A LastPass megsérült: Meg kell változtatnia a fő jelszavát?

Hirdetés

Ha Ön a LastPass több ezer felhasználójának egyike, akik nagyon biztonságban érezték magukat az internet használata mellett, a szinte törhetetlen ígéretnek köszönhetően Biztonsági okokból kicsit kevésbé biztonságban érezheti magát, tudva, hogy június 15-én a cég bejelentette, hogy behatolást észleltek az ő belsejükbe szervereket.

A LastPass e-mailben értesítést küldött a felhasználóknak, jelezve, hogy a vállalat „gyanúsnak talált fel tevékenység ”a LastPass szervereknél, és a felhasználói e-mail címek és jelszó-emlékeztetők veszélybe kerültek.

A társaság biztosította a felhasználókat, hogy a titkosított tárolóadatok nem kerültek veszélybe, ám a kivonatos felhasználói jelszavak Mit jelent valójában ez az MD5 hasítóanyag [magyarázat a technológiára]Itt található az MD5 teljes leállítása, kivonása és egy kis áttekintés a számítógépekről és a kriptográfiaról. Olvass tovább beszerzésekor a vállalat azt javasolta a felhasználóknak, hogy frissítsék fő jelszavaikat, csak a biztonság érdekében.

A LastPass Hack magyarázata

Ez nem az első alkalom, hogy a LastPass felhasználói aggódnak a hackerek miatt. Tavaly mi interjút készített Joe Siegrist, a LastPass vezérigazgatója Joe Siegrist, a LastPass: Az igazság a jelszó biztonságában Olvass tovább a szívverés fenyegetését követve, ahol az ő megerősítése megkönnyíti a felhasználók félelmét.

Ez a legutóbbi jogsértés a bejelentést megelőző héten később történt. Mire azt észlelték és biztonsági résként azonosították, a támadók elmenekültek felhasználói e-mail címekkel, jelszó-emlékeztető kérdésekkel / válaszokkal, kivont felhasználói jelszavakkal és kriptográfiás sók Legyen titkos sztereográfus: Rejtse el és titkosítsa a fájljait Olvass tovább .

A jó hír az, hogy a LastPass rendszer biztonságát úgy tervezték, hogy ellenálljon az ilyen támadásoknak. A sima szöveges jelszavak elérésének egyetlen módja az, hogy a hackerek dekódolják a jól védett mester jelszavak Használjon jelszókezelési stratégiát az élet egyszerűsítéséhezA jelszavakkal kapcsolatos tanácsok nagy részét majdnem lehetetlen követni: használjon erős jelszavakat, amelyek számokat, betűket és speciális karaktereket tartalmaznak; rendszeresen változtassa meg; hozzon létre egy teljesen egyedi jelszót minden fiókhoz stb. Olvass tovább .

A fő jelszó titkosításához használt mechanizmus miatt hatalmas mennyiségű számítógépes erőforrás szükséges a dekódoláshoz - olyan erőforrásokhoz, amelyekhez a legtöbb kis- vagy középszintű hackerek nem férnek hozzá.

Annak érdekében, hogy oly védett legyen a LastPass használatakor, az az oka, hogy ezt a mechanizmust, amely annyira megkönnyíti a fő jelszó megszerzését, „lassú hashizálásnak” vagy „sóval történő hashításnak” nevezik.

Hogyan működik a hashizálás?

A LastPass a világ egyik legbiztonságosabb titkosítási technikáját használja, amelyet sóval történő elosztásnak hívnak.

A „só” egy kód, amelyet egy kriptográfiai eszköz segítségével hoztak létre - egyfajta haladó véletlenszám-generátor Az 5 legjobb online jelszógenerátor az erős véletlenszerű jelszavakhozKeresi a módját a törhetetlen jelszó gyors létrehozására? Próbálja ki az online jelszógenerátorok egyikét. Olvass tovább kifejezetten a biztonság érdekében, ha szükséges. Ezek az eszközök teljesen kiszámíthatatlan kódokat hoznak létre a fő jelszó létrehozásakor.

A fiók létrehozásakor az történik, hogy a jelszó „hashed” a véletlenszerűen generált (és nagyon hosszú) „só” számok egyikével. Ezeket soha nem használják újra - minden felhasználó és minden jelszó esetében egyediek. Végül, a felhasználói fiók táblázatában csak a sót és a kivonatot találja meg.

A fő jelszó tényleges szöveges változatát soha nem tárolják a LastPass szerverek, így a hackerek nem férnek hozzá ehhez. Ezeket a behatolásokat csak ezek a véletlenszerű sók és a kódolt kivonatok képezték.

Tehát az LastPass (vagy bárki más) érvényesítheti a jelszavát:

1. Töltse le a kivonatot és a sót a felhasználói táblából.
2. Használja a sót a felhasználó által megadott jelszóhoz, és azt ugyanazzal a kivonat-funkcióval használja, amelyet a jelszó létrehozásakor használt.
3. A kapott kivonat a tárolt kivonathoz képest összehasonlítva megnézheti, hogy egyezés-e.

Manapság a hackerek milliárd hash-ot tudnak generálni másodpercenként, miért nem tudja a hackerek csak brutális erőt felhasználni a feltörni ezeket a jelszavakat Ophcrack - Jelszó-hack eszköz szinte minden Windows jelszó feltöréséhezSzámos különböző oka van annak, hogy miért akarja számtalan számú jelszó feltörő eszközt használni a Windows jelszó feltöréséhez. Olvass tovább ? Ez a kiegészítő biztonság a lassú kivágásnak köszönhető.

Miért védi meg a lassú hasítás?

Ilyen támadás esetén a LastPass biztonság lassan lebomló része valóban védi Önt.

A LastPass miatt a jelszó ellenőrzéséhez (vagy létrehozásához) használt hash-funkció nagyon lassan működik. Ez lényegében a nagysebességű, brutális erővel történő műveletek szüneteltetését eredményezi, amelyhez sebességre van szükség annak érdekében, hogy több milliárd lehetséges hash-en keresztül tudjon pumpálódni. Nem számít mennyi számítási teljesítmény A legújabb számítógépes technológia, amelyet látnia kell, hogy elhiggyeNézze meg a legújabb számítógépes technológiákat, amelyek az elektronika és a PC-k világát átalakítják az elkövetkező néhány évben. Olvass tovább a hacker rendszerének megfelelően, a titkosítás megtörésének folyamata továbbra is örökké tart, lényegében haszontalanná téve a brute-force támadásokat.

Ráadásul a LastPass nem csak egyszer futtatja a hash algoritmust, hanem több ezer alkalommal futtatja a számítógépen, majd újra a szerveren.

Így magyarázza a LastPass a saját folyamatait a felhasználók számára egy blogbejegyzésben ezt a legutóbbi támadást követően:

“A felhasználó számítógépén egyaránt kivágjuk a felhasználónevet és a fő jelszót, 5000 kerek PBKDF2-SHA256-szal, egy jelszó megerősítő algoritmussal. Ez létrehoz egy kulcsot, amelyen egy újabb kivonási műveletet hajtunk végre a fő jelszó-hitelesítési hash előállításához. "

Az LastPass ügyfélszolgálat van egy hozzászólása, amely leírja, hogyan használja a LastPass a lassú hashizálást:

A LastPass az SHA-256, egy lassabb kivonási algoritmus használatát választotta, amely nagyobb védelmet nyújt a brutális erő támadásainak ellen. A LastPass az SHA-256-tal megvalósított PBKDF2 funkciót használja a fő jelszó titkosítási kulcská történő alakításához.

Ez azt jelenti, hogy a közelmúltbeli biztonsági megsértés ellenére a jelszavak nagyjából továbbra is nagyon biztonságosak, annak ellenére, hogy az e-mail címed nem.

Mi történik, ha a jelszavam gyenge?

Van egy kiváló pont, amelyet a LastPass blog felvetett a gyenge jelszavakkal kapcsolatban. Sok felhasználó aggódik amiatt, hogy nem álmodtak meg egy elég egyedi jelszót, és hogy ezek a hackerek nagy erõfeszítések nélkül képesek lesznek kitalálni.

Fennáll annak a távoli kockázata is, hogy fiókja egyike azoknak, amelyeknek hackerei pazarolják az idejüket a dekódoláshoz, és mindig fennáll a távoli esély, hogy sikeresen megszerezhetik a mestert Jelszó. Akkor mit?

A lényeg az, hogy az összes erőfeszítés pazarlásba kerülne, mivel egy másik eszközről történő bejelentkezéshez e-mailben - az e-mailben - történő ellenőrzést kell végezni, mielőtt a hozzáférést megadnák. A LastPass blogból:

„Ha a támadó megkísérelte hozzáférni az Ön adataihoz, ha ezeket a hitelesítő adatokat használja, hogy bejelentkezzen az Önbe A LastPass-fiókkal egy értesítéssel állíthatják le őket, amelyben kéri őket, hogy először ellenőrizzék e-mailüket cím."

Tehát, hacsak nem tudnak behatolni az e-mail fiókba továbbá ha majdnem rejthetetlen algoritmust dekódolunk, valójában semmi sem kell aggódnia.

Meg kell változtatnom a fő jelszavam?

Függetlenül attól, hogy meg akarja változtatni a fő jelszavát, valóban arra utal, hogy milyen paranoid vagy szerencsétlennek érzi magát. Ha úgy gondolja, hogy lehet az egyik szerencsétlen ember, akinek a jelszavát olyan tehetséges hackerek csapják le, akik képesek valamilyen módon megfejteni a LastPass 100 000 kerek hasítási rutinját és egy kizárólag neked egyedülálló só kódot?

Mindenesetre, ha ilyen dolgok miatt aggódik, csak a nyugalom érdekében változtassa meg a jelszavát. Ez azt jelenti, hogy legalább a só és hasis, a hackerek kezében, haszontalanná válik.

Vannak olyan biztonsági szakértők is, akiket egyáltalán nem érdekelnek, például Jeremi Gosney biztonsági szakértő a Structure Groupnál ki mondta az újságíróknak:

„Az alapértelmezés 5000 iteráció, tehát legalább 105 000 iterációt vizsgálunk. Valójában 65 000 iterációt állítottam be, tehát összesen 165 000 iteráció védi a Diceware jelszavam. Szóval nem, határozottan nem izzadom ezt a megsértést. Még azt sem érzem, hogy meg kellene változtatnom a fő jelszavam. ”

Az egyetlen valódi aggodalom, amelyet ezzel az adatsértéssel kell feltennie, az, hogy a hackerek most már rendelkeznek az Ön e-mail címével, amelyet felhasználhatnak tömeges adathalász expedíciók lebonyolításához és becsaphatja az embereket, hogy feladják a különféle jelszavaikat - vagy talán olyan hétköznapi dolgot is csinálnak, mint az összes ilyen felhasználói e-mailt eladni a spammereknek a fekete oldalon piac.

A lényeg az, hogy ennek a biztonsági behatolásnak a kockázata továbbra is minimális, a LastPass rendszer elsöprő biztonságának köszönhetően. A józan ész szerint azonban a hackerek bármikor megszerezték a fiókja adatait - akár több ezren keresztül is védettek lehetnek fejlett rejtjelezési iterációk - mindig jó megváltoztatni a fő jelszavát, még akkor is, ha a nyugalom érdekében.

Nagyon aggódott-e a LastPass biztonsági megsértése a LastPass biztonsága miatt, vagy bízott-e benne a fiókja biztonsága? Ossza meg gondolatait és aggodalmait az alábbi megjegyzés szakaszban.

Kép-jóváírások: behatolt biztonsági zár a Shutterstockon keresztül, Csehak Szabolcs Shutterstockon keresztül, Bastian Weltjen Shutterstockon keresztül, McIek Shutterstockon keresztül, GlebStock Shutterstockon keresztül, Benoit Daoust Shutterstockon keresztül