LastPass este încălcat Trebuie să vă schimbați parola principală?
Dacă sunteți una dintre mii de utilizatori LastPass care s-au simțit foarte siguri pe Internet datorită promisiunilor de securitate aproape incomodă, s-ar putea să vă simțiți puțin mai sigură știind că pe 15 iunie compania a anunțat că au detectat o pătrundere în serverele lor.
LastPass a trimis inițial o notificare prin e-mail către utilizatori, informându-i că a detectat compania “Activitate suspicioasa” pe serverele LastPass și că acele adrese de e-mail ale utilizatorilor și mementouri cu parolă au fost compromise.
Compania a asigurat utilizatorilor că nu au fost compromise date de seif criptate, ci din moment ce parolele de utilizatori hashed Ce înseamnă toate aceste lucruri MD5 Hash Actually means [Technology Explained] Ce înseamnă toate aceste lucruri MD5 Hash Actually means [Technology Explained] Iată o scurgere completă a MD5, hashing și o imagine de ansamblu a computerelor și criptografiei. Read More a fost obținută, compania a sfătuit utilizatorii să își actualizeze parolele de bază, doar pentru a fi în siguranță.
Explicația LastPass Hack
Aceasta nu este prima dată când utilizatorii LastPass au fost preocupați de hackeri. Anul trecut, am intervievat pe CEO-ul LastPass Joe Siegrist Joe Siegrist de LastPass: Adevărul despre securitatea parolei Joe Siegrist din LastPass: Adevărul despre securitatea parolei Citiți mai multe în urma amenințării Heartbleed, unde reasigurările sale pun temerile utilizatorilor la ușurință.
Această ultimă încălcare a avut loc la sfârșitul săptămânii anterioare anunțului. Până când a fost detectat și identificat ca o intruziune de securitate, atacatorii au ajuns departe cu adresele de e-mail ale utilizatorilor, cu întrebări / răspunsuri la memento-ul de parolă, cu parole pentru utilizatori și cu săruri criptografice Deveniți un steganograf secret: Ascundeți și criptați fișierele dvs. deveniți un Secret Steganographer: Ascundeți și criptați fișierele dvs. Citiți mai multe .
Vestea bună este că securitatea sistemului LastPass a fost proiectată să reziste la astfel de atacuri. Singura modalitate de a vă accesa parolele de text simplu ar fi pentru hackeri să decripteze parolele de bază bine securizate Utilizați o strategie de gestionare a parolei pentru a vă simplifica viața Utilizați o strategie de gestionare a parolei pentru a simplifica viața dvs. O mare parte din sfatul în jurul parolelor a fost aproape - imposibil de urmat: folosiți o parolă puternică care conține numere, litere și caractere speciale; modificați-l în mod regulat; veniți cu o parolă unică complet pentru fiecare cont etc. Citește mai mult .
Datorită mecanismului utilizat pentru criptarea parolei dvs. principale, ar fi nevoie de cantități masive de resurse pentru a-l decripta - resursele pe care cei mai mulți hackeri de nivel mic sau mediu nu au acces la.
Motivul pentru care sunteți atât de protejat atunci când utilizați LastPass este că este apelat mecanismul care face parola de master atât de greu de obținut “încetinire lentă” sau “hashing cu sare.”
Cum funcționează Hashing
LastPass utilizează una dintre cele mai sigure tehnici de criptare din lume, numită hashing cu sare.
“sare” este un cod care este generat folosind un instrument de criptografie - un fel de generator de numere aleatorii avansate 5 Generatoare de parole gratuite pentru parole aproape incomparabile 5 generatoare gratuite de parole pentru parole aproape incomparabile Cititi mai mult creat special pentru securitate, daca doriti. Aceste instrumente creează coduri complet impredictibile când creați parola principală.
Ce se întâmplă când creați contul dvs. este parola este “trunchiată” folosind una dintre aceste generat (și foarte lung) “sare” numere. Acestea nu sunt reutilizate niciodată - sunt unice pentru fiecare utilizator și pentru fiecare parolă. În final, în tabelul de cont de utilizator, veți găsi doar sarea și hash-ul.
Versiunea text actuală a parolei principale nu este stocată niciodată pe serverele LastPass, astfel încât hackerii nu au acces la aceasta. Tot ceea ce au reușit să obțină în această intruziune sunt acele săruri aleatorii și codurile hashes.
Deci, singura cale LastPass (sau oricine) poate valida parola dvs. este:
- Obțineți hash și sare din tabelul de utilizatori.
- Folosiți sarea pe parola pe care utilizatorul o introduce, folosindu-i aceeași funcție hash care a fost utilizată atunci când a fost generată parola.
- Hash-ul rezultat este comparat cu hash-ul stocat pentru a vedea dacă este o potrivire.
Aceste zile, hackerii sunt capabili să genereze miliarde de hashes pe secundă, deci de ce nu poate un hacker să folosească forța brute pentru a sparge aceste parole Ophcrack - Un instrument de parolă pentru a sparge aproape orice parolă Windows Ophcrack - Un parolă Hack Tool to Crack Aproape orice parolă Windows Există o mulțime de motive diferite pentru care s-ar dori să utilizați orice număr de instrumente de hacking parole pentru a hack o parolă Windows. Citeste mai mult ? Această securitate suplimentară se datorează faptului că a fost redus.
De ce vă protejează lent
Într-un atac de genul acesta, este într-adevăr o parte înceată a securității LastPass care vă protejează cu adevărat.
LastPass face ca funcția hash utilizată pentru a verifica parola (sau a crea) să funcționeze foarte lent. Acest lucru pune, în esență, pauzele pe orice operațiune de mare viteză, forțată-brute care necesită viteză pentru a pompa prin miliarde de canale posibile. Indiferent cât de multă putere de calcul Cele mai recente tehnologii de calculator trebuie să vedeți pentru a crede cele mai recente tehnologii de calculator pe care trebuie să le vezi pentru a crede Verificați unele dintre cele mai recente tehnologii informatice care sunt stabilite pentru a transforma lumea de electronice și PC-uri în următorii câțiva ani . Citiți mai mult sistemul hacker-ului, procesul de rupere a criptei va dura totdeauna, în mod esențial, redarea inutilă a atacurilor de forță brute.
În plus, LastPass nu rulează doar algoritmul hash o dată, îl rulează de mii de ori pe computer și apoi din nou pe server.
Iată cum a explicat LastPass propriul proces utilizatorilor într-o postare de blog după acest ultim atac:
“Am hash atât parola de utilizator și parola de master pe computerul utilizatorului cu 5.000 de runde de PBKDF2-SHA256, un algoritm de întărire a parolei. Aceasta creează o cheie, pe care efectuăm o altă rundă de hashing, pentru a genera hash-ul de autentificare a parolei.”
LastPass Help Desk are o postare care descrie modul în care LastPass folosește hashing-ul lent:
LastPass a optat pentru utilizarea SHA-256, un algoritm de hash mai lent, care oferă o protecție mai mare împotriva atacurilor de forță brute. LastPass utilizează funcția PBKDF2 implementată cu SHA-256 pentru a transforma parola principală în cheia dvs. de criptare.
Ceea ce înseamnă acest lucru este că, în ciuda acestei încălcări a securității recente, parolele dvs. sunt destul de mult în siguranță, chiar dacă adresa dvs. de e-mail nu este.
Dacă parola mea este slabă?
Există un excelent punct prezentat pe blogul LastPass referitor la parolele slabe. Mulți utilizatori sunt îngrijorați că nu visează o parolă unică suficientă și că acești hackeri vor putea să o ghicească fără prea mult efort.
Există, de asemenea, riscul la distanță că contul dvs. este unul dintre acelea pe care hackerii își pierd timpul încercând să decripteze și există întotdeauna posibilitatea îndepărtată de a obține parola principală. Ce atunci?
Linia de jos este că toate aceste eforturi ar fi irosite, deoarece logarea de la alt dispozitiv necesită verificarea prin e-mail - e-mailul dvs. - înainte de acordarea accesului. Din blogul LastPass:
“Dacă atacatorul a încercat să obțină accesul la datele dvs. utilizând aceste acreditări pentru a vă conecta la contul dvs. LastPass, aceștia ar fi opriți printr-o notificare prin care să îi solicite să-și verifice mai întâi adresa de e-mail.”
Deci, cu excepția cazului în care acestea pot cumva hack în contul dvs. de e-mail pe lângă decriptarea unui algoritm aproape de necrezut, într-adevăr nu aveți nimic de îngrijorat.
Ar trebui să schimb parola mea principală?
Indiferent dacă doriți sau nu să schimbați parola de master, într-adevăr se reduce la paranoia sau ghinionul pe care îl simțiți. Dacă credeți că ați putea fi persoana ghinionistă care are o parolă cracată de hackeri talentați, care sunt capabili să descifreze cumva prin rutina rundă de 100.000 rundă a lui LastPass și un cod de sare care este unic doar pentru tine?
Cu toate acestea, dacă vă faceți griji în legătură cu astfel de lucruri, schimbați-vă parola doar pentru pace. Va însemna că cel puțin sarea și hash-ul tău, în mâinile hackerilor, devin inutile.
Cu toate acestea, există experți în securitate care nu sunt deloc interesați, cum ar fi expertul în securitate Jeremi Gosney de la Grupul de structură care a declarat reporterilor:
“Valoarea prestabilită este de 5.000 de iterații, deci la minimum ne uităm la 105.000 de iterații. De fapt am setat a mea la 65.000 de iterații, deci este un total de 165.000 de iterații care protejează fraza de acces Diceware. Deci nu, cu siguranță nu transpiră această încălcare. Nici măcar nu mă simt obligat să-mi schimb parola.”
Singura preocupare reală pe care ar trebui să o aveți despre această încălcare a datelor este că hackerii au acum adresa dvs. de e-mail, pe care ar putea să o folosească pentru a efectua expediții în masă de phishing, pentru a încerca să-i înșele pe oameni să renunțe la diferitele parole de cont - ca vânzarea tuturor acelor e-mailuri utilizatorilor către spam-ul de pe piața neagră.
Concluzia este că riscul din cauza acestei intruziuni de securitate rămâne minim, grație securității copleșitoare a sistemului LastPass. Dar bunul simț spune că oricând hackerii au obținut detaliile contului dvs. - chiar protejați prin mii de iterații criptografice avansate - este întotdeauna bine să schimbați parola dvs. de bază, chiar dacă este pentru pace.
A fost încălcarea securității LastPass foarte preocupată de siguranța lui LastPass sau sunteți sigur (ă) de securitatea contului dvs. acolo? Împărtășiți-vă gândurile și preocupările în secțiunea de comentarii de mai jos.
Credite de imagine: pătrundere prin intermediul Shutterstock, Csehak Szabolcs prin Shutterstock, Bastian Weltjen prin Shutterstock, McIek prin Shutterstock, GlebStock prin Shutterstock, Benoit Daoust prin Shutterstock
Explorați mai multe despre: LastPass, Online Security, Password Manager.