การละเมิดความปลอดภัย LastPass: วิธีป้องกันตัวเอง

เผยแพร่แล้ว: 2023-01-05

สิ่งที่คุณต้องรู้และทำเกี่ยวกับการละเมิด LastPass

หากคุณเป็นผู้ใช้ LastPass เช่นเดียวกับพวกเราหลายคนในชุมชน WordPress คุณอาจกำลังมองหาโซลูชันการจัดการรหัสผ่านทางเลือกในวันนี้ หลังจากการละเมิดความปลอดภัยครั้งใหญ่ที่ LastPass บริษัทไม่เปิดเผยในเวลาที่เหมาะสม — ซึ่งอาจทำให้ข้อมูลของคุณตกอยู่ในความเสี่ยง — คุณควรพิจารณาเปลี่ยนไปใช้ Bitwarden หรือ 1Password ยิ่งไปกว่านั้น ให้เริ่มใช้รหัสผ่านเมื่อเป็นไปได้ — พวกเขาทำให้การเข้าสู่ระบบแบบไม่ใช้รหัสผ่านเป็นโซลูชันการรักษาความปลอดภัยขั้นสูงสุด สุดท้ายนี้ หากคุณมีหน้าที่รับผิดชอบต่อความปลอดภัยของข้อมูลของผู้อื่นหรือหากคุณมีบทบาทในการสื่อสาร คุณสามารถเรียนรู้จากความผิดพลาดของ LastPass ได้ — โดยหลักๆ แล้วเป็นสิ่งที่ ไม่ ควรทำ มาดูกันว่าเกิดอะไรขึ้น สิ่งที่ควรจะเกิดขึ้น และวิธีที่คุณควรรักษาความปลอดภัยบัญชีออนไลน์ของคุณในเชิงรุก

การละเมิดความปลอดภัย LastPass

ขุดหลุมให้ลึกกว่านี้ก็ช่วยไม่ได้

อย่างชัดเจน LastPass รับประกันให้ลูกค้าว่ารหัสผ่านหลัก ข้อมูล และข้อมูลส่วนบุคคลของพวกเขาปลอดภัย ข้อมูลบัญชีที่สำคัญของเรานั้นปลอดภัยอย่างสมบูรณ์ น่าเสียดายที่สิ่งนี้ไม่เป็นความจริงเลย

ในเดือนสิงหาคม 2022 Karim Toubba CEO ของ LastPass ได้โพสต์ชุดแรกของสิ่งที่จะกลายเป็นชุดของการเปิดเผยต่อสาธารณะที่จริงจังมากขึ้นเกี่ยวกับการละเมิดความปลอดภัยที่ลึกและต่อเนื่อง การเปิดเผยครั้งแรกกล่าวว่า “บุคคลที่ไม่ได้รับอนุญาต” เข้าถึงสภาพแวดล้อมการพัฒนาของวิศวกร LastPass บางส่วนโดยใช้ประโยชน์จาก “บัญชีนักพัฒนาที่ถูกบุกรุกเพียงบัญชีเดียว” ผู้บุกรุกขโมยซอร์สโค้ดบางส่วนและ “ข้อมูลทางเทคนิค LastPass ที่เป็นกรรมสิทธิ์” อย่างไรก็ตาม Toubba กล่าวว่าไม่มีผลกระทบต่อแพลตฟอร์มการจัดการรหัสผ่าน LastPass หรือลูกค้าของตน เขารับรองลูกค้าของ LastPass อย่างชัดเจนว่ารหัสผ่านหลัก ข้อมูล และข้อมูลส่วนบุคคลของพวกเขาปลอดภัย ข้อมูลบัญชีที่สำคัญของเรานั้นปลอดภัยอย่างสมบูรณ์ ไม่ถูกแตะต้องโดยผู้บุกรุก

น่าเสียดายที่สิ่งนี้ไม่เป็นความจริงเลย

สิ่งที่เกิดขึ้นจริงที่ LastPass

ตั้งแต่ปลายเดือนพฤศจิกายน Toubba ได้อัปเดตการเปิดเผยของ LastPass อีกหลายรายการ ซึ่ง Zack Whittaker จาก TechCrunch ได้แยกวิเคราะห์อย่างเป็นประโยชน์เพื่อแสดงให้เห็นว่า LastPass ไม่ได้ อธิบายอะไร ในที่สุด LastPass ก็แสดงให้เห็นชัดเจนว่าผู้โจมตีขโมยข้อมูลลูกค้า บางส่วน ในการละเมิดครั้งที่สองที่เปิดใช้งานโดย "ข้อมูลที่ได้รับ" ในการละเมิดครั้งก่อน ประการแรก ผู้โจมตีกำหนดเป้าหมายผู้พัฒนา LastPass หนึ่งราย จากนั้นอีกรายเจาะระบบของ LastPass ลึกลงไป รวมถึงที่เก็บข้อมูลบนคลาวด์ของบริษัทแม่ของ LastPass นั่นคือ GoTo (GoTo ยังเป็นเจ้าของ LogMeIn และ GoToMyPC ด้วย)

ในการดำเนินการที่น่ารำคาญ GoTo ได้ซ่อนการเปิดเผยของตัวเองจากเครื่องมือค้นหา

จากนั้นก่อนวันคริสต์มาส Toubba ได้อัปเดตการเปิดเผยการละเมิด LastPass อีกครั้ง เขายืนยันว่าผู้โจมตีขโมยสแน็ปช็อตสำรองของห้องนิรภัยรหัสผ่านของลูกค้า LastPass ที่เข้ารหัส Toubba ยังรับทราบว่าทุกคนที่มีสแน็ปช็อตสามารถใช้วิธีการเดรัจฉานเพื่อถอดรหัสห้องนิรภัยรหัสผ่านของลูกค้าที่เข้ารหัสได้ รวมอยู่ในการละเมิดชื่อของลูกค้า LastPass, ชื่อบริษัทและที่อยู่อีเมล, หมายเลขโทรศัพท์และที่อยู่ IP, URL, บันทึกย่อ, ข้อมูลแบบฟอร์ม และข้อมูลการเรียกเก็บเงินบางส่วน

นี่มันเลวร้ายยิ่งกว่า

ไม่น่าเชื่อว่า “การอัปเดต” นี้ไม่ได้บ่งบอกถึงความเร่งด่วนที่เหมาะสมสำหรับการละเมิดความปลอดภัยขนาดที่ LastPass ประสบ

ผลกระทบของการสื่อสารในภาวะวิกฤตที่ไม่ดีจาก LastPass

LastPass ไม่ได้เปิดเผยข้อเท็จจริงที่สำคัญ เช่น จำนวนบัญชีผู้ใช้ที่อยู่ในข้อมูลที่ถูกขโมย ดังนั้น เราควรถือว่าผู้ใช้ LastPass ทั้งหมด 25+ ล้านคน (ณ เดือนพฤศจิกายน 2022) มีความเสี่ยงเนื่องจากการละเมิดความปลอดภัยเหล่านี้ นอกจากนี้ แม้แต่ลูกค้าเก่าก็อาจตกอยู่ในความเสี่ยงได้หากไฟล์สำรองข้อมูลที่ถูกขโมยมีข้อมูลส่วนตัวเก่าและรหัสผ่านห้องนิรภัย

การเปิดเผยข้อมูลด้านความปลอดภัยที่ขัดแย้งกันหลายๆ ชุดเป็นเหมือนการตบหน้าผู้ที่ไว้วางใจในตัวคุณและแบรนด์ของคุณ

ฉันใช้ LastPass เป็นเวลาหลายปีเพื่อเข้าถึงรหัสผ่านของผู้อื่นที่พวกเขาแชร์กับฉันเพื่อวัตถุประสงค์ในการทำงาน แม้ว่าฉันจะไม่ได้จ่ายเงินเพื่อใช้บริการด้วยตัวเอง แต่ฉันก็ต้องเก็บบัญชีไว้กับ LastPass ด้วยเหตุผลนี้ ฉันได้รับการแจ้งเตือนการละเมิดความปลอดภัยจาก LastPass ทางอีเมลเหมือนกับลูกค้ารายอื่น และฉันก็กังวลทันที ฉันสังเกตเห็นว่าหัวข้อนี้ปรากฏขึ้นสำหรับการสนทนาใน Post Status Slack ซึ่งเป็นฟอรัมชุมชนยอดนิยมสำหรับมืออาชีพ WordPress Robert Rowley ผู้สนับสนุนผู้พัฒนาสำหรับ Patchstack แบ่งปันข่าวที่นั่น เขาตั้งข้อสังเกตว่า “ไม่มีรหัสผ่านหลักหรือรหัสผ่านที่เก็บไว้รั่วไหล ไม่จำเป็นต้องดำเนินการใดๆ” เช่นเดียวกับผู้ใช้ Patchstack รายอื่นๆ อีกหลายล้านคน เราทุกคนเชื่อในสิ่งที่บริษัทบอกเรา และเราคิดผิด

ต่อมา คนอื่นๆ ที่ Patchstack และชุมชน WordPress ได้แชร์ข่าวเกี่ยวกับ GoTo ที่ระงับการเปิดเผยการละเมิดของตนเอง ในเดือนธันวาคม โรว์ลีย์แสดงความคิดเห็นอีกครั้ง โดยสังเกตว่าสิ่งต่างๆ มาจากคำแถลงเริ่มต้นที่เราทุกคนเชื่อกันไปไกลเพียงใด “ไม่มีการเข้าถึงห้องนิรภัยของลูกค้า” เมื่อเปรียบเทียบชุดของการเปิดเผยที่ขัดแย้งกับการถูกต่อย โรว์ลีย์ตั้งข้อสังเกตว่า “สิ่งนี้สามารถมองได้ว่าเป็นการผสมผสานซ้ายขวาของการสูญเสียความไว้วางใจ การอัปเดตทุกครั้งทำให้เหตุการณ์แย่ลง”

สิ่งที่ควรจะเกิดขึ้นที่ LastPass

ท้ายที่สุด ความไว้วางใจไม่ใช่เทคโนโลยีหรือแนวคิดทางเทคนิค เป็นเรื่องเกี่ยวกับความสัมพันธ์ของมนุษย์ ความไว้วางใจขึ้นอยู่กับว่าคุณปฏิบัติต่อผู้อื่นอย่างไร โดยเฉพาะอย่างยิ่งผู้ที่ไว้วางใจในตัวคุณ

ในชุมชนโอเพ่นซอร์ส เราให้ความสำคัญกับความโปร่งใสต่อความผิดพลาด โดยเฉพาะอย่างยิ่งเมื่อคำนึงถึงความปลอดภัย เราพยายามรักษาและปกป้องวัฒนธรรมของการเปิดเผยอย่างมีความรับผิดชอบ หากเราพบช่องโหว่ในผลิตภัณฑ์ซอฟต์แวร์โอเพ่นซอร์ส เราจะแจ้งให้เจ้าของและผู้ดูแลทราบอย่างเงียบๆ เราคาดหวังให้พวกเขาแจ้งเตือนผู้ใช้โดยทันทีและทำการเปิดเผยข้อมูลทั้งหมดทันทีที่พวกเขาได้แพตช์โค้ดที่ใช้ประโยชน์ได้ เราคาดหวังว่าสิ่งนี้จะเกิดขึ้นอย่างรวดเร็วโดยมีความสำคัญสูงสุด ด้วยวิธีนี้ สมาชิกในชุมชนโอเพ่นซอร์สจะพยายามช่วยกันแก้ปัญหาที่กระทบต่อทุกคนแทนที่จะปิดบัง ซึ่งเกิดขึ้นบ่อยครั้งกับซอฟต์แวร์ที่เป็นกรรมสิทธิ์

หลักจริยธรรมที่คล้ายกันนี้ใช้บังคับเมื่อบุคคลมุ่งร้ายขโมยข้อมูลระบุตัวบุคคล (PII) ที่มีมูลค่าสูง แม้ว่ากฎหมายการแจ้งเตือนการละเมิดความปลอดภัยจะแตกต่างกันไปในแต่ละรัฐและประเทศ แต่กฎหมายทั้งหมดกำหนดให้มีการเปิดเผยข้อมูลแก่ผู้ที่ได้รับผลกระทบอย่างทันท่วงที ไม่ใช่มารยาทง่ายๆ แต่เป็นข้อผูกมัดทางกฎหมายและจริยธรรม

ในด้านความปลอดภัย ความไว้วางใจคือทุกสิ่ง

การละเมิดความปลอดภัยทั้งหมดสามารถทำลายความไว้วางใจได้ ล้วนเป็นสถานการณ์ที่เลวร้ายที่จะเลวร้ายลงได้ก็ต่อเมื่อเกิดความล่าช้ามากขึ้นเท่านั้น การเปิดเผยข้อมูลที่ไม่ถูกต้องและไม่ครบถ้วนอาจเป็นหายนะสำหรับบริษัทและแบรนด์ ดังที่เราได้เห็นใน LastPass

เหตุใดทุกคนจึงควรไว้วางใจบริษัทที่แสดงพฤติกรรมขาดความรับผิดชอบ เอาแต่ใจตัวเอง และทำลายตนเองอย่างหลีกเลี่ยงไม่ได้ เมื่อทำให้ลูกค้าล้มเหลวอย่างเลวร้าย การสื่อสารที่ซื่อสัตย์ ตรงไปตรงมา และชัดเจนซึ่งมุ่งเน้นการลดอันตรายต่อลูกค้าเป็นวิธีเดียวที่เป็นไปได้ในการทำให้สิ่งต่างๆ ดีขึ้น

ท้ายที่สุด ความไว้วางใจไม่ใช่เทคโนโลยีหรือแนวคิดทางเทคนิค เป็นเรื่องเกี่ยวกับความสัมพันธ์ของมนุษย์ ความไว้วางใจขึ้นอยู่กับว่าคุณปฏิบัติต่อผู้อื่นอย่างไร โดยเฉพาะอย่างยิ่งผู้ที่ไว้วางใจในตัวคุณ เราไม่สามารถทำตามคำสัญญาของเราได้ดีเสมอไป และความล้มเหลวก็เกิดขึ้นได้เสมอ วิธีเดียวที่จะต่ออายุความไว้เนื้อเชื่อใจได้เมื่อเกิดเรื่องเลวร้ายที่สุดก็คือการยอมรับสิ่งที่เกิดขึ้นและเปิดเผยทุกอย่างอย่างตรงไปตรงมา

ผู้ใช้ LastPass ควรตอบสนองต่อการละเมิดความปลอดภัยอย่างไร?

จากวิธีที่ LastPass เปิดเผยการละเมิดนี้ มาตรการรักษาความปลอดภัยเพิ่มเติมใน LastPass เพื่อป้องกันห้องเก็บรหัสผ่านของคุณจะไม่ช่วยอะไร ถึงเวลาเริ่มต้นอย่างแรก โยกย้ายไปยังผู้จัดการรหัสผ่านใหม่ เช่น 1Password, Bitwarden หรือ NordPass และอย่างที่สอง และที่สำคัญที่สุดคือ เริ่มเปลี่ยนรหัสผ่านบนไซต์และแอปพลิเคชันที่สำคัญ ซึ่งข้อมูลรับรองที่คุณเก็บไว้ใน LastPass vault ของคุณ การเพิ่มการตรวจสอบสิทธิ์แบบสองปัจจัยให้กับเว็บไซต์เหล่านั้นถือเป็นการดำเนินการที่ชาญฉลาดมากหากคุณยังไม่ได้ดำเนินการ

สิ่งที่สำคัญที่สุดที่ต้องทำคือเริ่มเปลี่ยนรหัสผ่านทั้งหมดให้กับบัญชีผู้ใช้ทั้งหมดที่คุณจัดเก็บไว้ใน LastPass — ทันที

หากห้องนิรภัยของคุณไม่ได้รับการป้องกันด้วยรหัสผ่านหลักที่รัดกุม บัญชีออนไลน์ทั้งหมดของคุณจะถูกบุกรุกในที่สุด แม้ว่าคุณจะมีรหัสผ่านหลักที่รัดกุม แต่ก็ยังสามารถถอดรหัสได้โดยใช้กำลังดุร้าย

ไม่ใช่คำถาม ว่า ข้อมูลของคุณจะถูกถอดรหัสหรือไม่ แต่เป็นเรื่องของ เมื่อไร เนื่องจากการละเมิดนี้เกิดขึ้นห้าเดือนก่อนการเปิดเผยของ LastPass ว่าห้องนิรภัยของลูกค้าได้รับผลกระทบ ผู้โจมตีที่มุ่งร้ายได้เริ่มดำเนินการแล้ว ด้วยเหตุนี้ การเริ่มต้นรักษาความปลอดภัยข้อมูลรับรองสำหรับบัญชีใด ๆ ที่คุณจัดเก็บไว้ใน LastPass จึงเป็นเรื่องสำคัญ

นั่นเป็นเหตุผลที่สิ่งถัดไปและสำคัญที่สุดที่ต้องทำคือเริ่มเปลี่ยนรหัสผ่านทั้งหมดให้กับบัญชีทั้งหมดที่คุณจัดเก็บไว้ใน LastPass จัดลำดับความสำคัญให้กับสิ่งที่สำคัญที่สุดก่อน เช่น บัญชีการเงิน บัญชีผู้ดูแลไซต์ และอื่นๆ ซึ่งการสูญเสียอาจทำให้คุณเสียค่าใช้จ่ายอย่างมาก

ได้เวลาออกจาก LastPass แล้ว

สุดท้าย เราขอแนะนำให้ปิดบัญชี LastPass ของคุณและย้ายไปใช้บริการอื่น เช่น Bitwarden หรือ 1Password Bitwarden มีเครื่องมือการย้ายเพื่อนำเข้าบันทึกบัญชี LastPass ของคุณ 1Password ก็เช่นกัน

ได้เวลาเลิกใช้ LastPass แล้ว พิจารณาใช้ Bitwarden ซึ่งเป็นทางเลือกโอเพ่นซอร์สที่เหนือกว่า ซอร์สโค้ดของ Bitwarden มีให้ตรวจสอบบน Github ซึ่งมีการตรวจสอบโดยนักวิจัยด้านความปลอดภัยอยู่บ่อยครั้ง บัญชีแบบชำระเงินเพียง $10 ต่อปี ซึ่งทำให้การสนับสนุนโครงการเป็นเรื่องง่ายสำหรับผู้ที่มีงบประมาณจำกัด คุณยังสามารถโฮสต์ Bitwarden vault ของคุณเองได้หากต้องการ

ได้เวลาเลิกใช้ LastPass แล้ว หากคุณมีเงินที่จะใช้จ่ายกับ 1Password มันเป็นทางเลือกที่มีประสิทธิภาพมากกว่าผู้จัดการรหัสผ่านอื่น ๆ ที่มีอยู่มากมาย การตั้งค่าความปลอดภัยของพวกเขายังใช้รหัสลับเพื่อรักษาความปลอดภัยห้องนิรภัย 1Password เป็นตัวเลือกของผู้เชี่ยวชาญด้านความปลอดภัยจำนวนมาก และมีระบบที่ยอดเยี่ยมสำหรับการแบ่งปันการเข้าถึงห้องนิรภัยสำหรับทีมที่ต้องการการเข้าถึงบัญชีจำนวนมาก

อีกทางเลือกหนึ่งคือ Bitwarden เครื่องมือโอเพ่นซอร์ส ซอร์สโค้ดของ Bitwarden พร้อมให้ตรวจสอบบน Github ซึ่งมีการตรวจสอบโดยนักวิจัยด้านความปลอดภัยอยู่บ่อยครั้ง บัญชีแบบชำระเงินเพียง $10 ต่อปี ซึ่งทำให้การสนับสนุนโครงการเป็นเรื่องง่ายสำหรับผู้ที่มีงบประมาณจำกัด คุณยังสามารถโฮสต์ Bitwarden vault ของคุณเองได้หากต้องการ

โอกาสในการทบทวนแนวปฏิบัติด้านความปลอดภัยของคุณเอง

แม้ว่าคุณจะไม่ใช่ลูกค้า การละเมิด LastPass เป็นโอกาสที่ดีในการคิดเกี่ยวกับนโยบายความปลอดภัยของคุณเอง คุณสมบัติที่สำคัญของผู้จัดการรหัสผ่านเช่น LastPass คือความสามารถในการแบ่งปันการเข้าถึงบัญชีออนไลน์กับผู้อื่น ข้อจำกัดของบริการออนไลน์จำนวนมากและความต้องการในที่ทำงานทำให้เราต้องแบ่งปันการเข้าถึงบัญชีเพื่อความสะดวก อย่างไรก็ตาม ตามกฎแล้ว การแชร์บัญชีถือเป็นหลักปฏิบัติด้านความปลอดภัยที่แย่มาก อย่าให้บุคคลมากกว่าหนึ่งคนเข้าถึงบัญชีโซเชียลมีเดียแบบผู้ใช้คนเดียวเช่น Twitter! ใช้แอปตัวจัดการโซเชียลมีเดียแบบผู้ใช้หลายคนแทน จากนั้นคุณสามารถอนุญาตให้ผู้คนจำนวนเท่าใดก็ได้ส่งทวีตโดยไม่เสี่ยงต่อการสูญเสียบัญชีหลักของคุณ และเมื่อคนเหล่านั้นออกหรือเปลี่ยนบทบาท การจัดการสิทธิ์การเข้าถึงก็จะง่ายขึ้นมาก

ตามกฎแล้ว การแชร์ข้อมูลประจำตัวของบัญชีเป็นวิธีปฏิบัติด้านความปลอดภัยที่แย่มาก

ใครก็ตามที่คุณให้สิทธิ์เข้าถึงรหัสผ่านที่แชร์ในแอปอย่าง LastPass อาจเก็บรหัสผ่านเหล่านั้นไว้ตลอดไป พวกเขาอาจจดไว้ พวกเขาอาจบันทึกไว้ในตัวจัดการรหัสผ่านของเบราว์เซอร์เพื่อความสะดวก ผู้คนเข้ามาและไปในทุกทีมและองค์กร แนวทางปฏิบัติด้านความปลอดภัยที่เหมาะสมกำหนดให้คุณต้องลบบัญชีที่ไม่ได้ใช้และเปลี่ยนรหัสผ่านโดยไม่ชักช้า คุณปฏิบัติสิ่งนี้หรือไม่? คุณทำได้ดีแค่ไหน? คุณทำให้มันง่ายและชัดเจนที่สุดแล้วหรือยัง? คุณได้มอบหมายความรับผิดชอบที่สำคัญนี้ให้กับบุคคลใดบุคคลหนึ่งหรือไม่? ใครเป็นผู้ตรวจสอบและตรวจสอบสิทธิ์การเข้าถึงทีมของคุณ พวกเขาทำบ่อยแค่ไหน?

คิดเกี่ยวกับสถานการณ์ที่เลวร้ายที่สุดของคุณเอง คุณจะจัดการกับการสื่อสารเกี่ยวกับการละเมิดที่เปิดเผยข้อมูลลูกค้าของคุณอย่างไร คุณจะกลับไปใช้กลยุทธ์การป้องกันเชิงรุกได้อย่างไรเพื่อไม่ให้สิ่งนี้เกิดขึ้น

ไม่มีธุรกิจใดเล็กเกินไปที่จะเพิกเฉยต่อความรับผิดชอบที่สำคัญเหล่านี้ วันนี้คุณจะทำอะไรได้บ้างเพื่อลดความเสี่ยงของการละเมิดที่รุนแรงในวันพรุ่งนี้

กุญแจผีเพื่อชัยชนะ! อนาคตของการรักษาความปลอดภัยดิจิทัล

เหตุการณ์นี้เน้นย้ำถึงปัญหาเกี่ยวกับรหัสผ่าน ผู้จัดการรหัสผ่านพยายามสนับสนุนรหัสผ่านที่ซับซ้อนมากขึ้น และการยืนยันตัวตนแบบสองปัจจัยได้พยายามให้ความปลอดภัยอีกชั้นหนึ่ง อย่างไรก็ตาม ตามรายงานความปลอดภัยของข้อมูลของ Verizon มีผู้ใช้น้อยกว่า 30% ที่ใช้ 2FA จริงๆ รหัสผ่านเสียหายอย่างแท้จริง รหัสผ่านคือทางออกในอนาคต

รหัสผ่านคือวิธีการตรวจสอบสิทธิ์ประเภทหนึ่งที่เกี่ยวข้องกับการใช้อุปกรณ์ทางกายภาพ เช่น คีย์ fob หรือสมาร์ทการ์ด เพื่อยืนยันตัวตนของผู้ใช้ คอมพิวเตอร์หรือโทรศัพท์ที่มีวิธีการเข้าสู่ระบบแบบไบโอเมตริกซ์ที่แพร่หลายมากขึ้นสามารถใช้เพื่อยืนยันตัวตนของคุณบนเว็บไซต์ได้ รหัสผ่านถือว่ามีความปลอดภัยมากกว่าวิธีการตรวจสอบความถูกต้องอื่นๆ เช่น รหัสผ่าน เนื่องจากคีย์เหล่านี้ให้ความปลอดภัยเพิ่มเติมอีกชั้นหนึ่ง

ด้วยรหัสผ่าน คุณสามารถข้ามการเข้าสู่ระบบไซต์แบบดั้งเดิมที่มีความปลอดภัยน้อยกว่ามาก

หากคอมพิวเตอร์ของคุณเป็นอุปกรณ์ที่รู้จักและเชื่อถือได้พร้อมรหัสผ่านสำหรับบัญชีธนาคารของคุณ (หรือไซต์ WordPress หากคุณใช้ iThemes Security Pro) คุณสามารถข้ามการเข้าสู่ระบบไซต์แบบเดิมได้ เว็บไซต์จะจดจำอุปกรณ์ของคุณและอาจขอลายนิ้วมือผ่าน Touch ID บนอุปกรณ์ Apple หรือ Windows Hello สำหรับ Microsoft ก็เพียงพอแล้ว

ความสบายใจที่แท้จริงนั้นไร้รหัสผ่าน

ข้อดีอย่างหนึ่งของรหัสผ่านคือไม่สามารถเดาหรือถอดรหัสได้ง่ายเหมือนรหัสผ่าน รหัสผ่านอาจเสี่ยงต่อการถูกโจมตีจากพจนานุกรม ซึ่งแฮ็กเกอร์จะทดสอบรายการรหัสผ่านทั่วไปเพื่อพยายามเข้าถึงบัญชี ในทางกลับกัน รหัสผ่านมักจะไม่ซ้ำใครและไม่สามารถทำซ้ำได้ง่าย ทำให้ยากต่อการประนีประนอม

รหัสผ่านอาจทำให้ผู้จัดการรหัสผ่านเช่น LastPass ไม่จำเป็นในไม่ช้า

นอกจากนี้ รหัสผ่านยังสามารถใช้ร่วมกับวิธีการรับรองความถูกต้องอื่นๆ เช่น รหัสผ่านอุปกรณ์หรือการรับรองความถูกต้องด้วยไบโอเมตริก เพื่อให้ระดับความปลอดภัยสูงขึ้นไปอีก สิ่งนี้เรียกว่าการตรวจสอบสิทธิ์แบบหลายปัจจัย และสามารถเพิ่มความยากลำบากอย่างมากสำหรับแฮ็กเกอร์ในการเข้าถึงบัญชี

รหัสผ่านอาจทำให้ผู้จัดการรหัสผ่านเช่น LastPass ไม่จำเป็นในไม่ช้า นั่นจะทำให้เว็บปลอดภัยยิ่งขึ้น เนื่องจากการละเมิดความปลอดภัยของแพลตฟอร์มขนาดใหญ่อย่าง LastPass อาจกลายเป็นอดีตไปแล้ว หากคุณใช้ไซต์ WordPress หรือ WooCommerce คุณสามารถให้ความปลอดภัยสูงแก่ตัวคุณเองและผู้ใช้ของคุณ และความสะดวกสบายที่ไม่มีใครเทียบในการเข้าสู่ระบบแบบไม่ใช้รหัสผ่านด้วยฟีเจอร์รหัสผ่านของ iThemes Pro

สถานะของผู้จัดการรหัสผ่านในปี 2023

หลักสูตรฝึกอบรมออนไลน์แบบโต้ตอบสด
 10 มกราคม 2566 เวลา 13.00 น. (กลาง)

ในการสัมมนาผ่านเว็บนี้ เราจะหารือเกี่ยวกับการละเมิด LastPass ล่าสุด และสิ่งที่เราสามารถเรียนรู้เกี่ยวกับเรื่องนี้เมื่อปกป้องชีวิตดิจิทัลของเรา (รวมถึงไซต์ WordPress ของเรา) และเราจะประเมินสถานะปัจจุบันของรหัสผ่าน ผู้จัดการรหัสผ่าน การรับรองความถูกต้องด้วยสองปัจจัย และ มากขึ้นเพื่อให้เราสามารถก้าวเข้าสู่ปี 2023 ได้อย่างปลอดภัย

นอกจากนี้ เราจะพูดถึงวิธีแก้ปัญหาในการใส่รหัสผ่านด้วยคีย์รหัสผ่านและสถานะของการใช้งาน WebAuthn ทั้งโดยยักษ์ใหญ่ด้านเทคโนโลยีและ iThemes Security

ลงทะเบียนฟรี!