LastPass를 사용한 적이 있다면 지금 모든 암호를 변경해야 합니다.

수백만 사용자의 로그인 자격 증명이 포함된 개인 정보 및 암호 보관소가 이제 범죄자의 손에 넘어갔습니다. 암호 관리자인 LastPass를 사용한 적이 있다면 지금 모든 암호를 변경해야 합니다. 그리고 즉시 자신을 보호하기 위한 추가 조치를 취해야 합니다.

2022년 LastPass 데이터 침해에서 무슨 일이 일어났습니까?

LastPass는 “프리미엄” 모델에서 작동하는 암호 관리 서비스입니다. 사용자는 LastPass를 사용하여 온라인 서비스에 대한 모든 암호와 로그인을 저장할 수 있으며 웹 인터페이스, 브라우저 추가 기능 및 전용 스마트폰 앱을 통해 액세스할 수 있습니다.

암호는 단일 마스터 암호로 보호되는 “볼트”에 저장됩니다.

2022년 8월, LastPass는 범죄자들이 LastPass 개발 환경, 소스 코드 및 기술 정보에 액세스하기 위해 손상된 개발자 계정을 사용했다고 발표했습니다.

LastPass가 일부 고객 데이터가 공개되었다고 추가한 2022년 11월에 추가 세부 정보가 공개되었습니다.

위반의 진정한 심각성은 12월 22일 LastPass 블로그 게시물 에서 범죄자들이 이전 공격에서 얻은 정보 중 일부를 사용하여 고객 이름, 주소 및 전화 번호, 이메일 주소, IP 주소, 부분 신용 카드 번호. 또한 암호화되지 않은 웹사이트 URL과 사이트 이름, 암호화된 사용자 이름과 비밀번호가 포함된 사용자 비밀번호 저장소를 훔치는 데 성공했습니다.

범죄자가 귀하의 LastPass 마스터 암호를 해독하는 것이 어렵습니까?

이론적으로 그렇습니다. 해커는 마스터 암호를 해독하기 어려울 것입니다. LastPass 블로그 게시물은 기본 권장 설정을 사용하는 경우 “일반적으로 사용 가능한 암호 크래킹 기술을 사용하여 마스터 암호를 추측하는 데 수백만 년이 걸릴 것”이라고 언급합니다.

LastPass는 마스터 암호가 최소 12자 이상이어야 하며 “다른 웹사이트에서 마스터 암호를 절대 재사용하지 말 것”을 권장합니다.

그러나 LastPass는 사용자가 암호 힌트를 설정하여 마스터 암호를 잃어버렸을 때 상기시켜준다는 점에서 암호 관리 서비스 중에서 고유합니다.

사실상 이것은 사용자가 임의의 강력한 암호가 아닌 사전 단어와 구를 암호의 일부로 사용하도록 권장합니다. 암호가 “lVoT=.N]4CmU”인 경우 암호 힌트가 도움이 되지 않습니다.

LastPass 비밀번호 보관소는 지금까지 한동안 범죄자들의 손에 있었으며, 암호화되어 있더라도 결국에는 무차별 대입 공격의 대상이 될 것입니다.

공격자는 일반적으로 사용되는 암호의 방대한 데이터베이스 덕분에 작업이 더 쉬워질 것입니다. 예를 들어 haveibeenpwned 에서 6억 1,300만 개의 가장 일반적인 암호로 구성된 17GB 암호 목록을 다운로드할 수 있습니다 . 다른 암호 및 자격 증명 목록은 다크 웹에서 사용할 수 있습니다.

개별 저장소에 대해 가장 일반적인 5억 개의 키를 각각 시도하는 데 몇 분이 걸리며 필요한 12자도 상대적으로 적지만 사이버 범죄자가 상당 부분의 저장소에 쉽게 침입할 수 있습니다.

여기에 컴퓨팅 성능이 매년 증가하고 동기가 부여된 범죄자가 분산 네트워크를 사용하여 노력을 도울 수 있다는 사실을 추가하십시오. “수백만 년”은 대부분의 계정에 적합하지 않은 것 같습니다.

LastPass 침해는 암호에만 영향을 줍니까?

헤드라인 뉴스는 범죄자들이 시간을 들여 LastPass 금고에 침입할 수 있다는 것이지만, 그들은 귀하의 이름, 주소, 전화번호, 이메일 주소, IP 주소 및 일부 신용 카드 번호를 사용하여 다른 방법으로 귀하를 이용할 수 있습니다.

이들은 귀하와 귀하의 연락처에 대한 스피어피싱 공격, 신원 도용, 귀하의 이름으로 신용 및 대출 인출, SIM 스왑 공격을 포함하여 여러 가지 사악한 목적에 사용될 수 있습니다.

LastPass 데이터 침해 후 어떻게 자신을 보호할 수 있습니까?

몇 년 안에 마스터 암호가 손상되고 포함된 모든 암호가 범죄자에게 알려질 것이라고 가정해야 합니다. 지금 비밀번호를 변경하고 이전에 사용한 적이 없고 일반적으로 사용되는 비밀번호 목록에 없는 고유한 비밀번호를 사용해야 합니다.

LastPass에서 입수한 다른 데이터 범죄자와 관련하여 귀하는 귀하의 신용을 동결하고 신용 모니터링 서비스를 이용하여 귀하의 이름으로 된 모든 신규 카드 또는 대출 신청을 모니터링해야 합니다. 큰 불편 없이 전화번호를 변경할 수 있다면 그렇게 해야 합니다.

자신의 보안에 대한 책임

암호 보관소와 개인 정보가 범죄자의 손에 들어간 데이터 유출에 대해 LastPass를 비난하기는 쉽지만, 당신의 삶을 보호하고 고유한 콤보를 생성하도록 도와주는 암호 관리 서비스는 여전히 온라인 생활을 보호하는 가장 좋은 방법입니다.

잠재적인 도둑이 중요한 데이터를 확보하는 것을 더 어렵게 만드는 한 가지 방법은 자체 하드웨어에서 암호 관리자를 호스팅하는 것입니다. 저렴하고 사용하기 쉬우며 VaultWarden과 같은 일부 솔루션은 Raspberry Pi Zero에도 배포할 수 있습니다.