LastPass 보안 위반: 자신을 보호하는 방법
게시 됨: 2023-01-05LastPass 침해에 대해 알아야 할 사항 및 수행해야 할 사항
귀하가 WordPress 커뮤니티의 많은 사용자와 마찬가지로 LastPass 사용자라면 현재 대체 암호 관리 솔루션을 찾고 있을 수 있습니다. LastPass에서 대규모 보안 침해가 발생한 후 회사가 적시에 공개하지 않아 잠재적으로 데이터가 위험에 처할 수 있습니다. Bitwarden 또는 1Password로 전환해야 합니다. 더 좋은 점은 가능한 경우 암호 키를 사용하는 것입니다. 암호 없는 로그인을 최고의 보안 솔루션으로 만듭니다. 마지막으로, 다른 사람의 데이터 보안을 책임지고 있거나 커뮤니케이션 역할을 맡고 있다면 LastPass의 실수(주로 하지 말아야 할 일)에서 배울 수 있습니다. 무슨 일이 일어났는지, 무슨 일이 일어났어야 했는지, 온라인 계정을 사전에 보호하는 방법에 대해 살펴보겠습니다.
구멍을 더 깊게 파면 빠져나올 수 없다
2022년 8월, LastPass의 CEO인 Karim Toubba는 심각하고 지속적인 보안 위반에 대한 일련의 심각한 공개 공개가 될 첫 번째 게시물을 게시했습니다. 초기 공개에서는 "승인되지 않은 당사자"가 "단일 손상된 개발자 계정"을 악용하여 LastPass 엔지니어의 개발 환경에 부분적으로 액세스했다고 밝혔습니다. 침입자는 일부 소스 코드와 "독점적인 LastPass 기술 정보"를 훔쳤습니다. 그러나 Toubba는 LastPass 암호 관리 플랫폼 자체나 고객에게 아무런 영향이 없다고 말했습니다. 분명히 그는 LastPass 고객에게 마스터 암호, 데이터 및 개인 정보가 안전하다고 확신했습니다. 우리의 중요한 계정 정보는 침입자의 손길이 닿지 않은 채 완전히 안전했습니다.
불행히도 이것은 전혀 사실이 아니었습니다.
LastPass에서 실제로 일어난 일
11월 말부터 Toubba는 TechCrunch의 Zack Whittaker가 LastPass가 설명 하지 않은 것을 보여주기 위해 유용하게 구문 분석한 LastPass의 공개에 대해 몇 가지 추가 업데이트를 수행했습니다. LastPass는 결국 공격자가 이전 위반에서 "획득한 정보"에 의해 활성화된 두 번째 위반에서 일부 고객 데이터를 훔쳤다는 것을 분명히 했습니다. 첫째, 공격자는 LastPass의 모회사인 GoTo의 클라우드 스토리지를 포함하여 LastPass의 시스템에 더 깊이 침입하기 위해 한 명의 LastPass 개발자를 대상으로 한 다음 다른 개발자를 대상으로 했습니다. (GoTo는 LogMeIn 및 GoToMyPC도 소유하고 있습니다.)
불안한 움직임으로 GoTo는 검색 엔진에서 자체 공개를 숨겼습니다.
그런 다음 크리스마스 직전에 Toubba는 LastPass 위반 공개를 다시 업데이트했습니다. 그는 공격자가 암호화된 LastPass 고객 암호 저장소의 백업 스냅샷을 훔쳤다고 확인했습니다. Toubba는 또한 스냅샷을 가진 모든 사람이 무차별 대입 방법을 사용하여 암호화된 고객 암호 저장소를 크랙할 수 있음을 인정했습니다. 침해에는 LastPass 고객의 이름, 회사 이름 및 이메일 주소, 전화 번호 및 IP 주소, URL, 메모, 양식 데이터 및 일부 청구 정보가 포함되었습니다.
이것은 나쁜 것 이상입니다.
LastPass의 잘못된 위기 커뮤니케이션의 영향
LastPass는 도난당한 데이터에 얼마나 많은 사용자 계정이 있는지와 같은 주요 사실을 공개하지 않았습니다. 결과적으로 2,500만 명 이상의 LastPass 사용자(2022년 11월 기준) 모두가 이러한 보안 침해로 인해 위험에 처해 있다고 가정해야 합니다. 또한 도난당한 백업 파일에 이전 개인 및 암호 보관소 데이터가 포함된 경우 이전 고객도 위험에 처할 수 있습니다.
나는 업무 목적으로 나와 공유하는 다른 사람들의 암호에 액세스하기 위해 수년 동안 LastPass를 사용해 왔습니다. 서비스를 사용하기 위해 비용을 지불하지는 않았지만 이런 이유로 LastPass 계정을 유지해야 했습니다. 다른 고객과 마찬가지로 이메일로 LastPass로부터 보안 위반 알림을 받았고 즉시 우려했습니다. WordPress 전문가를 위한 인기 있는 커뮤니티 포럼인 Post Status Slack에서 이 주제가 논의 대상으로 올라온 것을 확인했습니다. Patchstack의 Developer Advocate인 Robert Rowley가 이 소식을 공유했습니다. 그는 “마스터 비밀번호나 저장된 비밀번호는 유출되지 않았다. 조치가 필요하지 않습니다.” 수백만 명의 다른 Patchstack 사용자와 마찬가지로 우리 모두는 회사가 우리에게 말한 것을 믿었고 우리는 틀렸습니다.
나중에 Patchstack과 WordPress 커뮤니티의 다른 사람들이 자체 위반 공개를 억제하는 GoTo 소식을 공유했습니다. 12월에 Rowley는 우리 모두가 믿었던 초기 진술에서 얼마나 멀리 왔는지 관찰하면서 다시 언급했습니다. "고객 저장소에 액세스하지 않았습니다." Rowley는 일련의 모순된 폭로를 주먹질에 비교하면서 "이것은 신뢰 상실의 좌우 콤보로 볼 수 있으며 모든 업데이트는 사건을 더 악화시킵니다."라고 말했습니다.
LastPass에서 일어났어야 할 일
오픈 소스 커뮤니티에서 우리는 결점에 대한 투명성을 중요하게 생각합니다. 특히 보안과 관련하여 책임 있는 공개 문화를 유지하고 보호하기 위해 노력합니다. 오픈 소스 소프트웨어 제품에서 취약점이 발견되면 해당 소유자와 관리자에게 조용히 알립니다. 악용 가능한 코드를 패치하는 즉시 사용자에게 알리고 완전히 공개할 것을 기대합니다. 우리는 그것이 최우선 순위로 매우 빠르게 일어날 것으로 기대합니다. 이러한 방식으로 오픈 소스 커뮤니티 구성원은 독점 소프트웨어에서 자주 발생하는 문제를 은폐하는 대신 모든 사람에게 영향을 미치는 문제를 해결하도록 서로를 돕습니다.
악의적인 개인이 가치가 높은 개인 식별 정보(PII)를 훔칠 때도 유사한 윤리가 적용됩니다. 보안 침해 통지법은 주와 국가마다 다르지만 모두 영향을 받는 사람들에게 적시에 공개해야 합니다. 단순한 예의가 아니라 법적, 윤리적 의무입니다.
보안에서는 신뢰가 전부입니다
모든 보안 위반은 신뢰를 손상시킬 수 있습니다. 지연으로 인해 심화될 때만 악화될 수 있는 나쁜 상황입니다. LastPass에서 본 것처럼 부정확하고 불완전한 정보를 공개하는 것은 회사와 브랜드에 재앙이 될 수 있습니다.
고객을 크게 실망시킨 회사가 그토록 무책임하고 자만심이 강하며 필연적으로 자기 파괴적인 행동을 보이는 회사를 왜 신뢰해야 합니까? 고객의 피해를 줄이는 데 중점을 둔 정직하고 직접적이며 명확한 커뮤니케이션만이 상황을 개선할 수 있는 유일한 방법입니다.
궁극적으로 신뢰는 기술이나 기술적 개념이 아닙니다. 인간관계에 관한 것입니다. 신뢰는 당신이 사람들, 특히 당신을 신뢰하는 사람들을 어떻게 대하느냐에 달려 있습니다. 우리는 항상 약속을 잘 지키지 않으며 실패는 항상 가능합니다. 최악의 상황이 발생했을 때 신뢰를 회복할 수 있는 유일한 방법은 일어난 일을 인정하고 모든 것을 정직하게 설명하는 것입니다.
LastPass 사용자는 보안 위반에 어떻게 대응해야 합니까?
LastPass가 이 침해를 공개한 방식을 고려할 때 비밀번호 저장소를 보호하기 위한 LastPass의 추가 보안 조치는 도움이 되지 않습니다. 먼저 1Password, Bitwarden 또는 NordPass와 같은 새로운 암호 관리자로 마이그레이션을 시작하고 두 번째로 가장 중요한 것은 LastPass 저장소에 자격 증명을 저장한 중요한 사이트 및 응용 프로그램의 암호 변경을 시작할 때입니다. 아직 추가하지 않았다면 해당 사이트에 2단계 인증을 추가하는 것이 매우 현명한 방법입니다.
볼트가 강력한 마스터 암호로 보호되지 않으면 결국 모든 온라인 계정이 손상됩니다. 강력한 마스터 암호가 있더라도 무차별 암호 대입 공격에 의해 해독될 수 있습니다.
데이터가 해독 되는지 여부 가 문제가 아니라 시기 가 문제입니다. LastPass가 고객 저장소가 영향을 받았다고 공개하기 5개월 전에 이 침해가 발생했다는 점을 감안할 때 악의적인 공격자는 이미 유리한 출발을 하고 있습니다. 따라서 LastPass에 저장한 모든 계정의 자격 증명을 보호하는 것이 중요합니다.
그렇기 때문에 다음으로 해야 할 가장 중요한 일은 LastPass에 저장한 모든 계정의 모든 암호를 변경하는 것입니다. 재무 계정, 사이트 관리자 계정 및 손실로 인해 막대한 비용이 발생할 수 있는 기타 계정과 같이 가장 중요한 것의 우선 순위를 지정하십시오.
LastPass를 떠날 시간입니다
마지막으로 LastPass 계정을 닫고 Bitwarden 또는 1Password와 같은 다른 서비스로 이동하는 것이 좋습니다. Bitwarden에는 LastPass 계정 레코드를 가져올 수 있는 마이그레이션 도구가 있습니다. 1Password도 마찬가지입니다.
LastPass에서 벗어날 시간입니다. 1Password에 사용할 자금이 있다면 1Password는 사용 가능한 다른 많은 암호 관리자보다 더 강력한 대안입니다. 그들의 보안 설정은 금고를 보호하기 위한 비밀 키에도 의존합니다. 1Password는 많은 보안 전문가들이 선택했으며 수많은 계정에 액세스해야 하는 팀을 위해 볼트 액세스를 공유할 수 있는 훌륭한 시스템을 갖추고 있습니다.
또 다른 대안은 Bitwarden입니다. 오픈 소스 도구인 Bitwarden의 소스 코드는 보안 연구원이 자주 감사하는 Github에서 검토할 수 있습니다. 유료 계정은 연간 $10에 불과하므로 예산이 부족한 사람들이 프로젝트를 쉽게 지원할 수 있습니다. 원하는 경우 Bitwarden 볼트를 직접 호스팅할 수도 있습니다.
자신의 보안 관행을 재고할 수 있는 기회
고객이 아니더라도 LastPass 위반은 자신의 보안 정책에 대해 생각할 수 있는 좋은 기회입니다. LastPass와 같은 암호 관리자의 주요 기능은 온라인 계정에 대한 액세스를 다른 사람과 공유하는 기능입니다. 많은 온라인 서비스 및 작업장 요구 사항의 제한으로 인해 편의상 계정 액세스를 공유하게 되었습니다. 그러나 일반적으로 계정을 공유하는 것은 매우 나쁜 보안 관행입니다. Twitter와 같은 단일 사용자 소셜 미디어 계정에 두 명 이상의 사람에게 액세스 권한을 부여하지 마십시오! 대신 다중 사용자 소셜 미디어 관리자 앱을 사용하십시오. 그런 다음 기본 계정을 잃을 위험 없이 많은 사람이 트윗을 보낼 수 있도록 허용할 수 있습니다. 그리고 그 사람들이 떠나거나 역할을 바꿀 때 액세스 권한을 관리하는 것이 훨씬 더 간단해질 것입니다.
LastPass와 같은 앱에서 공유되는 암호에 대한 액세스 권한을 부여한 사람은 누구나 해당 암호를 영원히 유지할 수 있습니다. 그들은 그것들을 적을 수 있습니다. 편의를 위해 브라우저의 비밀번호 관리자에 비밀번호를 저장할 수 있습니다. 모든 팀과 조직에 사람이 오고 갑니다. 적절한 보안 관행을 위해서는 미사용 계정을 삭제하고 지체 없이 암호를 변경해야 합니다. 당신은 이것을 연습합니까? 얼마나 잘합니까? 최대한 쉽고 명확하게 작성했습니까? 이 중대한 책임을 특정인에게 위임했습니까? 누가 팀 액세스 권한을 확인하고 감사합니까? 그들은 얼마나 자주 그것을합니까?
자신의 최악의 시나리오에 대해 생각하십시오. 고객 데이터를 노출시킨 위반에 대한 커뮤니케이션을 어떻게 처리하시겠습니까? 이런 일이 발생하지 않도록 어떻게 사전 예방 전략으로 되돌아갈 수 있습니까?
이러한 중요한 책임을 무시하기에 너무 작은 기업은 없습니다. 내일의 치명적인 위반 위험을 낮추기 위해 오늘 무엇을 할 수 있습니까?
승리를 위한 패스키! 디지털 보안의 미래
이 이벤트는 암호 문제를 강조합니다. 암호 관리자는 더 복잡한 암호를 지원하려고 시도하고 있으며 이중 인증은 또 다른 보안 계층을 제공하려고 시도했습니다. 그러나 Verizon의 데이터 보안 보고서에 따르면 실제로 2FA를 사용하는 사용자는 30% 미만입니다. 암호는 정말 깨졌습니다. 암호 키는 앞으로 나아가는 솔루션입니다.
암호 키는 사용자의 ID를 확인하기 위해 전자 열쇠 또는 스마트 카드와 같은 물리적 장치를 사용하는 인증 방법의 한 유형입니다. 점점 보편화되고 있는 생체 인식 로그인 방법을 사용하는 컴퓨터나 전화를 사용하여 웹 사이트에서 신원을 인증할 수도 있습니다. 암호 키는 추가 보안 계층을 제공하기 때문에 암호와 같은 다른 인증 방법보다 더 안전한 것으로 간주됩니다.
컴퓨터가 은행 계좌(또는 iThemes Security Pro를 사용하는 경우 WordPress 사이트)에 대한 암호 키가 있는 알려진 신뢰할 수 있는 장치인 경우 기존 사이트 로그인을 우회할 수 있습니다. 웹 사이트에서 장치를 인식하고 Apple 장치의 Touch ID 또는 Microsoft용 Windows Hello를 통해 지문을 요청하는 것으로 충분합니다.
마음의 진정한 평화는 암호가 없습니다
암호 키의 장점 중 하나는 암호처럼 쉽게 추측하거나 해독할 수 없다는 것입니다. 암호는 해커가 계정에 대한 액세스 권한을 얻기 위해 일반적인 암호 목록을 테스트하는 사전 공격에 취약할 수 있습니다. 반면 암호 키는 일반적으로 고유하며 쉽게 복제할 수 없으므로 손상하기가 훨씬 더 어렵습니다.
또한 암호 키를 장치 암호 또는 생체 인증과 같은 다른 인증 방법과 함께 사용하여 훨씬 더 높은 수준의 보안을 제공할 수 있습니다. 이것은 다단계 인증으로 알려져 있으며 해커가 계정에 액세스하는 데 어려움을 크게 증가시킬 수 있습니다.
암호 키는 곧 LastPass와 같은 암호 관리자를 불필요하게 만들 수 있습니다. LastPass와 같은 대규모 플랫폼 보안 위반이 과거의 일이 될 수 있으므로 웹이 더 안전해집니다. WordPress 또는 WooCommerce 사이트를 운영하는 경우 iThemes Pro의 패스키 기능을 사용하여 자신과 사용자에게 암호 없는 로그인의 높은 보안성과 비교할 수 없는 편리함을 제공할 수 있습니다.
2023년 암호 관리자의 상태
실시간 대화형 온라인 교육 과정
2023년 1월 10일 @ 오후 1시(중앙)
이 웨비나에서는 최근 LastPass 침해와 디지털 생활(WordPress 사이트 포함)을 보호할 때 이에 대해 배울 수 있는 내용에 대해 논의하고 암호, 암호 관리자, 2단계 인증 및 암호의 현재 상태도 평가합니다. 2023년까지 안전하게 이동할 수 있도록 더.
우리는 또한 iThemes Security뿐만 아니라 기술 거대 기업에 의한 WebAuthn 구현 상태와 암호 키로 암호를 우리 뒤에 두는 솔루션에 대해서도 이야기할 것입니다.
Dan Knauss는 StellarWP의 기술 콘텐츠 제너럴리스트입니다. 그는 1990년대 후반부터 오픈 소스에서 일하고 2004년부터 WordPress에서 일하는 작가, 교사 및 프리랜서였습니다.