реклама

Ако сте един от хилядите потребители на LastPass, които са се почувствали много сигурни при използване на Интернет благодарение на обещания за почти нечупливи сигурност, може да се почувствате малко по-малко сигурни, като знаете, че на 15 юни компанията обяви, че е открила проникване в тяхната сървъри.

LastPass първоначално изпраща известие по имейл до потребителите, които ги съветват, че компанията е открила „подозрителни активност “на LastPass сървърите и че имейл адресите на потребителите и напомнянията за пароли са били компрометирани.

Компанията увери потребителите, че не са били компрометирани криптирани данни за трезорите, но след това хеширани потребителски пароли Какво всъщност означава всичко това MD5 хеш неща [обяснена технология]Ето пълен срив на MD5, хеширане и малък преглед на компютрите и криптографията. Прочетете още бяха получени, компанията съветва потребителите да актуализират своите основни пароли, само за да бъдат безопасни.

Обяснено е Hack LastPass

Това не е първият път, когато потребителите на LastPass се притесняват от хакери. Миналата година ние

instagram viewer
интервюира изпълнителния директор на LastPass Джо Сиегрист Джо Сиегрист от LastPass: Истината за сигурността на вашата парола Прочетете още след заплахата от Heartbleed, където неговите уверения успокояват страха на потребителите.

Това последно нарушение се случи в края на седмицата преди обявяването. По времето, когато е било открито и идентифицирано като проникване в сигурността, нападателите са се разминали с имейл адреси на потребители, въпроси / отговори за напомняне на парола, разбъркани потребителски пароли и криптографски соли Станете таен стенограф: Скриване и криптиране на вашите файлове Прочетете още .

LastPass-breach1

Добрата новина е, че сигурността на системата LastPass е проектирана да издържа на подобни атаки. Единственият начин за достъп до вашите обикновени пароли би бил хакерите да дешифрират добре защитени главни пароли Използвайте стратегия за управление на парола, за да опростите живота сиГоляма част от съветите около паролите са почти невъзможни за следване: използвайте силна парола, съдържаща цифри, букви и специални знаци; редовно го сменяйте; измислете напълно уникална парола за всеки акаунт и т.н. ... Прочетете още .

Поради механизма, използван за криптиране на основната ви парола, за декриптирането й са необходими огромни количества компютърни ресурси - ресурси, до които повечето малки или средни хакери нямат достъп.

LastPass-breach2

Причината да сте толкова защитени, когато използвате LastPass, е, че механизмът, който прави главната парола толкова трудна за получаване, се нарича „бавно хеширане“ или „хеширане със сол“.

Как работи хеширането

LastPass използва една от най-сигурните техники за криптиране в света, наречена хеширане със сол.

LastPass-breach3

„Солта“ е код, генериран с помощта на криптографски инструмент - нещо като напреднал генератор на произволни числа 5-те най-добри онлайн генератора на пароли за силни случайни паролиТърсите начин за бързо създаване на нечуплива парола? Опитайте един от тези онлайн генератори на пароли. Прочетете още създаден специално за сигурност, ако желаете. Тези инструменти създават напълно непредсказуеми кодове, когато създавате главната си парола.

Това, което се случва, когато създадете своя акаунт е, че паролата се „хешира“, използвайки един от тези генерирани на случаен принцип (и много дълги) „солни“ номера. Те никога не се използват повторно - те са уникални за всеки потребител и всяка парола. И накрая, в таблицата с потребителските акаунти ще намерите само солта и хеша.

Действителната текстова версия на основната ви парола никога не се съхранява на сървърите на LastPass, така че хакерите нямат достъп до нея. Всичко, което успяха да получат при това нахлуване, са тези случайни соли и кодираните хеши.

Така че единственият начин LastPass (или някой) да може да валидира вашата парола е:

  1. Изтеглете хеша и солта от потребителската таблица.
  2. Използвайте солта на паролата, която потребителят въвежда, като я хеширате, използвайки същата хеш функция, която се използва при генерирането на паролата.
  3. Полученият хеш се сравнява със съхранения хеш, за да се види дали е съвпадение.

В наши дни хакерите са в състояние да генерират милиарди хешове в секунда, така че защо не може хакер просто да използва груба сила, за да разбийте тези пароли Ophcrack - Инструмент за хакване на парола за разбиване на почти всяка парола за WindowsИма много различни причини, поради които човек би искал да използва произволен брой инструменти за хакване на парола, за да хакне парола за Windows. Прочетете още ? Тази допълнителна сигурност е благодарение на бавното хеширане.

Защо забавянето ви предпазва

В атака като тази, наистина бавно забързващата част от сигурността на LastPass наистина ви защитава.

LastPass-breach4

LastPass кара хеш функцията, използвана за проверка на паролата (или да я създадете), да работи много бавно. Това по същество поставя почивките на всяка високоскоростна, груба сила, която изисква скорост, за да се изпомпва милиарди възможни хешове. Без значение колко изчислителна мощност Най-новите компютърни технологии, които трябва да видите, за да повярватеВижте някои от най-новите компютърни технологии, които са зададени да трансформират света на електрониката и персонални компютри през следващите няколко години. Прочетете още системата на хакера има, процесът за прекъсване на криптирането все още ще отнеме завинаги, като по същество ще направи безполезни атаки.

На всичкото отгоре LastPass не стартира хеш-алгоритъма веднъж, те го изпълняват хиляди пъти на вашия компютър и след това отново на сървъра.

Ето как LastPass обясни своя собствен процес на потребителите в публикация в блога след тази последна атака:

„Имаме както потребителско име, така и главна парола на компютъра на потребителя с 5000 кръга PBKDF2-SHA256, алгоритъм за засилване на паролата. Това създава ключ, върху който извършваме още един кръг от хеширане, за да генерираме хеш за автентификация на главната парола. "

Най- LastPass Help Desk има публикация, която описва как LastPass използва бавно хеширане:

LastPass е избрал да използва SHA-256, по-бавен алгоритъм за хеширане, който осигурява повече защита срещу атаки с груба сила. LastPass използва функцията PBKDF2, реализирана с SHA-256, за да превърне основната си парола във вашия ключ за криптиране.

Това означава, че въпреки последното нарушение на сигурността, паролите ви са все още много сигурни, въпреки че имейл адресът ви не е такъв.

Какво става, ако паролата ми е слаба?

В блога на LastPass има една отлична точка относно слабите пароли. Много потребители се притесняват, че не са сънували достатъчно уникална парола и че тези хакери ще могат да я познаят без много усилия.

Съществува и отдалеченият риск акаунтът ви да е от онези, за които хакерите губят времето си в опит да дешифрирате и винаги има отдалечената възможност те да успеят да получат вашия господар парола. Какво тогава?

LastPass-breach5

Долната линия е, че всички тези усилия ще бъдат пропилени, тъй като влизането от друго устройство изисква проверка чрез имейл - имейла ви - преди да бъде предоставен достъп. От блога на LastPass:

„Ако нападателят се опита да получи достъп до вашите данни, използвайки тези идентификационни данни, за да влезете във вашия LastPass акаунта, те ще бъдат спрени от известие с молба първо да потвърдят имейла си адрес ".

Така че, освен ако не могат по някакъв начин да проникнат в имейл акаунта ви в допълнение към дешифрирайки почти неразбираем алгоритъм, наистина няма от какво да се притеснявате.

Трябва ли да променя главната си парола?

Независимо дали искате да промените основната си парола, наистина се свежда до това колко параноичен или нещастен се чувствате. Ако мислите, че може би сте един нещастен човек, който има разбита парола от талантливи хакери, които са в състояние по някакъв начин да дешифрирате чрез 100 000 кръгли хеширане на LastPass и код на сол, който е уникален само за вас?

Във всеки случай, ако се тревожите за подобни неща, променете паролата си само за спокойствие. Това ще означава, че поне солта и хешът ви в ръцете на хакерите стават безполезни.

Въпреки това има експерти по сигурността, които изобщо не са засегнати, като експертът по сигурността Джеръми Госни в Structure Group който каза пред репортери:

„По подразбиране е 5000 повторения, така че разглеждаме поне 105 000 повторения. Всъщност моята е настроена на 65 000 повторения, така че общо 165 000 повторения, защитаващи моята парола за Diceware. Така че не, определено не изпотявам това нарушение. Дори не се чувствам принуден да променя главната си парола. "

Единственото притеснение, което би трябвало да има за това нарушение на данните, е, че хакерите вече имат вашия имейл адрес, който те биха могли да използват за провеждане на масови фишинг експедиции за опит и да подмаме хората да се отказват от различните си пароли за акаунт - или може би могат да направят нещо толкова просто, колкото да продават всички тези имейли на потребители на спамерите на черно пазар.

Долната линия е, че рискът от това проникване в сигурността остава минимален, благодарение на преобладаващата сигурност на системата LastPass. Но здравият разум казва, че всеки път хакерите са получили данни за вашия акаунт - дори защитени чрез хиляди усъвършенствани криптографски итерации - винаги е добре да промените основната си парола, дори ако това е спокойно.

Нарушаването на сигурността на LastPass ви притесни много за безопасността на LastPass или сте уверени в сигурността на вашия акаунт там? Споделете своите мисли и притеснения в секцията за коментари по-долу.

Кредитни изображения: проникнаха в заключване за сигурност чрез Shutterstock, Чешек Саболч чрез Shutterstock, Бастиан Велтен чрез Shutterstock, McIek чрез Shutterstock, GlebStock чрез Shutterstock, Беноа Дауст чрез Shutterstock

Райън има бакалавърска степен по електротехника. Работил е 13 години в автоматизацията, 5 години е в ИТ, а сега е инженер на приложения. Бивш управляващ редактор на MakeUseOf, той говори на национални конференции за визуализация на данни и е участвал в националната телевизия и радио.