I början av veckan spreds rykten om att lösenordshanteraren Lastpass hade råkat ut för ett intrång. Nyheten diskuterades bland annat i Säkerhetsbubblan. Undertecknad påpekade då att påståendena om att Lastpass skulle ha läckt användares huvudlösenord var en förhastad slutsats. Företaget bakom Lastpass (Logmein) har trots allt inte själva tillgång till användarnas huvudlösenord. Nu har det gått några dagar och Lastpass har haft möjlighet att utreda incidenten.
Bakgrunden till oron var att flera Lastpass-användare hade mottagit mejl där det stod att Lastpass hade blockerat misstänkta inloggningar. I ett officiellt blogginlägg meddelar Lastpass att dessa mejl skickades av två skäl. Det första skälet var att angripare hade försökt logga in på många Lastpass-användares konton genom att testa lösenord som angriparna hade kommit över från andra lösenordsläckor. Ifall angriparna lyckades logga in på någons konto berodde det således på att användaren hade valt ett vanligt förekommande huvudlösenord eller rent av återanvänt huvudlösenordet vid inloggning på andra webbplatser.
Det andra skälet var en bugg som gjorde att felaktiga inloggningsvarningar samtidigt skickades till en begränsad skara användare. Denna bugg ska nu vara åtgärdad.
Veckans attack tyder alltså inte på någon sårbarhet i lösenordshanteraren Lastpass. Attacken är däremot en viktig påminnelse om att ha ett långt och unikt huvudlösenord till sin lösenordshanterare. Vi rekommenderar även att ha tvåfaktorsautentisering påslaget, så att ingen angripare kan ladda ned lösenordsvalvet utan att också ha den rätta, tidsbegränsade engångskoden. Detta är viktigt oavsett vilken molnbaserad lösenordshanterare som används.
2020 tog Bitwarden över platsen som vår rekommenderade lösenordshanterare för både privatpersoner och organisationer. Detta beror inte på någon incident hos Lastpass utan på att Bitwarden sedan dess erbjuder samma funktionalitet i kombination med öppen källkod. Lastpass begränsade i fjol sin gratisversion, vilket gör ett byte till Bitwarden ännu mer attraktivt. Se vår guide för närmare instruktioner. Attacken i veckan utgör däremot inget skäl att byta lösenordshanterare.
Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.
Kommentarer
Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.