LastPass este încălcat: trebuie să vă schimbați parola principală?

Publicitate

Dacă sunteți unul dintre mii de utilizatori LastPass care s-au simțit foarte siguri folosind internetul datorită promisiunilor aproape imposibil de desfășurat securitate, s-ar putea să vă simțiți puțin mai sigur știind că, pe 15 iunie, compania a anunțat că a detectat o intruziune în ele servere.

LastPass a trimis inițial o notificare prin e-mail către utilizatori care îi sfătuiau că compania a detectat „suspiciune activitate ”pe serverele LastPass și că adresele de e-mail ale utilizatorului și amintirile cu parole au fost compromise.

Compania i-a asigurat pe utilizatori că nu au fost compromise date criptate ale bolții, dar de la data de parolele utilizatorului Ce înseamnă tot acest lucru H5 MD Hash [Tehnologie explicată]Iată o scădere completă a MD5, hashing și o mică privire de ansamblu asupra computerelor și criptografiei. Citeste mai mult au fost obținute, compania a sfătuit utilizatorii să își actualizeze parolele principale, pentru a fi în siguranță.

Hackul LastPass explicat

Nu este prima dată când utilizatorii LastPass au fost preocupați de hackeri. Anul trecut, noi intervievat CEO-ul LastPass, Joe Siegrist Joe Siegrist al LastPass: Adevărul despre securitatea parolei tale Citeste mai mult în urma amenințării Heartbleed, unde liniștirile sale stabilesc temerile utilizatorilor.

Această ultimă încălcare a avut loc la sfârșitul săptămânii anterioare anunțului. În momentul în care a fost detectată și identificată ca o intruziune de securitate, atacatorii au primit la îndemână adresele de e-mail ale utilizatorului, întrebările / răspunsurile pentru memento-uri de parole, parolele utilizatorului și săruri criptografice Deveniți un Steganograf secret: Ascundeți și criptați fișierele Citeste mai mult .

Vestea bună este că securitatea sistemului LastPass a fost concepută pentru a rezista la astfel de atacuri. Singura modalitate de a accesa parolele cu text simplu ar fi ca hackerii să decripteze parole de maestru bine securizate Utilizați o strategie de gestionare a parolelor pentru a vă simplifica viațaO mare parte din sfaturile legate de parole au fost aproape imposibil de urmat: folosiți o parolă puternică care conține numere, litere și caractere speciale; schimbă-l în mod regulat; veniți cu o parolă complet unică pentru fiecare cont etc ... Citeste mai mult .

Datorită mecanismului folosit pentru a cripta parola de master, ar trebui să o decriptați cantități masive de resurse computerizate - resurse la care cei mai mulți hackeri de nivel mic sau mediu nu au acces.

Motivul pentru care ești atât de protejat atunci când folosești LastPass, este acela că mecanismul care face parola master atât de greu de obținut se numește „hashing lent” sau „hashing cu sare”.

Cum funcționează Hashing

LastPass folosește una dintre cele mai sigure tehnici de criptare din lume, numită hashing cu sare.

„Sarea” este un cod care este generat folosind un instrument de criptografie - un fel de avansat generator de numere aleatorii Cele mai bune 5 generatoare de parole online pentru parole puternice aleatoriiCăutați o modalitate de a crea rapid o parolă care nu poate fi spartă? Încercați unul dintre aceste generatoare de parole online. Citeste mai mult creat special pentru securitate, dacă doriți. Aceste instrumente creează coduri complet imprevizibile atunci când creați parola principală.

Ceea ce se întâmplă când vă creați contul este că parola este „hashed” folosind unul dintre aceste numere „sărate” generate aleator (și foarte lungi). Acestea nu sunt niciodată refolosite - sunt unice pentru fiecare utilizator și pentru fiecare parolă. În cele din urmă, în tabelul contului de utilizator, veți găsi doar sarea și hașa.

Versiunea text reală a parolei principale nu este niciodată stocată pe serverele LastPass, astfel încât hackerii nu au acces la ea. Tot ceea ce au putut obține în această intruziune sunt aceste săruri aleatorii și hașe codate.

Deci, singurul mod în care LastPass (sau oricine) poate valida parola este:

1. Recuperați hașa și sarea din tabelul utilizatorului.
2. Utilizați sarea de pe parola pe care o introduce tipul de utilizator, adăugând-o folosind aceeași funcție de hash care a fost utilizată la parola generată.
3. Hashul rezultat este comparat cu hashul memorat pentru a vedea dacă este o potrivire.

În aceste zile, hackerii sunt capabili să genereze miliarde de hashes pe secundă, așa că de ce un hacker nu poate folosi doar forța brută pentru sparge aceste parole Ophcrack - Un instrument de hacking cu parolă pentru a sparge aproape orice parolă WindowsExistă o mulțime de motive diferite pentru care cineva ar dori să utilizeze orice număr de instrumente de hack-uri pentru parole pentru a hack o parolă Windows. Citeste mai mult ? Această securitate suplimentară se datorează radierii lente.

De ce Slow-Hashing te protejează

Într-un atac ca acesta, într-adevăr, partea de siguranță LastPass este cu adevărat lentă care te protejează.

LastPass face ca funcția hash folosită pentru a verifica parola (sau să o creeze) funcționează foarte lent. În mod esențial, pauzele sunt pe orice operație de mare viteză, cu forță brută, care necesită viteză pentru a pompa miliarde de hașe posibile. Nu conteaza câtă putere de calcul Ultima tehnologie computerizată pe care trebuie să o vedeți pentru a credeConsultați unele dintre cele mai noi tehnologii informatice, care vor fi transformate în lumea electronică și a computerelor în următorii câțiva ani. Citeste mai mult în sistemul hackerului, procesul de rupere a criptării va dura totdeauna, făcând inutil atacurile de forță brută să fie inutile.

În plus, LastPass nu rulează doar o dată algoritmul hash, ci îl rulează de mii de ori pe computer și apoi din nou pe server.

Iată modul în care LastPass a explicat propriul proces utilizatorilor într-o postare pe blog în urma acestui ultim atac:

„Avem numele de utilizator și parola principală pe computerul utilizatorului cu 5.000 de runde de PBKDF2-SHA256, un algoritm de consolidare a parolelor. Aceasta creează o cheie, pe care executăm o altă rundă de hashing, pentru a genera hash-ul de autentificare cu parolă principală. "

Birou de ajutor LastPass are o postare care descrie modul în care LastPass folosește încărcare lentă:

LastPass a ales să utilizeze SHA-256, un algoritm de încetinire mai lent, care oferă mai multă protecție împotriva atacurilor cu forțe brute. LastPass utilizează funcția PBKDF2 implementată cu SHA-256 pentru a transforma parola principală în cheia de criptare.

Ceea ce înseamnă acest lucru este că, în ciuda acestei încălcări recente de securitate, parolele dvs. sunt în continuare foarte sigure, chiar dacă adresa dvs. de e-mail nu este.

Ce se întâmplă dacă parola mea este slabă?

Pe blogul LastPass există un punct excelent referitor la parolele slabe. Mulți utilizatori sunt îngrijorați de faptul că nu au visat o parolă suficient de unică și că acești hackeri vor putea ghici fără prea mult efort.

De asemenea, există riscul de la distanță ca contul dvs. să fie unul dintre cei care hackerii își pierd timpul încercând să decriptați, și există întotdeauna posibilitatea de la distanță ca aceștia să vă poată obține cu succes maestrul parola. Ce atunci?

Concluzia este că toate acele eforturi ar fi pierdute, deoarece conectarea de la un alt dispozitiv necesită verificare prin e-mail - e-mailul dvs. înainte de a se acorda accesul. De pe blogul LastPass:

„Dacă atacatorul a încercat să obțină acces la datele dvs. folosind aceste date de autentificare pentru a vă conecta la dvs. Contul LastPass, aceștia vor fi opriți printr-o notificare care le cere să le verifice mai întâi e-mailul abordare."

Deci, cu excepția cazului în care pot intra într-un fel în contul dvs. de e-mail pe lângă decriptând un algoritm aproape nescris, nu aveți cu adevărat nimic de care să vă faceți griji.

Ar trebui să-mi schimb parola principală?

Indiferent dacă doriți sau nu să schimbați parola maestrului se reduce într-adevăr la cât de paranoic sau nefericit vă simțiți. Dacă credeți că este posibil să fiți singura persoană ghinionistă, care are parola creată de hackerii talentați care sunt capabili să descifrezi cumva prin cele 100.000 de rutine de spălare rotundă ale LastPass și un cod de sare care este unic doar pentru tine?

În orice caz, dacă vă faceți griji pentru astfel de lucruri, schimbați-vă parola doar pentru liniște. Înseamnă că cel puțin sarea și hașina ta, în mâinile hackerilor, devin inutile.

Cu toate acestea, există experți în securitate, care nu sunt deloc în cauză, cum ar fi expertul în securitate Jeremi Gosney la Structura Group care le-a spus reporterilor:

„Valoarea implicită este 5.000 de iterații, așa că cel puțin ne uităm la 105.000 de iterații. De fapt, am setat-o ​​pe 65.000 de iterații, deci este un total de 165.000 de iterații care îmi protejează parola Diceware. Deci nu, nu transpir această încălcare. Nici măcar nu mă simt obligat să-mi schimb parola principală. ”

Singura preocupare reală pe care ar trebui să o aveți în legătură cu această încălcare a datelor este că hackerii au acum adresa dvs. de e-mail, pe care ar putea să o folosească pentru a efectua expediții de masă de phishing pentru a încerca și îi păcălește pe oameni să renunțe la diverse parole de cont - sau poate că ar putea face ceva la fel de banal ca vânzarea tuturor acestor e-mailuri de utilizator către spameri pe negru piaţă.

Concluzia este că riscul cauzat de această intruziune în securitate rămâne minim, datorită securității copleșitoare a sistemului LastPass. Dar bunul simț spune că oricând hackerii au obținut detaliile contului dvs. - chiar protejat prin mii de iterații criptografice avansate - este întotdeauna bine să vă schimbați parola principală, chiar dacă este pentru liniște.

Încălcarea de securitate LastPass te-a preocupat foarte mult de siguranța LastPass sau ești încrezător în securitatea contului tău acolo? Partajează-ți gândurile și preocupările în secțiunea de comentarii de mai jos.

Credite imagine: a pătruns blocajul de securitate prin Shutterstock, Csehak Szabolcs prin Shutterstock, Bastian Weltjen prin Shutterstock, McIek prin Shutterstock, GlebStock prin Shutterstock, Benoit Daoust prin Shutterstock