ถูกเจาะ !! LastPass ระบบจัดการรหัสผ่านออนไลน์

เมื่อต้นสัปดาห์ที่ผ่านมา LastPass บริษัทผู้ให้บริการระบบบริหารจัดการรหัสผ่านออนไลน์ได้ออกมาแจ้งเตือนลูกค้าและผู้ใช้งานให้รีบทำการเปลี่ยน Master Password ของตน เนื่องจากหลังการตรวจสอบเหตุการณ์ที่น่าสงสัยเมื่อวันศุกร์ทีผ่านมา มีความเป็นไปได้ที่ระบบจะถูกเจาะ

ไม่พบร่องรอยการขโมยรหัสผ่านโดยตรง

จากการตรวจสอบเหตุการณ์ต้องสงสัยเมื่อวันศุกร์ที่ผ่านมา ไม่พบว่ามีหลักฐานใดๆที่แสดงว่าผู้ไม่ประสงค์ดีสามารถขโมยข้อมูลรหัสผ่านซึ่งถูกเข้ารหัสอยู่ในระบบตู้นิรภัย (Password Vault) รวมทั้งไม่พบเบาะแสการเข้าถึงชื่อบัญชีของผู้ใช้ อย่างไรก็ตาม ผู้ไม่ประสงค์ดีสามารถขโมยอีเมลล์ของผู้ใช้, Password Reminders, Server per User Salts และ Authentication Hashes ออกไปได้

ข้อมูลที่ได้ไปอาจบ่งชี้ถึง Master Password

ข้อมูล 2 ชุดหลัง (Server per User Salts และ Authentication Hashes) มีความเป็นไปได้ที่จะช่วยให้แฮ็คเกอร์สามารถเจาะ Master Password ที่ไม่แข็งแกร่งเพียงพอได้ แต่ทาง Joe Siegrist กรรมการผู้จัดการของ LastPass ระบุว่า ระบบป้องกันภัยของ LastPass ที่ใช้การแฮช PBKDF2-SHA256 ถึง 100,000 rounds ช่วยป้องกันไม่ให้แฮ็คเกอร์สามารถแกะข้อมูลเหล่านั้นออกมาเป็น Master Password ได้โดยง่าย ต่อให้มีระบบคอมพิวเตอร์ความเร็วสูงก็ตาม

แนะนำให้ทำการเปลี่ยน Master Password

LastPass แนะนำให้ผู้ที่ใช้งานทำการตั้งค่า Master Password สำหรับระบบตู้นิรภัยใหม่ รวมถึงทำการยืนยันอุปกรณ์และหมายเลข IP ของผู้ใช้ที่ทำการล็อคอินเข้าสู่ระบบผ่านทางอีเมลล์ ในกรณีที่ผู้ใช้ไม่ได้เลือกทำการพิสูจน์ตัวตนแบบ 2-Factor Authentication

เกี่ยวกับ LastPass

LastPass เป็นระบบออนไลน์สำหรับช่วยผู้ใช้งานในการเก็บรหัสผ่านของหลายๆเว็บไซต์ไว้ด้วยกัน และจัดการล็อกอินเข้าสู่เว็บไซต์เหล่านั้นได้โดยอัตโนมัติโดยที่ผู้ใช้งานไม่จำเป็นต้องจดจำรหัสผ่านของแต่ละเว็บไซต์ นอกจากนี้ LastPass ยังมีเครื่องมือช่วยสร้างรหัสผ่านที่แข็งแกร่งซึ่งประกอบด้วยข้อความที่ซับซ้อน และผู้ใช้งานเพียงจำแค่ Master Password สำหรับใช้บริการระบบทั้งหมดเท่านั้น ที่สำคัญคือ LastPass ให้บริการฟรีแก่ผู้ใช้งานทั่วไป ส่งผลให้ LastPass เป็นหนึ่งในระบบบริหารจัดการรหัสผ่านยอดนิยมตัวหนึ่ง

 

ที่มา: http://www.networkworld.com/article/2936273/online-password-locker-lastpass-hacked.html