Únik dat LastPass z roku 2022 vysvětlen: Co bylo ukradeno, co to znamená a jak přejít jinam
V srpnu / listopadu 2022 útočníci exfiltrovali cloudové zálohy LastPass včetně zašifrovaných uživatelských trezorů plus nezašifrovaných metadat. Tady je, co je zdokumentováno a co dělat teď, pokud stále máte účet LastPass.
Zdokumentovaná časová osa
Podle zveřejněných oznámení LastPass o incidentu: v srpnu 2022 útočníci kompromitovali počítač vývojáře LastPass a získali přístup ke zdrojovému kódu. V listopadu 2022 útočníci pomocí přihlašovacích údajů ze srpnového incidentu získali přístup k cloudovým zálohám v cloudovém úložišti třetí strany LastPass. Tyto zálohy obsahovaly zašifrované zákaznické trezory plus nezašifrovaná metadata — URL trezorů, e-mailové adresy účtů, fakturační údaje. LastPass odhalil krádež dat 22. prosince 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Co šifrování ve skutečnosti chrání
Trezory LastPass jsou šifrovány pomocí AES-256, přičemž klíč je z hlavního hesla odvozen pomocí PBKDF2. Síla ochrany závisí na (a) entropii hlavního hesla a (b) počtu iterací PBKDF2. Výchozí počet iterací PBKDF2 u LastPass byl u starých účtů 5 000, než byl v roce 2018 zvýšen na 100 100. Účty vytvořené před rokem 2018 mohou mít stále nízký počet iterací, pokud uživatel ručně neprovedl aktualizaci — oznámení LastPass o incidentu to dokumentují. Slabé hlavní heslo s nízkým počtem iterací lze offline prolomit hrubou silou; silné hlavní heslo se 100 100+ iteracemi se současným hardwarem prolomit nelze.
Co dělat, pokud máte nebo jste měli účet LastPass
Krok 1: Exportujte svůj trezor LastPass z webové konzole (Nastavení → Pokročilé možnosti → Exportovat). Krok 2: Naimportujte ho do Bitwarden nebo 1Password (oba mají přímé importéry LastPass dokumentované na bitwarden.com/help/import-from-lastpass a 1password.com/help). Krok 3: Vyměňte hesla u každého účtu s vysokými náklady na odhalení — finanční, e-mail, hlavní sociální sítě. Krok 4: Zapněte 2FA u každého účtu, který to podporuje. Krok 5: Smažte účet LastPass z webové konzole. Pokud bylo vaše hlavní heslo silné (12+ náhodných znaků nebo passphrase z 6+ slov), je zašifrovaný trezor výpočetně bezpečný; výměna je preventivní opatření. Pokud bylo vaše hlavní heslo slabé, považujte cenné účty za kompromitované.
Proč únik zasáhl celou kategorii správců hesel, nejen LastPass
Únik dat LastPass přiměl bezpečnostní výzkumníky pečlivěji prozkoumat architektonická rozhodnutí napříč celou kategorií. Dvě konkrétní poznatky: (1) Počty iterací šifrování nejsou všechny stejné — rozdíl mezi 5 000 a 100 100 iteracemi PBKDF2 je velký. Argon2id (moderní KDF, kterou používá Bitwarden a další) je opět výrazně silnější. (2) Odhalení metadat (URL účtů, e-mailové adresy) je reálná újma na soukromí, i když obsah trezoru zůstává zašifrovaný, protože metadata pomáhají útočníkovi prioritizovat cíle. Moderní auditovaní správci omezují metadata ve vrstvě dat v klidu.
Zdroje
Oficiální oznámení LastPass o incidentu: blog.lastpass.com/posts/notice-of-recent-security-incident. Importér LastPass v Bitwarden: bitwarden.com/help/import-from-lastpass. Nápověda 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Všechny URL navštíveny 2026-04-30.