Cenimi i LastPass i vitit 2022 i shpjeguar: çfarë u vodh, çfarë do të thotë dhe si të kaloni diku tjetër
Në gusht / nëntor 2022, sulmuesit nxorën rezervat cloud të LastPass, përfshirë kasafortat e enkriptuara të përdoruesve plus metadata të paenkriptuara. Ja çfarë është dokumentuar dhe çfarë të bëni tani nëse keni ende një llogari LastPass.
Kronologjia e dokumentuar
Sipas njoftimeve të publikuara të incidenteve nga LastPass: në gusht 2022, sulmuesit cenuan makinën e një zhvilluesi të LastPass dhe aksesuan kodin burimor. Në nëntor 2022, sulmuesit përdorën kredencialet nga incidenti i gushtit për të aksesuar rezervat cloud në hapësirën ruajtëse cloud të një pale të tretë të LastPass. Ato rezerva përmbanin kasafortat e enkriptuara të klientëve plus metadata të paenkriptuara — URL të kasafortave, adresa emaili të llogarive, informacion faturimi. LastPass e zbuloi vjedhjen e të dhënave më 22 dhjetor 2022 (blog.lastpass.com/posts/notice-of-recent-security-incident).
Çfarë mbron në fakt enkriptimi
Kasafortat e LastPass janë të enkriptuara me AES-256, ku çelësi rrjedh nga fjalëkalimi master përmes PBKDF2. Forca e mbrojtjes varet nga (a) entropia e fjalëkalimit master dhe (b) numri i përsëritjeve të PBKDF2. Numri i parazgjedhur i përsëritjeve të PBKDF2 të LastPass ishte 5.000 për llogaritë e vjetra para se të rritej në 100.100 në vitin 2018. Llogaritë e krijuara para vitit 2018 mund të kenë ende numra të ulët përsëritjesh nëse përdoruesi nuk i ka përditësuar manualisht — njoftimet e incidenteve të LastPass e dokumentojnë këtë. Një fjalëkalim master i dobët me numër të ulët përsëritjesh mund të thyhet me forcë brutale jashtë linje; një fjalëkalim master i fortë me 100.100+ përsëritje nuk mundet, me harduerin aktual.
Çfarë të bëni nëse keni ose keni pasur një llogari LastPass
Hapi 1: Eksportoni kasafortën tuaj LastPass nga konsola web (Settings → Advanced Options → Export). Hapi 2: Importojeni në Bitwarden ose 1Password (të dy kanë importues të drejtpërdrejtë të LastPass, të dokumentuar te bitwarden.com/help/import-from-lastpass dhe 1password.com/help). Hapi 3: Ndërroni fjalëkalimet në çdo llogari me kosto të lartë zbulimi — financiare, email, rrjete sociale parësore. Hapi 4: Aktivizoni 2FA në çdo llogari që e mbështet. Hapi 5: Fshijeni llogarinë LastPass nga konsola web. Nëse fjalëkalimi juaj master ishte i fortë (12+ karaktere të rastësishme ose një frazëkalim me 6+ fjalë), kasaforta e enkriptuar është e sigurt nga ana llogaritëse; rrotullimi është një masë parandaluese. Nëse fjalëkalimi juaj master ishte i dobët, trajtojini llogaritë me vlerë të lartë si të cenuara.
Pse cenimi preku të gjithë kategorinë e menaxherëve të fjalëkalimeve, jo vetëm LastPass
Cenimi i LastPass i nxiti studiuesit e sigurisë t'i shihnin më me kujdes zgjedhjet arkitekturore në të gjithë kategorinë. Dy mësime specifike: (1) Numrat e përsëritjeve të enkriptimit nuk janë të gjithë të barabartë — diferenca midis 5.000 dhe 100.100 përsëritjeve PBKDF2 është e madhe. Argon2id (KDF-ja moderne që përdoret nga Bitwarden dhe të tjerë) është sërish materialisht më e fortë. (2) Ekspozimi i metadatave (URL të llogarive, adresa emaili) është një dëm real i privatësisë edhe kur përmbajtja e kasafortës mbetet e enkriptuar, sepse metadata e ndihmojnë një sulmues të prioritizojë objektivat. Menaxherët modernë të audituar e kufizojnë metadatën në shtresën e të dhënave në qetësi.
Burimet
Njoftimet zyrtare të incidenteve nga LastPass: blog.lastpass.com/posts/notice-of-recent-security-incident. Importuesi LastPass i Bitwarden: bitwarden.com/help/import-from-lastpass. Ndihma e 1Password: 1password.com/help. Argon2id: password-hashing.net/argon2-specs.pdf. Të gjitha URL-të u aksesuan më 2026-04-30.