Paano protektahan ang iyong sarili mula sa bagong banta sa pag-hack ng LastPass

2024 May -akda: Malcolm Clapton | [email protected]. Huling binago: 2023-12-17 04:13

Kahapon, isang tunay na paraan ang natuklasan upang magnakaw ng data mula sa sikat na LastPass password manager. Inirerekumenda namin na basahin mo ang artikulong ito upang hindi mahulog sa pain.

Gumagamit kami ng maraming online na serbisyo at web application, bawat isa ay nangangailangan ng iba't ibang mga login at password para sa mga layuning pangseguridad. Imposibleng itago ang lahat sa iyong ulo, kaya naman laganap ang mga tagapamahala ng password. Nagbibigay sila ng maaasahang imbakan at maginhawang paggamit ng mga pag-login at password hindi lamang para sa mga serbisyong online, kundi pati na rin para sa mga sistema ng pagbabayad, mga bank account, at iba pa. Samakatuwid, ang pagtagas o pag-crack ng naturang password manager ay maaaring maging isang malaking problema para sa maraming mga gumagamit.

Isa sa mga pinakasikat na app ng ganitong uri ay ang LastPass. Ito ay isang talagang mahusay na solusyon na tumayo sa pagsubok ng oras at maraming pag-atake ng hacker. Gayunpaman, kahapon, natuklasan ng espesyalista sa seguridad ng computer na si Sean Cassidy ang posibilidad ng pag-atake ng phishing sa LastPass. Matalino niyang pinangalanan itong LostPass (nawala ang mga password).

Sa madaling salita, ang vulnerability na natagpuan ay ganito. Una, hinihikayat ka ng umaatake sa kanyang site, na nagpapakita ng pekeng (!) Notification na nag-expire na ang iyong session at dapat na naka-log in muli. Marahil ay nakakita ka ng mga katulad na notification mula sa LastPass.

Dahil peke ang notification, ang pag-click sa Try Again na buton ay magdadala sa iyo sa isang espesyal na ginawang page na kamukha ng karaniwang LastPass login at password form. Magkakaroon din ito ng isang address na halos kapareho ng karaniwang mayroon ang mga pahina ng serbisyo ng browser na binubuksan ng mga naka-install na extension. Maliban sa isang maliit na detalye na na-highlight ko sa screenshot. Sigurado ako na ang karamihan sa mga gumagamit ay hindi magbibigay ng anumang pansin sa gayong maliit na bagay.

Susunod, ipinasok mo ang iyong username at password sa pahinang ito upang mag-log in sa LastPass, at agad silang nahulog sa mga kamay ng mga hacker. Bilang resulta, ang huli ay may ganap na access sa lahat ng iyong mga site at kredensyal. Gumagana ang pag-atake kahit na pinagana mo ang two-factor authentication, ang pagkakasunod-sunod lang ng mga aksyon ng hacker ay isang hakbang pa. Maaari kang magbasa nang higit pa tungkol sa kung paano gumagana ang LostPass (sa Ingles).

Siyempre, iniisip mo kung paano mo mapoprotektahan ang iyong sarili mula sa panganib na ito. Hanggang sa gumawa ang mga developer ng LastPass ng mga hakbang upang maiwasan ang mga naturang pag-atake sa phishing, maaaring pansamantalang i-disable ng mga user ang extension ng browser ng serbisyong ito. Oo, ito ay hindi maginhawa at pipilitin kang manu-manong kopyahin ang mga kinakailangang password mula sa LastPass web page. Ang isang mas radikal na opsyon ay ang paghahanap ng katumbas na alternatibo para sa pag-iimbak ng mga password at kumpidensyal na data.

Gumagamit ka pa ba ng LastPass o lumipat ka na ba sa ibang tagapamahala ng password?