Пользователи LastPass получили электронное письмо, в котором сообщается, что «все мастер-пароли должны иметь длину минимум 12 символов». Клиенты с более короткими мастер-паролями, будут вынуждены обновить их и привести в соответствие с новыми требованиями.
Еще в 2018 году LastPass установил ограничение на минимальную длину мастер-пароля в 12 символов для новых пользователей. Все учетные записи, созданные после этого изменения, должны были использовать мастер-пароли с 12 символами или более.
Однако, на старые учетные записи тогда это требование не распространялось. Компания LastPass была основана в 2008 году, и пользователи, создавшие учетные записи в период с 2008 по 2018 год, могли использовать мастер-пароли, состоящие менее чем из 12 символов.
Короткие пароли считаются уязвимыми, так как при атаках методом перебора требуется меньше времени для их раскрытия. Например, пароли, состоящие из 6 символов, перебираются очень быстро, даже если в них используются цифры, прописные и строчные буквы и символы.
На перебор пароля из 12 символов даже с одним и тем же набором символов могут уйти годы.
Отказ от тотального введения минимальной длины пароля был не единственной ошибкой компании. LastPass также изменила количество итераций PBKDF2 с 5000 до 100100, но должным образом не обеспечила соблюдение данного ограничения.
А после взлома своей инфраструктуры LastPass старые учетные записи подвергались более серьезному риску компрометации, чем новые аккаунты с длинными мастер-паролями.
Теперь наступает время изменений, которые нужно было ввести еще в 2018 году. Все пользователи LastPass, использующие мастер-пароль, состоящий менее чем из 12 символов, должны будут его сменить.
LastPass рекомендует пользователям настроить «восстановление учетной записи» перед внесением изменений. Это единственный способ восстановить доступ к учетной записи, если мастер-пароль не получится вспомнить.
Если длина пароля менее 12 символов, то существующие пользователи увидят сообщение с инструкцией по обновлению мастер-пароля следующего содержания:
Это нативное оповещение будет последним уведомлением перед тем, как вы будете вынуждены выйти из системы и установить новый мастер-пароль.
Лучше не медлить с обновлением мастер-пароля, чтобы избежать возможных блокировок учетных записей или задержек с запросами в службу поддержки, которые могут возникнуть при введении этого изменения.
Большинство пользователей, возможно, захотят установить пароли, состоящие более чем из 12 символов. Хотя такие пароли будет нелегко запомнить, это значительно повышает эффективность защиты от атак «грубой силы».
Обновления программ, что нового
• Обновления Samsung Galaxy со 2 по 8 февраля: тестирование One UI 8.5, патчи безопасности за январь и февраль 2026 года
• Telegram для Android получил масштабный редизайн в стиле Liquid Glass
• ИИ написал компилятор для ядра Linux за две недели: результаты теста Claude Opus 4.6
• iQOO 15 Ultra против Red Magic 11 Pro: различия в охлаждении, дисплеях и производительности
• Android 16 QPR3 для Pixel: 6 ключевых изменений, которые появятся уже в марте
• NIST: принудительная смена паролей каждые 90 дней устарела и снижает безопасность