- Datainnbruddet hos LastPass og morselskapet GoTo understreker virkelig risikoen ved å benytte passord-apper som synkroniserer mot en felles sky, sier Martin Ingesen, passordknekker og daglig leder i pentester-selskapet Kovert, til kode24
GoTo, selskapet som eier passord-appen LastPass, bekreftet nylig at selskapet ble frastjålet kundedata i tillegg til LastPass sine passordhvelv av hackere i november 2022, ifølge The Verge.
Nettavisen skriver at dette er første gang GoTo uttaler seg om innbruddet siden 30.november. Flere av GoTos produkter er berørt, inkludert LastPass, Central, Pro, join.me, Hamachi og RemotelyAnywhere.
Ifølge GoTo-sjef Paddy Srinivasan skal en hacker ha "eksfiltrert krypterte sikkerhetskopier fra en tredjeparts skylagringstjeneste" og skaffet seg krypteringsnøkkelen for en del av dem, altså i november i fjor.
The Verge skriver at den stjålne informasjonen varierer fra produkt til produkt, men kan inkludere brukernavn, saltede og hashede-passord, multifaktorautentiserings-instillinger (MFA), samt noen produktinnstillinger og lisensinformasjon.
LastPass sin håndtering har fått ramsalt kritikk i en rekke medier. Kan vi virkelig stole på passord-apper lenger, eller må vi tilbake til penn og papir?
Varsler om flere sikkerhetshull i Git, ber alle oppdatere umiddelbart
Hele tilliten er redusert
Ifølge Martin Ingesen bygger ikke det han kaller for manglende kommunikasjon fra GoTo og LastPass tillit.
- Spesielt for et selskap du skal tiltro både dine private og bedriftspassord, sier han.
- Hva er det som har blitt gjort feil?
- Det er mye å kritisere LastPass for i dette. Både med tanke på hvor sent kundene ble informert om innbruddet, samt at det i ettertid har kommet informasjon om at passordene i hvelvene ikke alltid har blitt lagret så sterkt kryptert som de burde ha blitt, forteller han.
Ingesen legger til at med tanke på den siste pressemeldingen fra GoTO, så er det tydelig at det er en felles lagringskonto, som er bakgrunnen for selve lekkasjen.
- Dette betyr i praksis at tilliten til ikke bare LastPass, men hele GoTo, er sterkt redusert, og man burde vurdere hvorvidt man ønsker å benytte noen av tjenestene i GoTo-katalogen.
NSM advarer mot "YQK": - Kryptert data blir tilgjengelig i klartekst
Passordene dine er kompromittert
Dersom du har benyttet LastPass anser Ingesen passordene dine som kompromittert.
- Disse passordene må dermed byttes, og helst lagres i en annen passordapp.
Han legger til at når du først er i gang med arbeidet å logge inn over alt for å bytte passord, kan det være lurt å aktivere multifaktor hvor dette er mulig.
- I tillegg kan man kanskje vurdere om noen av kontoene kan avsluttes eller slettes, slik at man ikke trenger å uroe seg for den tjenesten i fremtiden, forteller han.
Se hvordan cyber-kriminelle nå bruker ChatGPT: - Det er skremmende enkelt
Passordapper er det beste vi har
- Det er lett å miste tiltroen til å ha alle passordene samlet på en plass. Kan vi fremdeles store på passordlagrere?
- Inntil videre vil jeg påstå at passordapper er det "beste vi har". Helst kombinert med multifaktor, gjerne fysiske hardwarenøkler som YubiKey. Det er en stor forskjell på LastPass sin skymodell og en passordapp som lagrer data offline eller i en egen sky, så vi skal ikke skjære alle over én kam her, sier Ingesen.
Han anbefaler på generelt grunnlag å benytte en passordapp hvor man selv kontrollerer hvor hvelvet blir lagret.
- Å benytte en passord-app synkronisert mot en felles sky vil alltid medføre en viss risiko for at angripere får økt interesse for den tjenesten. Det finnes jo andre selskaper som per nå ikke har hatt datainnbrudd som kjører på samme modell som LastPass. Og det er vanskelig å si noe om man burde bruke disse eller ikke, sier Ingesen.
Fikk tilgang til Slacks private GitHub-repoer - kildekode på avveie
Gjør din egen research
Ingesen mener at i en perfekt verden burde alle hvelv være fritt og åpent tilgjengelig, ettersom de er kryptert med så gode passord at man ikke klarer å åpne dem.
- Inntil videre er vi ikke der, og man må selv vurdere risikoen om man velger å stole på denne modellen eller ikke. Å anbefale en passordapp er alltid risikabelt, og jeg vil sterkt anbefale å gjøre litt egen research på området, sier han.
Selv bruker Ingesen Enpass, med synkronisering av hvelvet mot en skytjeneste slik at han har tilgang til egne passord på alle enheter.
- Jeg har vurdert det dithen at synk mot min private OneDrive, Google Drive, DropBox også videre er innenfor hva jeg anser som akseptabel risiko, forteller han.