба заявил, что изменение длины мастер-пароля (или самого мастер-пароля) не предназначено для решения проблем с уже украденными хранилищами, которые находятся в офлайн-режиме. Это предназначено для лучшей защиты онлайн-хранилищ пользователей и для того, чтобы они привели свои учетные записи в соответствие со стандартными настройками LastPass 2018 года, предусматривающими минимальную длину мастер-пароля в 12 символов.

Эксперты подчеркивают, что все ставки снимаются, когда киберпреступники могут получить доступ к зашифрованным данным хранилища, что позволяет проводить "внеочередные" атаки с помощью мощных компьютеров, каждый из которых может пытаться угадать пароль миллионы раз в секунду.