reklama

Pokud jste jedním z tisíců uživatelů LastPass, kteří se cítili velmi bezpečně pomocí internetu díky příslibům téměř nerozbitného bezpečí, můžete se cítit trochu méně bezpečně s vědomím, že 15. června společnost oznámila, že zjistili vniknutí do jejich servery.

LastPass zpočátku zaslal uživatelům e-mailem upozornění, že společnost zjistila podezření aktivita “na serverech LastPass a že e-mailové adresy uživatelů a připomenutí hesla byly ohroženy.

Společnost ujistila uživatele, že žádná šifrovaná data úschovny nebyla ohrožena, ale od roku 2006 hashed user hesla Co to všechno vlastně znamená, že látka MD5 hasí [vysvětlení technologie]Zde je kompletní přehled MD5, hashování a malý přehled počítačů a kryptografie. Přečtěte si více byla získána, společnost doporučila uživatelům aktualizovat jejich hlavní hesla, jen aby byla bezpečná.

LastPass Hack vysvětlil

Toto není poprvé, co se uživatelé LastPass obávali hackerů. Minulý rok jsme rozhovor s generálním ředitelem LastPass Joe Siegrist Joe Siegrist z LastPass: Pravda o zabezpečení vašeho hesla Přečtěte si více

po hrozbě Heartbleed, kde jeho ujištění uklidnila obavy uživatelů.

K tomuto poslednímu porušení došlo koncem týdne před oznámením. Než byl útočník detekován a identifikován jako narušení bezpečnosti, dostal e-mailové adresy uživatelů, dotazy / odpovědi na připomenutí hesla, hashovaná hesla uživatelů a kryptografické soli Staňte se tajným steganographerem: Skrýt a šifrovat soubory Přečtěte si více .

lastpass-porušení1

Dobrou zprávou je, že zabezpečení systému LastPass bylo navrženo tak, aby odolávalo těmto útokům. Jediným způsobem, jak získat přístup k heslům prostého textu, by bylo, kdyby hackeři dešifrovali dobře zabezpečená hlavní hesla Pro zjednodušení vašeho života použijte strategii správy heselMnoho rad ohledně hesel bylo téměř nemožné dodržovat: použijte silné heslo obsahující čísla, písmena a speciální znaky; pravidelně měňte; přijít s úplně jedinečným heslem pro každý účet atd ... Přečtěte si více .

Kvůli mechanismu použitému k šifrování hlavního hesla by bylo nutné jej dešifrovat pomocí obrovského množství počítačových zdrojů - prostředků, ke kterým většina malých a středních hackerů nemá přístup.

lastpass-porušení2

Důvod, proč jste tak chráněni, když používáte LastPass, je ten, že mechanismus, díky kterému je hlavní heslo tak obtížné získat, se nazývá „pomalé hašování“ nebo „hašování solí“.

Jak Hashing funguje

LastPass používá jednu z nejbezpečnějších šifrovacích technik na světě, tzv. Hashing with salt.

lastpass-porušení3

„Sůl“ je kód, který je generován pomocí kryptografického nástroje - jakési pokročilé generátor náhodných čísel 5 nejlepších online generátorů hesel pro silná náhodná heslaHledáte způsob, jak rychle vytvořit nerozbitné heslo? Vyzkoušejte jeden z těchto generátorů hesel online. Přečtěte si více vytvořeno speciálně pro zabezpečení, pokud chcete. Tyto nástroje vytvářejí při vytváření hlavního hesla zcela nepředvídatelné kódy.

Při vytváření účtu se stane heslo „hash“ pomocí jednoho z těchto náhodně vygenerovaných (a velmi dlouhých) čísel „solí“. Nikdy se znovu nepoužívají - jsou jedinečné pro každého uživatele a každé heslo. Nakonec v tabulce uživatelských účtů najdete pouze sůl a hash.

Skutečná textová verze vašeho hlavního hesla není nikdy uložena na serverech LastPass, takže k němu hackeři nemají přístup. Jediné, co dokázali v tomto průniku získat, jsou tyto náhodné soli a kódované hashe.

Jediným způsobem, jak LastPass (nebo kdokoli) může ověřit vaše heslo, je:

  1. Načtěte hash a sůl z tabulky uživatelů.
  2. Použijte sůl na heslo, které uživatel zadává, hashujte pomocí stejné hashovací funkce, která byla použita při vygenerování hesla.
  3. Výsledný hash se porovná s uloženým hashem, aby se zjistilo, zda se jedná o shodu.

V dnešní době jsou hackeři schopni generovat miliardy hashů za sekundu, tak proč hacker nemůže použít brutální sílu k praskněte tato hesla Ophcrack - nástroj pro hackování hesel, pomocí kterého lze rozbít téměř jakékoli heslo systému WindowsExistuje mnoho různých důvodů, proč by někdo chtěl použít libovolný počet nástrojů pro hackování hesel k prolomení hesla systému Windows. Přečtěte si více ? Toto zvláštní zabezpečení je díky pomalému hašování.

Proč vás pomalé hašení chrání

Při útoku, jako je tento, vás skutečně chrání část zabezpečení LastPass s pomalým hašováním.

lastpass-porušení4

LastPass způsobuje, že hašovací funkce používaná k ověření hesla (nebo k jeho vytvoření) funguje velmi pomalu. To v podstatě staví přestávky na jakoukoli operaci vysokorychlostní, hrubou silou, která vyžaduje rychlost, aby mohla čerpat miliardy možných hashů. Nezáleží kolik výpočetní síly Nejnovější počítačové technologie, které musíte vidět, abyste uvěřiliPodívejte se na některé z nejnovějších počítačových technologií, které jsou připraveny transformovat svět elektroniky a počítačů v příštích několika letech. Přečtěte si více hackerův systém má, proces přerušení šifrování bude trvat věčně, což v podstatě činí útoky hrubou silou zbytečné.

Navíc program LastPass nespouští hashovací algoritmus jednou, spouští jej tisícekrát v počítači a poté znovu na serveru.

Takto vysvětlil LastPass uživatelům svůj vlastní proces v blogu po tomto posledním útoku:

„Máme uživatelské jméno i hlavní heslo v počítači uživatele pomocí 5 000 kol PBKDF2-SHA256, algoritmu pro posílení hesla. To vytváří klíč, na kterém provádíme další kolo hashování, pro vygenerování hash autentizace pomocí hlavního hesla. “

LastPass Help Desk má příspěvek, který popisuje, jak LastPass využívá pomalé hašování:

LastPass se rozhodl používat SHA-256, pomalejší hashovací algoritmus, který poskytuje větší ochranu před útoky hrubou silou. LastPass využívá funkci PBKDF2 implementovanou s SHA-256 k přeměně hlavního hesla na šifrovací klíč.

To znamená, že i přes toto nedávné porušení zabezpečení jsou vaše hesla do značné míry stále velmi bezpečná, i když vaše e-mailová adresa není.

Co když je moje heslo slabé?

Na blogu LastPass se objevil jeden vynikající bod týkající se slabých hesel. Mnoho uživatelů se obává, že nesnívali dostatečně jedinečné heslo a že tito hackeři budou schopni to uhodnout bez velkého úsilí.

Existuje také vzdálené riziko, že váš účet je jedním z těch, které hackeři ztrácí čas zkoušením dešifrovat a vždy existuje vzdálená možnost, že by mohli úspěšně získat vašeho pána Heslo. Co pak?

lastpass-porušení5

Sečteno a podtrženo, veškeré úsilí by bylo zbytečné, protože přihlášení z jiného zařízení vyžaduje ověření před odesláním e-mailem - e-mailem. Z blogu LastPass:

"Pokud se útočník pokusil získat přístup k vašim datům pomocí těchto přihlašovacích údajů k přihlášení k vašemu." Účet LastPass bude zastaven oznámením s výzvou k prvnímu ověření e-mailu adresa."

Pokud tedy nemohou nějak zasáhnout do vašeho e-mailového účtu navíc dešifrování téměř neodstranitelného algoritmu, opravdu nemáte vůbec starosti.

Měl bych změnit své hlavní heslo?

Ať už si přejete změnit své hlavní heslo, opravdu se vám sníží, jak se cítíte paranoidní nebo nešťastní. Pokud si myslíte, že byste mohli být jedinou nešťastnou osobou, která má rozbité heslo talentovanými hackery, kteří jsou schopni nějakým způsobem dešifrovat rutinní hashovací proceduru LastPass a solný kód, který je jedinečný právě pro vás?

V každém případě, pokud se o takové věci bojíte, změňte heslo pouze pro klid. Znamená to, že alespoň vaše sůl a hash se v rukou hackerů stane zbytečnými.

Existují však odborníci na bezpečnost, kteří se jich vůbec nezajímají, například odborník na bezpečnost Jeremi Gosney ve společnosti Structure Group který řekl reportérům:

„Výchozí hodnota je 5 000 iterací, takže se minimálně díváme na 105 000 iterací. Vlastně mám svůj nastaven na 65 000 iterací, takže moje přístupová fráze Diceware chrání celkem 165 000 iterací. Takže ne, rozhodně se tohle porušení nepotímu. Ani se necítím nucen změnit své hlavní heslo. “

Jediným skutečným problémem, který byste měli mít v souvislosti s tímto porušením dat, je to, že hackeři nyní mají vaši e-mailovou adresu, kterou by mohli použít k provádění hromadných phishingových expedic a vyzkoušet a přimět lidi, aby se vzdali svých různých hesel účtu - nebo možná mohou udělat něco tak obyčejného, ​​jako když prodávají všechny tyto e-maily uživatelů spammerům na černém trh.

Pointa je, že riziko z tohoto narušení bezpečnosti zůstává minimální, a to díky ohromující bezpečnosti systému LastPass. Zdravý rozum ale říká, že kdykoli hackeři získali podrobnosti o vašem účtu - dokonce chráněni tisíci pokročilé kryptografické iterace - vždy je dobré změnit své hlavní heslo, i když jde o klid.

Dostali jste se do narušení bezpečnosti LastPassu velmi starostí o bezpečnost LastPassu, nebo jste si jisti bezpečností vašeho účtu? Podělte se o své myšlenky a obavy v sekci níže.

Obrazové kredity: pronikl bezpečnostním zámkem přes Shutterstock, Csehak Szabolcs přes Shutterstock, Bastian Weltjen přes Shutterstock, Mcek přes Shutterstock, GlebStock přes Shutterstock, Benoit Daoust přes Shutterstock

Ryan má bakalářský titul z elektrotechniky. Pracoval 13 let v automatizační technice, 5 let v IT a nyní je Apps Engineer. Bývalý šéfredaktor MakeUseOf, vystoupil na národních konferencích o vizualizaci dat a vystupoval v národních televizích a rádiích.