Macie backup Waszych haseł? Niedostępność managera LastPass

Wybór menedżera haseł to bardzo ważna życiowa decyzja z punktu widzenia higieny poświadczeń w Internecie (o tym jak używać popularnego KeePassXC możecie przeczytać na sekuraku). Na rynku jest wiele dostępnych rozwiązań, od darmowych i otwartoźródłowych po usługi dostarczane przez firmy trzecie. Wybór jednych albo drugich ma swoje wady i zalety, dlatego każdy powinien przeprowadzić swój własny proces modelowania zagrożeń i wybrać takie rozwiązanie, które najlepiej wpisuje się w wymagane kryteria. Menedżery haseł zarządzane przez firmy trzecie wymagają zaufania do dostawcy takich rozwiązań (nie to, żeby KeePass czy inne były pozbawione wad…), a użytkownicy dzielący się swoimi sekretami (w formie zaszyfrowanej!), mogą łatwo zrewidować swoje decyzje i skierować się do rozwiązań alternatywnych. Zwłaszcza w momencie, gdy nie mogą się zalogować do swoich kont.

Ta sytuacja rzeczywiście miała miejsce i dotknęła użytkowników LastPassa, który ostatnio nie ma szczęścia. Przez ponad 12 godzin osoby korzystające z sejfów na poświadczenia tej firmy nie mogły zalogować się na swoje konto i rozszyfrować przechowywanych haseł. Powodem takiego stanu rzeczy był „atak” DDoS przeprowadzony przez… wtyczkę LastPassa (oryginalną), która po aktualizacji wykonywała dużo zapytań do infrastruktury firmy, odcinając od usług swoich użytkowników. 

Sytuacja ta pokazuje, że awaryjny plan działania (ang. contingency plan) nie jest tylko kwestią dostawcy usług, ale także samych użytkowników. Świadomość ograniczeń wykorzystywanych rozwiązań pomaga przygotować się zawczasu na problemy, które mogą wystąpić w trakcie korzystania z określonych usług. Jeśli więc korzystacie ze swojego menedżera haseł w chmurze, upewnijcie się, że regularnie tworzycie bezpieczne kopie zapasowe swoich haseł, by nie zostać odciętym od swoich kont w momencie awarii operatora chmury. Użytkownicy lokalnych menedżerów haseł również powinni zadbać o regularność backupów, ponieważ uszkodzenie bazy danych czy też samych nośników, na których jest ona przechowywana nie należą do zdarzeń wyjątkowo nieprawdopodobnych… Mimo tej delikatnej niewygody, warto zainwestować swój czas w wybór i poprawne wdrożenie password managera, ponieważ rozwiązuje on większość problemów dotyczących poświadczeń po stronie użytkownika. 

~fc