ถูกเจาะ !! LastPass ระบบจัดการรหัสผ่านออนไลน์

lastpass_logo

เมื่อต้นสัปดาห์ที่ผ่านมา LastPass บริษัทผู้ให้บริการระบบบริหารจัดการรหัสผ่านออนไลน์ได้ออกมาแจ้งเตือนลูกค้าและผู้ใช้งานให้รีบทำการเปลี่ยน Master Password ของตน เนื่องจากหลังการตรวจสอบเหตุการณ์ที่น่าสงสัยเมื่อวันศุกร์ทีผ่านมา มีความเป็นไปได้ที่ระบบจะถูกเจาะ

ไม่พบร่องรอยการขโมยรหัสผ่านโดยตรง

จากการตรวจสอบเหตุการณ์ต้องสงสัยเมื่อวันศุกร์ที่ผ่านมา ไม่พบว่ามีหลักฐานใดๆที่แสดงว่าผู้ไม่ประสงค์ดีสามารถขโมยข้อมูลรหัสผ่านซึ่งถูกเข้ารหัสอยู่ในระบบตู้นิรภัย (Password Vault) รวมทั้งไม่พบเบาะแสการเข้าถึงชื่อบัญชีของผู้ใช้ อย่างไรก็ตาม ผู้ไม่ประสงค์ดีสามารถขโมยอีเมลล์ของผู้ใช้, Password Reminders, Server per User Salts และ Authentication Hashes ออกไปได้

ข้อมูลที่ได้ไปอาจบ่งชี้ถึง Master Password

ข้อมูล 2 ชุดหลัง (Server per User Salts และ Authentication Hashes) มีความเป็นไปได้ที่จะช่วยให้แฮ็คเกอร์สามารถเจาะ Master Password ที่ไม่แข็งแกร่งเพียงพอได้ แต่ทาง Joe Siegrist กรรมการผู้จัดการของ LastPass ระบุว่า ระบบป้องกันภัยของ LastPass ที่ใช้การแฮช PBKDF2-SHA256 ถึง 100,000 rounds ช่วยป้องกันไม่ให้แฮ็คเกอร์สามารถแกะข้อมูลเหล่านั้นออกมาเป็น Master Password ได้โดยง่าย ต่อให้มีระบบคอมพิวเตอร์ความเร็วสูงก็ตาม

แนะนำให้ทำการเปลี่ยน Master Password

LastPass แนะนำให้ผู้ที่ใช้งานทำการตั้งค่า Master Password สำหรับระบบตู้นิรภัยใหม่ รวมถึงทำการยืนยันอุปกรณ์และหมายเลข IP ของผู้ใช้ที่ทำการล็อคอินเข้าสู่ระบบผ่านทางอีเมลล์ ในกรณีที่ผู้ใช้ไม่ได้เลือกทำการพิสูจน์ตัวตนแบบ 2-Factor Authentication

เกี่ยวกับ LastPass

LastPass เป็นระบบออนไลน์สำหรับช่วยผู้ใช้งานในการเก็บรหัสผ่านของหลายๆเว็บไซต์ไว้ด้วยกัน และจัดการล็อกอินเข้าสู่เว็บไซต์เหล่านั้นได้โดยอัตโนมัติโดยที่ผู้ใช้งานไม่จำเป็นต้องจดจำรหัสผ่านของแต่ละเว็บไซต์ นอกจากนี้ LastPass ยังมีเครื่องมือช่วยสร้างรหัสผ่านที่แข็งแกร่งซึ่งประกอบด้วยข้อความที่ซับซ้อน และผู้ใช้งานเพียงจำแค่ Master Password สำหรับใช้บริการระบบทั้งหมดเท่านั้น ที่สำคัญคือ LastPass ให้บริการฟรีแก่ผู้ใช้งานทั่วไป ส่งผลให้ LastPass เป็นหนึ่งในระบบบริหารจัดการรหัสผ่านยอดนิยมตัวหนึ่ง

lastpass_1

 

ที่มา: http://www.networkworld.com/article/2936273/online-password-locker-lastpass-hacked.html

 


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

กลุ่ม RansomHouse ได้กล่าวอ้างถึงการโจรกรรมข้อมูล 450GB จาก AMD

บริษัท AMD ยักษ์ใหญ่ด้านเทคโนโลยีถูกโจมตีทางไซเบอร์ที่ปฏิบัติการโดยกลุ่มอาชญากรทางไซเบอร์ RansomHouse เมื่อเดือนมกราคมที่ผ่านมา ทำให้ข้อมูล 450GB สูญหาย  

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ