Strona główna Bezpieczeństwo LastPass zostało naruszone Czy musisz zmienić swoje hasło główne?

LastPass zostało naruszone Czy musisz zmienić swoje hasło główne?

  • William Charles
  • 0
  • 2161
  • 564
Reklama

Jeśli jesteś jednym z tysięcy użytkowników LastPass, którzy czuli się bardzo bezpiecznie korzystający z Internetu dzięki obietnicom prawie niezbywalnego bezpieczeństwa, możesz poczuć się trochę mniej bezpiecznie wiedząc, że 15 czerwca firma ogłosiła, że ​​wykryli włamanie do ich serwery.

LastPass początkowo wysłał powiadomienie e-mail do użytkowników, informując ich o wykryciu firmy “podejrzana działalność” na serwerach LastPass, a adresy e-mail użytkowników i przypomnienia hasła zostały naruszone.

Firma zapewniła użytkowników, że żadne zaszyfrowane dane z repozytorium nie zostały naruszone, ale od czasu zaszyfrowania haseł użytkownika Co to wszystko Hash Rzeczy MD5 faktycznie oznacza [Objaśnienie technologii] Co to wszystko Rzeczy MDash Hash Rzeczywiście [Technologia wyjaśniona] Oto pełne podsumowanie MD5, mieszanie i mały przegląd komputerów i kryptografii. uzyskano, firma zaleciła użytkownikom aktualizację haseł głównych, aby zachować bezpieczeństwo.

Wyjaśnienie hacka LastPass

To nie pierwszy raz użytkownicy LastPass martwią się o hakerów. W zeszłym roku przeprowadziliśmy wywiad z CEO LastPass Joe Siegrist Joe Siegrist z LastPass: Prawda o twoim haśle Ochrona Joe Siegrist z LastPass: Prawda o twoim haśle Zabezpieczenie po zagrożeniu Heartbleed, gdzie jego uspokojenie uspokoiło obawy użytkowników.

To ostatnie naruszenie miało miejsce pod koniec tygodnia przed ogłoszeniem. Zanim został wykryty i zidentyfikowany jako włamanie do bezpieczeństwa, napastnicy nie mieli już adresów e-mail użytkowników, pytań / odpowiedzi przypominających hasła, hash użytkowników i soli kryptograficznych Zostań tajnym steganografem: ukryj i zaszyfruj swoje pliki Zostań tajnym steganografem: Ukryj i zaszyfruj swoje pliki .

Dobra wiadomość jest taka, że ​​bezpieczeństwo systemu LastPass zostało zaprojektowane tak, aby wytrzymać takie ataki. Jedynym sposobem na uzyskanie dostępu do haseł w postaci zwykłego tekstu byłoby odszyfrowanie dobrze zabezpieczonych haseł głównych. Użyj strategii zarządzania hasłem, aby uprościć swoje życie Użyj strategii zarządzania hasłem, aby uprościć swoje życie Wiele porad dotyczących haseł jest już blisko - niemożliwe do naśladowania: użyj silnego hasła zawierającego cyfry, litery i znaki specjalne; zmieniaj to regularnie; wymyślić zupełnie unikalne hasło do każdego konta itp ... .

Ze względu na mechanizm szyfrowania hasła głównego jego odszyfrowanie wymagałoby ogromnej ilości zasobów komputerowych - zasobów, do których większość małych i średnich hakerów nie ma dostępu.

Powodem, dla którego jesteś tak chroniony podczas korzystania z LastPass, jest to, że wywoływany jest ten mechanizm, który sprawia, że ​​hasło główne jest tak trudne do uzyskania “powolne haszowanie” lub “mieszać z solą.”

Jak działa haszowanie

LastPass korzysta z jednej z najbezpieczniejszych technik szyfrowania na świecie, zwanej mieszaniem z solą.

The “Sól” to kod generowany za pomocą narzędzia kryptograficznego - coś w rodzaju zaawansowanego generatora liczb losowych 5 najlepszych generatorów haseł online dla silnych losowych haseł 5 najlepszych generatorów haseł online dla silnych losowych haseł Szukasz sposobu na szybkie utworzenie niezniszczalnego hasła? Wypróbuj jeden z tych internetowych generatorów haseł. stworzony specjalnie dla bezpieczeństwa, jeśli chcesz. Narzędzia te tworzą całkowicie nieprzewidywalne kody podczas tworzenia hasła głównego.

Podczas tworzenia konta hasłem jest “hashed” używając jednego z tych losowo generowanych (i bardzo długich) “Sól” liczby. Nigdy nie są ponownie używane - są unikalne dla każdego użytkownika i każdego hasła. Wreszcie, w tabeli kont użytkowników znajdziesz tylko sól i skrót.

Rzeczywista wersja tekstowa hasła głównego nigdy nie jest przechowywana na serwerach LastPass, więc hakerzy nie mają do niego dostępu. Jedyne, co udało im się uzyskać w tym włamaniu, to losowe sole i zakodowane hasze.

Tak więc jedynym sposobem, w jaki LastPass (lub ktokolwiek) może zweryfikować twoje hasło, jest:

  1. Pobierz skrót i sól z tabeli użytkowników.
  2. Użyj soli do hasła, które wprowadza użytkownik, mieszając je przy użyciu tej samej funkcji skrótu, która była używana podczas generowania hasła.
  3. Wynikowy skrót jest porównywany z przechowywanym skrótem, aby sprawdzić, czy jest zgodny.

W dzisiejszych czasach hakerzy są w stanie wygenerować miliardy skrótów na sekundę, więc dlaczego haker nie może użyć brutalnej siły do ​​złamania tych haseł Ophcrack - narzędzie do hakowania haseł do złamania prawie każdego hasła Windows Ophcrack - narzędzie do hakowania haseł do złamania Prawie każde hasło do systemu Windows Istnieje wiele różnych powodów, dla których ktoś chciałby użyć dowolnej liczby narzędzi do hakowania hasła w celu zhakowania hasła do systemu Windows. ? To dodatkowe bezpieczeństwo wynika z powolnego mieszania.

Dlaczego powolne mieszanie chroni Cię?

W przypadku takiego ataku to naprawdę powolna hashowanie zabezpieczeń LastPass naprawdę cię chroni.

LastPass sprawia, że ​​funkcja skrótu używana do weryfikacji hasła (lub jego tworzenia) działa bardzo wolno. Zasadniczo powoduje to przerwanie każdej szybkiej, brutalnej siły, która wymaga prędkości, aby przepompować miliardy możliwych skrótów. Bez względu na to, ile mocy obliczeniowej Najnowsza technologia komputerowa musisz zobaczyć, aby uwierzyć Najnowsza technologia komputerowa, którą musisz zobaczyć, aby uwierzyć Sprawdź niektóre z najnowszych technologii komputerowych, które mają przekształcić świat elektroniki i komputerów w ciągu najbliższych kilku lat . system hakera ma, proces złamania szyfrowania będzie nadal trwał wiecznie, w zasadzie czyniąc ataki siłowe bezużytecznymi.

Ponadto LastPass nie tylko raz uruchamia algorytm skrótu, ale uruchamia go tysiące razy na komputerze, a następnie ponownie na serwerze.

Oto jak LastPass wyjaśnił użytkownikom swój własny proces w blogu po tym ostatnim ataku:

“Hashujemy zarówno nazwę użytkownika, jak i hasło główne na komputerze użytkownika za pomocą 5000 rund PBKDF2-SHA256, algorytmu wzmacniającego hasło. To tworzy klucz, na którym wykonujemy kolejną rundę mieszania, aby wygenerować skrót uwierzytelniania hasła głównego.”

Dział pomocy LastPass ma post, który opisuje, w jaki sposób LastPass wykorzystuje powolne mieszanie:

LastPass zdecydował się na użycie SHA-256, wolniejszego algorytmu haszującego, który zapewnia lepszą ochronę przed atakami siłowymi. LastPass wykorzystuje funkcję PBKDF2 zaimplementowaną w SHA-256, aby zmienić hasło główne w klucz szyfrujący.

Oznacza to, że pomimo niedawnego naruszenia bezpieczeństwa, hasła są nadal bardzo bezpieczne, mimo że Twój adres e-mail nie jest.

Co jeśli moje hasło jest słabe?

Na blogu LastPass poruszono jeden doskonały punkt dotyczący słabych haseł. Wielu użytkowników obawia się, że nie wymyślili wystarczająco unikalnego hasła i że ci hakerzy będą w stanie odgadnąć je bez większego wysiłku.

Istnieje również zdalne ryzyko, że twoje konto jest jednym z tych, które hakerzy marnują czas na próby odszyfrowania, i zawsze istnieje zdalna możliwość, że uda im się uzyskać twoje hasło główne. Co wtedy?

Najważniejsze jest to, że cały ten wysiłek zostałby zmarnowany, ponieważ logowanie z innego urządzenia wymaga weryfikacji za pośrednictwem wiadomości e-mail - e-mail - przed udzieleniem dostępu. Z blogu LastPass:

“Jeśli atakujący spróbuje uzyskać dostęp do twoich danych przy użyciu tych poświadczeń do zalogowania się na twoje konto LastPass, zostanie zatrzymany przez powiadomienie z prośbą o sprawdzenie najpierw adresu e-mail.”

Tak więc, chyba że mogą włamać się na twoje konto e-mail oprócz po odszyfrowaniu algorytmu, którego nie można odczytać, naprawdę nie masz się o co martwić.

Czy powinienem zmienić hasło główne??

To, czy chcesz zmienić swoje hasło główne, sprowadza się do tego, jak czujesz się paranoikalnie lub pechowo. Jeśli uważasz, że możesz być jedyną pechową osobą, której hasło zostało złamane przez utalentowanych hakerów, którzy są w stanie w jakiś sposób rozszyfrować 10000 rundową procedurę haszowania LastPass i unikalny dla ciebie kod soli?

Jeśli martwisz się takimi rzeczami, zmień hasło tylko dla spokoju ducha. Oznacza to, że przynajmniej twoja sól i hasz w rękach hakerów stają się bezużyteczne.

Są jednak eksperci ds. Bezpieczeństwa, których to wcale nie dotyczy, na przykład ekspert ds. Bezpieczeństwa Jeremi Gosney z Structure Group, który powiedział dziennikarzom:

“Domyślnie jest to 5000 iteracji, więc co najmniej patrzymy na 105 000 iteracji. Właściwie mam mój ustawiony na 65 000 iteracji, więc łącznie 165 000 iteracji chroni moje hasło Diceware. Więc nie, zdecydowanie nie pocę się tego naruszenia. Nawet nie czuję się zmuszony do zmiany hasła głównego.”

Jedyną prawdziwą troską, jaką powinieneś mieć na temat tego naruszenia danych, jest to, że hakerzy mają teraz Twój adres e-mail, którego mogliby użyć do masowych wypraw phishingowych w celu nakłonienia ludzi do rezygnacji z różnych haseł do kont - a może mogą zrobić coś tak przyziemnego ponieważ sprzedaje wszystkie e-maile użytkowników spamerom na czarnym rynku.

Najważniejsze jest to, że ryzyko włamania do zabezpieczeń pozostaje minimalne, dzięki przytłaczającej ochronie systemu LastPass. Ale zdrowy rozsądek mówi, że za każdym razem, gdy hakerzy uzyskają dane Twojego konta - nawet chronione przez tysiące zaawansowanych iteracji kryptograficznych - zawsze dobrze jest zmienić hasło główne, nawet jeśli jest to konieczne.

Czy naruszenie bezpieczeństwa LastPass wzbudziło Twoje obawy dotyczące bezpieczeństwa LastPass, czy jesteś pewien bezpieczeństwa swojego konta? Podziel się swoimi przemyśleniami i obawami w sekcji komentarzy poniżej.

Kredyty obrazowe: penetrowana blokada bezpieczeństwa przez Shutterstock, Csehak Szabolcs przez Shutterstock, Bastian Weltjen przez Shutterstock, McIek przez Shutterstock, GlebStock przez Shutterstock, Benoit Daoust przez Shutterstock




Jeszcze bez komentarzy

Nie używasz aplikacji mobilnej Fallout 4? Tęsknisz!
Android
Uzyskaj niesamowitą żywotność baterii w Androidzie 6.0 dzięki root rootowi
Android
„Nie przeszkadzać” w Androidzie jest znacznie lepsze niż iOS
Android
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.