Annonse

Hvis du er en av de tusenvis av LastPass-brukerne som har følt deg veldig sikker ved å bruke Internett takket være løfter om nesten uknuselig sikkerhet, kan det hende du føler deg litt mindre sikker når du vet at selskapet 15. juni kunngjorde at de oppdaget et inntrenging i deres servere.

LastPass sendte innledningsvis en e-postvarsel til brukere som ga dem beskjed om at selskapet hadde oppdaget “mistenkelig aktivitet ”på LastPass-servere, og at brukerens e-postadresser og passordpåminnelser hadde blitt kompromittert.

Selskapet forsikret brukere om at ingen krypterte hvelvingsdata hadde blitt kompromittert, men siden hashede brukerpassord Hva alt dette MD5 Hash-stoffet egentlig betyr [Teknologi forklart]Her er en fullstendig nedslipp av MD5, hashing og en liten oversikt over datamaskiner og kryptografi. Les mer hadde blitt oppnådd, rådet selskapet brukere om å oppdatere hovedpassordene sine, bare for å være trygge.

The LastPass Hack forklart

Dette er ikke første gang LastPass-brukere har vært bekymret for hackere. I fjor, vi

instagram viewer
intervjuet administrerende direktør Joe Siegrist, LastPass Joe Siegrist fra LastPass: The Truth About Your Password Security Les mer etter Heartbleed-trusselen, hvor forsikringene hans stilte brukernes frykt på en enkel måte.

Dette siste bruddet skjedde sent på uken før kunngjøringen. Da den ble oppdaget og identifisert som en sikkerhetsinntrenging, hadde angriperne kommet unna med brukerens e-postadresser, spørsmål / svar om passordpåminnelser, hashet brukerpassord og kryptografiske salter Bli en hemmelig steganograf: Skjul og krypter filene dine Les mer .

Lastpass-breach1

Den gode nyheten er at sikkerheten til LastPass-systemet ble designet for å motstå slike angrep. Den eneste måten å få tilgang til passord-passordene dine på ville være at hackerne kan dekryptere godt sikrede hovedpassord Bruk en passordstyringsstrategi for å forenkle livet dittMye av rådene rundt passord har vært nesten umulige å følge: bruk et sterkt passord som inneholder tall, bokstaver og spesialtegn; endre det regelmessig; komme med et helt unikt passord for hver konto osv ... Les mer .

På grunn av mekanismen som brukes til å kryptere hovedpassordet, vil det ta enorme mengder datamaskinressurser å dekryptere det - ressurser som de fleste små eller mellomstore hackere ikke har tilgang til.

Lastpass-breach2

Årsaken til at du er så beskyttet når du bruker LastPass er fordi den mekanismen som gjør hovedpassordet så vanskelig å få tak i, kalles "sakte hasj" eller "hasj med salt."

Hvordan Hashing fungerer

LastPass bruker en av de mest sikre krypteringsteknikkene i verden, kalt hashing med salt.

Lastpass-breach3

"Saltet" er en kode som blir generert ved hjelp av et krypteringsverktøy - en slags avansert tilfeldig tallgenerator De 5 beste online passordgeneratorene for sterke tilfeldige passordSer du etter en måte å raskt lage et uknuselig passord? Prøv en av disse passordgeneratorene på nettet. Les mer opprettet spesielt for sikkerhet, hvis du vil. Disse verktøyene lager helt uforutsigbare koder når du oppretter hovedpassordet.

Det som skjer når du oppretter kontoen din, er passordet "hashet" ved å bruke et av disse tilfeldig genererte (og veldig lange) "salt" -numrene. Disse gjenbrukes aldri - de er unike for enhver bruker og hvert passord. Til slutt, i brukerkontotabellen, finner du bare salt og hasj.

Den faktiske tekstversjonen av hovedpassordet ditt lagres aldri på LastPass-servere, så hackere har ikke tilgang til det. Alt de klarte å oppnå i denne inntrengningen er disse tilfeldige saltene og de kodede hasjene.

Så, den eneste måten LastPass (eller hvem som helst) kan validere passordet ditt er:

  1. Hent hasj og salt fra brukertabellen.
  2. Bruk saltet på passordet brukeren skriver inn, hashing det med den samme hasjfunksjonen som ble brukt da passordet ble generert.
  3. Den resulterende hasjen blir sammenlignet med den lagrede hasjen for å se om det er en kamp.

I disse dager er hackere i stand til å generere milliarder hasjer per sekund, så hvorfor kan ikke en hacker bare bruke brute-force for å knekk disse passordene Ophcrack - et passordhackverktøy for å knekke nesten ethvert Windows-passordDet er mange forskjellige grunner til at man ønsker å bruke et hvilket som helst antall hackverktøy for passord for å hacke et Windows-passord. Les mer ? Denne ekstra sikkerheten er takket være sakte hastighet.

Hvorfor Slow-Hashing beskytter deg

I et angrep som dette er det virkelig den sakte hastigheten av LastPass-sikkerheten som virkelig beskytter deg.

Lastpass-breach4

LastPass gjør at hasjfunksjonen som brukes til å bekrefte passordet (eller opprette det) fungerer veldig sakte. Dette setter i det vesentlige pausene på enhver høyhastighets, brute-force operasjon som krever hastighet for å pumpe gjennom milliarder av mulige hasjer. Spiller ingen rolle hvor mye datakraft Den siste datateknologien du må se for å troTa en titt på noen av de nyeste datateknologiene som er ment å transformere elektronikken og PC-verdenen de neste årene. Les mer hacker-systemet har, prosessen for å bryte krypteringen vil fremdeles ta evig tid, og gjøre brute-angrep ubrukelig.

På toppen av det kjører LastPass ikke bare hash-algoritmen en gang, de kjører den tusenvis av ganger på datamaskinen din, og deretter igjen på serveren.

Slik forklarte LastPass sin egen prosess for brukere i et blogginnlegg etter dette siste angrepet:

"Vi har både brukernavn og hovedpassord på brukerens datamaskin med 5000 runder med PBKDF2-SHA256, en algoritme som styrker passordet. Dette skaper en nøkkel som vi utfører en ny hashingrunde for å generere hash for hovedpassordgodkjenning. ”

De LastPass Help Desk har et innlegg som beskriver hvordan LastPass bruker sakte-hashing:

LastPass har valgt å bruke SHA-256, en tregere hash-algoritme som gir mer beskyttelse mot angrep fra brute-force. LastPass bruker PBKDF2-funksjonen implementert med SHA-256 for å gjøre hovedpassordet ditt til krypteringsnøkkelen.

Hva dette betyr er at til tross for dette nylige sikkerhetsbruddet, er passordene dine fremdeles veldig sikre, selv om e-postadressen din ikke er det.

Hva hvis passordet mitt er svakt?

Det er et utmerket poeng som bringes opp på LastPass-bloggen om svake passord. Mange brukere er opptatt av at de ikke drømmer opp et unikt nok passord, og at disse hackerne vil kunne gjette det uten veldig mye krefter.

Det er også den fjerne risikoen for at kontoen din er en av de som hackere kaster bort tiden på å prøve for å dekryptere, og det er alltid den eksterne muligheten for at de kunne oppnå mesteren din passord. Hva da?

Lastpass-breach5

Hovedpoenget er at all den innsatsen vil bli kastet bort, siden innlogging fra en annen enhet krever bekreftelse via e-post - din e-post - før tilgang er gitt. Fra LastPass-bloggen:

“Hvis angriperen forsøkte å få tilgang til dataene dine ved å bruke disse opplysningene for å logge inn på dine LastPass-kontoen, ble de stoppet av en varsling som ber dem først bekrefte e-posten deres adresse."

Så med mindre de på en eller annen måte kan hacke seg inn på e-postkontoen din i tillegg til dekryptering av en nesten ukrakkbar algoritme, har du virkelig ingenting å bekymre deg for.

Bør jeg endre mitt hovedpassord?

Hvorvidt du vil endre hovedpassordet ditt eller ikke, koker egentlig til hvor paranoid eller uheldig du føler deg. Hvis du tror du kan være den uheldige personen som har passordet sitt sprukket av talentfulle hackere som er i stand å på en eller annen måte dechiffrere gjennom LastPass sin 100.000 runde hashingrutine og en saltkode som er unik bare for deg?

For all del, hvis du bekymrer deg for slike ting, kan du endre passordet ditt bare for trygghet. Det vil bety at salt og hasj i det minste blir i ubruk av hackere.

Imidlertid er det sikkerhetseksperter der ute som overhodet ikke er bekymret, for eksempel sikkerhetsekspert Jeremi Gosney over hos Structure Group som fortalte reportere:

Standardinnstillingen er 5000 iterasjoner, så vi ser på minimum 105 000 iterasjoner. Jeg har faktisk satt meg til 65 000 iterasjoner, så det er totalt 165 000 iterasjoner som beskytter min Diceware passord. Så nei, jeg svetter definitivt ikke dette bruddet. Jeg føler meg ikke engang tvunget til å endre hovedpassordet. "

Den eneste virkelige bekymringen du bør ha om dette datainnbruddet er at hackere nå har din e-postadresse, som de kan bruke til å gjennomføre massefiskekspedisjoner for å prøve og lure folk til å gi fra seg de forskjellige kontopassordene sine - eller kanskje de kan gjøre noe så verdifullt som å selge alle disse bruker-e-postene til spammere på den svarte marked.

Hovedpoenget er at risikoen for denne sikkerhetsinntrengingen forblir minimal, takket være LastPass-systemets overveldende sikkerhet. Men sunn fornuft sier at når som helst hackere har innhentet kontoinformasjonen din - til og med beskyttet gjennom tusenvis av avanserte kryptografiske iterasjoner - det er alltid bra å endre hovedpassordet, selv om det er for sjelefred.

Gjorde sikkerhetsbruddet på LastPass deg veldig bekymret for sikkerheten til LastPass, eller er du trygg på sikkerheten til kontoen din der? Del tankene og bekymringene i kommentarfeltet nedenfor.

Bildepoeng: penetrerte sikkerhetslåsen via Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock

Ryan har en BSc-grad i elektroteknikk. Han har jobbet 13 år innen automatisering, 5 år innen IT, og er nå en applikasjonsingeniør. Han var tidligere administrerende redaktør for MakeUseOf, han snakket på nasjonale konferanser om datavisualisering og har blitt omtalt på nasjonal TV og radio.