LastPass ถูกเจาะฐานข้อมูลผู้ใช้ อีเมล, ข้อมูลช่วยจำรหัส, และแฮชรหัสผ่าน

By: lew
FounderJusci's WriterMEconomicsAndroid
on 16 June 2015 - 09:10 Tags:
Topics: 
Security
LastPass
Node Thumbnail

LastPass ประกาศว่าบริษัทพบความผิดปกติในเครือข่ายภายใน และเมื่อตรวจสอบแล้วพบว่าฐานข้อมูลที่มีข้อมูล อีเมล, ข้อมูลช่วยจำรหัสผ่าน, ค่า salt ของผู้ใช้รายคน, และค่าแฮชรหัสผ่าน ได้ถูกขโมยออกไปจากเซิร์ฟเวอร์

ทาง LastPass ระบุว่ายังมั่นใจว่าการเข้ารหัสตัวรหัสผ่านด้วย PBKDF2-SHA256 ที่หนึ่งแสนรอบบนเซิร์ฟเวอร์เพิ่มจากฝั่งไคลเอนต์จะช่วยให้รหัสผ่านของผู้ใช้ปลอดภัยดีอยู่ แต่เพื่อความไม่ประมาททาง LastPass จะให้ผู้ใช้ทุกคนที่ล็อกอินจากไอพีหรืออุปกรณ์ที่แปลกไปจากเดิมให้ยืนยันตัวตนอีกครั้ง พร้อมกับแจ้งเตือนให้ผู้ใช้เปลี่ยนรหัสผ่านหลัก (master password)

ทาง LastPass ขออภัยผู้ใช้ที่ต้องลำบากจากขั้นตอนที่เพิ่มขึ้นมา และแนะนำให้เปิดใช้าน multifactor authentication อีกชั้นเพื่อความปลอดภัย

ที่มา - LastPass

Get latest news from Blognone

Comments

By: jane
AndroidUbuntu
on 16 June 2015 - 09:17 #820178
jane's picture

อืม lastpass ....

By: nrml
ContributorIn Love
on 16 June 2015 - 09:22 #820181
nrml's picture

lostpass

By: alph501
iPhoneWindowsIn Love
on 16 June 2015 - 09:50 #820187 Reply to:820181
alph501's picture

ถถถถ

By: rainhawk
AndroidWindows
on 16 June 2015 - 09:39 #820184
rainhawk's picture

ผมเปิดอยู่นะใช้ Google Authenticator

By: jaideejung007
ContributorWindows PhoneWindows
on 16 June 2015 - 10:02 #820189
jaideejung007's picture

กรี๊ดดดดด

ผมฝากชีวิตไว้กับ lastpass เลยนะ

ทำไมถึงทำกันฉันได้

ปล. ได้เวลาโละรหัสผ่านเก่าแล้วสินะ

By: aumkub
iPhone
on 16 June 2015 - 10:03 #820190

วันนี้รีบติดตั้ง Google Authenticator แบบรุนแรงๆ

By: Perl
ContributoriPhoneUbuntu
on 16 June 2015 - 10:10 #820191
Perl's picture

Single point of failed เลยทีเดียว

By: waroonh
Windows
on 16 June 2015 - 10:12 #820192

เอาดินสอ เขียน password ใส่กำแพงห้องไว้ เหมือนผมเหอะ
ปลอดภัยกว่าเยอะ

By: ballsleepless
iPhoneWindows
on 16 June 2015 - 10:17 #820194
ballsleepless's picture

1Password จะรอดไหมครับ

By: Architec
ContributorWindows PhoneAndroidWindows
on 16 June 2015 - 11:33 #820204 Reply to:820194

1Password เก็บไฟล์ไว้กับตัวครับ ไม่ได้เก็บไว้บน Server

By: pepporony
ContributorAndroid
on 16 June 2015 - 10:20 #820195

ใช้ keepass offline อยู่

By: zipper
ContributorAndroid
on 16 June 2015 - 10:26 #820197

ตอนนี้ใช้วิธีบันทึกลง excel แล้วตัว password ก็เขียนแค่ 3 ตัวแรก วิธีนี้น่าจะปลอดภัยถึงคนอื่นจะเอาไฟล์ไปได้ก็เดาพาสเวิร์ดตัวที่เหลือไม่ได้อยู่ดี

By: kobkrit
ContributoriPhoneAndroidSymbian
on 16 June 2015 - 10:32 #820199
kobkrit's picture

โชคดี Dashlane ไม่โดน
เหอเหอ

By: adente
ContributorSUSESymbianWindows
on 16 June 2015 - 10:51 #820201
adente's picture

PBKDF2-SHA256 ที่หนึ่งแสนรอบ เกือบอุ่นใจนะ แต่ อีเมล, ข้อมูลช่วยจำรหัสผ่าน พวกนี้ก็ทำให้เดือดร้อนได้แล้ว

By: raifa
ContributoriPhoneAndroidWindows
on 16 June 2015 - 11:45 #820205

ชิบเป๋งละ ฝากพาสไว้ในนั้นทั้งหมดเลย

By: langisser
In Love
on 16 June 2015 - 12:01 #820207

PBKDF2-SHA256 ที่หนึ่งแสนรอบ
เข้ารหัสที่หนึ่งแสนรอบ อาจจะถอดได้ที่ไม่กี่ร้อยรอบก็ได้นะ เพราะไม่จำเป็นต้องถอดตามการเข้ารหัสเสมอไปรึเปล่า

By: lew
FounderJusci's WriterMEconomicsAndroid
on 16 June 2015 - 12:42 #820223 Reply to:820207
lew's picture

ครับ แต่ SHA256 จนตอนนี้ยังไม่มีใครรายงานทางลัดแบบนั้น

lewcpe.com, @wasonliw

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 16 June 2015 - 12:32 #820218
Ford AntiTrust's picture

จากข่าวต้นทาง เหมือนว่ารหัสผ่านที่ถูก hash ไว้นั้นเป็นส่วนของ LastPass ไม่ใช่ส่วนที่ผู้ใช้งานบันทึกไว้บนนั้น (Because encrypted user data was not taken, you do not need to change your passwords on sites stored in your LastPass vault) แต่ก็นะ อะไรสำคัญก็เปลี่ยนสักหน่อยก็คงไม่เสียหายมั้ง

By: TheYoonuchs
Windows PhoneWindows
on 16 June 2015 - 23:33 #820376
TheYoonuchs's picture

ดีนะที่ผมตั้งค่าให้ล๊อคอินเฉพาะในไทย ปลอดภัยระดับหนึ่ง (หวังว่าไม่ใช่คนไทยที่เจาะ)