Vụ vi phạm bảo mật LastPass vào cuối năm 2022 đã gây ra một làn sóng chấn động trong cộng đồng bảo mật. Trình quản lý mật khẩu thường được coi là nền tảng an toàn và đáng tin cậy nhất bởi vì chúng phải như vậy. Giữ thông tin đăng nhập cho nhiều dịch vụ, vi phạm trong bất kỳ kho tiền nào của khách hàng có thể gây ra hậu quả thảm khốc.
Không có dịch vụ nào là hoàn hảo và điều đó đúng với những người quản lý mật khẩu, vậy bạn có thể làm gì để bảo vệ mình hơn nữa?
Từ việc chọn mật khẩu dịch vụ mạnh, cẩn thận bảo vệ khóa bí mật và đảm bảo sử dụng xác thực đa yếu tố, tổ chức của bạn có thể thực hiện các bước để giảm thiểu các lỗ hổng bảo mật.
Vào tháng 12 năm 2022, những kẻ đe dọa đã đánh cắp dữ liệu sao lưu của LastPass. Vi phạm bao gồm dữ liệu mã nguồn và kho tiền của khách hàng chứa siêu dữ liệu không được mã hóa như URL và dữ liệu được mã hóa như mật khẩu. Vi phạm này ảnh hưởng đến ít nhất 30 triệu người dùng và 85.000 doanh nghiệp , theo dữ liệu từ thông cáo báo chí về việc sử dụng LastPass.
Vi phạm này xảy ra khi một tác nhân đe dọa truy cập vào môi trường lưu trữ dựa trên đám mây có chứa mã nguồn và dữ liệu kỹ thuật. Các tác nhân đe dọa đã tận dụng dữ liệu bị đánh cắp để chống lại một nhân viên LastPass khác mà các tác nhân đe dọa đã sử dụng để có thêm quyền truy cập vào khối lượng lưu trữ và giải mã dữ liệu.
Cuối cùng, điều này dẫn đến việc các tác nhân đe dọa đánh cắp một lượng lớn dữ liệu, bao gồm cả kho khách hàng được mã hóa.
Khi chọn giải pháp quản lý mật khẩu dựa trên đám mây, dịch vụ sẽ không có cách nào giải mã dữ liệu của bạn. Thông thường được thực hiện thông qua khóa mã hóa mà khách hàng có mà dịch vụ trực tuyến không có, "khóa bí mật" này đảm bảo rằng ngay cả khi dữ liệu bị mất thì tác nhân đe dọa cũng không thể khôi phục được.
Mã hóa này chỉ tốt bằng khóa bí mật được sử dụng để mã hóa dữ liệu, nó được bảo vệ tốt như thế nào và mức độ mã hóa được sử dụng ở phía nhà cung cấp đám mây.
Những gì bạn có thể làm, với tư cách là khách hàng, là tạo một mật khẩu được tạo ngẫu nhiên đủ phức tạp và không thể giải mã được trong bất kỳ khung thời gian hợp lý nào.
Bảo vệ khóa bí mật là rất quan trọng để đảm bảo rằng không có cách nào kẻ đe dọa có thể giải mã dữ liệu của tổ chức bạn trong trường hợp vi phạm.
Đương nhiên, bất kỳ dịch vụ nào cũng sẽ yêu cầu quyền truy cập quản trị để định cấu hình dịch vụ trực tuyến. Tài khoản quản trị viên thường có quyền truy cập vào tất cả dữ liệu được lưu trữ.
Việc bảo vệ tài khoản này khỏi hành vi lừa đảo hoặc cố gắng tạo mật khẩu vũ phu thông qua chính sách mật khẩu mạnh sẽ ngăn chặn tác nhân đe dọa truy cập vào kho mật khẩu của công ty bạn.
Tài khoản quản trị không được bao gồm việc sử dụng tên người dùng mặc định hoặc mật khẩu bị vi phạm. NIST khuyên bạn nên kiểm tra mật khẩu dựa trên danh sách mật khẩu bị vi phạm.
Cùng với một mật khẩu mạnh, việc thực thi xác thực đa yếu tố phù hợp sẽ giúp bạn vượt qua mọi nỗ lực truy cập dữ liệu nhạy cảm của tổ chức. Một thiết lập MFA tốt nên bao gồm việc sử dụng các phương pháp mạnh mẽ như khóa phần cứng hoặc phương pháp sinh trắc học như dấu vân tay.
Thông thường MFA được coi là một tiện ích bổ sung, nhưng một tổ chức có ý thức bảo mật sẽ thực thi các chính sách MFA cho mọi người. Ngay cả khi mật khẩu bị đánh cắp, MFA thường ngăn chặn tác nhân đe dọa vì thời gian và nỗ lực để thỏa hiệp MFA không đáng để thu được.
Nền tảng của việc bảo vệ dữ liệu nhạy cảm của công ty bạn là chính sách mật khẩu mạnh mẽ . Chính sách mật khẩu mạnh là rất quan trọng đối với khóa giải mã trực tuyến, tài khoản quản trị và bất kỳ tài khoản thiết bị nào truy cập tài nguyên trực tuyến.
Bằng cách đảm bảo rằng tổ chức của bạn có chính sách mật khẩu phù hợp không sử dụng lại mật khẩu bị vi phạm, công ty của bạn sẽ ổn nếu vi phạm xảy ra.
Cuối cùng, một trình quản lý mật khẩu bị vi phạm không bao giờ tốt, nhưng nó không nhất thiết phải là một thảm họa. Sử dụng các biện pháp bảo mật tài khoản thông thường, chính sách mật khẩu mạnh và xác thực đa yếu tố được thực thi, bạn có thể giúp bảo vệ tổ chức của mình khỏi trở thành nạn nhân.
Tốt nhất là luôn cho rằng bất kỳ dịch vụ nào cũng có thể bị vi phạm vào bất kỳ lúc nào. Thực hiện bảo mật thích hợp trong trường hợp vi phạm và giảm thiểu rủi ro cho công ty của bạn và dữ liệu của khách hàng của bạn.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.