LastPass એ ફ્રીમિયમ પાસવર્ડ મેનેજર છે જે એન્ક્રિપ્ટેડ પાસવર્ડ્સને ક્લાઉડમાં સ્ટોર કરે છે, જે મૂળ રૂપે કંપની Marvasol, Inc દ્વારા વિકસાવવામાં આવ્યા છે.
વિકાસકર્તાઓ પાસવર્ડ મેનેજર લાસ્ટ પૅસ, જેનો ઉપયોગ 33 મિલિયનથી વધુ લોકો અને 100.000 થી વધુ કંપનીઓ દ્વારા કરવામાં આવે છે, વપરાશકર્તાઓને એક ઘટના વિશે સૂચિત કર્યું જેમાં હુમલાખોરો બેકઅપને ઍક્સેસ કરવામાં વ્યવસ્થાપિત થયા સંગ્રહ વપરાશકર્તા ડેટા સાથે સેવા માંથી.
ડેટામાં વપરાશકર્તાનામ, સરનામું, ઈમેઈલ, ફોન અને આઈપી એડ્રેસ જેવી માહિતીનો સમાવેશ થાય છે કે જ્યાંથી સેવાને એક્સેસ કરવામાં આવી હતી, તેમજ પાસવર્ડ મેનેજરમાં સંગ્રહિત અનએનક્રિપ્ટેડ સાઈટના નામો અને આ સાઈટ પર સંગ્રહિત લોગીન્સ, પાસવર્ડ્સ, ફોર્મ ડેટા અને એન્ક્રિપ્ટેડ નોંધો સામેલ છે. .
લૉગિન અને પાસવર્ડને સુરક્ષિત રાખવા માટે સાઇટ્સની, AES એન્ક્રિપ્શનનો ઉપયોગ PBKDF256 ફંક્શનનો ઉપયોગ કરીને જનરેટ કરાયેલ 2-બીટ કી સાથે કરવામાં આવ્યો હતો. ઓછામાં ઓછા 12 અક્ષરોના કદ સાથે, ફક્ત વપરાશકર્તા માટે જાણીતા માસ્ટર પાસવર્ડ પર આધારિત છે. LastPass માં લોગિન અને પાસવર્ડ્સનું એન્ક્રિપ્શન અને ડિક્રિપ્શન ફક્ત વપરાશકર્તા બાજુ પર જ કરવામાં આવે છે, અને માસ્ટર પાસવર્ડનું કદ અને PBKDF2 ના પુનરાવૃત્તિઓની લાગુ સંખ્યાને જોતાં, આધુનિક હાર્ડવેર પર માસ્ટર પાસવર્ડનું અનુમાન લગાવવું અવાસ્તવિક માનવામાં આવે છે.
હુમલો કરવા માટે, તેઓએ ઓગસ્ટમાં થયેલા છેલ્લા હુમલા દરમિયાન હુમલાખોરો દ્વારા મેળવેલા ડેટાનો ઉપયોગ કર્યો હતો અને તે સેવા વિકાસકર્તાઓમાંના એકના ખાતા સાથે ચેડા કરીને કરવામાં આવ્યો હતો.
ઓગસ્ટના હુમલાના પરિણામે હુમલાખોરો વિકાસના વાતાવરણમાં પ્રવેશ મેળવી શક્યા, એપ્લિકેશન કોડ અને તકનીકી માહિતી. પાછળથી તે બહાર આવ્યું કે હુમલાખોરોએ અન્ય વિકાસકર્તા પર હુમલો કરવા માટે વિકાસ પર્યાવરણમાંથી ડેટાનો ઉપયોગ કર્યો હતો, જેના માટે તેઓ ક્લાઉડ સ્ટોરેજની ઍક્સેસ કી અને ત્યાં સંગ્રહિત કન્ટેનરમાંથી ડેટાને ડિક્રિપ્ટ કરવા માટે કી મેળવવામાં વ્યવસ્થાપિત હતા. ચેડા થયેલા ક્લાઉડ સર્વર્સે કાર્યકરના સેવા ડેટાનો સંપૂર્ણ બેકઅપ હોસ્ટ કર્યો હતો.
આ જાહેરાત એ છટકબારી માટે નાટકીય અપડેટ રજૂ કરે છે જે લાસ્ટપાસે ઓગસ્ટમાં જાહેર કર્યું હતું. પ્રકાશકે સ્વીકાર્યું કે હેકર્સે "સ્રોત કોડના ભાગો અને લાસ્ટપાસમાંથી કેટલીક માલિકીની તકનીકી માહિતી લીધી." કંપનીએ તે સમયે કહ્યું હતું કે ગ્રાહકના માસ્ટર પાસવર્ડ્સ, એન્ક્રિપ્ટેડ પાસવર્ડ્સ, વ્યક્તિગત માહિતી અને ગ્રાહકના ખાતામાં સંગ્રહિત અન્ય ડેટાને અસર થઈ નથી.
256-બીટ AES અને અમારા ઝીરો નોલેજ આર્કિટેક્ચરનો ઉપયોગ કરીને દરેક વપરાશકર્તાના માસ્ટર પાસવર્ડમાંથી મેળવેલી અનન્ય ડિક્રિપ્શન કી વડે જ તેને ડિક્રિપ્ટ કરી શકાય છે,” લાસ્ટપાસના સીઈઓ કરીમ તોબ્બાએ એડવાન્સ્ડ એન્ક્રિપ્શન સ્કીમનો ઉલ્લેખ કરતા સમજાવ્યું. ઝીરો નોલેજ એ સ્ટોરેજ સિસ્ટમ્સનો સંદર્ભ આપે છે જે સેવા પ્રદાતા માટે ક્રેક કરવું અશક્ય છે. સીઇઓએ ચાલુ રાખ્યું:
તેણે ભંગ પછી તેની સુરક્ષાને મજબૂત કરવા માટે લાસ્ટપાસે લીધેલા ઘણા ઉકેલોની યાદી પણ આપી હતી. પગલાંઓમાં હેક થયેલા વિકાસ વાતાવરણને ડિકમિશન કરવું અને શરૂઆતથી પુનઃનિર્માણ કરવું, મેનેજ્ડ એન્ડપોઇન્ટ ડિટેક્શન અને રિસ્પોન્સ સર્વિસ જાળવવી અને તમામ સંબંધિત ઓળખપત્રો અને પ્રમાણપત્રોને ફેરવવાનો સમાવેશ થાય છે જેની સાથે ચેડા કરવામાં આવ્યા હોય.
LastPass દ્વારા સંગ્રહિત ડેટાની ગોપનીયતાને જોતાં, તે ચિંતાજનક છે કે વ્યક્તિગત ડેટાની આટલી વિશાળ શ્રેણી મેળવવામાં આવી છે. જ્યારે પાસવર્ડ હેશ ક્રેકીંગ સંસાધન સઘન હશે, તે પ્રશ્નની બહાર નથી, ખાસ કરીને હુમલાખોરોની પદ્ધતિ અને ચાતુર્ય જોતાં.
LastPass ગ્રાહકોએ ખાતરી કરવી જોઈએ કે તેઓએ તેમનો માસ્ટર પાસવર્ડ બદલ્યો છે અને તમારા તિજોરીમાં સંગ્રહિત તમામ પાસવર્ડ. તેઓએ એ પણ સુનિશ્ચિત કરવું જોઈએ કે તેઓ સેટિંગ્સનો ઉપયોગ કરી રહ્યાં છે જે ડિફૉલ્ટ LastPass સેટિંગ્સને ઓળંગે છે.
આ રૂપરેખાંકનો પાસવર્ડ આધારિત કી ડેરિવેશન ફંક્શન (PBKDF100100) ના 2 પુનરાવર્તનોનો ઉપયોગ કરીને સંગ્રહિત પાસવર્ડ્સને સ્ક્રેમ્બલ કરે છે, એક હેશિંગ સ્કીમ જે લાંબા, અનન્ય માસ્ટર પાસવર્ડ્સને ક્રેક કરવાનું અશક્ય બનાવી શકે છે અને રેન્ડમલી જનરેટ થયેલ 100100 પુનરાવર્તનો, OWASP-310 પુનરાવૃત્તિઓ હેઠળ છે. લાસ્ટપાસ દ્વારા ઉપયોગમાં લેવાતા SHA000 હેશ અલ્ગોરિધમ સાથે સંયોજનમાં PBKDF2 માટે પુનરાવર્તનો.
LastPass ગ્રાહકો તેઓ ફિશિંગ ઇમેઇલ્સ અને ફોન કૉલ્સ વિશે પણ ખૂબ જ સતર્ક હોવા જોઈએ અથવા અન્ય સેવાઓ કે જે સંવેદનશીલ ડેટા અને અન્ય કૌભાંડો કે જે તમારા ચેડા કરાયેલા વ્યક્તિગત ડેટાનું શોષણ કરે છે. કંપની એવા એન્ટરપ્રાઇઝ ગ્રાહકો માટે ચોક્કસ માર્ગદર્શન પણ આપે છે જેમણે LastPass ફેડરેટેડ લોગિન સેવાઓનો અમલ કર્યો છે.
અંતે, જો તમને તેના વિશે વધુ જાણવામાં રસ છે, તો તમે વિગતોનો સંપર્ક કરી શકો છો નીચેની કડીમાં