LastPass зламано: вам потрібно змінити майстер-пароль?
Діджитал
Якщо ви один з тисяч користувачів LastPass, які відчували себе дуже захищеними при використанні Інтернету завдяки обіцянкам про практично незруйновану безпеку, ви можете відчувати себе трохи менш впевнено, знаючи, що 15 червня компанія оголосила, що виявила вторгнення в систему. їхні сервери.
LastPass спочатку відправив користувачам повідомлення електронною поштою, повідомивши їм, що компанія виявила «підозрілу активність» на серверах LastPass, і що адреси електронної пошти користувачів і нагадування пароля були скомпрометовані.
Компанія запевнила користувачів, що зашифровані дані сховища не були скомпрометовані, але оскільки хешовані паролі користувачів було отримано, компанія порадила користувачам оновити свої майстер-паролі, просто щоб бути в безпеці.
The LastPass Hack пояснив
Це не перший випадок, коли користувачі LastPass турбуються про хакерів. Минулого року ми взяли інтерв'ю у генерального директора LastPass Джо Сігріста після погрози Heartbleed, де його запевнення заспокоюють страхи користувачів.
Це останнє порушення мало місце наприкінці тижня до оголошення. До того часу, коли це було виявлено та ідентифіковано як вторгнення в систему безпеки, зловмисники вже отримали адреси електронної пошти користувачів, питання/відповіді щодо нагадувань про паролі, хешовані паролі користувачів і криптографічні солі.
Гарною новиною є те, що система безпеки LastPass була розроблена для протистояння таким атакам. Єдиний спосіб отримати доступ до ваших текстових паролів полягає в тому, щоб хакери розшифрували надійно захищені майстер-паролі.
Через механізм, що використовується для шифрування вашого майстер-пароля, для його розшифровки знадобилася б величезна кількість ресурсів комп'ютера - ресурсів, до яких у більшості хакерів середнього або середнього рівня немає доступу.
Причина, через яку ви так захищені, коли використовуєте LastPass, полягає в тому, що механізм, який ускладнює отримання майстер-паролю, називається «повільне хешування» або «хешування з сіллю».
Як працює хешування
LastPass використовує один з найбезпечніших методів шифрування у світі, званий хешуванням із сіллю.
«Сіль» - це код, згенерований з використанням інструменту криптографії - свого роду просунутий генератор випадкових чисел створений спеціально для безпеки, якщо хочете. Ці інструменти створюють абсолютно непередбачувані коди при створенні майстер-пароля.
Коли ви створюєте свій обліковий запис, пароль «хешується» з використанням одного з цих випадково згенерованих (і дуже довгих) «солт» чисел. Вони ніколи не використовуються повторно - вони унікальні для кожного користувача і кожного пароля. Нарешті, в таблиці облікових записів ви знайдете тільки сіль і хеш.
Фактична текстова версія вашого майстер-пароля ніколи не зберігається на серверах LastPass, тому хакери не мають до неї доступу. Все, що вони змогли отримати в цьому вторгненні, - це ці випадкові солі і закодовані хеші.
Таким чином, LastPass (або хтось інший) може перевірити ваш пароль тільки так:
- Отримати хеш і сіль з таблиці користувача.
- Використовуйте сіль для пароля, який вводить користувач, хешуючи його за допомогою тієї ж хеш-функції, яка використовувалася при створенні пароля.
- Отриманий хеш порівнюється зі збереженим хешем, щоб побачити, чи збігається він.
У наші дні хакери можуть генерувати мільярди хешів на секунду, так чому ж хакер не може просто використовувати грубу силу для злому цих паролів злому паролів? Ця додаткова безпека завдяки повільному хешуванню.
Чому повільний хеш захищає вас
У такій атаці дійсно повільна частина безпеки LastPass захищає вас.
LastPass змушує хеш-функцію, яку використовують для перевірки пароля (або його створення), працювати дуже повільно. Це, по суті, створює перешкоди для будь-якої високошвидкісної операції грубої сили, яка вимагає швидкості для прокачування мільярдів можливих хешів. Неважливо, скільки обчислювальної потужності Система хакера має, процес злому шифрування все ще буде тривати вічно, по суті роблячи марними атаки.
Крім того, LastPass не просто запускає алгоритм хешування один раз, він запускає його тисячі разів на вашому комп'ютері, а потім знову на сервері.
Ось як LastPass пояснив користувачам свій власний процес у повідомленні в блозі після цієї останньої атаки:
"Ми хешуємо як ім'я користувача, так і майстер-пароль на комп'ютері користувача за допомогою 5000 раундів PBKDF2-SHA256, алгоритму посилення пароля. Це створює ключ, на якому ми виконуємо ще один раунд хешування, щоб згенерувати хеш автентифікації майстер-пароля ".
У довідковій службі LastPass є пост, в якому описано, як LastPass використовує повільне хешування:
LastPass вирішив використовувати SHA-256, більш повільний алгоритм хешування, який забезпечує більший захист від атак методом перебору. LastPass використовує функцію PBKDF2, реалізовану в SHA-256, щоб перетворити ваш головний пароль на ключ шифрування.
Це означає, що, незважаючи на недавнє порушення безпеки, ваші паролі все ще дуже надійні, навіть якщо ваша адреса електронної пошти не захищена.
Що робити, якщо мій пароль слабкий?
У блозі LastPass згадується один відмінний момент, що стосується слабких паролів. Багато користувачів стурбовані тим, що вони не придумали досить унікальний пароль, і що ці хакери зможуть вгадати його без особливих зусиль.
Існує також віддалений ризик того, що ваш обліковий запис є однією з тих, які хакери витрачають даремно свій час, намагаючись розшифрувати, і завжди є віддалена можливість, що вони можуть успішно отримати ваш майстер-пароль. Що тоді?
Суть у тому, що всі ці зусилля будуть витрачені даремно, оскільки вхід до системи з іншого пристрою потребує підтвердження електронною поштою - електронною поштою - до надання доступу. З блогу LastPass:
«Якщо зловмисник спробує отримати доступ до ваших даних, використовуючи ці облікові дані для входу у ваш обліковий запис LastPass, він буде зупинений повідомленням з проханням спочатку підтвердити свою адресу електронної пошти».
Таким чином, якщо вони не можуть якимось чином зламати ваш обліковий запис електронної пошти, на додаток до розшифровки майже безвідмовного алгоритму, вам дійсно нема про що турбуватися.
Чи повинен я змінити свій головний пароль?
Чи хочете ви змінити свій майстер-пароль чи ні, все зводиться до того, наскільки параноїдальним або нещасливим ви себе почуваєте. Якщо ви думаєте, що ви, можливо, єдиний невдаха, що зламав свій пароль талановитими хакерами, які можуть якимось чином розшифрувати рутинну процедуру хешування LastPass 100000 і солт-код, який унікальний тільки для вас?
У що б то не стало, якщо ви турбуєтеся про такі речі, змініть свій пароль просто для душевного спокою. Це буде означати, що принаймні ваша сіль і хеш в руках хакерів стануть марними.
Тим не менш, є експерти з безпеки, які зовсім не стурбовані, такі як експерт з безпеки Джеремі Госні з Structure Group, який сказав журналістам:
"За замовчуванням це 5000 ітерацій, тому ми розглядаємо як мінімум 105 000 ітерацій. Насправді у мене встановлено 65 000 ітерацій, так що в цілому 165 000 ітерацій захищають мою фразу-пароль Diceware. Так що ні, я безумовно не потію це порушення. Я навіть не відчуваю себе зобов'язаним змінити майстер-пароль ".
Єдине реальне занепокоєння, яке ви повинні мати у зв'язку з цим зломом даних, полягає в тому, що у хакерів тепер є ваша адреса електронної пошти, який вони можуть використовувати для проведення масових фішингових експедицій, щоб спробувати змусити людей відмовитися від своїх різних паролів облікових записів - або, можливо, вони можуть зробити щось звичайне продажу всіх цих електронних листів спамерам на чорному ринку.
Суть у тому, що ризик від цього вторгнення в систему безпеки залишається мінімальним завдяки переважній безпеці системи LastPass. Але здоровий глузд говорить, що кожен раз, коли хакери отримують дані вашого облікового запису - навіть захищені тисячами складних криптографічних ітерацій - завжди корисно змінити майстер-пароль, навіть якщо це для душевного спокою.
Чи було порушення безпеки LastPass вас дуже турбує безпека LastPass, або ви впевнені в безпеці свого облікового запису там? Поділіться своїми думками і проблемами в розділі коментарів нижче.
