Reklaam

Kui olete üks tuhandetest LastPassi kasutajatest, kes on tänu peaaegu purunematu lubadustele tundnud Interneti kasutamist väga turvalisena turvalisuse huvides võite tunda end pisut vähem turvaliselt, teades, et 15. juunil teatas ettevõte, et nad avastasid nende sissetungimise serverid.

LastPass saatis kasutajatele algselt meilisõnumi, teatades neile, et ettevõte on tuvastanud kahtlase tegevus ”LastPassi serverites ning kasutajate e-posti aadressid ja parooli meeldetuletused olid rikutud.

Ettevõte kinnitas kasutajatele, et krüptitud võlvandmete andmeid ei ole ohustatud, kuid alates räsitud kasutajate paroolid Mida see MD5 räsitud asju tegelikult tähendab [tehnoloogia selgitus]Siin on MD5 täielik lammutamine, räsimine ja väike ülevaade arvutitest ja krüptograafiast. Loe rohkem oli hangitud, soovitas ettevõte kasutajatel ohutuse tagamiseks värskendada oma paroole.

LastPassi häkk selgitas

See pole esimene kord, kui LastPassi kasutajad muretsevad häkkerite pärast. Eelmisel aastal meie intervjueeris LastPassi tegevjuht Joe Siegrist

Joe Siegrist of LastPass: tõde teie paroolide turvalisuse kohta Loe rohkem pärast südamelöögi ohtu, kus tema kinnitus paneb kasutajate hirmud leebemaks.

Viimane rikkumine leidis aset hilja nädal enne teadaannet. Selleks ajaks, kui see avastati ja tuvastati kui turvarikkumine, olid ründajad pääsenud kasutajate e-posti aadresside, parooliga meeldetuletuse küsimuste / vastustega, räsinud kasutajate paroole ja krüptograafilised soolad Saage salajaseks steganograafiks: peitke ja krüpteerige oma failid Loe rohkem .

viimane läbimine-rikkumine1

Hea uudis on see, et LastPassi süsteemi turvalisus oli loodud selliste rünnakute vastu. Ainus viis lihtteksti paroolidele juurde pääsemiseks oleks häkkerite poolt dekrüptimine hästi turvatud paroolid Kasutage oma elu lihtsustamiseks paroolihaldusstrateegiatSuur osa paroolide kohta käivatest nõuannetest on olnud peaaegu võimatu järgida: kasutage tugevat parooli, mis sisaldab numbreid, tähti ja erimärke; muutke seda regulaarselt; tulla välja iga konto jaoks täiesti ainulaadne parool jne ... Loe rohkem .

Teie peamise parooli krüptimiseks kasutatava mehhanismi tõttu kulub selle dekrüpteerimiseks tohutul hulgal arvutiressursse - ressursid, millele enamikul väikestel või keskmise taseme häkkeritel pole juurdepääsu.

lastpass-rikkumine2

LastPassi kasutamisel olete nii kaitstud seetõttu, et seda mehhanismi, mis muudab põhiparooli nii raskeks saada, nimetatakse “aeglaseks segamiseks” või “soolaga segamiseks”.

Kuidas räsimine töötab?

LastPass kasutab ühte kõige turvalisemat krüptimismeetodit maailmas, mida nimetatakse soolaga segamiseks.

viimane pass-rikkumine3

„Sool” on kood, mis on loodud krüptograafia tööriista abil - omamoodi edasijõudnutele juhuslike arvude generaator 5 parimat parooligeneraatorit tugeva juhusliku parooli jaoksKas otsite viisi purunematu parooli kiireks loomiseks? Proovige ühte neist veebipõhistest parooligeneraatoritest. Loe rohkem mis on loodud spetsiaalselt turvalisuse tagamiseks, kui soovite. Need tööriistad loovad ülemparooli loomisel täiesti ettearvamatuid koode.

Oma konto loomisel juhtub see, et parool on räsitud, kasutades ühte neist juhuslikult loodud (ja väga pikkadest) „sooladest” numbritega. Neid ei kasutata kunagi uuesti - need on unikaalsed iga kasutaja ja iga parooli jaoks. Lõpuks leiate kasutajakonto tabelist ainult soola ja räsi.

Teie põhiparooli tegelikku tekstiversiooni ei salvestata kunagi LastPassi serveritesse, nii et häkkeritel pole sellele juurdepääsu. Kõik, mis neil sissetungimisel õnnestus saada, on need juhuslikud soolad ja kodeeritud räsi.

Ainuke viis, kuidas LastPass (või keegi teine) teie parooli kinnitada saab:

  1. Tooge räsi ja sool kasutajatabelist.
  2. Kasutage soola paroolis, mille kasutaja sisestab, räsides seda sama räsifunktsiooni abil, mida kasutati parooli genereerimisel.
  3. Saadud räsi võrreldakse salvestatud räsiga, et näha, kas see sobib.

Tänapäeval suudavad häkkerid tekitada miljardeid räsi sekundis, nii et miks ei saaks häkker lihtsalt julma jõu abil murda need paroolid lahti Ophcrack - parooliga häkimise tööriist peaaegu kõigi Windowsi paroolide purustamiseksPõhjuseid, miks võiks Windowsi paroolide häkkimiseks kasutada suvalist arvu parooli häkkimise tööriistu, on palju ja erinevaid. Loe rohkem ? See lisaturvalisus on tänu aeglasele räsimisele.

Miks aeglane räsimine teid kaitseb

Niisuguse rünnaku korral kaitseb teid tõesti LastPassi turvalisuse aeglase kiirusega osa.

lastpass-rikkumine4

LastPass paneb parooli kinnitamiseks (või loomiseks) kasutatava räsifunktsiooni töötama väga aeglaselt. See paneb sisuliselt pausi mis tahes kiirele, jõhkrale jõududele, mis vajavad miljardeid võimalikke räsi läbi pumpamiseks kiirust. Vahet pole kui palju arvutusvõimet Viimane arvutitehnoloogia, mida peate uskumaVaadake mõnda uusimat arvutitehnoloogiat, mis on lähiaastatel muudetud elektroonika ja personaalarvutite maailma muutmiseks. Loe rohkem häkkerite süsteemil, võtab krüptimise purustamise protsess ikkagi igavesti, muutes sisuliselt julma jõu rünnakud kasutuks.

Lisaks ei käivita LastPass lihtsalt räsialgoritmi üks kord, nad käitavad seda tuhandeid kordi teie arvutis ja seejärel uuesti serveris.

Nii selgitas LastPass kasutajatele omaenda protsessi ajaveebi postituses pärast seda viimast rünnakut:

„Räsime nii kasutajanime kui ka parooli kasutaja arvutis 5000 vooru paroolide tugevdamise algoritmiga PBKDF2-SHA256. See loob võtme, mille abil teostame veel ühe räsimise ringi, et genereerida põhiparooli autentimise räsi. "

LastPassi kasutajatugi omab postitust, milles kirjeldatakse, kuidas LastPass aeglaselt räsimist kasutab:

LastPass on otsustanud kasutada aeglasemat räsimisalgoritmi SHA-256, mis pakub suuremat kaitset julma jõu rünnakute vastu. LastPass kasutab SHA-256-ga rakendatud funktsiooni PBKDF2, et muuta oma parool krüptimisvõtmeks.

See tähendab, et vaatamata hiljutisele turvarikkumisele on teie paroolid ikkagi väga turvalised, isegi kui teie e-posti aadressi pole.

Mis siis, kui mu parool on nõrk?

LastPassi ajaveebis on esile toodud üks suurepärane punkt nõrkade paroolide kohta. Paljud kasutajad on mures, et nad ei unistanud piisavalt unikaalset parooli ja et need häkkerid saavad selle ilma suure vaevata ära arvata.

Samuti on kaudne oht, et teie konto on üks neist, mille häkkerid raiskavad oma aega proovides dekrüptimiseks ja alati on olemas võimalus, et nad saavad teie meistri edukalt hankida parool. Mis siis saab?

lastpass-rikkumine5

Põhimõte on see, et kõik need jõupingutused läheksid raisku, kuna teisest seadmest sisselogimisel tuleb enne juurdepääsu lubamist kontrollida e-posti teel - teie e-posti teel. LastPassi ajaveebist

„Kui ründaja üritas teie andmetele juurdepääsu saada, kasutades neid volikirju teie sisselogimiseks LastPassi konto peatatakse nende teavitusega, milles palutakse neil kõigepealt oma e-posti aadress kinnitada aadress. ”

Niisiis, kui nad ei saa kuidagi teie e-posti kontole sisse tungida lisaks dekrüpteerides peaaegu väljalõikamatu algoritmi, pole teil tegelikult üldse midagi muretseda.

Kas ma peaksin muutma oma parooli?

See, kas soovite oma parooli muuta või mitte, sõltub sellest, kui paranoiline või õnnetu tunnete. Kui arvate, et võite olla see õnnetu inimene, kelle parool on hävinud andekate häkkerite poolt, kes seda suudavad kuidagi dešifreerida LastPassi 100 000 ümmarguse räsimisprotseduuri ja soolakoodi kaudu, mis on ainulaadne ainult teile?

Muidugi, kui muretsete selliste asjade pärast, muutke oma parooli ainult meelerahu saavutamiseks. See tähendab, et vähemalt teie sool ja räsi häkkerite käes muutuvad kasutuks.

Siiski leidub seal turbeeksperte, kes pole üldse sellega seotud, näiteks turbeekspert Jeremi Gosney Structure Groupis kes ütles ajakirjanikele:

„Vaikeväärtus on 5000 iteratsiooni, seega vaatame vähemalt 105 000 iteratsiooni. Mul on tegelikult minu seadistatud 65 000 iteratsiooni, see tähendab, et minu Diceware parooli kaitseb kokku 165 000 iteratsiooni. Nii et ei, ma ei higista seda rikkumist kindlasti. Ma pole isegi sunnitud oma peamist parooli vahetama. ”

Ainus mure, mis teil selle andmerikkumise pärast peaks muretsema, on see, et häkkeritel on nüüd teie e-posti aadress, mida nad saaksid kasutada massiliste andmepüügiekspeditsioonide läbiviimiseks, et proovida ja petke inimesi loobuma oma erinevatest kontoparoolidest - või võib-olla teevad nad midagi nii igapäevast, kui müüvad kõiki neid kasutajameilisõnumeid rämpspostitajatele turg.

Lõppkokkuvõttes võib öelda, et selle turvarikkumisega seotud risk jääb minimaalseks tänu LastPassi süsteemi ülekaalukale turvalisusele. Kuid terve mõistus ütleb, et häkkerid on teie konto üksikasjad hankinud - isegi tuhandete kaudu kaitstud täpsemad krüptograafilised iteratsioonid - põhiparooli on alati hea muuta, isegi kui see on meelerahu huvides.

Kas LastPassi turvarikkumine pani teid LastPassi turvalisuse pärast väga muretsema või olete kindel seal asuva konto turvalisuses? Jagage oma mõtteid ja muresid allpool olevas kommentaaride jaotises.

Pildikrediidid: tunginud turvaslukk Shutterstocki kaudu, Csehak Szabolcs Shutterstocki kaudu, Bastian Weltjen Shutterstocki kaudu, McIek Shutterstocki kaudu, GlebStock Shutterstocki kaudu, Benoit Daoust Shutterstocki kaudu

Ryanil on bakalaureuse kraad elektrotehnika alal. Ta on töötanud 13 aastat automatiseerimise alal, 5 aastat IT alal ja on nüüd rakenduste insener. MakeUseOfi endine tegevtoimetaja, ta on rääkinud andmete visualiseerimise riiklikel konverentsidel ja teda on kajastatud üleriigilises televisioonis ja raadios.