LastPass взломан: нужно ли менять мастер-пароль?

Реклама

Если вы один из тысяч пользователей LastPass, которые чувствовали себя в безопасности при использовании Интернета благодаря обещаниям, которые почти невозможно сломать безопасности, вы можете чувствовать себя немного менее уверенно, зная, что 15 июня компания объявила, что они обнаружили вторжение в их сервера.

LastPass первоначально отправил пользователям уведомление по электронной почте, сообщив им, что компания обнаружила «подозрительные активность »на серверах LastPass, и адреса электронной почты пользователей и напоминания пароля были скомпрометированы.

Компания заверила пользователей, что зашифрованные данные хранилища не были скомпрометированы, но, поскольку хэшированные пароли пользователей Что на самом деле означает весь этот хэш-материал MD5 [Объясненная технология]Вот полный обзор MD5, хэширование и небольшой обзор компьютеров и криптографии. Прочитайте больше Получив информацию, компания посоветовала пользователям обновить свои мастер-пароли, чтобы быть в безопасности.

The LastPass Hack объяснил

Это не первый случай, когда пользователи LastPass беспокоятся о хакерах. В прошлом году мы взял интервью у генерального директора LastPass Джо Сигриста Джо Сигрист из LastPass: правда о безопасности вашего пароля Прочитайте больше после угрозы Heartbleed, где его заверения успокоили страхи пользователей.

Это последнее нарушение имело место в конце недели до объявления. К тому времени, когда он был обнаружен и идентифицирован как вторжение в систему безопасности, злоумышленники уже получили адреса электронной почты пользователей, вопросы / ответы с напоминаниями о паролях, хэшированные пароли пользователей и криптографические соли Станьте секретным стеганографом: скрывайте и шифруйте свои файлы Прочитайте больше .

Хорошей новостью является то, что система безопасности LastPass была разработана для противостояния таким атакам. Единственный способ получить доступ к вашим открытым текстовым паролям - это расшифровать хакеры. надежные мастер-пароли Используйте стратегию управления паролями, чтобы упростить свою жизньПрактически невозможно советов по поводу паролей: используйте надежный пароль, содержащий цифры, буквы и специальные символы; меняйте его регулярно; придумать совершенно уникальный пароль для каждой учетной записи и т.д ... Прочитайте больше .

Из-за механизма, используемого для шифрования вашего мастер-пароля, для его расшифровки потребуются огромные ресурсы компьютера - ресурсы, к которым большинство хакеров среднего и малого уровня не имеют доступа.

Причина, по которой вы так защищены, когда используете LastPass, заключается в том, что механизм, который затрудняет получение мастер-пароля, называется «медленное хеширование» или «хеширование с солью».

Как работает хеширование

LastPass использует один из самых безопасных методов шифрования в мире, называемый хешированием с солью.

«Соль» - это код, сгенерированный с использованием инструмента криптографии - своего рода расширенный генератор случайных чисел 5 лучших онлайн генераторов паролей для надежных случайных паролейИщете способ быстро создать небьющийся пароль? Попробуйте один из этих онлайн генераторов паролей. Прочитайте больше создан специально для безопасности, если хотите. Эти инструменты создают совершенно непредсказуемые коды при создании мастер-пароля.

Когда вы создаете свою учетную запись, пароль «хэшируется» с использованием одного из этих случайно сгенерированных (и очень длинных) «солт» чисел. Они никогда не используются повторно - они уникальны для каждого пользователя и каждого пароля. Наконец, в таблице учетных записей пользователей вы найдете только соль и хэш.

Фактическая текстовая версия вашего мастер-пароля никогда не сохраняется на серверах LastPass, поэтому хакеры не имеют к ней доступа. Все, что они смогли получить в этом вторжении, - это случайные соли и закодированные хеши.

Таким образом, LastPass (или кто-либо другой) может проверить ваш пароль только так:

1. Получите хэш и соль из таблицы пользователя.
2. Используйте соль для пароля, который вводит пользователь, хэшируя его с помощью той же хеш-функции, которая использовалась при создании пароля.
3. Полученный хеш сравнивается с сохраненным хешем, чтобы увидеть, совпадает ли он.

В наши дни хакеры могут генерировать миллиарды хэшей в секунду, так почему же хакер не может просто использовать грубую силу для взломать эти пароли Ophcrack - инструмент для взлома паролей для взлома практически любого пароля WindowsСуществует множество причин, по которым можно использовать любое количество инструментов для взлома паролей для взлома пароля Windows. Прочитайте больше ? Эта дополнительная безопасность благодаря медленному хешированию.

Почему медленный хэш защищает вас

В такой атаке действительно медленная часть безопасности LastPass защищает вас.

LastPass заставляет хеш-функцию, используемую для проверки (или создания) пароля, работать очень медленно. Это, по сути, создает препятствия для любой высокоскоростной операции с использованием грубой силы, которая требует скорости для прокачки миллиардов возможных хэшей. Не важно сколько вычислительной мощности Новейшие компьютерные технологии, которые вы должны увидеть, чтобы поверитьОзнакомьтесь с некоторыми из последних компьютерных технологий, которые призваны преобразить мир электроники и ПК в течение следующих нескольких лет. Прочитайте больше В системе хакера процесс взлома шифрования все равно будет длиться вечно, по существу делая бесполезными атаки методом перебора.

Кроме того, LastPass не просто запускает алгоритм хэширования один раз, он запускает его тысячи раз на вашем компьютере, а затем снова на сервере.

Вот как LastPass объяснил пользователям свой собственный процесс в блоге после этой последней атаки:

«Мы хэшируем как имя пользователя, так и мастер-пароль на компьютере пользователя с помощью 5000 раундов PBKDF2-SHA256, алгоритма усиления пароля. Это создает ключ, по которому мы выполняем еще один раунд хэширования, чтобы сгенерировать хеш аутентификации мастер-пароля »

LastPass Help Desk есть пост, который описывает, как LastPass использует медленное хеширование:

LastPass решил использовать SHA-256, более медленный алгоритм хеширования, который обеспечивает большую защиту от атак методом перебора. LastPass использует функцию PBKDF2, реализованную в SHA-256, чтобы превратить ваш главный пароль в ключ шифрования.

Это означает, что, несмотря на недавнее нарушение безопасности, ваши пароли все еще очень надежны, даже если ваш адрес электронной почты не защищен.

Что делать, если мой пароль слаб?

В блоге LastPass затронут один отличный момент, касающийся слабых паролей. Многие пользователи обеспокоены тем, что они не придумали достаточно уникальный пароль, и что эти хакеры смогут угадать его без особых усилий.

Существует также удаленный риск того, что ваш аккаунт является одним из тех, которые хакеры тратят впустую, пытаясь расшифровать, и всегда есть вероятность, что они могут успешно получить ваш мастер пароль. Что тогда?

Суть в том, что все эти усилия будут потрачены впустую, поскольку вход с другого устройства требует подтверждения по электронной почте - по электронной почте - до предоставления доступа. Из блога LastPass:

«Если злоумышленник попытался получить доступ к вашим данным, используя эти учетные данные для входа в ваш Учетная запись LastPass, они будут остановлены уведомлением с просьбой сначала подтвердить свою электронную почту адрес."

Так что, если они не могут каким-то образом взломать ваш почтовый ящик Кроме того расшифровывая почти непробиваемый алгоритм, вам действительно не о чем беспокоиться.

Должен ли я изменить свой главный пароль?

Хотите ли вы изменить свой мастер-пароль или нет, все сводится к тому, насколько параноидальным или несчастливым вы себя чувствуете. Если вы думаете, что вы, возможно, единственный неудачник, взломавший свой пароль талантливыми хакерами, способными каким-то образом расшифровать рутинную процедуру хеширования LastPass в 100 000 и уникальный код для вас?

Во что бы то ни стало, если вы беспокоитесь о таких вещах, смените свой пароль только для душевного спокойствия. Это будет означать, что по крайней мере ваша соль и хэш в руках хакеров станут бесполезными.

Тем не менее, есть эксперты по безопасности, которые совсем не обеспокоены, такие как эксперт по безопасности Джереми Госни из Structure Group кто сказал журналистам:

«По умолчанию это 5000 итераций, поэтому, как минимум, мы рассматриваем 105 000 итераций. На самом деле мой набор настроен на 65 000 итераций, так что в общей сложности 165 000 итераций защищают мою фразу-пароль Diceware. Так что нет, я определенно не потею это нарушение. Я даже не чувствую себя обязанным сменить мастер-пароль ».

Единственное реальное беспокойство, которое вы должны иметь в связи с этим нарушением данных, заключается в том, что хакеры теперь имеют ваш адрес электронной почты, который они могут использовать для проведения массовых фишинговых экспедиций, чтобы попытаться и обманом заставляют людей отказываться от различных паролей к своим учетным записям - или, может быть, они могут сделать что-то столь же обыденное, как продажа всех этих электронных писем пользователям спамерам на черном фоне. рынок.

Суть в том, что риск от такого вторжения в систему безопасности остается минимальным благодаря подавляющей безопасности системы LastPass. Но здравый смысл говорит, что в любое время хакеры получили данные вашего аккаунта - даже защищены тысячами расширенные криптографические итерации - всегда полезно сменить мастер-пароль, даже если это для душевного спокойствия.

Было ли нарушение безопасности LastPass вас очень беспокоит безопасность LastPass, или вы уверены в безопасности своей учетной записи там? Поделитесь своими мыслями и проблемами в разделе комментариев ниже.

Кредиты изображений: проникает в замок через Shutterstock, Чехак Сабольч через Shutterstock, Бастиан Вельтьен через Shutterstock, McIek через Shutterstock, GlebStock через Shutterstock, Бенуа Дауст через Shutterstock