Oglas

Ako ste jedan od tisuće korisnika LastPass-a koji su se osjećali vrlo sigurno koristeći Internet zahvaljujući obećanjima o gotovo neraskidivom. sigurnosti, možda ćete se osjećati malo manje sigurnim znajući da je 15. lipnja tvrtka objavila da je otkrila upad u njihove uređaje poslužiteljima.

LastPass je korisnicima na početku poslao obavijest e-poštom savjetujući ih da je tvrtka otkrila "sumnjivom aktivnost “na LastPass poslužiteljima te su ugrožene adrese e-pošte korisnika i podsjetnici zaporke.

Tvrtka je uvjeravala korisnike da nisu ugroženi nikakvi šifrirani podaci o trezoru, ali od tada hashed korisničke lozinke Što sve ovo MD5 hash stvari zapravo znači [objašnjena tehnologija]Evo potpunog propadanja MD5, hash-a i malog pregleda računala i kriptografije. Čitaj više Nakon dobivanja, tvrtka je savjetovala korisnike da ažuriraju svoje glavne lozinke, samo kako bi bili sigurni.

Objasnio Hack LastPass

Ovo nije prvi put da su korisnici LastPassa zabrinuti zbog hakera. Prošle godine smo

instagram viewer
intervjuirao direktor tvrtke LastPass Joe Siegrist Joe Siegrist tvrtke LastPass: Istina o sigurnosti vaše lozinke Čitaj više nakon prijetnje Heartbleeda, gdje su njegova uvjeravanja ublažila strahove korisnika.

Ovaj posljednji prekršaj dogodio se krajem tjedna prije najave. Do trenutka kada je otkriven i prepoznat kao sigurnosni upad, napadači su se izvukli s korisničkim adresama e-pošte, pitanjima / odgovorima s podsjetnikom zaporke, šifrirali korisničke lozinke i kriptografske soli Postanite tajni kategoričar: Sakrijte i šifrirajte svoje datoteke Čitaj više .

LastPass-breach1

Dobra vijest je da je sigurnost sustava LastPass stvorena da izdrži takve napade. Jedini način pristupa vašim zaporkama u običnom tekstu bio bi hakeri da ih dešifriraju dobro osigurane glavne lozinke Koristite strategiju upravljanja lozinkom kako biste pojednostavili svoj životVećina savjeta oko lozinki gotovo je nemoguće slijediti: upotrijebite snažnu lozinku koja sadrži brojeve, slova i posebne znakove; redovito ga mijenjajte; osmislite potpuno jedinstvenu lozinku za svaki račun itd ... Čitaj više .

Zbog mehanizma koji se koristi za šifriranje glavne lozinke, za dešifriranje su joj potrebne ogromne količine računalnih resursa - resursa kojima većina malih ili srednjih hakera nema pristup.

LastPass-breach2

Razlog zbog kojeg ste toliko zaštićeni kada koristite LastPass je taj što se mehanizam zbog kojeg je glavna lozinka toliko teška za dobivanje naziva "sporo miješanje" ili "miješanje sa soli".

Kako djeluje mržnja

LastPass koristi jednu od najsigurnijih tehnika šifriranja na svijetu, nazvanu hashing sa soli.

LastPass-breach3

"Sol" je kôd koji se generira pomoću alata za kriptografiju - vrsta naprednog generator slučajnih brojeva 5 najboljih internetskih generatora lozinki za čvrste slučajne lozinkeTražite način za brzo stvaranje neraskidive lozinke? Isprobajte jedan od tih generatora za generiranje lozinki. Čitaj više stvoren posebno za sigurnost, ako hoćete. Ovi alati stvaraju potpuno nepredvidive kodove kada stvorite svoju glavnu lozinku.

Ono što se događa kada stvorite svoj račun jest da se lozinka "rasplinuje" pomoću jednog od ovih nasumično generiranih (i vrlo dugih) "solnih" brojeva. One se nikad ne koriste ponovo - jedinstvene su za svakog korisnika i zaporku. Konačno, u tablici korisničkih računa naći ćete samo sol i hash.

Stvarna tekstualna verzija vaše glavne lozinke nikad se ne pohranjuje na LastPass poslužitelje, tako da hakeri nemaju pristup njoj. Sve što su uspjeli dobiti u ovom upadu su ove slučajne soli i kodirani hashei.

Dakle, jedini način na koji LastPass (ili bilo tko) može provjeriti vašu lozinku je:

  1. Dohvatite hash i sol iz korisničke tablice.
  2. Upotrijebite sol na lozinci koju korisnik upisuje, raspršite je koristeći istu hash funkciju koja je korištena kada je lozinka generirana.
  3. Dobiveni hash dobiva se u usporedbi sa spremljenim hash-om da bi se vidjelo je li podudaranje.

Ovih dana hakeri su u stanju generirati milijarde heševa u sekundi, pa zašto onda haker ne može upotrijebiti grubu silu za ispucati ove lozinke Ophcrack - Alat za hakiranje lozinki za probijanje gotovo bilo koje lozinke za WindowsPostoji puno različitih razloga zbog kojih bi se za hakiranje Windows lozinke moglo koristiti bilo koji broj alata za hakiranje lozinki. Čitaj više ? Ova dodatna sigurnost je zahvaljujući sporo-hashing.

Zašto vas usporavanje štiti

U napadu poput ovog, stvarno vas polako štiti dio LastPass sigurnosti.

LastPass-breach4

LastPass čini hash funkciju koja se koristi za provjeru lozinke (ili je kreiraj) radi vrlo sporo. To u osnovi stavlja prekide u bilo kojoj velikoj brzini, brutalnoj operaciji koja zahtijeva brzinu da bi se pumpala kroz milijarde mogućih heševa. Nema veze koliko računske snage Najnovija računalna tehnologija u koju morate vjerovatiPogledajte neke od najnovijih računalnih tehnologija koje su postavljene da transformišu svijet elektronike i osobnih računala u sljedećih nekoliko godina. Čitaj više hakerski sustav ima, proces prekida šifriranja i dalje će trajati zauvijek, u osnovi će beskorisni napadi biti beskorisni.

Povrh toga, LastPass ne pokreće algoritam hash-a jednom, već ih tisućama puta pokreće na vašem računalu, a zatim ponovo na poslužitelju.

Evo kako je LastPass objasnio vlastiti postupak korisnicima u postu na blogu nakon ovog najnovijeg napada:

"Imamo korisničko ime i glavnu lozinku na korisničkom računalu s 5000 rundi PBKDF2-SHA256, algoritmom za jačanje lozinke. To stvara ključ, na kojem izvodimo još jedan krug hashpiranja, kako bismo generirali hash provjere izvorne lozinke. "

Služba za pomoć LastPass-a ima post u kojem je opisano kako LastPass koristi sporo heširanje:

LastPass je odlučio koristiti SHA-256, sporiji algoritam hashing koji pruža veću zaštitu od napada brutalnim silama. LastPass koristi funkciju PBKDF2 implementiranu sa SHA-256 da bi glavnu lozinku pretvorio u svoj ključ za šifriranje.

To znači da su, unatoč nedavnom kršenju sigurnosti, vaše lozinke još uvijek vrlo sigurne, iako vaša adresa e-pošte nije.

Što ako je moja lozinka slaba?

Na blogu LastPass postoji jedna izvrsna točka koja se odnosi na slabe lozinke. Mnogi su korisnici zabrinuti da nisu osmislili dovoljno jedinstvenu lozinku i da će je ovi hakeri moći pogoditi bez puno napora.

Postoji i daljinski rizik da je vaš račun jedan od onih na koje hakeri troše svoje vrijeme na isprobavanje da biste ih dešifrirali, a uvijek je postojala mogućnost udaljenja da oni uspješno dobiju vašeg gospodara lozinka. Što onda?

LastPass-breach5

Dno crta je da će sav taj trud biti izgubljen, jer je prijava s drugog uređaja potrebna provjera putem e-pošte - e-pošte - prije nego što je pristup odobren. S bloga LastPass:

"Ako je napadač pokušao pristupiti vašim podacima pomoću ovih vjerodajnica za prijavu na vaše podatke LastPass račun, zaustavit će ih obavijest kojom traže da prvo provjere svoju e-poštu adresa."

Dakle, osim ako ne mogu nekako provaliti u vaš račun e-pošte pored dešifrirajući gotovo neuporediv algoritam, zaista se nemate o čemu brinuti.

Trebam li promijeniti svoju glavnu lozinku?

Bez obzira želite li promijeniti svoju glavnu lozinku, stvarno se svodi na to koliko se osjećate paranoično ili nesretno. Ako mislite da ste možda jedina nesretna osoba koja ima lozinku koju su pokvarili talentirani hakeri koji to mogu kako biste nekako dešifrirali LastPass-ovu 100.000 okruglih rutina raspršivanja i kôd soli koji je jedinstven samo za vas?

U svakom slučaju, ako se brinete zbog takvih stvari, promijenite zaporku samo za mir. To će značiti da barem vaša sol i hash, u rukama hakera, postaju beskorisni.

Međutim, postoje sigurnosni stručnjaci koji uopće nisu zabrinuti, poput sigurnosnog stručnjaka Jeremija Gosneya iz Strukturne grupe koji je rekao novinarima:

"Zadano je 5000 ponavljanja, a najmanje gledamo 105 000 ponavljanja. Zapravo imam postavljeno na 65.000 ponavljanja, tako da je ukupno 165.000 iteracija štitilo moje lozinke za Diceware. Dakle, ne, to se definitivno ne znojim. Uopće se nisam prisiljen mijenjati glavnu lozinku. "

Jedina stvar koja bi vas trebala zabrinuti zbog kršenja podataka jest da hakeri sada imaju vašu adresu e-pošte koju bi mogli upotrijebiti za provođenje masovnih lažnih ekspedicija kako bi pokušali. i prevariti ljude da odustaju od svojih različitih lozinki računa - ili možda oni učine nešto tako lagano kao prodaja svih tih korisničkih poruka e-pošte spamerima na crno tržište.

Suština je da rizik od ovog upada u sigurnost ostaje minimalan, zahvaljujući ogromnoj sigurnosti sustava LastPass. Ali zdrav razum kaže da su svaki put hakeri dobili detalje o vašem računu - čak i zaštićeni kroz tisuće napredne kriptografske iteracije - uvijek je dobro promijeniti svoju glavnu lozinku, čak i ako je to za mir.

Je li vas povreda LastPass sigurnosti vrlo zabrinula zbog sigurnosti LastPass ili ste sigurni u sigurnost svog računa tamo? Podijelite svoja razmišljanja i zabrinutosti u odjeljku s komentarima u nastavku.

Broj kredita: probio sigurnosnu bravu preko Shutterstocka, Csehak Szabolcs putem Shutterstoka, Bastian Weltjen putem Shutterstoka, McIek putem Shutterstoka, GlebStock putem Shutterstoka, Benoit Daoust preko Shutterstoka

Ryan je diplomirao elektrotehniku. Radio je 13 godina u inženjerstvu automatizacije, 5 godina u IT-u, a sada je Apps inženjer. Bivši glavni urednik MakeUseOfa, govorio je na nacionalnim konferencijama o vizualizaciji podataka i bio je prikazan na nacionalnoj televiziji i radiju.