Hirdetés
Ha Ön a LastPass több ezer felhasználójának egyike, akik nagyon biztonságban érezték magukat az internet használata mellett, a szinte törhetetlen ígéretnek köszönhetően Biztonsági okokból kicsit kevésbé biztonságban érezheti magát, tudva, hogy június 15-én a cég bejelentette, hogy behatolást észleltek az ő belsejükbe szervereket.
A LastPass e-mailben értesítést küldött a felhasználóknak, jelezve, hogy a vállalat „gyanúsnak talált fel tevékenység ”a LastPass szervereknél, és a felhasználói e-mail címek és jelszó-emlékeztetők veszélybe kerültek.
A társaság biztosította a felhasználókat, hogy a titkosított tárolóadatok nem kerültek veszélybe, ám a kivonatos felhasználói jelszavak Mit jelent valójában ez az MD5 hasítóanyag [magyarázat a technológiára]Itt található az MD5 teljes leállítása, kivonása és egy kis áttekintés a számítógépekről és a kriptográfiaról. Olvass tovább beszerzésekor a vállalat azt javasolta a felhasználóknak, hogy frissítsék fő jelszavaikat, csak a biztonság érdekében.
A LastPass Hack magyarázata
Ez nem az első alkalom, hogy a LastPass felhasználói aggódnak a hackerek miatt. Tavaly mi interjút készített Joe Siegrist, a LastPass vezérigazgatója Joe Siegrist, a LastPass: Az igazság a jelszó biztonságában Olvass tovább a szívverés fenyegetését követve, ahol az ő megerősítése megkönnyíti a felhasználók félelmét.
Ez a legutóbbi jogsértés a bejelentést megelőző héten később történt. Mire azt észlelték és biztonsági résként azonosították, a támadók elmenekültek felhasználói e-mail címekkel, jelszó-emlékeztető kérdésekkel / válaszokkal, kivont felhasználói jelszavakkal és kriptográfiás sók Legyen titkos sztereográfus: Rejtse el és titkosítsa a fájljait Olvass tovább .
A jó hír az, hogy a LastPass rendszer biztonságát úgy tervezték, hogy ellenálljon az ilyen támadásoknak. A sima szöveges jelszavak elérésének egyetlen módja az, hogy a hackerek dekódolják a jól védett mester jelszavak Használjon jelszókezelési stratégiát az élet egyszerűsítéséhezA jelszavakkal kapcsolatos tanácsok nagy részét majdnem lehetetlen követni: használjon erős jelszavakat, amelyek számokat, betűket és speciális karaktereket tartalmaznak; rendszeresen változtassa meg; hozzon létre egy teljesen egyedi jelszót minden fiókhoz stb. Olvass tovább .
A fő jelszó titkosításához használt mechanizmus miatt hatalmas mennyiségű számítógépes erőforrás szükséges a dekódoláshoz - olyan erőforrásokhoz, amelyekhez a legtöbb kis- vagy középszintű hackerek nem férnek hozzá.
Annak érdekében, hogy oly védett legyen a LastPass használatakor, az az oka, hogy ezt a mechanizmust, amely annyira megkönnyíti a fő jelszó megszerzését, „lassú hashizálásnak” vagy „sóval történő hashításnak” nevezik.
Hogyan működik a hashizálás?
A LastPass a világ egyik legbiztonságosabb titkosítási technikáját használja, amelyet sóval történő elosztásnak hívnak.
A „só” egy kód, amelyet egy kriptográfiai eszköz segítségével hoztak létre - egyfajta haladó véletlenszám-generátor Az 5 legjobb online jelszógenerátor az erős véletlenszerű jelszavakhozKeresi a módját a törhetetlen jelszó gyors létrehozására? Próbálja ki az online jelszógenerátorok egyikét. Olvass tovább kifejezetten a biztonság érdekében, ha szükséges. Ezek az eszközök teljesen kiszámíthatatlan kódokat hoznak létre a fő jelszó létrehozásakor.
A fiók létrehozásakor az történik, hogy a jelszó „hashed” a véletlenszerűen generált (és nagyon hosszú) „só” számok egyikével. Ezeket soha nem használják újra - minden felhasználó és minden jelszó esetében egyediek. Végül, a felhasználói fiók táblázatában csak a sót és a kivonatot találja meg.
A fő jelszó tényleges szöveges változatát soha nem tárolják a LastPass szerverek, így a hackerek nem férnek hozzá ehhez. Ezeket a behatolásokat csak ezek a véletlenszerű sók és a kódolt kivonatok képezték.
Tehát az LastPass (vagy bárki más) érvényesítheti a jelszavát:
- Töltse le a kivonatot és a sót a felhasználói táblából.
- Használja a sót a felhasználó által megadott jelszóhoz, és azt ugyanazzal a kivonat-funkcióval használja, amelyet a jelszó létrehozásakor használt.
- A kapott kivonat a tárolt kivonathoz képest összehasonlítva megnézheti, hogy egyezés-e.
Manapság a hackerek milliárd hash-ot tudnak generálni másodpercenként, miért nem tudja a hackerek csak brutális erőt felhasználni a feltörni ezeket a jelszavakat Ophcrack - Jelszó-hack eszköz szinte minden Windows jelszó feltöréséhezSzámos különböző oka van annak, hogy miért akarja számtalan számú jelszó feltörő eszközt használni a Windows jelszó feltöréséhez. Olvass tovább ? Ez a kiegészítő biztonság a lassú kivágásnak köszönhető.
Miért védi meg a lassú hasítás?
Ilyen támadás esetén a LastPass biztonság lassan lebomló része valóban védi Önt.
A LastPass miatt a jelszó ellenőrzéséhez (vagy létrehozásához) használt hash-funkció nagyon lassan működik. Ez lényegében a nagysebességű, brutális erővel történő műveletek szüneteltetését eredményezi, amelyhez sebességre van szükség annak érdekében, hogy több milliárd lehetséges hash-en keresztül tudjon pumpálódni. Nem számít mennyi számítási teljesítmény A legújabb számítógépes technológia, amelyet látnia kell, hogy elhiggyeNézze meg a legújabb számítógépes technológiákat, amelyek az elektronika és a PC-k világát átalakítják az elkövetkező néhány évben. Olvass tovább a hacker rendszerének megfelelően, a titkosítás megtörésének folyamata továbbra is örökké tart, lényegében haszontalanná téve a brute-force támadásokat.
Ráadásul a LastPass nem csak egyszer futtatja a hash algoritmust, hanem több ezer alkalommal futtatja a számítógépen, majd újra a szerveren.
Így magyarázza a LastPass a saját folyamatait a felhasználók számára egy blogbejegyzésben ezt a legutóbbi támadást követően:
“A felhasználó számítógépén egyaránt kivágjuk a felhasználónevet és a fő jelszót, 5000 kerek PBKDF2-SHA256-szal, egy jelszó megerősítő algoritmussal. Ez létrehoz egy kulcsot, amelyen egy újabb kivonási műveletet hajtunk végre a fő jelszó-hitelesítési hash előállításához. "
Az LastPass ügyfélszolgálat van egy hozzászólása, amely leírja, hogyan használja a LastPass a lassú hashizálást:
A LastPass az SHA-256, egy lassabb kivonási algoritmus használatát választotta, amely nagyobb védelmet nyújt a brutális erő támadásainak ellen. A LastPass az SHA-256-tal megvalósított PBKDF2 funkciót használja a fő jelszó titkosítási kulcská történő alakításához.
Ez azt jelenti, hogy a közelmúltbeli biztonsági megsértés ellenére a jelszavak nagyjából továbbra is nagyon biztonságosak, annak ellenére, hogy az e-mail címed nem.
Mi történik, ha a jelszavam gyenge?
Van egy kiváló pont, amelyet a LastPass blog felvetett a gyenge jelszavakkal kapcsolatban. Sok felhasználó aggódik amiatt, hogy nem álmodtak meg egy elég egyedi jelszót, és hogy ezek a hackerek nagy erõfeszítések nélkül képesek lesznek kitalálni.
Fennáll annak a távoli kockázata is, hogy fiókja egyike azoknak, amelyeknek hackerei pazarolják az idejüket a dekódoláshoz, és mindig fennáll a távoli esély, hogy sikeresen megszerezhetik a mestert Jelszó. Akkor mit?
A lényeg az, hogy az összes erőfeszítés pazarlásba kerülne, mivel egy másik eszközről történő bejelentkezéshez e-mailben - az e-mailben - történő ellenőrzést kell végezni, mielőtt a hozzáférést megadnák. A LastPass blogból:
„Ha a támadó megkísérelte hozzáférni az Ön adataihoz, ha ezeket a hitelesítő adatokat használja, hogy bejelentkezzen az Önbe A LastPass-fiókkal egy értesítéssel állíthatják le őket, amelyben kéri őket, hogy először ellenőrizzék e-mailüket cím."
Tehát, hacsak nem tudnak behatolni az e-mail fiókba továbbá ha majdnem rejthetetlen algoritmust dekódolunk, valójában semmi sem kell aggódnia.
Meg kell változtatnom a fő jelszavam?
Függetlenül attól, hogy meg akarja változtatni a fő jelszavát, valóban arra utal, hogy milyen paranoid vagy szerencsétlennek érzi magát. Ha úgy gondolja, hogy lehet az egyik szerencsétlen ember, akinek a jelszavát olyan tehetséges hackerek csapják le, akik képesek valamilyen módon megfejteni a LastPass 100 000 kerek hasítási rutinját és egy kizárólag neked egyedülálló só kódot?
Mindenesetre, ha ilyen dolgok miatt aggódik, csak a nyugalom érdekében változtassa meg a jelszavát. Ez azt jelenti, hogy legalább a só és hasis, a hackerek kezében, haszontalanná válik.
Vannak olyan biztonsági szakértők is, akiket egyáltalán nem érdekelnek, például Jeremi Gosney biztonsági szakértő a Structure Groupnál ki mondta az újságíróknak:
„Az alapértelmezés 5000 iteráció, tehát legalább 105 000 iterációt vizsgálunk. Valójában 65 000 iterációt állítottam be, tehát összesen 165 000 iteráció védi a Diceware jelszavam. Szóval nem, határozottan nem izzadom ezt a megsértést. Még azt sem érzem, hogy meg kellene változtatnom a fő jelszavam. ”
Az egyetlen valódi aggodalom, amelyet ezzel az adatsértéssel kell feltennie, az, hogy a hackerek most már rendelkeznek az Ön e-mail címével, amelyet felhasználhatnak tömeges adathalász expedíciók lebonyolításához és becsaphatja az embereket, hogy feladják a különféle jelszavaikat - vagy talán olyan hétköznapi dolgot is csinálnak, mint az összes ilyen felhasználói e-mailt eladni a spammereknek a fekete oldalon piac.
A lényeg az, hogy ennek a biztonsági behatolásnak a kockázata továbbra is minimális, a LastPass rendszer elsöprő biztonságának köszönhetően. A józan ész szerint azonban a hackerek bármikor megszerezték a fiókja adatait - akár több ezren keresztül is védettek lehetnek fejlett rejtjelezési iterációk - mindig jó megváltoztatni a fő jelszavát, még akkor is, ha a nyugalom érdekében.
Nagyon aggódott-e a LastPass biztonsági megsértése a LastPass biztonsága miatt, vagy bízott-e benne a fiókja biztonsága? Ossza meg gondolatait és aggodalmait az alábbi megjegyzés szakaszban.
Kép-jóváírások: behatolt biztonsági zár a Shutterstockon keresztül, Csehak Szabolcs Shutterstockon keresztül, Bastian Weltjen Shutterstockon keresztül, McIek Shutterstockon keresztül, GlebStock Shutterstockon keresztül, Benoit Daoust Shutterstockon keresztül
Ryan BSc villamosmérnöki diplomával rendelkezik. 13 évet dolgozott az automatizálás területén, 5 évet az informatika területén, és most Apps Engineer. A MakeUseOf volt vezérigazgatója, az adatmegjelenítéssel foglalkozó nemzeti konferenciákon beszélt, és szerepelt a nemzeti televízióban és rádióban.