LastPass byl předmětem útoku: Exportujte si data a ochraňte hesla

20. 3. 2023

Sdílet

 Autor: Depositphotos
Autoři služby LastPass slibují, že jejich aplikace ochrání vaše hesla v každé situaci. Jenže to není pravda, jak ukazuje poslední známý únik dat z toto služby. Přejít od ní jinam je velmi snadné. Ukážeme, jak na to.

Firmě LastPass bohužel nejsou úniky dat nijak cizí. K únikům dat došlo už několikrát, přičemž k poslednímu (a alarmujícímu) incidentu došlo už loni. Když se v srpnu objevily první zprávy tohoto druhu, tým vývojářů okolo firmy LastPass všechny ujišťoval, že uživatelé nejsou v žádném případě nijak postiženi. Bohužel tomu bylo ve skutečnosti přesně naopak – k dalšímu úniku dat došlo v prosinci, kdy se ukázalo, že data uživatelů byla nakonec přece jen odcizena (psali o tom třeba kolegové z Lupy).

Co se dozvíte v článku
  1. Export hesel z aplikace LastPass
  2. Export dat z aplikace LastPass prostřednictvím rozšíření internetového prohlížeče
  3. Export z aplikace LastPass přes webové rozhraní
  4. To ale bohužel ještě není všechno

Pokud jste – třeba i jen na základě výše uvedených zpráv o únicích dat – došli k názoru, že tomuto správci hesel nehodláte nadále důvěřovat, ani se vám nedivíme. Ostatně při posledním prosincovém útoku došlo k odcizení nejen osobních dat, jako jsou fakturační adresy, telefonní čísla a IP adresy, ale také údaje o trezorech. A co je na tom nejhorší, je skutečnost, že řada dat v trezorech ani nebyla zašifrovaná.

Útočníci se dostali k datům uživatelů LastPass, včetně adres stránek, ke kterým ukládá hesla Přečtěte si také:

Útočníci se dostali k datům uživatelů LastPass, včetně adres stránek, ke kterým ukládá hesla

Na druhou stranu je pozitivní, že samotný export dat je rychlý a poměrně jednoduchý. Celý trezor získáte v jediném souboru, který pak můžete použít k nahrání do nového správce hesel.

Následující řádky se tedy budou věnovat tomu, jak z aplikace LastPass exportovat hesla a jak tuto operaci provést bezpečně. Kromě toho se také budeme zabývat tím, jak zajistit bezpečnost všech svých online účtů.

Export hesel z aplikace LastPass

Získání hesel z aplikace LastPass je svým způsobem velmi snadné. To daleko složitější je zajistit, aby exportovaný soubor zůstal zabezpečený. LastPass totiž provádí export do souborů ve formátu CSV nebo XML, což jsou formáty, v nichž data nejsou zašifrována.

Samozřejmě nechcete, aby byla vaše hesla stažena v podobě prostého textu. Málo platné – takový soubor totiž můžete na nezašifrovaném disku obnovit i poté, co jej smažete. A co si budeme povídat – spousta uživatelů ve svých počítačích disky zašifrované nemá.

Data exportovaná ze správce hesel LastPass se uloží v podobě nezašifrovaného souboru. Na obrázku vidíte ukázku dokumentu ve formátu CSV.

Jednodušší způsob spočívá ve stažení souboru na jednotku plně zašifrovanou operačním systémem Windows a poté, co obsah tohoto souboru importujete jinam, tento soubor natrvalo odstraníte. (Pokud totiž soubor ponecháte v Koši operačního systému Windows, bude k dispozici v nezašifrované podobě vždy, když budete přihlášeni k počítači). Tento způsob samozřejmě není úplně dokonalý, protože data můžete obnovit, i když jste přihlášeni k počítači, nicméně je to, co se týče zabezpečení, taková solidní střední cesta.

Pokud si chcete trochu více pohrát, pak vám doporučím, abyste si pomocí programu Veracrypt vytvořili šifrovanou složku a do ní si následně uložili data vyexportovaná z trezoru. Tato složka totiž bude fungovat jako zabezpečené úložiště, do které se dostanete až po jejím odemknutí. A až budete mít vše hotovo, jednoduše soubor i šifrovanou složku odstraníte. Pokud heslo pro přístup k šifrované složce nikomu neprozradíte, měly by všechna data uvnitř této zašifrované složky zůstat v bezpečí.

Až si tedy připravíte vše potřebné pro zabezpečení svých citlivých údajů uložených ve správci hesel LastPass, je načase, abyste si ze správce hesel LastPass stáhli všechna citlivá data – tuto operaci můžete provést buď prostřednictvím webového rozhraní, nebo prostřednictvím rozšíření internetového prohlížeče.

Poznámka: Pokud používáte zdarma dostupnou variantu správce hesel LastPass, což je varianta, která je vázána pouze na mobilní zařízení, pak byste měli mít možnost exportu přes webové rozhraní. V opačném případě nezbývá, než spustit placenou zkušební verzi, která vám zajistí alespoň dočasně přístup k více zařízením.

Export dat z aplikace LastPass prostřednictvím rozšíření internetového prohlížeče

Krok 1: Přejděte do nastavení svého účtu

Otevřete okno s rozšířením internetového prohlížeče a poté klepněte na ikonku vašeho účtu.

Krok 2: Přejděte do přehledu možností v nabídce „Fix a problem“

Vyberte možnost Fix a problem yourself.

Krok 3: Proveďte export všech položek v trezoru

Vyberte možnost Export vault items. Stahování položek trezoru začne prakticky okamžitě.

Upozornění: Stažený soubor bude v nezašifrované podobě. Z toho vyplývá, že každý, kdo se k tomuto souboru dostane, bude mít k dispozici všechna vaše hesla. Abyste tedy stažení těchto citlivých údajů provedli co možná nejbezpečněji, znovu si pro jistotu přečtěte možnosti uvedené na začátku této části článku.

Nyní můžete soubor importovat do nového správce hesel (buď do jiné cloudové služby, nebo do programu nainstalovaného v počítači). Tato operace by měla být maximálně jednoduchá, nicméně pokud byste i přesto narazili na nějaké problémy, pak se podívejte na stránky nápovědy nové služby, kde určitě najdete pomoc.

Export z aplikace LastPass přes webové rozhraní

Krok 1: Přejděte do nabídky pro pokročilé možnosti (Advanced Options)

V levém panelu pro navigaci nyní klepněte na položku Advanced Options. Mělo by se jednat o druhou položku zespoda.

Krok 2: Vyberte možnost Export

Nyní v nabídce Manage Your Vault vyberte možnost Export. Za okamžik se v horní části stránky zobrazí zpráva, která vám řekne, abyste se podívali do své e-mailové schránky.

Krok 3: Ověřte požadavek na export

Přihlaste se pomocí e-mailové adresy svázané s vaším účtem. Dále otevřete -mail od firmy LastPass a v něm klepněte na odkaz Continue export. Nyní by se měla otevřít záložka internetového prohlížeče, která vám sdělí, že export je připraven.

Krok 4: Zadejte přihlašovací údaje, aby se mohlo zahájit stahování

Nyní se vraťte zpět do nabídky Advanced Options > Export. Abyste mohli zahájit stahování, musíte zadat uživatelské jméno a heslo.

Upozornění: Stažený soubor bude v nezašifrované podobě. Z toho vyplývá, že každý, kdo se k tomuto souboru dostane, bude mít k dispozici všechna vaše hesla. Abyste tedy stažení těchto citlivých údajů provedli co možná nejbezpečněji, znovu si pro jistotu přečtěte možnosti uvedené na začátku této části článku.

Nyní můžete soubor importovat do nového správce hesel (buď do jiné cloudové služby, nebo do programu nainstalovaného v počítači). Tato operace by měla být maximálně jednoduchá, nicméně pokud byste i přesto narazili na nějaké problémy, pak se podívejte na stránky nápovědy nové služby, kde určitě najdete pomoc.

To ale bohužel ještě není všechno

Jak vidíte, opustit jednoho správce hesel a přejít k jinému (ať už z jakýchkoliv důvodů), není ve většině případů nic složitého. Prostě vyexportujete hesla ze starého správce hesel, naimportujete je do nového a jdete dále. prakticky ve stejných kolejích.

Bohužel skutečnost, že jste opustili správce hesel LastPass kvůli jejímu prolomení, situaci komplikuje. Vzhledem k tomu, že útočníci data, která se nachází v trezoru, vlastně mají, jediné, co jim chybí, aby se dostali přímo k heslům, je získat hlavní heslo. Pokud to tedy se zabezpečením přístupu a se zachováním soukromí, co se týče citlivých dat, myslíte vážně, uděláte nejlépe, když si všechny citlivé údaje (hesla apod.) nacházející se v trezoru, změníte.

Doufejme, že jste pro přístup k citlivým datům ve správci hesel LastPass měli nastaveno silné hlavní heslo složené z náhodných znaků, které velmi ztíží vstup k těmto datům metodou brute force (hrubou silou). Tak to prostě je a doufám, že jste toto heslo měli skutečně dostatečně silné. Pokud si ale myslíte, že si změníte hlavní heslo a tím to skončí, pak jste na omylu. Všechny citlivé údaje uložené v trezoru totiž byly svázány přímo s tímto hlavním heslem, které jste používali v době útoku. Když si toto hlavní heslo změníte, je to k ničemu, protože útočníkům stačí dostat se k vašemu starému heslu – vaše nové tedy vůbec nepotřebují.

Vzhledem k tomu množství hesel, která používáte každodenně, to nezní kdovíjak příjemně. A co vám poradíme? Jděte na to postupně po malých krůčcích:

bitcoin školení listopad 24

  1. Přejděte na nového správce hesel
  2. Okamžitě změňte všechna hesla pro ty nejzávažnější služby, jako jsou například banky či další finanční instituce. Prostě nejprve změňte hesla všude tam, kde by vznikly největší škody, pokud by se někdo dostal k vašim citlivým údajům.
  3. Postupně projděte zbývající přístupové a citlivé údaje a začněte těmi, ve kterých jsou uloženy citlivější ty nejdůvěrnější informace (tj. adresy bydliště, data narození, čísla kreditních karet apod.). Právě nyní je ten nejvhodnější okamžik, abyste všechny tyto údaje vymazali i z internetových stránek a namísto toho je uložili do správce hesel.

Všechny tyto akce proveďte až po odchodu od správce hesel LastPass, což platí zejména tehdy, pokud se obáváte případných dalších bezpečnostních chyb, které firma ještě neodhalila. Tento únik dat bohužel není první a vzhledem k historii firmy LastPass pravděpodobně ani poslední.

V každém případě – ať už uděláte cokoli, v žádném případě se nevzdávejte používání správce hesel jako takového. Zabezpečení online aktivit bude vždy nedokonalé, takže je třeba počítat s tím, že stejně nedokonalá budou i řešení pro něj, i když samozřejmě platí, že některá řešení jsou jednoduše chybovější než jiná. Opakované používání hesel, používání slabých hesel, jejich zapisování do sešitu – tak tyto aktivity vás v bezpečí v žádném případě neudrží. Hlavně si najděte dobrého správce hesel (a zvolte si takový systém jeho používání), který vám bude vyhovovat.

 

Získejte pro svůj produkt či službu ocenění IT produkt roku! Soutěž „IT produkt roku“ vyhlašuje redakce Computerworldu s cílem vyzdvihnout výrobky disponující vlastnostmi, které je významně odlišují od konkurenčních produktů stejné kategorie. Může přitom jít jak o celkově inovativní pojetí produktu, tak o jednotlivé funkční zdokonalení, výrazně zjednodušené ovládání nebo třeba o výjimečně příznivou cenu.

Soutěž probíhá ve třech samostatných kolech v kalendářním roce a každý postupující produkt či služba do jednoho ze tří finálových kol získává právo na titul IT produkt roku.

Máte-li zájem účastnit se soutěže IT produkt roku, neváhejte. Kontaktujte nás prosím na itprodukt@iinfo.cz.

O přihlášku a více informací si můžete napsat nebo zavolat na telefonech 776 204 420 nebo 604 266 707 či 725 326 893, případně na také na adrese itprodukt@iinfo.cz.