Oglas

Če ste eden od tisoč uporabnikov LastPass, ki so se počutili zelo varne z uporabo interneta, zahvaljujoč obljubam o skoraj nepremagljivih varnosti, morda se boste počutili nekoliko manj varne, saj veste, da je podjetje 15. junija objavilo, da so zaznali vdor v njihovo strežniki.

LastPass je uporabnikom sprva poslal e-poštno obvestilo, v katerem jim svetuje, da je podjetje zaznalo „sumljive“ dejavnost "na LastPass strežnikih in da so bili ogroženi e-poštni naslovi in ​​opomniki gesla.

Podjetje je uporabnikom zagotovilo, da niso bili ogroženi nobeni šifrirani podatki trezorja, vendar od takrat naprej razstavljena gesla uporabnika Kaj vse to MD5 komadne stvari dejansko pomeni [pojasnjena tehnologija]Tukaj je popolno razpadanje MD5, hashing in majhen pregled računalnikov in kriptografije. Preberi več Družba je uporabnikom svetovala, naj posodobijo glavna gesla, samo da bi bila varna.

Pojasnil Hack LastPass

To niso prvič, da so uporabniki LastPass zaskrbljeni zaradi hekerjev. Lani smo ga intervjuval izvršni direktor LastPass Joe Siegrist

instagram viewer
Joe Siegrist podjetja LastPass: resnica o varnosti vašega gesla Preberi več po grožnji Heartbleed, kjer so njegova prepričanja olajšala strah uporabnikov.

Ta zadnja kršitev se je zgodila konec tedna pred objavo. Ko so ga zaznali in prepoznali kot varnostni vdor, so se napadalci znebili uporabniških e-poštnih naslovov, vprašanj / odgovorov za opomnike z geslom, razbegli uporabniška gesla in kriptografske soli Postanite skrivni Steganograf: Skrivajte in šifrirajte svoje datoteke Preberi več .

zadnja kršitev1

Dobra novica je, da je bila varnost sistema LastPass zasnovana tako, da zdrži takšne napade. Edini način dostopa do vaših geslov v navadnem besedilu bi bili hekerji dešifriranje dobro zavarovana glavna gesla Za poenostavitev življenja uporabite strategijo upravljanja geslaVečino nasvetov v zvezi z gesli je bilo skoraj nemogoče upoštevati: uporabite močno geslo, ki vsebuje številke, črke in posebne znake; redno menjajte; ustvarite popolnoma edinstveno geslo za vsak račun itd ... Preberi več .

Zaradi mehanizma, ki se uporablja za šifriranje vašega glavnega gesla, bi bilo za njegovo dešifriranje potrebno ogromno računalniških virov - virov, do katerih večina majhnih ali srednjih hekerjev nima dostopa.

zadnja kršitev2

Razlog, da ste pri uporabi LastPass tako zaščiteni, je ta, da se mehanizem, zaradi katerega je glavno geslo tako težko pridobiti, imenuje "počasno prekrivanje" ali "mešanje s soljo."

Kako deluje hešing

LastPass uporablja eno najbolj varnih tehnik šifriranja na svetu, imenovano hashing s soljo.

zadnja kršitev3

"Sol" je koda, ki se ustvari s pomočjo kriptografskega orodja - neke vrste naprednega generator naključnih števil 5 najboljših spletnih generatorjev za močna naključna geslaIščete način za hitro ustvarjanje nepremagljivega gesla? Poskusite enega od teh spletnih generatorjev gesla. Preberi več ustvarjen posebej za varnost, če želite. Ta orodja ustvarjajo popolnoma nepredvidljive kode, ko ustvarite svoje glavno geslo.

Ko ustvarite svoj račun, je geslo "razstavljeno" z eno od teh naključno ustvarjenih (in zelo dolgih) "solnih" številk. Te se nikoli ne uporabijo več - edinstvene so za vsakega uporabnika in za vsako geslo. Končno boste v tabeli uporabniških računov našli le sol in hash.

Dejanska besedilna različica glavnega gesla ni nikoli shranjena na strežnikih LastPass, zato hekerji do nje nimajo dostopa. Vse, kar jim je uspelo pridobiti pri tem vdoru, so te naključne soli in kodirane haše.

Torej, edini način, da LastPass (ali kdor koli) lahko potrdi vaše geslo je:

  1. Naložite hash in sol iz uporabniške tabele.
  2. Uporabite sol na geslu, ki ga uporabnik vnese, in ga razpršite z isto funkcijo hash-a, ki je bila uporabljena pri generiranju gesla.
  3. Tako dobljeni hash se primerja s shranjenim hash-om, da ugotovi, ali je ujemanje.

Danes so hekerji sposobni ustvariti milijarde hešsov na sekundo, zato zakaj heker ne more preprosto uporabiti grobe sile pokvarite ta gesla Ophcrack - orodje za kramp gesla za zlom skoraj vsakega gesla za WindowsObstaja veliko različnih razlogov, zakaj bi človek želel uporabiti poljubno število orodij za kramp gesla za kramp gesla za Windows. Preberi več ? Ta dodatna varnost je zahvaljujoč počasnemu mešanju.

Zakaj vas počasi skriva

V takem napadu vas resnično ščiti resnično počasi del LastPass varnosti.

zadnja kršitev4

LastPass naredi, da funkcija hash-a, ki se uporablja za preverjanje gesla (ali ga ustvarite), deluje zelo počasi. To v bistvu postavlja prelome pri vseh hitrih operacijah, ki zahtevajo hitrost, ki zahtevajo hitrost, da bi prečrpali več milijard možnih hešev. Ni pomembno koliko računske moči Najnovejša računalniška tehnologija, ki jo morate videti, da bi verjeliOglejte si nekaj najnovejših računalniških tehnologij, ki bodo v naslednjih nekaj letih preoblikovale svet elektronike in osebnih računalnikov. Preberi več hekerski sistem ima, postopek za prekinitev šifriranja bo še vedno trajal večno, v bistvu pa bodo napadi brutalne sile postali neuporabni.

Poleg tega LastPass ne izvaja samo algoritma hash-a enkrat, temveč ga tisoče na računalniku in nato še enkrat na strežniku.

Tu je opisano, kako je LastPass uporabnikom razložil svoj postopek v blogovski objavi po tem zadnjem napadu:

»Na uporabnikovem računalniku imamo tako uporabniško ime kot glavno geslo s 5.000 krogi PBKDF2-SHA256, algoritma za krepitev gesla. To ustvari ključ, na katerem izvedemo še en krog mešanja, da ustvarimo hash overjanje glavnega gesla.

The LastPass Help Desk ima objavo, v kateri je opisano, kako LastPass uporablja počasi mešanje:

LastPass se je odločil za SHA-256, počasnejši algoritem mešanja, ki zagotavlja večjo zaščito pred napadi grobe sile. LastPass uporablja funkcijo PBKDF2, implementirano s SHA-256, za pretvorbo glavnega gesla v šifrirni ključ.

To pomeni, da so vaša gesla kljub tej nedavni kršitvi varnosti še vedno zelo varna, čeprav vaš e-poštni naslov ni.

Kaj če je moje geslo šibko?

Na spletnem dnevniku LastPass je predstavljena ena odlična točka v zvezi s šibkimi gesli. Številni uporabniki so zaskrbljeni, da si niso zamislili dovolj edinstvenega gesla in da jih bodo ti hekerji lahko uganili brez veliko truda.

Obstaja tudi oddaljeno tveganje, da je vaš račun eden tistih, na katere hekerji zapravljajo svoj čas dešifrirati, in vedno obstaja možnost oddaljenja, da bi lahko uspešno pridobili vašega glavnega mojstra geslo. Kaj potem?

zadnja kršitev5

Zaključek je, da bi vse to zapravili, saj je za prijavo iz druge naprave potrebna potrditev prek e-pošte - vašega e-poštnega sporočila - preden je dostop odobren. Iz bloga LastPass:

»Če je napadalec poskušal dobiti dostop do vaših podatkov s pomočjo teh poverilnic za prijavo v svoje podatke LastPass račun jih ustavi z obvestilom, v katerem jih prosi, naj najprej preverijo svojo e-pošto naslov. "

Torej, razen če lahko nekako vdrejo v vaš e-poštni račun poleg dešifriranje skoraj neizčrpnega algoritma resnično nimate kaj skrbeti.

Ali naj spremenim glavno geslo?

Ne glede na to, ali želite spremeniti svoje glavno geslo, se resnično spusti do tega, kako paranoični ali nesrečni se počutite. Če menite, da ste morda tista nesrečna oseba, ki je svoje geslo pokvarilo nadarjene hekerje nekako razvozlati s 100.000 okroglimi načini mešanja LastPass in kodo soli, ki je edinstvena samo za vas?

Vsekakor, če vas skrbijo takšne stvari, spremenite geslo samo zaradi miru. Pomeni, da postaneta vsaj vaša sol in hašiš v rokah hekerjev neuporabna.

Vendar pa tam obstajajo varnostni strokovnjaki, ki sploh niso zaskrbljeni, na primer varnostni strokovnjak Jeremi Gosney v Strukturni skupini ki je povedal novinarjem:

»Privzeto je 5000 ponovitev, zato si ogledamo vsaj 105.000 ponovitev. Dejansko imam nastavljeno na 65.000 iteracij, torej skupaj 165.000 ponovitev, ki ščitijo moje geslo za Diceware. Torej ne, zagotovo se ne počutim te kršitve. Niti nisem prisiljen spremeniti svojega glavnega gesla. "

Edina resnična skrb, ki bi jo morali zaskrbiti zaradi kršitve podatkov, je, da imajo hekerji zdaj vaš e-poštni naslov, ki bi ga lahko uporabili za izvedbo množičnih phishing ekspedicij za poskus in prevarati ljudi, da se odpovedujejo različnim geslom za račun - ali pa morda storijo kaj tako vedrega kot prodajo vseh teh e-poštnih sporočil pošiljateljem neželene pošte trg.

Zaključno je, da tveganje zaradi tega vdora v varnost ostane minimalno, zahvaljujoč preveliki varnosti sistema LastPass. Toda zdrav razum pravi, da so kadarkoli hekerji pridobili podatke o vašem računu - zaščiteni celo na tisoče napredne kriptografske iteracije - vedno je dobro spremeniti glavno geslo, tudi če gre za mir.

Vas je zaradi kršitve varnosti LastPass zelo skrbela varnost LastPass ali ste prepričani v varnost svojega računa tam? Delite svoje misli in pomisleke v spodnjem razdelku s komentarji.

Slikovni sliki: prodrl v varnostno ključavnico prek Shutterstocka, Csehak Szabolcs prek Shutterstock, Bastian Weltjen prek Shutterstock, McIek prek Shutterstock, GlebStock prek Shutterstock, Benoit Daoust prek Shutterstocka

Ryan ima diplomo iz elektrotehnike. 13 let je delal v avtomatizacijskem inženiringu, 5 let v IT, zdaj pa je inženir Apps. Nekdanji glavni urednik MakeUseOf je govoril na nacionalnih konferencah o vizualizaciji podatkov in je bil predstavljen na nacionalni televiziji in radiu.