Om du använder LastPass har angripare förmodligen en kopia av ditt valv och alla dina lösenord.

Att nu ändra ditt huvudlösenord kommer inte att hjälpa eftersom de redan har en kopia som kan låsas upp med ditt gamla lösenord.

Bakgrund:
LastPass, en välkänd lösenordshanterare, hackades nyligen och alla lösenord som tjänsten sparade stals. Hackarna lyckades få en säkerhetskopia av tjänstens kunders data, som innehöll känslig information och naturligtvis lösenord, även om de var krypterade. Den 22 december meddelade LastPass via den officiella bloggen att ett obehörigt intrång hade skett: Hackarna lyckades få en säkerhetskopia som innehöll “både okrypterad data som webbplats-URL:er och all känslig krypterad data som användarnamn, lösenord, säkerhetstips och data för automatisk formulärifyllning”.

Vad ska göras?

1.) Använd inte längre LastPass.
Vi vet inte hur allvarligt läget är. Det är möjligt att angripare fortfarande har tillgång. Så ändra inte bara dina lösenord och spara dem igen i LastPass. Vi kommer först att ta hand om de akuta kontona, och det manuellt, och sedan ställa in en ny lösenordshanterare.

2.) Om du har virtuella tillgångar och hade seed-fraser i din LastPass måste du absolut ta itu med detta OMEDELBART.
Skapa nya plånböcker, skriv ner seed-fraserna ENDAST på ett papper och flytta alla dina tillgångar till de nya plånböckerna.
Slösa inte tid på att hitta en perfekt lösning för förvaring eftersom det är tid du inte har. Om angriparen har tillgång till dina seed-fraser kan de stjäla dina tillgångar när som helst, och du kan inte ångra det. Skydda dina tillgångar först och tänk senare på långsiktig förvaring.

3.) Ändra dina lösenord för börser och andra finansiella produkter.
Skriv först ner dina lösenord på papper. Använd olika lösenord för varje börs.

Aktivera 2FA och se till att 2FA-koden inte är sparad i LastPass. Om den är det, ta bort 2FA och ställ in det på en annan app.

4.) Ändra lösenorden för dina e-postkonton.
Alla som har tillgång till dina e-postmeddelanden kan komma åt dina andra konton genom “glömt lösenord”-mekanismer, så se till att dina e-postmeddelanden är säkra. Unikt lösenord per tjänst, skriv det på papper, använd 2FA som inte är sparad i LastPass.

5.) Ändra också lösenorden och 2FA för dina Apple iCloud- och Google-konton.
Dessa konton kan förmodligen komma åt data på din iPhone/Android via säkerhetskopior och molnsynkroniseringar och eventuellt låsa ute dig, så ändra dem så snart som möjligt.

6.) Du har nu skyddat dina viktigaste data. Ställ nu in en ny lösenordshanterare.
Överväga 1Password/Bitwarden/Keepass. Vår favorit är Keepass. Vi har även redan publicerat en video om detta.

Ställ in en med ett nytt, starkt huvudlösenord. Spara dina nya lösenord i denna hanterare. Inga seed-fraser! Dessa är för kritiska för en online-lösenordshanterare.

7.) Nu när du har en ny lösenordshanterare, bör du använda den för att ändra lösenorden för alla dina okritiska konton.
Ja, alla.
Du har troligen många, så prioritera de viktigaste. Arbetskonton, fil-/fotonlagring, sociala medier.

8.) Vi har nyligen publicerat videon “Lösenordslös”. Se till att titta på den, eftersom detta (USB-säkerhetstoken) kan hjälpa till att förhindra att något liknande händer igen.