บริการจัดการรหัสผ่าน LastPass ถูกแฮก

กลายเป็นข่าวใหญ่เมื่อบริการที่อาสาช่วยให้รหัสผ่านของผู้ใช้มีความปลอดภัยกลับถูกแฮกเสียเอง ล่าสุด “ลาสต์พาส (LastPass)” ออกมายอมรับว่า สามารถตรวจพบร่องรอยความพยายามเข้ามาขโมยข้อมูลจากบริษัท เช่น อีเมลแอดเดรส ข้อมูลช่วยจำรหัสผ่าน และข้อมูลการเข้ารหัสของผู้ใช้บางส่วน ยืนยันบริษัทสามารถป้องกันได้ทำให้ไม่มีข้อมูลรหัสผ่านของใครรั่วไหล

LastPass นั้นถือเป็นบริการจัดการรหัสผ่านที่ให้บริการออนไลน์ หรือ web service ที่ได้รับความนิยม เนื่องจากจุดขายของบริการคือ ผู้ใช้จะสามารถวางใจว่า “กองทัพรหัสผ่าน” ของตัวเองจะปลอดภัยเมื่อใช้บริการ LastPass โดย LastPass จะเข้ารหัสรหัสผ่านทั้งหมดที่ผู้ใช้มี ซึ่งจะทำให้รหัสผ่านตัวจริงปลอดภัยแม้จะถูกขโมย

จุดนี้ทำให้การแฮกระบบของ LastPass ไม่ได้มีเป้าหมายที่การขโมยรหัสผ่าน รายงานระบุว่า LastPass สามารถตรวจจับกิจกรรมต้องสงสัย หรือ “suspicious activity” ที่เครือข่ายระบบคอมพิวเตอร์ของตัวเอง โชคดีที่บริษัทสามารถปิดกั้นการโจมตีนั้นได้ และการสอบสวนเบื้องต้นพบว่า ไม่มีข้อมูลชื่อบัญชีผู้ใช้ และรหัสผ่านใดถูกขโมยไป

ข้อมูลที่ได้รับผลกระทบจากการโจมตีครั้งนี้คือ ที่อยู่อีเมลของผู้ใช้บางส่วน รวมถึงข้อมูลเตือนความจำรหัสผ่าน และข้อมูลการเข้ารหัส เบื้องต้น LastPass แนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านหลักของบริการ LastPass เพื่อความปลอดภัย โดยไม่ต้องเปลี่ยนรหัสผ่านที่แท้จริงทั้งหมด

อย่างไรก็ตาม Joe Siegrist ซีอีโอ LastPass แนะนำว่า หากผู้ใช้ตั้งรหัสผ่านที่แท้จริง หรือ master password ที่ง่ายต่อการคาดเดาเกินไป โดยเฉพาะการตั้งรหัสผ่านตามคำในพจนานุกรม รวมถึงตัวเลขเช่น 123456799, password1 ก็ควรจะดำเนินการเปลี่ยนรหัสผ่านให้มีความรัดกุมขึ้น เนื่องจากข้อมูลอีเมลแอดเดรสที่รั่วไหลไปอาจทำให้นักแฮกนำไปเดาสุ่มเพื่อแอบอ้างใช้บริการได้

บริการจัดการรหัสผ่านกำลังได้รับความนิยมสูงในปัจจุบัน เนื่องจากหากมีการเจาะระบบร้านค้าออนไลน์ หรือเว็บไซต์ธนาคารที่เคยใช้บริการ ผู้ใช้จะสามารถวางใจได้ว่าข้อมูลทางการเงิน หรือรหัสผ่านบริการสำคัญของตัวเองจะยังปลอดภัย โดยก่อนหน้านี้ LastPass เคยมีประวัติถูกเจาะระบบมาก่อนในปี 2011 จุดนี้สะท้อนว่า บริการลักษณะนี้คือหนึ่งในเป้าหมายที่แฮกเกอร์ให้ความสนใจไม่น้อยทีเดียว