Bahwasannya, LastPass telah mengumumkan peningkatan wajib dalam langkah-langkah keamanan bagi penggunanya berupa kata sandi utama yang kompleks dengan minimal 12 karakter. Meskipun LastPass telah menyatakan persyaratan ini sejak 2018, pengguna sebelumnya memiliki opsi untuk menggunakan kata sandi yang lebih lemah. Sementara aturan kata sandi master 12 karakter diberlakukan untuk akun baru atau pengaturan ulang kata sandi sejak April 2023, akun lama masih diizinkan menggunakan kata sandi dengan kurang dari 12 karakter. Pada bulan ini, LastPass menerapkan persyaratan kata sandi utama 12 karakter untuk semua akun. Selain itu, LastPass sekarang akan memeriksa kata sandi utama baru atau yang diperbarui terhadap database kredensial yang sebelumnya bocor di web gelap untuk mencegah kecocokan dengan akun yang disusupi. Pengguna yang menemukan kecocokan akan menerima pop-up peringatan keamanan, mendorong mereka untuk memilih kata sandi lain untuk menggagalkan potensi upaya cracking.
Dalam upaya meningkatkan keamanan akun, LastPass memulai proses pendaftaran ulang autentikasi multifaktor paksa (MFA) pada Mei 2023. Meskipun menyebabkan masalah login dan penguncian akun untuk beberapa pengguna, LastPass menekankan bahwa perubahan ini bertujuan untuk menyelaraskan dengan praktik terbaik yang direkomendasikan untuk panjang dan kompleksitas kata sandi. Mulai Januari 2024, LastPass akan memberlakukan persyaratan kata sandi utama 12 karakter untuk semua pelanggan dan akan melakukan pemeriksaan langsung terhadap database kredensial yang diketahui dilanggar untuk lebih melindungi akun pengguna. Berikut informasi dari LastPass melalui akun media sosialnya
Kata sandi utama diretas setelah adanya pelanggaran pada 2022
Hal ini adalah akibat langsung dari dua pelanggaran keamanan yang diungkapkan LastPass pada Agustus 2022 dan November 2022. Pada bulan Agustus, perusahaan mengkonfirmasi lingkungan pengembangnya dilanggar melalui akun pengembang yang dikompromikan setelah penyerang meretas laptop perusahaan insinyur perangkat lunak. Selama pelanggaran, mereka mencuri kode sumber, info teknis, dan beberapa rahasia sistem internal LastPass. Informasi yang dicuri dalam insiden ini kemudian digunakan oleh pelaku ancaman dalam pelanggaran Desember ketika mereka juga mencuri data brankas pelanggan dari bucket Amazon S3 terenkripsi setelah mengorbankan komputer insinyur DevOps senior menggunakan kerentanan eksekusi kode jarak jauh untuk menginstal keylogger.
Pada Oktober 2023, peretas mencuri cryptocurrency senilai $4.4 juta dari lebih dari 25+ korban menggunakan kunci pribadi dan frasa sandi yang dapat mereka ekstrak dari database LastPass yang dicuri dalam pelanggaran LastPass tahun 2022. Menurut penelitian oleh pengembang MetaMaskTaylor MonahandanZachXBT, diyakini bahwa pelaku ancaman sekarang memecahkan kata sandi utama LastPass yang dicuri untuk mendapatkan akses ke kata sandi. Dengan menggunakan akses ini, pelaku ancaman mencari frasa sandi dompet cryptocurrency, kredensial, dan kunci pribadi dan menggunakannya untuk memuat dompet ke perangkat mereka sendiri untuk menguras semua dana mereka. LastPass mengatakan solusi manajemen kata sandinya sekarang digunakan oleh lebih dari 33 juta orang dan 100.000 bisnis di seluruh dunia.
Dengan perkembangan informasi tersebut sudah selayaknya kita mulai memperhatikan keamanan password yang kita miliki, update secara berkala serta jangan lupa upgrade menjadi “12 karakter”.
