Безопасность

LastPass взломан: вам нужно сменить мастер-пароль?

LastPass взломан: вам нужно сменить мастер-пароль?

Если вы один из тысяч пользователей LastPass, которые чувствовали себя очень защищенными при использовании Интернета благодаря обещаниям о практически неразрушимой безопасности, вы можете чувствовать себя немного менее уверенно, зная, что 15 июня компания объявила, что обнаружила вторжение в систему. их серверы.

LastPass первоначально отправил пользователям уведомление по электронной почте, сообщив им, что компания обнаружила «подозрительную активность» на серверах LastPass, и что адреса электронной почты пользователей и напоминания пароля были скомпрометированы.

Компания заверила пользователей, что зашифрованные данные хранилища не были скомпрометированы, но поскольку хешированные пароли пользователей было получено, компания посоветовала пользователям обновить свои мастер-пароли, просто чтобы быть в безопасности.

The LastPass Hack объяснил

Это не первый случай, когда пользователи LastPass беспокоятся о хакерах. В прошлом году мы взяли интервью у генерального директора LastPass Джо Сигриста после угрозы Heartbleed, где его заверения успокаивают страхи пользователей.

Это последнее нарушение имело место в конце недели до объявления. К тому времени, когда это было обнаружено и идентифицировано как вторжение в систему безопасности, злоумышленники уже получили адреса электронной почты пользователей, вопросы / ответы по напоминаниям о паролях, хэшированные пароли пользователей и криптографические соли.

LastPass-breach1

Хорошей новостью является то, что система безопасности LastPass была разработана для противостояния таким атакам. Единственный способ получить доступ к вашим текстовым паролям состоит в том, чтобы хакеры расшифровали надежно защищенные мастер-пароли. .

Из-за механизма, используемого для шифрования вашего мастер-пароля, для его расшифровки потребовалось бы огромное количество ресурсов компьютера — ресурсов, к которым у большинства хакеров среднего или среднего уровня нет доступа.

LastPass-breach2

Причина, по которой вы так защищены, когда используете LastPass, заключается в том, что механизм, который затрудняет получение мастер-пароля, называется «медленное хеширование» или «хеширование с солью».

Как работает хеширование

LastPass использует один из самых безопасных методов шифрования в мире, называемый хешированием с солью.

LastPass-breach3

«Соль» — это код, сгенерированный с использованием инструмента криптографии — своего рода продвинутый генератор случайных чисел созданный специально для безопасности, если хотите. Эти инструменты создают совершенно непредсказуемые коды при создании мастер-пароля.

Когда вы создаете свою учетную запись, пароль «хэшируется» с использованием одного из этих случайно сгенерированных (и очень длинных) «солт» чисел. Они никогда не используются повторно — они уникальны для каждого пользователя и каждого пароля. Наконец, в таблице учетных записей вы найдете только соль и хэш.

Фактическая текстовая версия вашего мастер-пароля никогда не сохраняется на серверах LastPass, поэтому хакеры не имеют к ней доступа. Все, что они смогли получить в этом вторжении, — это эти случайные соли и закодированные хеши.

Таким образом, LastPass (или кто-либо другой) может проверить ваш пароль только так:

  1. Получить хэш и соль из таблицы пользователя.
  2. Используйте соль для пароля, который вводит пользователь, хэшируя его с помощью той же хеш-функции, которая использовалась при создании пароля.
  3. Полученный хеш сравнивается с сохраненным хешем, чтобы увидеть, совпадает ли он.

В наши дни хакеры могут генерировать миллиарды хэшей в секунду, так почему же хакер не может просто использовать грубую силу для взлома этих паролей взлома паролей ? Эта дополнительная безопасность благодаря медленному хешированию.

Почему медленный хэш защищает вас

В такой атаке действительно медленная часть безопасности LastPass защищает вас.

LastPass-breach4

LastPass заставляет хеш-функцию, используемую для проверки пароля (или его создания), работать очень медленно. Это, по сути, создает препятствия для любой высокоскоростной операции грубой силы, которая требует скорости для прокачки миллиардов возможных хэшей. Неважно, сколько вычислительной мощности Система хакера имеет, процесс взлома шифрования все еще будет длиться вечно, по существу делая бесполезными атаки.

Кроме того, LastPass не просто запускает алгоритм хэширования один раз, он запускает его тысячи раз на вашем компьютере, а затем снова на сервере.

Вот как LastPass объяснил пользователям свой собственный процесс в сообщении в блоге после этой последней атаки:

«Мы хэшируем как имя пользователя, так и мастер-пароль на компьютере пользователя с помощью 5000 раундов PBKDF2-SHA256, алгоритма усиления пароля. Это создает ключ, на котором мы выполняем еще один раунд хэширования, чтобы сгенерировать хеш аутентификации мастер-пароля ».

В справочной службе LastPass есть пост, в котором описано, как LastPass использует медленное хеширование:

LastPass решил использовать SHA-256, более медленный алгоритм хеширования, который обеспечивает большую защиту от атак методом перебора. LastPass использует функцию PBKDF2, реализованную в SHA-256, чтобы превратить ваш главный пароль в ключ шифрования.

Это означает, что, несмотря на недавнее нарушение безопасности, ваши пароли все еще очень надежны, даже если ваш адрес электронной почты не защищен.

Что делать, если мой пароль слаб?

В блоге LastPass упоминается один отличный момент, касающийся слабых паролей. Многие пользователи обеспокоены тем, что они не придумали достаточно уникальный пароль, и что эти хакеры смогут угадать его без особых усилий.

Существует также удаленный риск того, что ваша учетная запись является одной из тех, которые хакеры тратят впустую свое время, пытаясь расшифровать, и всегда есть удаленная возможность, что они могут успешно получить ваш мастер-пароль. Что тогда?

LastPass-breach5

Суть в том, что все эти усилия будут потрачены впустую, поскольку вход в систему с другого устройства требует подтверждения по электронной почте — по электронной почте — до предоставления доступа. Из блога LastPass:

«Если злоумышленник попытается получить доступ к вашим данным, используя эти учетные данные для входа в вашу учетную запись LastPass, он будет остановлен уведомлением с просьбой сначала подтвердить свой адрес электронной почты».

Таким образом, если они не могут каким-то образом взломать вашу учетную запись электронной почты, в дополнение к расшифровке почти безотказного алгоритма, вам действительно не о чем беспокоиться.

Должен ли я изменить свой главный пароль?

Хотите ли вы изменить свой мастер-пароль или нет, все сводится к тому, насколько параноидальным или несчастливым вы себя чувствуете. Если вы думаете, что вы, возможно, единственный неудачник, взломавший свой пароль талантливыми хакерами, которые могут каким-то образом расшифровать рутинную процедуру хеширования LastPass 100000 и солт-код, который уникален только для вас?

Во что бы то ни стало, если вы беспокоитесь о таких вещах, смените свой пароль просто для душевного спокойствия. Это будет означать, что по крайней мере ваша соль и хэш в руках хакеров станут бесполезными.

Тем не менее, есть эксперты по безопасности, которые совсем не обеспокоены, такие как эксперт по безопасности Джереми Госни из Structure Group, который сказал журналистам :

«По умолчанию это 5000 итераций, поэтому мы рассматриваем как минимум 105 000 итераций. На самом деле у меня установлено 65 000 итераций, так что в общей сложности 165 000 итераций защищают мою фразу-пароль Diceware. Так что нет, я определенно не потею это нарушение. Я даже не чувствую себя обязанным сменить мастер-пароль ».

Единственное реальное беспокойство, которое вы должны иметь в связи с этим взломом данных, заключается в том, что у хакеров теперь есть ваш адрес электронной почты, который они могут использовать для проведения массовых фишинговых экспедиций, чтобы попытаться заставить людей отказаться от своих различных паролей учетных записей — или, возможно, они могут сделать что-то обычное продажи всех этих электронных писем спамерам на черном рынке.

Суть в том, что риск от этого вторжения в систему безопасности остается минимальным благодаря подавляющей безопасности системы LastPass. Но здравый смысл говорит, что каждый раз, когда хакеры получают данные вашей учетной записи — даже защищены тысячами сложных криптографических итераций — всегда полезно сменить мастер-пароль, даже если это для душевного спокойствия.

Было ли нарушение безопасности LastPass вас очень беспокоит безопасность LastPass, или вы уверены в безопасности своей учетной записи там? Поделитесь своими мыслями и проблемами в разделе комментариев ниже.

Изображение предоставлено: проникший в замок замок через Shutterstock , Csehak Szabolcs через Shutterstock, Bastian Weltjen через Shutterstock, McIek через Shutterstock, GlebStock через Shutterstock, Бенуа Дауст через Shutterstock

Похожие посты
Безопасность

Лучшие 36 сочетаний клавиш для Microsoft Edge и IE 11

Безопасность

Управляйте браузером Firefox с помощью команд «О программе»

Безопасность

Microsoft Security Essentials Бесплатное антивирусное программное обеспечение

Безопасность

Avira Rescue System v16