Bagaimana untuk melindungi diri anda daripada ancaman penggodaman LastPass baharu

2024 Pengarang: Malcolm Clapton | [email protected]. Diubah suai terakhir: 2023-12-17 04:06

Semalam, cara sebenar telah ditemui untuk mencuri data daripada pengurus kata laluan LastPass yang popular. Kami mengesyorkan agar anda membaca artikel ini agar tidak termakan umpan.

Kami menggunakan banyak perkhidmatan dalam talian dan aplikasi web, setiap satunya memerlukan log masuk dan kata laluan yang berbeza untuk tujuan keselamatan. Adalah mustahil untuk menyimpan semuanya dalam kepala anda, itulah sebabnya pengurus kata laluan tersebar luas. Mereka menyediakan storan yang boleh dipercayai dan penggunaan log masuk dan kata laluan yang mudah bukan sahaja untuk perkhidmatan dalam talian, tetapi juga untuk sistem pembayaran, akaun bank, dan sebagainya. Oleh itu, membocorkan atau memecahkan pengurus kata laluan sedemikian boleh menjadi masalah besar bagi ramai pengguna.

Salah satu aplikasi yang paling popular seperti ini ialah LastPass. Ini adalah penyelesaian yang sangat hebat yang telah bertahan dalam ujian masa dan banyak serangan penggodam. Bagaimanapun, semalam, pakar keselamatan komputer Sean Cassidy menemui kemungkinan serangan pancingan data pada LastPass. Dia bijak menamakannya LostPass (hilang kata laluan).

Secara ringkasnya, kelemahan yang ditemui kelihatan seperti ini. Mula-mula, penyerang menarik anda ke tapaknya, yang memaparkan Pemberitahuan palsu (!) bahawa sesi anda telah tamat tempoh dan mesti dilog masuk semula. Anda mungkin pernah melihat pemberitahuan serupa daripada LastPass.

Memandangkan pemberitahuan itu palsu, mengklik butang Cuba Lagi akan membawa anda ke halaman yang dibuat khas yang kelihatan sama seperti borang log masuk dan kata laluan LastPass standard. Ia juga akan mempunyai alamat yang hampir sama seperti halaman perkhidmatan penyemak imbas yang dibuka oleh sambungan yang dipasang biasanya ada. Kecuali butiran kecil yang telah saya serlahkan dalam tangkapan skrin. Saya pasti bahawa kebanyakan pengguna tidak akan memberi perhatian kepada perkara kecil itu.

Seterusnya, anda masukkan nama pengguna dan kata laluan anda pada halaman ini untuk log masuk ke LastPass, dan mereka serta-merta jatuh ke tangan penggodam. Akibatnya, yang terakhir mempunyai akses penuh ke semua tapak dan kelayakan anda. Serangan ini berfungsi walaupun anda telah mendayakan pengesahan dua faktor, hanya urutan tindakan penggodam akan selangkah lebih jauh. Anda boleh membaca lebih lanjut tentang cara LostPass berfungsi (dalam bahasa Inggeris).

Sudah tentu, anda tertanya-tanya bagaimana anda boleh melindungi diri anda daripada bahaya ini. Sehingga pembangun LastPass mengambil langkah untuk menghalang serangan pancingan data sedemikian, pengguna boleh melumpuhkan sambungan pelayar perkhidmatan ini buat sementara waktu. Ya, ini menyusahkan dan akan memaksa anda untuk menyalin kata laluan yang diperlukan secara manual dari halaman web LastPass. Pilihan yang lebih radikal ialah mencari alternatif yang setara untuk menyimpan kata laluan dan data sulit.

Adakah anda masih menggunakan LastPass atau telah bertukar kepada pengurus kata laluan yang lain?