Startseite Bezpečnostní Je porušen LastPass Potřebujete změnit hlavní heslo?

Je porušen LastPass Potřebujete změnit hlavní heslo?

  • Lesley Fowler
  • 0
  • 2920
  • 389
reklama

Pokud jste jedním z tisíců uživatelů LastPass, kteří se cítili velmi bezpečně pomocí Internetu díky příslibům téměř nerozbitného zabezpečení, můžete se cítit trochu méně bezpečně s vědomím, že 15. června společnost oznámila, že zjistili vniknutí do jejich servery.

LastPass zpočátku zaslal uživatelům e-mailové upozornění s upozorněním, že společnost zjistila “podezřelá aktivita” na serverech LastPass a že e-mailové adresy uživatelů a připomenutí hesla byly ohroženy.

Společnost ujistila uživatele, že nebyla ohrožena žádná šifrovaná data úschovny, ale protože hashovaná uživatelská hesla Co to všechno MD5 hash věci ve skutečnosti znamená [technologie vysvětlil] Co všechno to MD5 hash věci ve skutečnosti znamená [technologie vysvětleno] Zde je kompletní vyčerpání MD5, hashování a malý přehled počítačů a kryptografie. byla získána, společnost doporučila uživatelům aktualizovat jejich hlavní hesla, jen aby byla bezpečná.

LastPass Hack vysvětlil

Toto není poprvé, co se uživatelé LastPass obávali hackerů. V loňském roce jsme hovořili s generálním ředitelem LastPass Joe Siegristem Joe Siegristem z LastPass: Pravda o bezpečnosti vašeho hesla Joe Siegrist z LastPass: Pravda o vašem bezpečí heslem po hrozbě Heartbleed, kde jeho ujištění ulehčila uživatelům obavy..

K tomuto poslednímu porušení došlo koncem týdne před oznámením. Než byl útočník detekován a identifikován jako bezpečnostní narušení, dostal e-mailové adresy uživatelů, dotazy / odpovědi na připomenutí hesla, hashed hesla uživatelů a kryptografické soli Staňte se tajným steganographerem: Skrýt a šifrovat vaše soubory Stát se tajným steganographerem: Skrýt a šifrovat soubory .

Dobrou zprávou je, že zabezpečení systému LastPass bylo navrženo tak, aby odolávalo těmto útokům. Jediným způsobem, jak získat přístup k heslům prostého textu, by bylo, kdyby hackeři dešifrovali dobře zabezpečená hlavní hesla. Použijte strategii správy hesel ke zjednodušení svého života. Použijte strategii správy hesel ke zjednodušení svého života. Mnoho rad ohledně hesel bylo blízko. - nelze následovat: použijte silné heslo obsahující čísla, písmena a speciální znaky; pravidelně měňte; přijít s naprosto jedinečným heslem pro každý účet atd ... .

Kvůli mechanismu použitému k šifrování hlavního hesla by bylo nutné jej dešifrovat pomocí obrovského množství počítačových zdrojů - prostředků, k nimž většina malých a středních hackerů nemá přístup..

Důvod, proč jste při používání LastPassu tak chráněni, je ten, že se nazývá tento mechanismus, který ztěžuje získání hlavního hesla “pomalé hašování” nebo “hashování solí.”

Jak Hashing funguje

LastPass používá jednu z nejbezpečnějších šifrovacích technik na světě, tzv. Hashování solí.

“sůl” je kód, který je generován pomocí kryptografického nástroje - druh pokročilého generátoru náhodných čísel 5 nejlepších online generátorů hesel pro silná náhodná hesla 5 nejlepších online generátorů hesel pro silná náhodná hesla Hledáte způsob, jak rychle vytvořit nerozbitné heslo? Vyzkoušejte jeden z těchto generátorů hesel online. vytvořeno speciálně pro zabezpečení, pokud chcete. Tyto nástroje vytvářejí při vytváření hlavního hesla zcela nepředvídatelné kódy.

Při vytváření účtu se stane heslo “hashed” pomocí jednoho z těchto náhodně vygenerovaných (a velmi dlouhých) “sůl” čísla. Nikdy se znovu nepoužívají - jsou jedinečné pro každého uživatele a každé heslo. Nakonec v tabulce uživatelských účtů najdete pouze sůl a hash.

Skutečná textová verze vašeho hlavního hesla není nikdy uložena na serverech LastPass, takže k němu hackeři nemají přístup. Jediné, co dokázali v tomto průniku získat, jsou tyto náhodné soli a kódované hashe.

Jediným způsobem, jak LastPass (nebo kdokoli) může ověřit vaše heslo, je:

  1. Načtěte hash a sůl z tabulky uživatelů.
  2. Použijte sůl na heslo, které uživatel zadává, hashujte pomocí stejné hashovací funkce, která byla použita při vygenerování hesla.
  3. Výsledný hash se porovná s uloženým hashem, aby se zjistilo, zda se jedná o shodu.

V dnešní době jsou hackeři schopni generovat miliardy hashů za sekundu, tak proč hacker nemůže použít brutální sílu k prasknutí těchto hesel. Téměř libovolné heslo pro Windows Existuje mnoho různých důvodů, proč by někdo chtěl použít libovolný počet nástrojů pro hackování hesel k prolomení hesla pro Windows. ? Toto zvláštní zabezpečení je díky pomalému hašování.

Proč vás pomalé hašení chrání

Při útoku, jako je tento, je to opravdu pomalá hašovací část zabezpečení LastPass, která vás skutečně chrání.

LastPass způsobuje, že hašovací funkce používaná k ověření hesla (nebo k jeho vytvoření) funguje velmi pomalu. To v podstatě staví přestávky na jakoukoli operaci vysokorychlostní, hrubou silou, která vyžaduje rychlost, aby mohla čerpat miliardy možných hashů. Bez ohledu na to, kolik výpočetní síly Nejnovější počítačová technologie musíte věřit Nejnovější počítačová technologie musíte věřit Podívejte se na některé z nejnovějších počítačových technologií, které jsou nastaveny k transformaci světa elektroniky a počítačů v příštích několika letech . hackerský systém má, proces přerušení šifrování bude trvat věčně, což v podstatě činí útoky brutální síly zbytečné.

A co víc, LastPass nespustí hashovací algoritmus jednou, spouští jej tisícekrát ve vašem počítači a pak znovu na serveru.

Takto LastPass vysvětlil uživatelům svůj vlastní postup v blogovém příspěvku po tomto posledním útoku:

“Máme hash uživatelské jméno a hlavní heslo v počítači uživatele s 5000 kol PBKDF2-SHA256, algoritmus pro posílení hesla. Tím se vytvoří klíč, na kterém provedeme další kolo hašování, pro vygenerování hash autentizace pomocí hlavního hesla.”

Help Desk LastPass obsahuje příspěvek, který popisuje, jak LastPass využívá pomalé hašování:

LastPass se rozhodl používat SHA-256, pomalejší hashovací algoritmus, který poskytuje větší ochranu před útoky brutální síly. LastPass využívá funkci PBKDF2 implementovanou s SHA-256 k přeměně hlavního hesla na šifrovací klíč.

To znamená, že navzdory tomuto nedávnému narušení bezpečnosti jsou vaše hesla do značné míry stále velmi bezpečná, i když vaše e-mailová adresa není.

Co když je moje heslo slabé?

Na blogu LastPass se objevil jeden vynikající bod týkající se slabých hesel. Mnoho uživatelů se obává, že nesnívali dostatečně jedinečné heslo a že tito hackeři budou schopni to uhodnout bez velkého úsilí.

Existuje také vzdálené riziko, že váš účet je jedním z těch, které hackeři ztrácí čas pokusem o dešifrování, a vždy existuje vzdálená možnost, že by mohli úspěšně získat vaše hlavní heslo. Co pak?

Pointa je, že veškeré úsilí by bylo zbytečné, protože přihlášení z jiného zařízení vyžaduje ověření e-mailem - e-mailem - před udělením přístupu. Z blogu LastPass:

“Pokud by se útočník pokusil získat přístup k vašim datům pomocí těchto přihlašovacích údajů k přihlášení k vašemu účtu LastPass, zastavilo by se jim oznámení s výzvou, aby nejprve ověřili svou e-mailovou adresu.”

Pokud tedy nemohou nějak zasáhnout do vašeho e-mailového účtu navíc dešifrování téměř neřešitelného algoritmu, opravdu se nemusíte vůbec obávat.

Měl bych změnit své hlavní heslo?

Ať už si přejete změnit své hlavní heslo, opravdu se vám sníží, jak se cítíte paranoidní nebo nešťastní. Pokud si myslíte, že byste mohli být jedinou nešťastnou osobou, která má rozbité heslo talentovanými hackery, kteří jsou schopni nějak dešifrovat 100 000 hasicí rutinu LastPass a slaný kód, který je jedinečný právě pro vás?

V každém případě, pokud se o takové věci bojíte, změňte heslo pouze pro klid. Bude to znamenat, že alespoň vaše sůl a hash se v rukou hackerů stane zbytečnými.

Existují však odborníci na bezpečnost, kteří se jich vůbec nezajímají, jako například odborník na bezpečnost Jeremi Gosney ve společnosti Structure Group, který novinářům řekl:

“Výchozí hodnota je 5 000 iterací, takže minimálně sledujeme 105 000 iterací. Vlastně mám svůj nastaven na 65 000 iterací, takže to je celkem 165 000 iterací chránících moje přístupové fráze Diceware. Takže ne, rozhodně toto pocení nepotímu. Ani se necítím nucen změnit své hlavní heslo.”

Jediným skutečným problémem, který byste měli mít v souvislosti s tímto porušením dat, je to, že hackeři nyní mají vaši e-mailovou adresu, kterou by mohli použít k provádění hromadných phishingových expedic, aby se pokusili přimět lidi, aby se vzdali různých hesel účtu - nebo možná mohou udělat něco běžného jako prodej všech těchto uživatelských e-mailů spammerům na černém trhu.

Pointa je, že riziko z tohoto narušení bezpečnosti zůstává minimální, a to díky ohromující bezpečnosti systému LastPass. Ale zdravý rozum říká, že kdykoli hackeři získali podrobnosti o vašem účtu - dokonce chráněni tisíci pokročilých kryptografických iterací - je vždy dobré změnit své hlavní heslo, i když je to pro klid.

Dostali jste se do narušení bezpečnosti LastPassu velmi starostí o bezpečnost LastPassu nebo jste si jisti bezpečností vašeho účtu? Podělte se o své myšlenky a obavy v sekci níže.

Obrazové kredity: proniknutý bezpečnostní zámek přes Shutterstock, Csehak Szabolcs přes Shutterstock, Bastian Weltjen přes Shutterstock, McIek přes Shutterstock, GlebStock přes Shutterstock, Benoit Daoust přes Shutterstock




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

5 připravovaných technologických inovací, které si zamilujete
Vysvětlená technologie
Google Jibe se zde rozloučí se zprávami SMS a MMS
Vysvětlená technologie
Jak opravit hraní her a videa pomocí nástroje Easy Router Tweak
Vysvětlená technologie
O moderní technologii, jednoduché a cenově dostupné.
Váš průvodce ve světě moderních technologií. Naučte se, jak používat technologie a pomůcky, které nás každý den obklopují, a naučte se, jak objevovat na internetu zajímavé věci.