Skelbimas

Jei esate vienas iš tūkstančių „LastPass“ vartotojų, kurie jautėsi labai saugūs naudodamiesi internetu, nes beveik neišdaužomi pažadai saugumo sumetimais, galite jaustis šiek tiek mažiau saugūs žinodami, kad birželio 15 d. įmonė paskelbė, kad aptiko jų įsibrovimą serveriai.

Iš pradžių „LastPass“ vartotojams išsiuntė pranešimą el. Paštu, nurodydamas, kad bendrovė aptiko „įtartiną“ veikla “„ LastPass “serveriuose, o vartotojo el. pašto adresai ir slaptažodžio priminimai buvo pažeisti.

Bendrovė patikino vartotojus, kad jokie užšifruoti skliautų duomenys nebuvo pažeisti, tačiau nuo 2003 m maišyti vartotojo slaptažodžius Ką iš tikrųjų reiškia visa tai, kas nutiko MD5, [paaiškinta apie technologiją]Čia yra visas MD5 sunaikinimas, maišos ir nedidelė kompiuterių ir kriptografijos apžvalga. Skaityti daugiau buvo gauta, bendrovė patarė vartotojams atnaujinti pagrindinius slaptažodžius, kad tik būtų saugūs.

„The LastPass Hack“ paaiškinta

Tai nėra pirmas kartas, kai „LastPass“ vartotojai susirūpinę įsilaužėliais. Praėjusiais metais mes

instagram viewer
davė interviu „LastPass“ generaliniam direktoriui Joe Siegristui Joe Siegrist iš „LastPass“: Tiesa apie jūsų slaptažodžio saugumą Skaityti daugiau po širdies plakimo grėsmės, kai jo patikinimas palengvino vartotojų baimes.

Šis paskutinis pažeidimas įvyko vėlyvą savaitę iki pranešimo. Iki to laiko, kai tai buvo aptikta ir nustatyta kaip saugumo įsibrovimas, užpuolikai išsisuko su vartotojo el. Pašto adresais, slaptažodžio priminimo klausimais / atsakymais, išskleidė vartotojo slaptažodžius ir kriptografinės druskos Tapkite slaptu steganografu: paslėpkite ir užšifruokite savo failus Skaityti daugiau .

paskutinis leidimas-pažeidimas1

Geros žinios yra tai, kad „LastPass“ sistemos saugumas buvo sukurtas atlaikyti tokias atakas. Vienintelis būdas pasiekti savo paprasto teksto slaptažodžius būtų įsilaužėlių iššifruoti gerai apsaugoti pagrindiniai slaptažodžiai Norėdami supaprastinti savo gyvenimą, naudokite slaptažodžio valdymo strategijąDidelės dalies slaptažodžių patarimų beveik neįmanoma laikytis: naudokite tvirtą slaptažodį, kuriame yra skaičiai, raidės ir specialieji simboliai; reguliariai keiskite; sugalvokite visiškai unikalų slaptažodį kiekvienai paskyrai ir tt ... Skaityti daugiau .

Dėl pagrindinio slaptažodžio šifravimo mechanizmo, norint jį iššifruoti, prireiks didžiulių kompiuterinių išteklių - išteklių, kurių neturi dauguma mažų ar vidutinio lygio įsilaužėlių.

paskutinis leidimas-pažeidimas2

Priežastis, kodėl esate tokia apsaugota, kai naudojate „LastPass“, yra ta, kad tas mechanizmas, dėl kurio pagrindinį slaptažodį taip sunku gauti, yra vadinamas „lėtai maišant“ arba „maišant su druska“.

Kaip veikia maišos

„LastPass“ naudoja vieną saugiausių šifravimo metodų pasaulyje, vadinamą maiša su druska.

paskutinis leidimas-pažeidimas3

„Druska“ yra kodas, sugeneruotas naudojant kriptografijos įrankį - tam tikrą pažengusį atsitiktinių skaičių generatorius 5 geriausi internetiniai slaptažodžių generatoriai, skirti stipriems atsitiktiniams slaptažodžiamsIeškai būdo greitai susikurti nesulaužomą slaptažodį? Išbandykite vieną iš šių internetinių slaptažodžių generatorių. Skaityti daugiau sukurta specialiai saugumui, jei to norėsite. Kurdami pagrindinį slaptažodį, šie įrankiai sukuria visiškai nenuspėjamus kodus.

Kas nutinka, kai kuriate savo sąskaitą, slaptažodis yra „pakeistas“ naudojant vieną iš šių atsitiktinai sugeneruotų (ir labai ilgų) „druskos“ skaičių. Jie niekada nenaudojami pakartotinai - jie yra unikalūs kiekvienam vartotojui ir kiekvienam slaptažodžiui. Galiausiai, vartotojo abonemento lentelėje rasite tik druską ir maišos.

Tikroji pagrindinio slaptažodžio tekstinė versija niekada nėra saugoma „LastPass“ serveriuose, taigi įsilaužėliai neturi prieigos prie jos. Viskas, ką jie sugebėjo gauti per šį įsiskverbimą, yra šios atsitiktinės druskos ir užkoduotos maišos.

Taigi vienintelis būdas „LastPass“ (ar kas nors) patvirtinti jūsų slaptažodį yra:

  1. Iš vartotojo stalo ištraukite maišos ir druskos.
  2. Naudokite druską slaptažodyje, kurį vartotojas įveda, maišant ją naudodamas tą pačią maišos funkciją, kuri buvo naudojama generuojant slaptažodį.
  3. Gauta maišos bus palyginamos su saugoma maišos, kad pamatytumėte, ar tai atitinka.

Šiomis dienomis įsilaužėliai gali sugeneruoti milijardus maišos per sekundę, tad kodėl įsilaužėlis negali naudoti tik žiaurios jėgos, kad nulaužti šiuos slaptažodžius „Ophcrack“ - slaptažodžio nulaužimo įrankis, norint nulaužti beveik bet kurį „Windows“ slaptažodįYra daugybė įvairių priežasčių, kodėl norima nugriauti „Windows“ slaptažodį, naudoti daugybę slaptažodžio nulaužimo įrankių. Skaityti daugiau ? Šis papildomas saugumas užtikrinamas lėtai maišant.

Kodėl lėtai maišantis apsaugo jus

Tokio išpuolio metu iš tikrųjų jus apsaugo lėta „LastPass“ saugos dalis.

paskutinis leidimas-pažeidimas4

„LastPass“ suteikia maišos funkciją, naudojamą slaptažodžio patvirtinimui (arba jo sukūrimui), veikti labai lėtai. Tai iš esmės sustabdo bet kokią greitą, žiaurios jėgos operaciją, kuriai reikia greičio, kad būtų galima išpumpuoti milijardus galimų maišų. Nesvarbu kiek skaičiavimo galios Naujausios kompiuterinės technologijos, kurias turite pamatyti, kad patikėtumėtePeržiūrėkite kai kurias naujausias kompiuterių technologijas, kurios per artimiausius kelerius metus pakeis elektronikos ir asmeninių kompiuterių pasaulį. Skaityti daugiau įsilaužėlių sistemos, šifravimo sulaužymo procesas vis tiek užtruks amžinai, todėl brutalios jėgos išpuoliai taps nenaudingi.

Be to, „LastPass“ ne tik vieną kartą paleidžia maišos algoritmą, bet ir tūkstančius kartų jį paleis jūsų kompiuteryje, tada dar kartą serveryje.

Štai taip „LastPass“ paaiškino vartotojams savo procesą dienoraščio įraše po šios naujausios atakos:

„Naudotojo kompiuteryje yra maišyti vartotojo vardą ir pagrindinį slaptažodį su 5000 raundų PBKDF2-SHA256, slaptažodžio stiprinimo algoritmu. Tai sukuria raktą, ant kurio mes atliekame dar vieną maišos ratą, kad būtų sugeneruotas pagrindinis slaptažodžio atpažinimo maišos būdas. “

„LastPass“ pagalbos tarnyba turi įrašą, kuriame aprašoma, kaip „LastPass“ naudoja lėtą maišymą:

„LastPass“ pasirinko naudoti SHA-256 - lėtesnį maišos algoritmą, kuris suteikia daugiau apsaugos nuo žiaurios jėgos atakų. „LastPass“ naudoja PBKDF2 funkciją, įdiegtą kartu su SHA-256, kad jūsų pagrindinis slaptažodis būtų įjungtas į jūsų šifravimo raktą.

Tai reiškia, kad nepaisant pastarojo meto saugumo pažeidimo, jūsų slaptažodžiai vis dar yra labai saugūs, net jei jūsų el. Pašto adresas nėra.

Ką daryti, jei mano slaptažodis silpnas?

„LastPass“ tinklaraštyje yra vienas puikus punktas, susijęs su silpnais slaptažodžiais. Daugelis vartotojų yra susirūpinę, kad jie nesvajojo apie pakankamai unikalų slaptažodį ir kad šie įsilaužėliai galės atspėti jį be didelių pastangų.

Taip pat yra rizika, kad jūsų sąskaita yra viena iš tų, kurių įsilaužėliai eikvoja laiką bandydami iššifruoti, ir visada yra tikimybė, kad jie gali sėkmingai įsigyti jūsų meistrą Slaptažodis. Kas tada?

paskutinis leidimas-pažeidimas5

Esmė ta, kad visos šios pastangos būtų eikvojamos, nes norint prisijungti iš kito įrenginio reikia patvirtinti el. Paštu - jūsų el. Pašto adresu, prieš suteikiant prieigą. Iš „LastPass“ tinklaraščio:

„Jei užpuolikas bandė gauti prieigą prie jūsų duomenų naudodamas šiuos kredencialus, kad prisijungtumėte prie jūsų „LastPass“ paskyra, jie bus sustabdyti gavę pranešimą, kuriame pirmiausia bus paprašyta patvirtinti el. Pašto adresą adresą. “

Taigi, nebent jie galėtų kažkaip įsilaužti į jūsų el. Pašto paskyrą be to iššifruodamas beveik nesupainiojamą algoritmą, jums tikrai nėra dėl ko nerimauti.

Ar turėčiau pakeisti pagrindinį slaptažodį?

Nesvarbu, ar norite pakeisti pagrindinį slaptažodį, ar ne, jūs jaučiatės paranojikas ar nelaimingas. Jei manote, kad galbūt esate tas nelaimingas asmuo, kurio slaptažodį sugadino talentingi įsilaužėliai, kurie sugeba kaip nors iššifruoti naudojant „LastPass“ 100 000 apvalią maišos rutiną ir druskos kodą, kuris yra unikalus tik jums?

Šiaip ar taip, jei nerimaujate dėl tokių dalykų, pakeiskite slaptažodį tiesiog ramiai. Tai reikš, kad bent jau jūsų druska ir maišos, įsilaužėlių rankose, tampa nenaudingos.

Tačiau ten yra saugumo ekspertų, kuriems visiškai nesvarbu, pavyzdžiui, „Struktūros grupės“ saugumo ekspertas Jeremi Gosney kas pasakojo žurnalistams:

„Numatytoji reikšmė yra 5000 iteracijų, taigi bent jau žiūrėsime į 105 000 iteracijų. Aš iš tikrųjų nustatiau 65 000 iteracijų, taigi iš viso 165 000 iteracijų apsaugo mano „Diceware“ slaptafrazę. Taigi ne, aš tikrai neprakaitavau dėl šio pažeidimo. Aš net nesijaučiu priverstas pakeisti pagrindinio slaptažodžio “.

Vienintelis tikras jūsų susirūpinimas dėl šio duomenų pažeidimo yra tai, kad įsilaužėliai dabar turi jūsų el. Pašto adresą, kurį jie galėtų naudoti vykdydami masines sukčiavimo ekspedicijas, kad pabandytų ir apgaudinėja žmones, kad jie atsisako savo įvairių paskyros slaptažodžių - o gal jie imsis tokių kasdieniškų veiksmų, kaip pardavinėdami visus tuos vartotojo el. laiškus šlamšto platintojams turgus.

Esmė ta, kad dėl šio saugumo įsiskverbimo rizika išlieka minimali, nes „LastPass“ sistema yra nepaprastai saugi. Tačiau sveikas protas sako, kad bet kada įsilaužėliai gauna jūsų sąskaitos informaciją - netgi apsaugotą per tūkstančius patobulintos kriptografinės iteracijos - visada naudinga pakeisti pagrindinį slaptažodį, net jei jis skirtas ramiai.

Ar „LastPass“ saugumo pažeidimas jus labai sudomino „LastPass“ saugumu, ar esate tikras dėl savo sąskaitos saugumo ten? Pasidalykite savo mintimis ir rūpesčiais komentarų skiltyje žemiau.

Vaizdo kreditai: prasiskverbė per „Shutterstock“ apsauginį užraktą, Csehakas Szabolcs per „Shutterstock“, Bastianas Weltjenas per „Shutterstock“, McIekas per „Shutterstock“, „GlebStock“ per „Shutterstock“, Benoitas Daoustas per „Shutterstock“

Ryanas turi elektros inžinerijos bakalauro laipsnį. Jis 13 metų dirbo automatikos inžinerijoje, 5 metus IT srityje, o dabar yra programų inžinierius. Buvęs „MakeUseOf“ generalinis redaktorius, jis kalbėjo nacionalinėse duomenų vizualizacijos konferencijose ir buvo rodomas per nacionalinę televiziją ir radiją.