Εάν είστε ένας από τους χιλιάδες χρήστες του LastPass που αισθάνεστε πολύ ασφαλείς χρησιμοποιώντας το Διαδίκτυο χάρη στις υποσχέσεις για σχεδόν άθραυστη ασφάλεια, μπορεί να αισθανθείτε λίγο λιγότερο ασφαλείς γνωρίζοντας ότι στις 15 Ιουνίου, η εταιρεία ανακοίνωσε ότι ανίχνευσαν εισβολή τους διακομιστές τους.
Η LastPass έστειλε αρχικά μια ειδοποίηση μέσω ηλεκτρονικού ταχυδρομείου στους χρήστες, συμβουλεύοντας τους ότι η εταιρεία είχε εντοπίσει "ύποπτη δραστηριότητα" στους διακομιστές LastPass και ότι οι διευθύνσεις ηλεκτρονικού ταχυδρομείου και οι υπενθυμίσεις κωδικού πρόσβασης των χρηστών είχαν παραβιαστεί.
Η εταιρεία διαβεβαίωσε τους χρήστες ότι δεν υπήρχαν κρυπτογραφημένα δεδομένα θωράκισης, αλλά δεδομένου ότι οι κωδικοί πρόσβασης που είχαν χρεωθεί Χρήστες Τι όλα αυτά τα MD5 Hash Stuff πραγματικά σημαίνει [Technology Explained] Τι όλα αυτά τα MD5 Hash Stuff πραγματικά σημαίνει [Technology Explained] Εδώ είναι μια πλήρη εξάντληση των MD5, hashing και μια μικρή επισκόπηση των υπολογιστών και της κρυπτογράφησης. Διαβάστε περισσότερα είχαν ληφθεί, η εταιρεία συνέστησε στους χρήστες να ενημερώσουν τους κύριους κωδικούς πρόσβασης τους, για να είναι ασφαλείς.
Η Εξέλιξη του LastPass Hack
Δεν είναι η πρώτη φορά που οι χρήστες του LastPass ανησυχούσαν για τους χάκερ. Πέρυσι, πραγματοποιήσαμε συνέντευξη από τον Διευθύνοντα Σύμβουλο LastPass Joe Siegrist Joe Siegrist του LastPass: Η αλήθεια για την ασφάλεια του κωδικού πρόσβασης Joe Siegrist of LastPass: Η αλήθεια για την ασφάλεια του κωδικού πρόσβασης Διαβάστε περισσότερα μετά την απειλή Heartbleed, όπου οι διαβεβαιώσεις του θέτουν τους φόβους των χρηστών άνετα.
Αυτή η τελευταία παραβίαση πραγματοποιήθηκε αργά την εβδομάδα πριν από την ανακοίνωση. Μέχρι τη στιγμή που ανιχνεύτηκε και εντοπίστηκε ως εισβολή ασφαλείας, οι επιτιθέμενοι είχαν πάρει μαζί τους τις διευθύνσεις ηλεκτρονικού ταχυδρομείου των χρηστών, τις ερωτήσεις / απαντήσεις με κωδικό πρόσβασης, τους κωδικούς πρόσβασης με χτύπημα των χρηστών και τα κρυπτογραφικά άλατα Γίνετε μυστικοί Steganographer: Απόκρυψη και κρυπτογράφηση των αρχείων σας Γίνετε μυστικοί Steganographer: Απόκρυψη και κρυπτογράφηση των αρχείων σας Διαβάστε περισσότερα.
Τα καλά νέα είναι ότι η ασφάλεια του συστήματος LastPass σχεδιάστηκε για να αντέχει σε τέτοιες επιθέσεις. Ο μόνος τρόπος για να αποκτήσετε πρόσβαση στους κωδικούς πρόσβασης απλού κειμένου θα ήταν για τους χάκερ να αποκρυπτογραφήσουν τους καλά κρυπτογραφημένους κύριους κωδικούς πρόσβασης Χρησιμοποιήστε μια στρατηγική διαχείρισης κωδικού πρόσβασης για να απλοποιήσετε τη ζωή σας Χρησιμοποιήστε μια στρατηγική διαχείρισης κωδικού πρόσβασης για να απλοποιήσετε τη ζωή σας Μεγάλη από τις συμβουλές γύρω από τους κωδικούς πρόσβασης ήταν κοντά -αυτό δεν είναι δυνατό να ακολουθήσετε: χρησιμοποιήστε έναν ισχυρό κωδικό πρόσβασης που περιέχει αριθμούς, γράμματα και ειδικούς χαρακτήρες. να το αλλάζετε τακτικά. καταλήξουμε σε έναν εντελώς μοναδικό κωδικό πρόσβασης για κάθε λογαριασμό κλπ .... Διαβάστε περισσότερα.
Λόγω του μηχανισμού που χρησιμοποιείται για την κρυπτογράφηση του κύριου κωδικού πρόσβασής σας, θα χρειαστούν τεράστιες ποσότητες πόρων υπολογιστή για να αποκρυπτογραφηθεί - οι πόροι που δεν έχουν πρόσβαση οι περισσότεροι χάκερ μικρού ή μεσαίου επιπέδου.
Ο λόγος που είστε τόσο προστατευμένος όταν χρησιμοποιείτε το LastPass είναι επειδή ο μηχανισμός που κάνει τον κύριο κωδικό πρόσβασης τόσο δύσκολο να αποκτήσει ονομάζεται "αργός hashing" ή "hashing με αλάτι".
Πώς λειτουργεί το Hashing
Το LastPass χρησιμοποιεί μία από τις πιο ασφαλείς τεχνικές κρυπτογράφησης στον κόσμο, που ονομάζεται hashing με αλάτι.
Το "αλάτι" είναι ένας κώδικας που δημιουργείται χρησιμοποιώντας ένα εργαλείο κρυπτογράφησης - ένα είδος προηγμένης γεννήτριας τυχαίων αριθμών. 5 Γεννήτορες δωρεάν κωδικού πρόσβασης για σχεδόν απαραβίαστους κωδικούς πρόσβασης 5 Δωρεάν γεννήτριες κωδικού πρόσβασης για σχεδόν απαραβίαστους κωδικούς πρόσβασης Διαβάστε περισσότερα δημιουργήθηκαν ειδικά για ασφάλεια, αν θέλετε. Αυτά τα εργαλεία δημιουργούν εντελώς απρόβλεπτους κωδικούς όταν δημιουργείτε τον κύριο κωδικό πρόσβασης.
Τι συμβαίνει όταν δημιουργείτε το λογαριασμό σας είναι ότι ο κωδικός πρόσβασης "έχει χαστούκι" χρησιμοποιώντας έναν από αυτούς τους τυχαία παραγόμενους (και πολύ μακρινούς) "αλατούχους" αριθμούς. Αυτά δεν ξαναχρησιμοποιούνται - είναι μοναδικά για κάθε χρήστη και κάθε κωδικό πρόσβασης. Τέλος, στον πίνακα λογαριασμού χρήστη, θα βρείτε μόνο το αλάτι και το hash.
Η πραγματική έκδοση κειμένου του κύριου κωδικού πρόσβασης σας δεν αποθηκεύεται ποτέ στους διακομιστές LastPass, οπότε οι χάκερ δεν έχουν πρόσβαση σε αυτόν. Όλα αυτά ήταν σε θέση να λάβουν σε αυτή την εισβολή είναι αυτά τα τυχαία άλατα, και τα κωδικοποιημένα hashes.
Έτσι, ο μόνος τρόπος για τον LastPass (ή για οποιονδήποτε) να επικυρώσει τον κωδικό πρόσβασής σας είναι:
- Ανακτήσετε το hash και το αλάτι από τον πίνακα χρηστών.
- Χρησιμοποιήστε το αλάτι στον κωδικό πρόσβασης που ο χρήστης πληκτρολογεί, έχοντας το ίδιο χρησιμοποιώντας την ίδια λειτουργία κατακερματισμού που χρησιμοποιήθηκε όταν δημιουργήθηκε ο κωδικός πρόσβασης.
- Η προκύπτουσα κατακερματισμός γίνεται σε σύγκριση με τον αποθηκευμένο κατακερματισμό για να διαπιστωθεί αν πρόκειται για αντιστοίχιση.
Αυτές τις μέρες, οι χάκερ είναι σε θέση να παράγουν δισεκατομμύρια hashes ανά δευτερόλεπτο, οπότε γιατί δεν μπορεί ένας χάκερ να χρησιμοποιήσει μόνο βίαιη δύναμη για να σπάσει αυτούς τους κωδικούς πρόσβασης Ophcrack - Ένα εργαλείο Hack Password να Crack σχεδόν κάθε κωδικό πρόσβασης του Windows Ophcrack - Σχεδόν οποιοσδήποτε κωδικός πρόσβασης στα Windows Υπάρχουν πολλοί διαφορετικοί λόγοι για τους οποίους κάποιος θα ήθελε να χρησιμοποιήσει οποιοδήποτε αριθμό εργαλείων hack με κωδικό πρόσβασης για να αποκρύψει έναν κωδικό πρόσβασης των Windows. Διαβάστε περισσότερα ? Αυτή η πρόσθετη ασφάλεια είναι χάρη στον αργό ρυθμό.
Γιατί το αργό-Hashing σας προστατεύει
Σε μια τέτοια επίθεση, είναι πραγματικά το αργό τμήμα της ασφάλειας του LastPass που πραγματικά σας προστατεύει.
Το LastPass κάνει τη λειτουργία κατακερματισμού που χρησιμοποιείται για την επαλήθευση του κωδικού πρόσβασης (ή τη δημιουργία του) να λειτουργεί πολύ αργά. Αυτό ουσιαστικά θέτει τα διαλείμματα σε οποιαδήποτε λειτουργία μεγάλης ταχύτητας, βίαιης δύναμης που απαιτεί ταχύτητα για να αντλήσει δισεκατομμύρια πιθανές χασίς. Δεν έχει σημασία πόση υπολογιστική ισχύς Η Τελευταία Τεχνολογία Υπολογιστών πρέπει να δείτε για να πιστέψετε την Τελευταία Τεχνολογία Υπολογιστών που πρέπει να δείτε για να πιστέψετε Δείτε μερικές από τις τελευταίες τεχνολογίες υπολογιστών που έχουν τεθεί για να μεταμορφώσουν τον κόσμο των ηλεκτρονικών και των υπολογιστών τα επόμενα χρόνια . Διαβάστε περισσότερα το σύστημα του χάκερ έχει, η διαδικασία για να σπάσει την κρυπτογράφηση θα εξακολουθήσει να παίρνει για πάντα, ουσιαστικά καθιστώντας άχρηστες επιθέσεις βίας-δύναμης.
Εκτός από αυτό, το LastPass δεν τρέχει μόνο τον αλγόριθμο κατακερματισμού μία φορά, το τρέχει χιλιάδες φορές στον υπολογιστή σας και στη συνέχεια ξανά στο διακομιστή.
Δείτε πώς η LastPass εξήγησε τη δική της διαδικασία στους χρήστες σε μια ανάρτηση ιστολογίου μετά από αυτήν την τελευταία επίθεση:
"Έχουμε κατατεθεί τόσο ο κωδικός πρόσβασης όσο και ο κύριος κωδικός πρόσβασης στον υπολογιστή του χρήστη με 5.000 γύρους PBKDF2-SHA256, έναν αλγόριθμο ενίσχυσης κωδικού πρόσβασης. Αυτό δημιουργεί ένα κλειδί, στο οποίο εκτελούμε έναν άλλο γύρο εξαναγκασμού, για να δημιουργήσουμε το hash επικύρωσης κύριου κωδικού πρόσβασης. "
Το LastPass Help Desk έχει μια θέση που περιγράφει τον τρόπο με τον οποίο το LastPass χρησιμοποιεί αργούς ρυθμούς:
Το LastPass επέλεξε να χρησιμοποιήσει το SHA-256, έναν πιο αργό αλγόριθμο κατακερματισμού που παρέχει μεγαλύτερη προστασία από επιθέσεις βίαιης βίας. Το LastPass χρησιμοποιεί τη λειτουργία PBKDF2 που εφαρμόζεται με το SHA-256 για να μετατρέψει τον κύριο κωδικό πρόσβασης στο κλειδί κρυπτογράφησης.
Αυτό σημαίνει ότι παρά την πρόσφατη παραβίαση της ασφάλειας, οι κωδικοί πρόσβασης είναι πολύ ασφαλείς ακόμα και αν η διεύθυνση ηλεκτρονικού ταχυδρομείου σας δεν είναι.
Τι εάν ο κωδικός μου είναι αδύναμος;
Υπάρχει ένα εξαιρετικό σημείο που εμφανίζεται στο blog του LastPass σχετικά με τους αδύναμους κωδικούς πρόσβασης. Πολλοί χρήστες ανησυχούν ότι δεν είχαν ονειρεύσει έναν μοναδικό αρκετά κωδικό πρόσβασης και ότι αυτοί οι χάκερ θα μπορέσουν να το μαντέψουν χωρίς πολύ μεγάλη προσπάθεια.
Υπάρχει επίσης ο απομακρυσμένος κίνδυνος ότι ο λογαριασμός σας είναι ένας από εκείνους που χάκερ χάνουν χρόνο προσπαθώντας να αποκρυπτογραφήσουν και υπάρχει πάντα η μεγάλη πιθανότητα ότι θα μπορούσαν να αποκτήσουν επιτυχώς τον κύριο κωδικό πρόσβασης. Τι τότε?
Η κατώτατη γραμμή είναι ότι όλη αυτή η προσπάθεια θα χαθεί, καθώς η σύνδεση από άλλη συσκευή απαιτεί επαλήθευση μέσω ηλεκτρονικού ταχυδρομείου - το email σας - προτού παραχωρηθεί η πρόσβαση. Από το blog του LastPass:
"Εάν ο εισβολέας προσπάθησε να αποκτήσει πρόσβαση στα δεδομένα σας χρησιμοποιώντας αυτά τα διαπιστευτήρια για να συνδεθεί στο λογαριασμό σας στο LastPass, θα σταματούσαν με μια ειδοποίηση που θα τους ζητούσε να επαληθεύσουν πρώτα τη διεύθυνση ηλεκτρονικού ταχυδρομείου τους".
Έτσι, αν δεν μπορούν να χάσουν με κάποιο τρόπο στο λογαριασμό σας ηλεκτρονικού ταχυδρομείου εκτός από την αποκρυπτογράφηση ενός σχεδόν μη επεξεργάσιμου αλγορίθμου, δεν έχετε τίποτα να ανησυχείτε.
Πρέπει να αλλάξω τον κύριο κωδικό μου;
Είτε θέλετε να αλλάξετε τον κύριο κωδικό σας είτε όχι, βράζει πραγματικά για το πόσο παρανοϊκό ή άτυχο αισθάνεστε. Αν νομίζετε ότι μπορεί να είστε ο άτυχος άνθρωπος που έχει σπάσει τον κωδικό του από ταλαντούχους hackers που είναι σε θέση να αποκρυπτογραφήσουν κατά κάποιον τρόπο μέσω του 100, 000 στρογγυλεμένων συρραπτικών στροβιλισμού του LastPass και ενός κωδικού άλατος που είναι μοναδικό μόνο για εσάς;
Με κάθε τρόπο, εάν ανησυχείτε για τέτοια πράγματα, αλλάξτε τον κωδικό πρόσβασής σας μόνο για την ειρήνη του μυαλού. Αυτό σημαίνει ότι τουλάχιστον το αλάτι και το hash σας, στα χέρια των χάκερ, γίνεται άχρηστο.
Εντούτοις, υπάρχουν εμπειρογνώμονες ασφαλείας εκεί έξω που δεν ενδιαφέρονται καθόλου, όπως ο εμπειρογνώμονας ασφαλείας Jeremi Gosney πέρα από τη δομή ομάδα που δήλωσε στους δημοσιογράφους:
"Η προεπιλογή είναι 5.000 επαναλήψεις, οπότε τουλάχιστον εξετάζουμε 105.000 επαναλήψεις. Έχω στην πραγματικότητα το δικό μου που σε 65.000 επαναλήψεις, έτσι αυτό είναι ένα σύνολο 165.000 επαναλήψεις προστασία κωδικό πρόσβασης Diceware μου. Έτσι όχι, σίγουρα δεν αισθάνομαι την εφίδρωση. Δεν αισθάνομαι καν υποχρεωμένος να αλλάξω τον κύριο κωδικό μου. "
Η μόνη πραγματική ανησυχία που πρέπει να έχετε σχετικά με αυτήν την παραβίαση δεδομένων είναι ότι οι χάκερ έχουν τώρα τη διεύθυνση ηλεκτρονικού ταχυδρομείου σας, την οποία θα μπορούσαν να χρησιμοποιήσουν για τη διεξαγωγή μαζικών αποστολών ηλεκτρονικού ψαρέματος για να προσπαθήσουν και να εξαπατήσουν τους ανθρώπους να εγκαταλείψουν τους διάφορους κωδικούς πρόσβασης λογαριασμού τους - ή ίσως να κάνουν κάτι σαν εγκόσμιο καθώς πωλεί όλα αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου στους χρήστες spammers στη μαύρη αγορά.
Η κατώτατη γραμμή είναι ότι ο κίνδυνος από αυτή την εισβολή ασφαλείας παραμένει ελάχιστος, χάρη στη συντριπτική ασφάλεια του συστήματος LastPass. Αλλά η κοινή λογική λέει ότι κάθε φορά που οι χάκερ έχουν αποκτήσει τα στοιχεία του λογαριασμού σας - ακόμα και προστατεύονται μέσω χιλιάδων προηγμένων κρυπτογραφικών επαναλήψεων - είναι πάντα καλό να αλλάζετε τον κύριο κωδικό πρόσβασης, ακόμα κι αν πρόκειται για την ειρήνη του μυαλού.
Μήπως η παραβίαση ασφαλείας του LastPass σας απασχολεί πολύ για την ασφάλεια του LastPass, ή είστε σίγουροι για την ασφάλεια του λογαριασμού σας εκεί; Μοιραστείτε τις σκέψεις και τις ανησυχίες σας στην παρακάτω ενότητα σχολίων.
Πιστωτικές κάρτες: διείσδυση ασφαλείας μέσω Shutterstock, Csehak Szabolcs μέσω Shutterstock, Bastian Weltjen μέσω Shutterstock, McIek μέσω Shutterstock, GlebStock μέσω Shutterstock, Benoit Daoust μέσω του Shutterstock