LastPass-innbrotið 2022 útskýrt: hverju var stolið, hvað það þýðir og hvernig á að flytja sig burt
Í ágúst / nóvember 2022 síuðu árásaraðilar út skýjaafrit LastPass, þar á meðal dulkóðaðar hvelfingar notenda auk ódulkóðaðra lýsigagna. Hér er það sem skjalfest er og hvað á að gera núna ef þú átt enn LastPass-reikning.
Skjalfest tímalína
Samkvæmt birtum atvikstilkynningum LastPass: í ágúst 2022 brutust árásaraðilar inn í vél þróunaraðila hjá LastPass og fengu aðgang að frumkóða. Í nóvember 2022 notuðu árásaraðilar auðkenni úr ágústatvikinu til að fá aðgang að skýjaafritum í skýjageymslu þriðja aðila hjá LastPass. Þessi afrit innihéldu dulkóðaðar hvelfingar viðskiptavina auk ódulkóðaðra lýsigagna — vefslóðir hvelfinga, tölvupóstföng reikninga, greiðsluupplýsingar. LastPass greindi frá gagnaþjófnaðinum 22. desember 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Hvað dulkóðunin ver í raun
LastPass-hvelfingar eru dulkóðaðar með AES-256, þar sem lykillinn er leiddur af meistaralykilorðinu með PBKDF2. Styrkur varnarinnar veltur á (a) óreiðu meistaralykilorðsins og (b) ítrunarfjölda PBKDF2. Sjálfgefinn ítrunarfjöldi PBKDF2 hjá LastPass var 5.000 fyrir eldri reikninga áður en hann var hækkaður í 100.100 árið 2018. Reikningar sem stofnaðir voru fyrir 2018 kunna enn að hafa lágan ítrunarfjölda nema notandinn hafi uppfært handvirkt — atvikstilkynningar LastPass skjalfesta þetta. Veikt meistaralykilorð með lágum ítrunarfjölda er hægt að brjóta með beinu afli án nettengingar; sterkt meistaralykilorð með 100.100+ ítrunum er það ekki, með núverandi vélbúnaði.
Hvað á að gera ef þú átt eða áttir LastPass-reikning
Skref 1: Fluttu út LastPass-hvelfinguna þína úr vefstjórnborðinu (Stillingar → Ítarlegir valkostir → Flytja út). Skref 2: Fluttu hana inn í Bitwarden eða 1Password (báðir hafa beina LastPass-innflytjendur, skjalfesta á bitwarden.com/help/import-from-lastpass og 1password.com/help). Skref 3: Skiptu um lykilorð á hverjum reikningi þar sem birtingarkostnaðurinn er hár — fjármál, tölvupóstur, helstu samfélagsmiðlar. Skref 4: Kveiktu á 2FA á hverjum reikningi sem styður það. Skref 5: Eyddu LastPass-reikningnum úr vefstjórnborðinu. Ef meistaralykilorðið þitt var sterkt (12+ slembitákn eða aðgangssetning með 6+ orðum) er dulkóðaða hvelfingin reikningslega örugg; skipti eru varúðarráðstöfun. Ef meistaralykilorðið þitt var veikt skaltu meðhöndla hávirðisreikningana sem málamiðlaða.
Hvers vegna innbrotið hafði áhrif á lykilorðastjóra-flokkinn, ekki bara LastPass
LastPass-innbrotið varð til þess að öryggisrannsakendur skoðuðu högunarval um allan flokkinn nánar. Tvær tilteknar lærdómar: (1) Ítrunarfjöldi dulkóðunar er ekki allur jafn — munurinn á 5.000 og 100.100 PBKDF2-ítrunum er mikill. Argon2id (nútíma KDF sem Bitwarden og aðrir nota) er enn og aftur umtalsvert sterkari. (2) Birting lýsigagna (vefslóðir reikninga, tölvupóstföng) er raunverulegur friðhelgisskaði jafnvel þegar innihald hvelfinga er áfram dulkóðað, því lýsigögnin hjálpa árásaraðila að forgangsraða skotmörkum. Nútíma endurskoðaðir stjórar takmarka lýsigögn í gagnalaginu í hvíldarstöðu.
Heimildir
Opinberar atvikstilkynningar LastPass: blog.lastpass.com/posts/notice-of-recent-security-incident. Bitwarden LastPass-innflytjandi: bitwarden.com/help/import-from-lastpass. 1Password-hjálp: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Allar vefslóðir sóttar 2026-04-30.