LastPass взломан: нужно ли менять мастер-пароль?

Если вы один из тысяч пользователей LastPass, которые чувствовали себя очень защищенными при использовании Интернета благодаря обещаниям о практически неразрушимой безопасности, вы можете чувствовать себя немного менее уверенно, зная, что 15 июня компания объявила, что обнаружила вторжение в систему. их серверы.

LastPass первоначально отправил пользователям уведомление по электронной почте, сообщив им, что компания обнаружила «подозрительную активность» на серверах LastPass, и что адреса электронной почты пользователей и напоминания пароля были скомпрометированы.

Компания заверила пользователей, что зашифрованные данные хранилища не были скомпрометированы, но поскольку хешированные пароли пользователей

Получив информацию, компания посоветовала пользователям обновить свои мастер-пароли, чтобы быть в безопасности.

The LastPass Hack объяснил

Это не первый случай, когда пользователи LastPass беспокоятся о хакерах. В прошлом году мы взяли интервью у генерального директора LastPass Джо Сигриста

после угрозы Heartbleed, где его заверения успокоили страхи пользователей.

Это последнее нарушение имело место в конце недели до объявления. К тому времени, когда он был обнаружен и идентифицирован как вторжение в систему безопасности, злоумышленники уже получили адреса электронной почты пользователей, вопросы / ответы с напоминаниями о паролях, хэшированные пароли пользователей и криптографические соли.

,

LastPass-breach1

Хорошей новостью является то, что система безопасности LastPass была разработана для противостояния таким атакам. Единственный способ получить доступ к вашим открытым текстовым паролям состоит в том, чтобы хакеры могли расшифровать надежно защищенные мастер-пароли.

,

Из-за механизма, используемого для шифрования вашего мастер-пароля, для его расшифровки потребуются огромные объемы ресурсов компьютера — ресурсов, к которым большинство хакеров малого или среднего уровня не имеют доступа.

LastPass-breach2

Причина, по которой вы так защищены при использовании LastPass, заключается в том, что этот механизм, который делает получение мастер-пароля таким сложным, называется «медленное хеширование» или «хеширование с солью».

Как работает хеширование

LastPass использует один из самых безопасных методов шифрования в мире, называемый хешированием с солью.

LastPass-breach3

«Соль» — это код, который генерируется с использованием инструмента криптографии — своего рода расширенный генератор случайных чисел

создан специально для безопасности, если хотите. Эти инструменты создают совершенно непредсказуемые коды при создании мастер-пароля.

Когда вы создаете свою учетную запись, пароль «хэшируется» с использованием одного из этих случайно сгенерированных (и очень длинных) «солт» чисел. Они никогда не используются повторно — они уникальны для каждого пользователя и каждого пароля. Наконец, в таблице учетных записей вы найдете только соль и хэш.

Фактическая текстовая версия вашего мастер-пароля никогда не сохраняется на серверах LastPass, поэтому хакеры не имеют к ней доступа. Все, что они смогли получить в этом вторжении, — это случайные соли и закодированные хеши.

Таким образом, LastPass (или кто-либо другой) может проверить ваш пароль только так:

  1. Получить хеш и соль из таблицы пользователя.
  2. Используйте соль для пароля, который вводит пользователь, хэшируя его, используя ту же хеш-функцию, которая использовалась при создании пароля.
  3. Полученный хеш сравнивается с сохраненным хешем, чтобы увидеть, совпадает ли он.

В наши дни хакеры могут генерировать миллиарды хэшей в секунду, так почему же хакер не может просто использовать грубую силу для взлома этих паролей

? Эта дополнительная безопасность благодаря медленному хешированию.

Почему медленный хэш защищает вас

В такой атаке действительно медленная часть безопасности LastPass защищает вас.

LastPass-breach4

LastPass заставляет хеш-функцию, используемую для проверки пароля (или его создания), работать очень медленно. Это, по сути, создает препятствия для любой высокоскоростной операции с использованием грубой силы, которая требует скорости для прокачки миллиардов возможных хэшей. Независимо от того, сколько вычислительной мощности

В хакерской системе процесс взлома шифрования все равно будет длиться вечно, по сути, делая бесполезными атаки.

Кроме того, LastPass не просто запускает алгоритм хэширования один раз, он запускает его тысячи раз на вашем компьютере, а затем снова на сервере.

Вот как LastPass объяснил пользователям свой собственный процесс в блоге после этой последней атаки:

«Мы хэшируем как имя пользователя, так и мастер-пароль на компьютере пользователя с помощью 5000 раундов PBKDF2-SHA256, алгоритма усиления пароля. Это создает ключ, по которому мы выполняем еще один раунд хэширования, чтобы сгенерировать хеш аутентификации с помощью мастер-пароля ».

В справочной службе LastPass есть пост, в котором описано, как LastPass использует медленное хеширование:

LastPass решил использовать SHA-256, более медленный алгоритм хеширования, который обеспечивает большую защиту от атак методом перебора. LastPass использует функцию PBKDF2, реализованную в SHA-256, чтобы превратить ваш главный пароль в ключ шифрования.

Это означает, что, несмотря на недавнее нарушение безопасности, ваши пароли все еще очень надежны, даже если ваш адрес электронной почты не защищен.

Что делать, если мой пароль слаб?

В блоге LastPass затронут один отличный момент, касающийся слабых паролей. Многие пользователи обеспокоены тем, что они не придумали достаточно уникальный пароль, и что эти хакеры смогут угадать его без особых усилий.

Существует также удаленный риск того, что ваша учетная запись является одной из тех, на которые хакеры тратят свое время, пытаясь расшифровать данные, и всегда существует удаленная вероятность того, что они смогут успешно получить ваш главный пароль. Что тогда?

LastPass-breach5

Суть в том, что все эти усилия будут потрачены впустую, поскольку вход в систему с другого устройства требует проверки по электронной почте — по электронной почте — до предоставления доступа. Из блога LastPass:

«Если злоумышленник попытается получить доступ к вашим данным, используя эти учетные данные для входа в вашу учетную запись LastPass, они будут остановлены уведомлением с просьбой сначала подтвердить свой адрес электронной почты».

Так что, если они не могут каким-то образом взломать ваш почтовый ящик в дополнение к расшифровывая почти непробиваемый алгоритм, вам действительно не о чем беспокоиться.

Должен ли я изменить свой мастер-пароль?

Хотите ли вы изменить свой мастер-пароль, на самом деле все сводится к тому, насколько параноидальным или несчастливым вы себя чувствуете. Если вы думаете, что вы, возможно, единственный неудачник, взломавший свой пароль талантливыми хакерами, которые могут каким-то образом расшифровать рутинную процедуру хеширования LastPass в 100 000 и уникальный код, который уникален только для вас?

Во что бы то ни стало, если вы беспокоитесь о таких вещах, смените свой пароль просто для спокойствия. Это будет означать, что по крайней мере ваша соль и хэш в руках хакеров станут бесполезными.

Тем не менее, есть эксперты по безопасности, которые совсем не обеспокоены, такие как эксперт по безопасности Джереми Госни из Structure Group, который сказал журналистам:

«По умолчанию используется 5000 итераций, поэтому, как минимум, мы рассматриваем 105 000 итераций. На самом деле у меня установлено 65 000 итераций, так что в общей сложности 165 000 итераций защищают мою фразу-пароль Diceware. Так что нет, я определенно не потею это нарушение. Я даже не чувствую себя обязанным сменить мастер-пароль ».

Единственное реальное беспокойство, которое вы должны иметь в связи с этим нарушением данных, заключается в том, что у хакеров теперь есть ваш адрес электронной почты, который они могут использовать для проведения массовых фишинговых экспедиций, чтобы попытаться заставить людей отказаться от различных паролей своих учетных записей — или, возможно, они могут сделать что-то обычное. продажи всех этих электронных писем спамерам на черном рынке.

Суть в том, что риск от такого вторжения в систему безопасности остается минимальным благодаря подавляющей безопасности системы LastPass. Но здравый смысл говорит, что всякий раз, когда хакеры получают данные вашей учетной записи — даже защищены тысячами сложных криптографических итераций — всегда полезно изменить ваш главный пароль, даже если это для душевного спокойствия.

Было ли нарушение безопасности LastPass вас очень беспокоит безопасность LastPass, или вы уверены в безопасности своей учетной записи там? Поделитесь своими мыслями и проблемами в разделе комментариев ниже.

Кредиты изображений: проникший в замок замок через Shutterstock, Csehak Szabolcs через Shutterstock, Bastian Weltjen через Shutterstock, McIek через Shutterstock, GlebStock через Shutterstock, Бенуа Дауст через Shutterstock

Ссылка на основную публикацию