Reklama

Jeśli jesteś jednym z tysięcy użytkowników LastPass, którzy czuli się bardzo bezpiecznie korzystając z Internetu dzięki obietnicom prawie niezniszczalnym bezpieczeństwa, możesz czuć się trochę mniej bezpieczny, wiedząc, że 15 czerwca firma ogłosiła, że ​​wykryła wtargnięcie w ich sieć serwery.

LastPass początkowo wysłał do użytkowników powiadomienie e-mailem z informacją, że firma wykryła „podejrzane” aktywność ”na serwerach LastPass, a adresy e-mail użytkowników i przypomnienia hasła zostały naruszone.

Firma zapewniła użytkowników, że żadne zaszyfrowane dane z przechowalni nie zostały naruszone, ale od czasu zakodowane hasła użytkownika Co to wszystko oznacza skrót Hash MD5 [Technologia wyjaśniona]Oto pełna wersja MD5, skrót i mały przegląd komputerów i kryptografii. Czytaj więcej uzyskano, firma zaleciła użytkownikom aktualizację haseł głównych, aby zachować bezpieczeństwo.

Wyjaśnienie hacka LastPass

To nie pierwszy raz użytkownicy LastPass martwią się o hakerów. W zeszłym roku my

instagram viewer
Joe Siegrist, dyrektor generalny LastPass Joe Siegrist z LastPass: The Truth About Your Password Security Czytaj więcej po zagrożeniu Heartbleed, gdzie jego uspokojenie uspokoiło obawy użytkowników.

To ostatnie naruszenie miało miejsce pod koniec tygodnia przed ogłoszeniem. Zanim został wykryty i zidentyfikowany jako włamanie do bezpieczeństwa, osoby atakujące pozbyły się adresów e-mail użytkowników, pytań / odpowiedzi przypominających hasła, hashowały hasła użytkowników i sole kryptograficzne Zostań tajnym steganografem: ukryj i zaszyfruj swoje pliki Czytaj więcej .

lastpass-breach1

Dobra wiadomość jest taka, że ​​bezpieczeństwo systemu LastPass zostało zaprojektowane tak, aby wytrzymać takie ataki. Jedynym sposobem na uzyskanie dostępu do haseł tekstowych jest odszyfrowanie hakerów dobrze zabezpieczone hasła główne Użyj strategii zarządzania hasłami, aby uprościć swoje życieWiele rad dotyczących haseł było prawie niemożliwych do zastosowania: użyj silnego hasła zawierającego cyfry, litery i znaki specjalne; zmieniaj to regularnie; wymyślić zupełnie unikalne hasło do każdego konta itp ... Czytaj więcej .

Ze względu na mechanizm szyfrowania hasła głównego jego odszyfrowanie wymagałoby ogromnej ilości zasobów komputerowych - zasobów, do których nie ma dostępu większość małych i średnich hakerów.

lastpass-breach2

Powodem, dla którego jesteś tak chroniony podczas korzystania z LastPass, jest to, że ten mechanizm, który sprawia, że ​​hasło główne jest tak trudne do uzyskania, nazywa się „wolnym haszowaniem” lub „haszowaniem solą”.

Jak działa haszowanie

LastPass wykorzystuje jedną z najbezpieczniejszych technik szyfrowania na świecie, zwaną mieszaniem z solą.

lastpass-breach3

„Sól” to kod generowany za pomocą narzędzia kryptograficznego - coś w rodzaju zaawansowanego generator liczb losowych 5 najlepszych internetowych generatorów haseł dla silnych losowych hasełSzukasz sposobu na szybkie utworzenie niezniszczalnego hasła? Wypróbuj jeden z tych internetowych generatorów haseł. Czytaj więcej stworzony specjalnie dla bezpieczeństwa, jeśli chcesz. Narzędzia te tworzą całkowicie nieprzewidywalne kody podczas tworzenia hasła głównego.

Po utworzeniu konta hasło jest „mieszane” przy użyciu jednej z tych losowo generowanych (i bardzo długich) liczb „sól”. Nigdy nie są ponownie używane - są unikalne dla każdego użytkownika i każdego hasła. Wreszcie, w tabeli kont użytkowników znajdziesz tylko sól i skrót.

Rzeczywista wersja tekstowa hasła głównego nigdy nie jest przechowywana na serwerach LastPass, więc hakerzy nie mają do niego dostępu. Jedyne, co udało im się uzyskać w tym włamaniu, to losowe sole i zakodowane hasze.

Tak więc jedynym sposobem, w jaki LastPass (lub ktokolwiek) może zweryfikować twoje hasło, jest:

  1. Pobierz skrót i sól z tabeli użytkowników.
  2. Użyj soli do hasła, które wprowadza użytkownik, mieszając je przy użyciu tej samej funkcji skrótu, która była używana podczas generowania hasła.
  3. Wynikowy skrót jest porównywany z przechowywanym hashem, aby sprawdzić, czy pasuje.

Obecnie hakerzy są w stanie wygenerować miliardy skrótów na sekundę, więc dlaczego haker nie może użyć brutalnej siły, aby złamać te hasła Ophcrack - narzędzie do hakowania hasła, które złamie prawie każde hasło do systemu WindowsIstnieje wiele różnych powodów, dla których ktoś chciałby użyć dowolnej liczby narzędzi do hakowania haseł do hakowania hasła systemu Windows. Czytaj więcej ? To dodatkowe bezpieczeństwo wynika z powolnego mieszania.

Dlaczego powolne mieszanie chroni Cię?

W ataku takim jak ten naprawdę chroniąca Cię ochrona LastPass jest naprawdę powolna.

lastpass-breach4

LastPass sprawia, że ​​funkcja skrótu używana do weryfikacji hasła (lub tworzenia go) działa bardzo wolno. Zasadniczo powoduje to przerwanie każdej szybkiej, brutalnej siły, która wymaga prędkości, aby przepompować miliardy możliwych skrótów. Bez znaczenia ile mocy obliczeniowej Najnowsza technologia komputerowa, którą musisz wierzyćSprawdź niektóre z najnowszych technologii komputerowych, które zmienią świat elektroniki i komputerów w ciągu najbliższych kilku lat. Czytaj więcej system hakera ma, proces złamania szyfrowania będzie nadal trwał wiecznie, w zasadzie czyniąc ataki siłowe bezużytecznymi.

Ponadto LastPass nie uruchamia algorytmu skrótu tylko raz, uruchamia go tysiące razy na komputerze, a następnie ponownie na serwerze.

Oto jak LastPass wyjaśnił użytkownikom swój własny proces w poście na blogu po tym ostatnim ataku:

„Hashujemy zarówno nazwę użytkownika, jak i hasło główne na komputerze użytkownika za pomocą 5000 rund PBKDF2-SHA256, algorytmu wzmacniającego hasło. To tworzy klucz, na którym wykonujemy kolejną rundę mieszania, aby wygenerować skrót uwierzytelniania hasła głównego. ”

The Dział pomocy LastPass ma post, który opisuje, w jaki sposób LastPass wykorzystuje powolne mieszanie:

LastPass zdecydował się na użycie SHA-256, wolniejszego algorytmu haszującego, który zapewnia lepszą ochronę przed atakami siłowymi. LastPass wykorzystuje funkcję PBKDF2 zaimplementowaną w SHA-256, aby zamienić hasło główne w klucz szyfrujący.

Oznacza to, że pomimo niedawnego naruszenia bezpieczeństwa Twoje hasła są nadal bardzo bezpieczne, nawet jeśli Twój adres e-mail nie jest.

Co jeśli moje hasło jest słabe?

Na blogu LastPass poruszono jeden doskonały punkt dotyczący słabych haseł. Wielu użytkowników obawia się, że nie wymyślili wystarczająco unikalnego hasła i że hakerzy będą w stanie odgadnąć je bez większego wysiłku.

Istnieje również niewielkie ryzyko, że twoje konto jest jednym z tych, które hakerzy marnują czas na próby do odszyfrowania, a zawsze istnieje możliwość, że uda im się zdobyć twojego mistrza hasło. Co wtedy?

lastpass-breach5

Najważniejsze jest to, że cały ten wysiłek zostałby zmarnowany, ponieważ logowanie z innego urządzenia wymaga weryfikacji za pośrednictwem wiadomości e-mail - e-mail - przed udzieleniem dostępu. Z blogu LastPass:

„Jeśli osoba atakująca spróbuje uzyskać dostęp do danych przy użyciu tych poświadczeń, aby się zalogować W przypadku konta LastPass zostaną zatrzymani przez powiadomienie z prośbą o pierwszą weryfikację adresu e-mail adres."

Tak, chyba że mogą w jakiś sposób włamać się na twoje konto e-mail oprócz odszyfrowując algorytm prawie niemożliwy do złamania, naprawdę nie masz się o co martwić.

Czy powinienem zmienić moje hasło główne?

To, czy chcesz zmienić swoje hasło główne, sprowadza się do tego, jak czujesz się paranoikalnie lub pechowo. Jeśli uważasz, że możesz być jedyną pechową osobą, której hasło zostało złamane przez utalentowanych hakerów, którzy są w stanie jakoś rozszyfrować za pomocą 10000 rundowej procedury haszowania LastPass i kodu soli, który jest unikalny tylko dla Ciebie?

Jeśli martwisz się takimi rzeczami, zmień hasło tylko dla spokoju ducha. Oznacza to, że przynajmniej twoja sól i hasz w rękach hakerów stają się bezużyteczne.

Są jednak eksperci ds. Bezpieczeństwa, których to wcale nie dotyczy, na przykład ekspert ds. Bezpieczeństwa Jeremi Gosney z Structure Group kto powiedział reporterom:

„Domyślnie jest to 5000 iteracji, więc przynajmniej obserwujemy 105 000 iteracji. Właściwie mam mój ustawiony na 65 000 iteracji, więc w sumie 165 000 iteracji chroni moje hasło Diceware. Więc nie, zdecydowanie nie przejmuję się tym naruszeniem. Nawet nie czuję się zmuszony do zmiany hasła głównego ”.

Jedynym prawdziwym problemem, jaki powinieneś mieć na temat tego naruszenia danych, jest to, że hakerzy mają teraz Twój adres e-mail, którego mogliby użyć do przeprowadzenia masowych wypraw phishingowych w celu wypróbowania i oszukać ludzi, aby zrezygnowali z różnych haseł do kont - a może zrobią coś tak przyziemnego, jak sprzedaż wszystkich e-maili użytkowników spamownikom na czarno rynek.

Najważniejsze jest to, że ryzyko włamania do zabezpieczeń pozostaje minimalne, dzięki przytłaczającej ochronie systemu LastPass. Ale zdrowy rozsądek mówi, że za każdym razem hakerzy uzyskają dane Twojego konta - a nawet chronią je tysiące zaawansowane iteracje kryptograficzne - zawsze dobrze jest zmienić hasło główne, nawet jeśli jest to konieczne.

Czy naruszenie bezpieczeństwa LastPass wzbudziło Twoje obawy dotyczące bezpieczeństwa LastPass, czy jesteś pewien bezpieczeństwa swojego konta? Podziel się swoimi przemyśleniami i obawami w sekcji komentarzy poniżej.

Kredyty obrazkowe: przenikliwy zamek bezpieczeństwa przez Shutterstock, Csehak Szabolcs przez Shutterstock, Bastian Weltjen przez Shutterstock, McIek przez Shutterstock, GlebStock przez Shutterstock, Benoit Daoust przez Shutterstock

Ryan ma tytuł licencjata z inżynierii elektrycznej. Pracował 13 lat w inżynierii automatyki, 5 lat w IT, a teraz jest inżynierem aplikacji. Były redaktor naczelny MakeUseOf, przemawiał na krajowych konferencjach dotyczących wizualizacji danych i był prezentowany w krajowej telewizji i radiu.