Reklama

Ak ste jedným z tisícov používateľov LastPass, ktorí sa cítili veľmi bezpečne na internete, vďaka prísľubom takmer nerozbitného bezpečnosti, môžete sa cítiť trochu menej bezpečne, pretože vedeli, že 15. júna spoločnosť oznámila, že zistila narušenie ich bezpečnosti servery.

LastPass spočiatku poslal používateľom e-mail s oznámením, že spoločnosť zistila podozrenie aktivita “na serveroch LastPass a že e-mailové adresy a pripomenutia hesla používateľa boli narušené.

Spoločnosť ubezpečila používateľov, že nedošlo k ohrozeniu šifrovaných údajov trezora, ale od roku 2006 hashed user passwords Čo to všetko vlastne znamená, že látka MD5 značí [vysvetlenie technológie]Tu je úplné zhrnutie MD5, hashovanie a malý prehľad počítačov a kryptografie. Čítaj viac Spoločnosť získala od používateľov odporúčanie, aby si aktualizovali svoje hlavné heslá, len aby boli bezpečné.

LastPass Hack vysvetlil

Toto nie je prvýkrát, čo sa používatelia LastPass zaujímajú o hackerov. Minulý rok sme rozhovor s generálnym riaditeľom LastPass Joe Siegristom

instagram viewer
Joe Siegrist z LastPass: Pravda o zabezpečení vášho hesla Čítaj viac po hrozbe Heartbleed, kde jeho ubezpečenia zmiernili obavy používateľov.

Toto posledné porušenie sa stalo neskoro týždeň pred oznámením. V čase, keď boli útočníci zistení a identifikovaní ako narušenie bezpečnosti, dostali e-mailové adresy používateľov, otázky / odpovede na pripomenutie hesla, heslá používateľov hash a kryptografické soli Staňte sa tajným steganographerom: skryte a zašifrujte svoje súbory Čítaj viac .

LastPass-breach1

Dobrou správou je, že bezpečnosť systému LastPass bola navrhnutá tak, aby odolala takýmto útokom. Jediným spôsobom, ako získať prístup k svojim holým textovým heslám, je hackeri dešifrovať dobre zabezpečené hlavné heslá Na zjednodušenie vášho života použite stratégiu správy hesielMnoho rád o heslách bolo takmer nemožné nasledovať: použite silné heslo obsahujúce čísla, písmená a špeciálne znaky; pravidelne ho meniť; prísť s úplne jedinečným heslom pre každý účet, atď ... Čítaj viac .

Kvôli mechanizmu použitému na šifrovanie hlavného hesla by sa jeho dešifrovanie vyžadovalo obrovské množstvo počítačových zdrojov - prostriedkov, ku ktorým väčšina malých a stredných hackerov nemá prístup.

LastPass-breach2

Dôvod, prečo ste tak chránený, keď používate LastPass, je ten, že tento mechanizmus, ktorý sťažuje získanie hlavného hesla, sa nazýva pomalé hashovanie alebo hashovanie soľou.

Ako funguje Hashing

LastPass používa jednu z najbezpečnejších šifrovacích techník na svete, ktorá sa nazýva hashovanie soľou.

LastPass-breach3

„Soľ“ je kód vygenerovaný pomocou kryptografického nástroja - akýsi pokročilý generátor náhodných čísel 5 najlepších online generátorov hesiel pre silné náhodné hesláHľadáte spôsob, ako rýchlo vytvoriť nerozbitné heslo? Vyskúšajte jeden z týchto generátorov hesiel online. Čítaj viac vytvorené špeciálne pre zabezpečenie, ak chcete. Tieto nástroje vytvárajú úplne nepredvídateľné kódy pri vytváraní hlavného hesla.

Pri vytváraní účtu sa stane heslo „hash“ pomocou jedného z týchto náhodne vygenerovaných (a veľmi dlhých) čísel „solí“. Tieto sa už nikdy viac nepoužívajú - sú jedinečné pre každého používateľa a každé heslo. Nakoniec nájdete v tabuľke používateľských účtov iba soľ a hash.

Skutočná textová verzia hlavného hesla sa na serveroch LastPass nikdy neukladá, takže k nemu hackeri nemajú prístup. Pri tomto vniknutí dokázali získať iba tieto náhodné soli a kódované hashe.

Jediný spôsob, ako LastPass (alebo ktokoľvek) môže overiť vaše heslo, je:

  1. Načítať hash a soľ z tabuľky používateľov.
  2. Použite soľ na heslo, ktoré zadá používateľ, hashujte ho pomocou rovnakej hashovacej funkcie, ktorá sa použila pri vygenerovaní hesla.
  3. Výsledná hodnota hash sa porovná s uloženou hodnotou hash, aby sa zistilo, či ide o zhodu.

V súčasnosti sú hackeri schopní generovať miliardy hashov za sekundu, tak prečo hacker nemôže použiť iba brutálnu silu na bezva tieto heslá Ophcrack - Password Hack Tool prelomiť takmer akékoľvek heslo systému WindowsExistuje veľa rôznych dôvodov, prečo by ste chceli použiť ľubovoľný počet nástrojov na hackovanie hesla na hackovanie hesla systému Windows. Čítaj viac ? Táto zvýšená bezpečnosť je vďaka pomalému hashovaniu.

Prečo vás pomalé hasenie chráni

Pri útoku, ako je tento, vás skutočne chráni časť zabezpečenia LastPass s pomalým hasením.

LastPass-breach4

LastPass robí hash funkciu používanú na overenie hesla (alebo jeho vytvorenie), pracovať veľmi pomaly. To v podstate vedie k prerušeniu akejkoľvek vysokorýchlostnej operácie hrubou silou, ktorá vyžaduje rýchlosť, aby bolo možné prečerpať miliardy možných hashov. Bez ohľadu na to koľko výpočtovej sily Najnovšia počítačová technológia, ktorú musíte vidieť, aby ste uveriliVyskúšajte niektoré z najnovších počítačových technológií, ktoré sú pripravené v nasledujúcich rokoch transformovať svet elektroniky a počítačov. Čítaj viac hackerov systém má, proces prerušenia šifrovania bude trvať večne, čo v podstate robí zbytočné útoky hrubou silou.

Navyše program LastPass nespúšťa algoritmus hash iba raz, spúšťa ho tisíckrát na vašom počítači a potom znova na serveri.

Tu je návod, ako LastPass vysvetlil používateľom svoj vlastný proces v blogovom príspevku po tomto poslednom útoku:

„Používateľské meno a hlavné heslo hashujeme v počítači používateľa pomocou 5 000 kôl PBKDF2-SHA256, algoritmu na posilnenie hesla. To vytvára kľúč, na ktorom vykonávame ďalšie kolo hashovania, na vygenerovanie hash autentifikácie hlavného hesla. “

LastPass Help Desk má príspevok, ktorý popisuje, ako LastPass využíva pomalé hashovanie:

LastPass sa rozhodol používať SHA-256, pomalší algoritmus hashovania, ktorý poskytuje väčšiu ochranu pred útokmi hrubou silou. LastPass využíva funkciu PBKDF2 implementovanú so SHA-256 na premenu hlavného hesla na šifrovací kľúč.

To znamená, že napriek tomuto nedávnemu narušeniu zabezpečenia sú vaše heslá stále veľmi bezpečné, aj keď vaša e-mailová adresa nie je.

Čo keď je moje heslo slabé?

Na blogu LastPass sa objavil jeden vynikajúci bod týkajúci sa slabých hesiel. Mnoho používateľov sa obáva, že nesnívali dostatočne jedinečné heslo a že títo hackeri to dokážu uhádnuť bez veľkého úsilia.

Existuje tiež vzdialené riziko, že váš účet je jedným z tých, ktoré hackeri strácajú čas skúškou dešifrovať a vždy existuje vzdialená možnosť, že by mohli úspešne získať vášho pána heslá. Čo potom?

LastPass-breach5

Pointa je, že všetka táto snaha by bola zbytočná, pretože prihlásenie z iného zariadenia si pred udelením prístupu vyžaduje overenie prostredníctvom e-mailu - vášho e-mailu. Z blogu LastPass:

„Ak sa útočník pokúsil získať prístup k vašim údajom pomocou týchto poverení, prihláste sa do svojho účtu Na účte LastPass sa im zastaví upozornenie, v ktorom sa od nich vyžaduje, aby najprv overili svoj e-mail adresa. "

Takže, pokiaľ sa nejakým spôsobom nemôžu dostať do vášho e-mailového účtu Okrem tohoto dešifrovaním takmer nezrušiteľného algoritmu sa naozaj nemusíte vôbec obávať.

Mám zmeniť svoje hlavné heslo?

To, či chcete zmeniť svoje hlavné heslo, skutočne skľučuje váš paranoidný alebo nešťastný pocit. Ak si myslíte, že môžete byť jedinou nešťastnou osobou, ktorej heslo prelomili talentovaní hackeri, ktorí sú schopní nejakým spôsobom dešifrovať 100 000 hasiacu procedúru LastPass a soľný kód, ktorý je jedinečný len pre vás?

Ak sa obávate takýchto vecí, v každom prípade zmeňte svoje heslo len pre pokoj. Znamená to, že vaša soľ a hash sa v rukách hackerov stáva zbytočnými.

Existujú však odborníci na bezpečnosť, ktorí sa vôbec nezaujímajú, ako napríklad odborník na bezpečnosť Jeremi Gosney v spoločnosti Structure Group. ktorý povedal novinárom:

„Predvolená hodnota je 5 000 iterácií. Minimálne teda sledujeme 105 000 iterácií. Vlastne som si nastavil 65 000 iterácií, takže moje prístupové frázy Diceware chráni celkom 165 000 iterácií. Takže nie, určite sa toto potenie nepotím. Ani sa necítim nútený zmeniť svoje hlavné heslo. “

Jediným skutočným problémom, ktorý by ste mali mať v súvislosti s týmto porušením údajov, je to, že hackeri majú teraz vašu e-mailovú adresu, ktorú by mohli použiť na vykonávanie hromadných phishingových expedícií, aby vyskúšali a podnietiť ľudí, aby sa vzdali rôznych hesiel pre svoje účty - alebo možno môžu urobiť niečo také všedné, ako keď predávajú všetky tieto e-maily používateľov spammerom na čiernom pozadí trhom.

Pointa je, že riziko z tohto narušenia bezpečnosti zostáva minimálne, vďaka drvivej bezpečnosti systému LastPass. Zdravý rozum však hovorí, že kedykoľvek hackeri získajú podrobnosti o vašom účte - chránené dokonca tisíckami pokročilé kryptografické iterácie - vždy je dobré zmeniť svoje hlavné heslo, aj keď ide o pokoj.

Dostali ste sa veľmi vážne do bezpečia LastPassu, alebo ste si istí bezpečnosťou svojho účtu? Podeľte sa o svoje myšlienky a obavy v sekcii komentárov nižšie.

Obrázkové kredity: prenikol bezpečnostným zámkom cez Shutterstock, Csehak Szabolcs cez Shutterstock, Bastian Weltjen cez Shutterstock, McIek cez Shutterstock, GlebStock cez Shutterstock, Benoit Daoust cez Shutterstock

Ryan má titul bakalára v odbore elektrotechnika. Pracoval 13 rokov v automatizačnom inžinierstve, 5 rokov v IT a teraz je aplikačným inžinierom. Bývalý šéfredaktor MakeUseOf, vystúpil na národných konferenciách o vizualizácii údajov a vystupoval v celoštátnych televíziách a rozhlase.