LastPass <em>kan</em> ha opplevd datainnbrudd og tvinger nå brukerne til å bytte hovedpassordet sitt.
LastPass kan ha opplevd datainnbrudd og tvinger nå brukerne til å bytte hovedpassordet sitt.Vis mer

Nå må du bytte LastPass-passord

Passordtjenesten muligens tappet for informasjon.

Mang en gang har vi anbefalt deg å bruke LastPass; en passordtjeneste der du kun trenger å huske ETT passord, for så å få tilgang til resten av passordene du bruker rundtom. Sist da Sonys PSN-tjeneste ble hacket i forrige uke.

Nå sender selskapet ut en sikkerhetsadvarsel der de kommuniserer at databasen deres kan være utsatt for datatyveri. I hvert fall er har de hatt unormalt høy trafikk på en av sine databaseservere og tar derfor utgangspunkt i at det verste har skjedd - data har blitt stjålet.

Data som kan være stjålet er epostadresse, det hashede passordet ("master-passordet") og passordsaltet. At passordet er hashet betyr at det opprinnelige passordet er matet inn i en enveisfunksjon (kombinert med "salt", altså en tilfeldig tegnrekke) slik at resultatet blir en tilfeldig tegnrekke. Det er ikke mulig å reversere denne prosessen, så LastPass kan sjekke at passordet ditt er riktig når du logger på (fordi det vil gi samme hash hver gang med det samme saltet), men kan ikke finne ut hva passordet er ut fra den hashede utgaven. Slik lagrer vi også passord på DinSide, så hvis du glemmer passordet ditt, må du få et nytt fordi vi ikke kan finne ut av hva passordet ditt var i utgangspunktet.

Kun skummelt for deg med enkelt passord

Har du valgt et langt og avansert passord på LastPass vil du etter all sannsynligvis ikke kunne bli rammet, men har du valgt et enkelt passord (f.eks. ett av de mest brukte passordene eller et ord som finnes i ordboka), kan de som har fått tilgang til databasen (hvis de faktisk har fått tilgang) prøve seg frem med et såkalt ordbokangrep og identifisere riktige passord. Det ville i så fall gitt uvedkommende mulighet til å logge seg på med din bruker og derfor få tilgang til alle passordene du har lagret hos LastPass.

LastPass tvinger derfor brukerne til å bytte passord, slik at uvedkommende ikke får logget på dersom de skulle finne noen av brukernes passord. For å få lov til å bytte passordet, må du enten bruke en maskin du har brukt før (innenfor samme IP-range), eller bekrefte at du eier epostadressen du har registrert kontoen med. Har du brukt LastPass for å huske passordet til epostkontoen din (og du ikke husker det selv) kunne du ha vært i klemma, men det finnes to løsninger:

1. Bruk LastPass i offline-modus i nettleseren din. LastPass lagrer en lokal, kryptert kopi av passordene dine og disse får du tilgang til ved å bruke LastPass i offline-modus slik at du kan finne passordet til epostkontoen din.

2. Last ned den portable utgaven av LastPass, logg inn og få tilgang til den samme, lokalt lagrede fila.

Vi må berømme LastPass for en så rask og effektiv håndtering av dette, og at de gjør såpass ekstreme tiltak kun basert på mistanke. Selskapet ruller samtidig ut en enda sterkere krypteringsalgoritme slik at tjenesten vil bli sikrere enn før.

PS! Det er tydeligvis mange som er inne og bytter passord nå, og tjenesten har trøbbel med stabiliteten. Så vidt vi kan se er du imidlertid trygg, siden alle brukere uansett tvinges til å endre passordet og må bekrefte eierskap til epostadressen eller bruke en maskin de har brukt før.