LastPass se krši Trebate li promijeniti svoju glavnu lozinku?

  • Peter Holmes
  • 0
  • 2198
  • 102
Oglas

Ako ste jedan od tisuće korisnika LastPass-a koji su se osjećali vrlo sigurno koristeći Internet zahvaljujući obećanjima o gotovo neraskidivoj sigurnosti, možda ćete se osjećati malo manje sigurno znajući da je 15. lipnja kompanija objavila da su otkrili upad u njihovi poslužitelji.

LastPass je u početku poslao obavijest e-poštom korisnicima savjetujući ih da je tvrtka otkrila “sumnjiva aktivnost” na LastPass poslužiteljima te su ugrožene korisničke adrese e-pošte i podsjetnici zaporke.

Tvrtka je uvjeravala korisnike da nisu ugroženi nijedni šifrirani podaci o trezoru, ali budući da su šifrirane korisničke lozinke Što sve ovo MD5 sjeckanje stvari zapravo znači [objasnjena tehnologija] Što sve ovo MD5 izvlačenje stvari zapravo znači [objasnjena tehnologija] Evo potpunog prikaza MD5, hashing i mali pregled računala i kriptografije. Nakon dobivanja, tvrtka je savjetovala korisnike da ažuriraju svoje glavne lozinke, samo kako bi bili sigurni.

Objasnio je Hack LastPass

Ovo nije prvi put da su korisnici tvrtke LastPass zabrinuti zbog hakera. Prošle smo godine razgovarali s izvršnim direktorom LastPass-a Joe Siegristom Joeom Siegristom iz LastPass-a: Istina o sigurnosti lozinke Joe Siegrist-om LastPass-a: Istina o sigurnosti vaše lozinke nakon prijetnje Heartbleed-a, gdje njegova uvjeravanja olakšavaju strah korisnika.

Ovaj posljednji prekršaj dogodio se krajem tjedna prije najave. Do trenutka kada je otkriven i prepoznat kao sigurnosni upad, napadači su se izvukli s korisničkim adresama e-pošte, pitanjima / odgovorima s podsjetnikom za zaporku, prebrisali korisničke lozinke i kriptografske soli Postali tajni kategoričar: Sakrij i šifriraj svoje datoteke postanu tajni kategoričar: Sakrij i šifriraj svoje datoteke .

Dobra vijest je da je sigurnost sustava LastPass stvorena da izdrži takve napade. Jedini način pristupa vašim lozinkama u običnom tekstu bio bi hakeri da dešifriraju dobro osigurane matične lozinke. Koristite strategiju upravljanja lozinkom da biste pojednostavili život koristeći strategiju upravljanja lozinkom kako biste pojednostavili svoj život. Mnogo savjeta oko zaporki bilo je blizu - nemoguće je slijediti: koristiti jaku lozinku koja sadrži brojeve, slova i posebne znakove; redovito ga mijenjajte; osmislite potpuno jedinstvenu lozinku za svaki račun itd ... .

Zbog mehanizma koji se koristi za šifriranje glavne lozinke, za dešifriranje su joj potrebne ogromne količine računalnih resursa - resursa do kojih većina malih ili srednjih hakera nema pristup.

Razlog zbog kojeg ste toliko zaštićeni kada koristite LastPass je taj što se poziva mehanizam koji matičnu lozinku čini toliko teškom za dobivanje “sporo hashing” ili “pirjanje sa soli.”

Kako djeluje mržnja

LastPass koristi jednu od najsigurnijih tehnika šifriranja na svijetu, koja se naziva hashing sa soli.

“sol” je kôd koji se generira pomoću kriptografskog alata - vrsta naprednog generatora slučajnih brojeva. 5 najboljih internetskih generatora lozinki za jake slučajne lozinke. 5 najboljih internetskih generatora lozinki za jake slučajne lozinke Tražite način za brzo stvaranje neraskidive lozinke? Isprobajte jedan od ovih internetskih generatora zaporki. stvoren posebno za sigurnost, ako hoćete. Ovi alati stvaraju potpuno nepredvidive kodove kada stvorite svoju glavnu lozinku.

Ono što se događa kad kreirate svoj račun jest lozinka “skraćenog” pomoću jednog od ovih nasumično generiranih (i jako dugih) “sol” brojevi. One se nikad ne koriste ponovo - jedinstvene su za svakog korisnika i zaporku. Napokon, u tablici korisničkih računa naći ćete samo sol i hash.

Stvarna tekstualna verzija glavne lozinke nikada se ne pohranjuje na LastPass poslužitelje, tako da hakeri nemaju pristup njoj. Sve što su uspjeli dobiti u ovom upadu su ove nasumične soli i kodirani ulošci.

Dakle, jedini način na koji LastPass (ili bilo tko) može provjeriti zaporku je:

  1. Dohvatite hash i sol iz korisničke tablice.
  2. Upotrijebite sol na zaporci koju korisnik upisuje, raspršite je koristeći istu hash funkciju koja je korištena kada je lozinka generirana.
  3. Dobiveni hash dobiva se u usporedbi sa pohranjenim hash-om kako bi se vidjelo je li podudaranje.

Ovih dana hakeri su u stanju generirati milijarde heševa u sekundi, pa zašto haker jednostavno ne može upotrijebiti grubu silu da probije ove lozinke Ophcrack - Alat za hakiranje lozinki za provaljivanje gotovo bilo kojeg Windows Lozinka Ophcrack - Alat za hakiranje lozinki za proboj Gotovo bilo koja Windows lozinka Postoji mnogo različitih razloga zbog kojih bi se za hakiranje Windows lozinke moglo poslužiti bilo kojim brojem alata za hakiranje lozinki. ? Ova dodatna sigurnost je zahvaljujući sporo-hashing.

Zašto vas usporavanje štiti

U napadu poput ovog, stvarno vas polako štiti dio LastPass sigurnosti.

LastPass čini hash funkciju koja se koristi za provjeru lozinke (ili je kreiraj) radi vrlo sporo. To u osnovi stavlja prekide u bilo kojoj velikoj brzini, brutalnoj operaciji koja zahtijeva brzinu da bi se pumpala kroz milijarde mogućih heševa. Bez obzira na to koliko računarske snage Najnovija računalna tehnologija koju trebate vidjeti da biste vjerovali najnovijoj računalnoj tehnologiji koju morate vidjeti da biste vjerovali Provjerite neke od najnovijih računalnih tehnologija koje su postavljene da transformišu svijet elektronike i računala u sljedećih nekoliko godina , hakerski sustav ima, proces prekida šifriranja i dalje će trajati zauvijek, u suštini beskorisni napadi čine beskorisnim.

Povrh svega, LastPass ne pokreće algoritam hash-a jednom, već ih izvršava hiljadama puta na vašem računalu, a zatim ponovo na poslužitelju.

Evo kako je LastPass objasnio vlastiti postupak korisnicima u postu na blogu nakon ovog najnovijeg napada:

“Imamo korisničko ime i glavnu lozinku na korisničkom računalu s 5000 rundi PBKDF2-SHA256, algoritam jačanja lozinke. To stvara ključ, na kojem izvodimo još jedan krug hashpiranja, kako bismo stvorili hash provjere autentičnosti glavne lozinke.”

LastPass Help Desk sadrži post koji opisuje kako LastPass koristi sporo heširanje:

LastPass je odlučio koristiti SHA-256, sporiji algoritam hashing koji pruža veću zaštitu od napada brutalnim silama. LastPass koristi funkciju PBKDF2 implementiranu sa SHA-256 da bi glavnu lozinku pretvorio u vaš šifrirani ključ.

To znači da su, unatoč nedavnom kršenju sigurnosti, vaše lozinke još uvijek vrlo sigurne, iako vaša adresa e-pošte nije.

Što ako je moja lozinka slaba?

Na blogu LastPass postoji jedna izvrsna točka koja se odnosi na slabe lozinke. Mnogi su korisnici zabrinuti da nisu smislili dovoljno jedinstvenu lozinku i da će ih ovi hakeri moći pogoditi bez puno napora.

Postoji i daljinski rizik da je vaš račun jedan od onih na koje hakeri troše svoje vrijeme pokušavajući ih dešifrirati, a uvijek postoji i mogućnost udaljenosti da bi mogli uspješno dobiti vašu glavnu lozinku. Što onda?

Dno crta je da će sav taj trud biti izgubljen, jer je prijava s drugog uređaja potrebna provjera putem e-pošte - e-pošte - prije nego što je pristup odobren. S bloga LastPass:

“Ako je napadač pokušao dobiti pristup vašim podacima pomoću ovih vjerodajnica za prijavu na svoj LastPass račun, zaustavit će ih obavijest kojom traže da prvo potvrde svoju adresu e-pošte.”

Dakle, osim ako ne mogu nekako provaliti u vaš račun e-pošte pored dešifrirajući gotovo neuporediv algoritam, zaista se nemate o čemu brinuti.

Trebam li promijeniti svoju glavnu lozinku?

Bez obzira želite li promijeniti glavnu lozinku, stvarno se svodi na to koliko se osjećate paranoično ili nesretno. Ako mislite da ste možda jedina nesretna osoba koja ima lozinku koju su provalili talentirani hakeri koji su u stanju nekako dešifrirati putem 100.000 okruglih rutina hashiranja LastPass-a i kôd soli koji je jedinstven samo za vas?

U svakom slučaju, ako se brinete zbog takvih stvari, promijenite zaporku samo za mir. To će značiti da će vam barem sol i hash, u rukama hakera, postati beskorisni.

Međutim, postoje sigurnosni stručnjaci koji uopće nisu zabrinuti, poput sigurnosnog stručnjaka Jeremija Gosneya iz Strukturne grupe, koji je novinarima rekao:

“Zadano je 5000 iteracija, tako da u najmanju ruku gledamo 105.000 iteracija. Zapravo imam postavljeno na 65.000 ponavljanja, dakle, to je ukupno 165.000 iteracija koje štite moje lozinku za Diceware. Dakle, ne, definitivno se ne preljutim u tom kršenju. Ne osjećam ni obvezu da promijenim glavnu lozinku.”

Jedina stvar koja bi vas trebala zabrinuti zbog kršenja podataka jest da hakeri sada imaju vašu adresu e-pošte, koju bi mogli koristiti za provođenje masovnih phishing ekspedicija kako bi pokušali i navesti ljude da se odreknu svojih različitih lozinki računa - ili možda učine nešto što je lagano kao prodaja svih tih korisničkih poruka e-pošte spamerima na crnom tržištu.

Suština je da rizik od ovog upada u sigurnost ostaje minimalan zahvaljujući ogromnoj sigurnosti sustava LastPass. Ali zdrav razum kaže da je svaki put kada hakeri dobiju pojedinosti vašeg računa - čak i zaštićeni tisućama naprednih kriptografskih iteracija - uvijek je dobro promijeniti glavnu lozinku, čak i ako je to za mir.

Je li vas povreda LastPass sigurnosti vrlo zabrinula zbog sigurnosti LastPass ili ste sigurni u sigurnost svog računa tamo? Podijelite svoja razmišljanja i zabrinutosti u odjeljku s komentarima u nastavku.

Slikovne slike: prodrla sigurnosna brava preko Shutterstocka, Csehak Szabolcs preko Shutterstock, Bastian Weltjen preko Shutterstock, McIek preko Shutterstock, GlebStock putem Shutterstock, Benoit Daoust preko Shutterstock




Još ne komentari

O modernoj tehnologiji, jednostavnoj i pristupačnoj.
Vaš vodič u svijetu moderne tehnologije. Naučite kako koristiti tehnologije i uređaje koji nas okružuju svaki dan i naučite kako otkriti zanimljivosti na Internetu.