Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Macie backup Waszych haseł? Niedostępność managera LastPass

11 czerwca 2024, 09:05 | W biegu | komentarzy 5

Wybór menedżera haseł to bardzo ważna życiowa decyzja z punktu widzenia higieny poświadczeń w Internecie (o tym jak używać popularnego KeePassXC możecie przeczytać na sekuraku). Na rynku jest wiele dostępnych rozwiązań, od darmowych i otwartoźródłowych po usługi dostarczane przez firmy trzecie. Wybór jednych albo drugich ma swoje wady i zalety, dlatego każdy powinien przeprowadzić swój własny proces modelowania zagrożeń i wybrać takie rozwiązanie, które najlepiej wpisuje się w wymagane kryteria. Menedżery haseł zarządzane przez firmy trzecie wymagają zaufania do dostawcy takich rozwiązań (nie to, żeby KeePass czy inne były pozbawione wad…), a użytkownicy dzielący się swoimi sekretami (w formie zaszyfrowanej!), mogą łatwo zrewidować swoje decyzje i skierować się do rozwiązań alternatywnych. Zwłaszcza w momencie, gdy nie mogą się zalogować do swoich kont.

Ta sytuacja rzeczywiście miała miejsce i dotknęła użytkowników LastPassa, który ostatnio nie ma szczęścia. Przez ponad 12 godzin osoby korzystające z sejfów na poświadczenia tej firmy nie mogły zalogować się na swoje konto i rozszyfrować przechowywanych haseł. Powodem takiego stanu rzeczy był „atak” DDoS przeprowadzony przez… wtyczkę LastPassa (oryginalną), która po aktualizacji wykonywała dużo zapytań do infrastruktury firmy, odcinając od usług swoich użytkowników. 

Sytuacja ta pokazuje, że awaryjny plan działania (ang. contingency plan) nie jest tylko kwestią dostawcy usług, ale także samych użytkowników. Świadomość ograniczeń wykorzystywanych rozwiązań pomaga przygotować się zawczasu na problemy, które mogą wystąpić w trakcie korzystania z określonych usług. Jeśli więc korzystacie ze swojego menedżera haseł w chmurze, upewnijcie się, że regularnie tworzycie bezpieczne kopie zapasowe swoich haseł, by nie zostać odciętym od swoich kont w momencie awarii operatora chmury. Użytkownicy lokalnych menedżerów haseł również powinni zadbać o regularność backupów, ponieważ uszkodzenie bazy danych czy też samych nośników, na których jest ona przechowywana nie należą do zdarzeń wyjątkowo nieprawdopodobnych… Mimo tej delikatnej niewygody, warto zainwestować swój czas w wybór i poprawne wdrożenie password managera, ponieważ rozwiązuje on większość problemów dotyczących poświadczeń po stronie użytkownika. 

~fc

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Lukasz

    Bezpieczniej jest przesiąść się na Bitwardena czy Proton Pass, trzymają bazy lokalnie, więc jest lepiej.

    Odpowiedz
  2. Kacper

    Trzeba być nie lada kretynem żeby korzystać z chmury do takich rzeczy.
    Plus do tego za to płacić.
    Przecież istnieje darmowy Keepass. Z lokalna, offline wersja bibliotek haseł.
    Zawsze dostępny, bezpieczny, darmowy.

    Odpowiedz
  3. Adam

    Tylko i wyłącznie KeePass i mam hasła pod swoją kontrolą

    Odpowiedz
  4. Krzysztof

    Używanie LastPass w 2024, po jego wielkich kompromitacjach parę lat temu, to głupota.

    Odpowiedz
  5. MoniaK

    Po co używać managerów haseł, jak są lepsze rozwiązania, typu LessPass?

    Odpowiedz

Odpowiedz