Reklāma

Ja esat viens no tūkstošiem LastPass lietotāju, kurš jutās ļoti drošs, izmantojot internetu, pateicoties gandrīz neplīstošiem solījumiem drošība, jūs varat justies nedaudz mazāk droši, zinot, ka 15. jūnijā uzņēmums paziņoja, ka viņi ir atklājuši ielaušanos viņu rīcībā serveriem.

Sākotnēji LastPass lietotājiem nosūtīja e-pasta paziņojumu, paziņojot viņiem, ka uzņēmums ir atklājis “aizdomīgu” aktivitāte ”uz LastPass serveriem, un ka lietotāju e-pasta adreses un paroles atgādinājumi bija apdraudēti.

Uzņēmums lietotājiem pārliecināja, ka nekādi šifrēti velvju dati nav apdraudēti, taču kopš sajauktas lietotāju paroles Ko patiesībā nozīmē viss šis MD5 sajaukums [skaidrojums par tehnoloģiju]Šeit ir pilns MD5 izbeigšanās, sajaukšana un neliels datoru un kriptogrāfijas pārskats. Lasīt vairāk tika iegūts, uzņēmums ieteica lietotājiem atjaunināt galvenās paroles, lai būtu drošībā.

The LastPass Hack paskaidrots

Šī nav pirmā reize, kad LastPass lietotāji uztraucas par hakeriem. Pagājušajā gadā mēs

intervēja LastPass izpilddirektors Džo Sīgrists Džo Sīgrists no LastPass: patiesība par jūsu paroles drošību Lasīt vairāk sekojot draudiem pēc sirdsdarbības, kur viņa pārliecība atvieglo lietotāju bailes.

Šis pēdējais pārkāpums notika vēlu nedēļu pirms paziņojuma. Līdz brīdim, kad tas tika atklāts un identificēts kā drošības ielaušanās, uzbrucēji bija atbrīvojušies no lietotāju e-pasta adresēm, paroles atgādināšanas jautājumiem / atbildēm, sajaukuši lietotāju paroles un kriptogrāfijas sāļi Kļūstiet par slepenu steganogrāfu: paslēpiet un šifrējiet savus failus Lasīt vairāk .

pēdējais šķērslis1

Labās ziņas ir tādas, ka LastPass sistēmas drošība tika izstrādāta, lai izturētu šādus uzbrukumus. Vienīgais veids, kā piekļūt vienkāršā teksta parolēm, ir hakeru atšifrēšana labi nodrošinātas galvenās paroles Izmantojiet paroļu pārvaldības stratēģiju, lai vienkāršotu savu dzīviLielu daļu padomu par parolēm gandrīz nav iespējams ievērot: izmantojiet spēcīgu paroli, kurā ir cipari, burti un speciālās rakstzīmes; regulāri mainiet to; nāciet klajā ar pilnīgi unikālu paroli katram kontam utt. Lasīt vairāk .

Pamata paroles šifrēšanai izmantotā mehānisma dēļ tās atšifrēšanai būs nepieciešami milzīgi datoru resursi - resursi, kuriem lielākajai daļai mazu vai vidēja līmeņa hakeru nav piekļuves.

lastpass-pārkāpums2

Iemesls, kāpēc jūs esat tik aizsargāts, kad izmantojat LastPass, ir tāpēc, ka mehānismu, kas padara galveno paroli tik grūti iegūstamu, sauc par “lēnu sajaukšanu” vai “sajaukšanu ar sāli”.

Kā darbojas hashings

LastPass izmanto vienu no drošākajām šifrēšanas metodēm pasaulē, ko sauc par jaukšanu ar sāli.

pēdējais caurlaide3

“Sāls” ir kods, kas tiek ģenerēts, izmantojot kriptogrāfijas rīku - sava veida modernu izlases numuru ģenerators 5 labākie tiešsaistes paroļu ģeneratori spēcīgām nejaušām parolēmVai meklējat veidu, kā ātri izveidot nesalaužamu paroli? Izmēģiniet vienu no šiem tiešsaistes paroļu ģeneratoriem. Lasīt vairāk kas īpaši izveidots drošībai, ja vēlaties. Šie rīki, izveidojot galveno paroli, rada pilnīgi neparedzamus kodus.

Tas, kas notiek, kad izveidojat savu kontu, tiek parole “sajaukta”, izmantojot vienu no šiem nejauši ģenerētajiem (un ļoti garajiem) “sāls” numuriem. Tie nekad netiek atkārtoti izmantoti - tie ir unikāli katram lietotājam un katrai parolei. Visbeidzot, lietotāju kontu tabulā jūs atradīsit tikai sāli un jaucējus.

Galvenās paroles faktiskā teksta versija nekad netiek glabāta LastPass serveros, tāpēc hakeriem nav tai piekļuves. Viss, ko viņi varēja iegūt šajā ielaušanās laikā, ir šie nejaušie sāļi un kodētās sajaukšanas.

Tātad vienīgais veids, kā LastPass (vai kāds cits) var pārbaudīt jūsu paroli, ir:

  1. Izgūstiet hash un sāli no lietotāju galda.
  2. Parolē, kuru lietotājs ievada, izmantojiet sāli, sajaucot to, izmantojot to pašu hash funkciju, kas tika izmantota, kad parole tika ģenerēta.
  3. Rezultātā iegūtā hash tiek salīdzināta ar saglabāto hash, lai redzētu, vai tā atbilst.

Mūsdienās hakeri spēj ģenerēt miljardiem hash sekundē, kāpēc gan hakeris nevar izmantot tikai brutālu spēku, lai kreka šīs paroles Ophcrack - parole Hack rīks, lai uzlauztu gandrīz jebkuru Windows paroliIr daudz dažādu iemeslu, kuru dēļ Windows parole uzlauzšanai būtu jāizmanto neierobežots skaits ar paroli saistītu hakeru rīku. Lasīt vairāk ? Šī papildu drošība ir pateicoties lēnai sajaukšanai.

Kāpēc lēna sajaukšanās aizsargā jūs

Šādā uzbrukumā tas tiešām ir LastPass drošības lēni sajaucošā daļa, kas jūs patiešām aizsargā.

pēdējais pārkāpums4

LastPass liek hash funkcijai, kuru izmanto paroles pārbaudei (vai izveidošanai), darboties ļoti lēni. Tas būtībā liek pārtraukumiem jebkurai ātrdarbīgai, brutāla spēka operācijai, kurai nepieciešams ātrums, lai izsūknētu caur miljardiem iespējamo jaucējkrānu. Vienalga cik daudz skaitļošanas jaudas Jaunākās datortehnoloģijas, kas jums jāredz, lai ticētuIepazīstieties ar dažām jaunākajām datortehnoloģijām, kas nākamo gadu laikā ir pārveidotas elektronikas un personālo datoru pasaulē. Lasīt vairāk hakeru sistēmai, šifrēšanas pārtraukšanas process joprojām notiks mūžīgi, būtībā padarot brutālu spēku uzbrukumus bezjēdzīgus.

Turklāt LastPass ne tikai palaiž hash algoritmu vienu reizi, viņi tūkstošiem reižu to palaiž datorā un pēc tam vēlreiz serverī.

Lūk, kā LastPass lietotājiem paskaidroja savu procesu emuāra ierakstā pēc šī jaunākā uzbrukuma:

“Lietotāja datorā ir sajaukts gan lietotājvārds, gan galvenā parole ar 5000 kārtu PBKDF2-SHA256, paroles stiprināšanas algoritmu. Tas rada atslēgu, uz kuras mēs veicam vēl vienu sajaukšanas kārtu, lai ģenerētu galveno paroles autentificēšanas jaucēju. ”

LastPass palīdzības dienests ir ieraksts, kurā aprakstīts, kā LastPass izmanto lēnu sajaukšanu:

LastPass ir izvēlējies izmantot SHA-256, lēnāku sajaukšanās algoritmu, kas nodrošina lielāku aizsardzību pret brutāla spēka uzbrukumiem. LastPass izmanto PBKDF2 funkciju, kas ieviesta ar SHA-256, lai jūsu galveno paroli pārvērstu šifrēšanas atslēgā.

Tas nozīmē, ka, neskatoties uz neseno drošības pārkāpumu, jūsu paroles gandrīz joprojām ir ļoti drošas, kaut arī jūsu e-pasta adrese nav.

Ko darīt, ja mana parole ir vāja?

LastPass emuārā ir viens izcils punkts, kas attiecas uz vājajām parolēm. Daudzi lietotāji ir nobažījušies, ka viņi nav sapņojuši par unikālu paroli, un ka šie hakeri to spēs uzminēt bez īpašām pūlēm.

Pastāv arī neliels risks, ka jūsu konts ir viens no tiem, kuru hakeri tērē laiku, mēģinot atšifrēt, un vienmēr pastāv attāla iespēja, ka viņi varētu veiksmīgi iegūt jūsu meistaru paroli. Ko tad?

pēdējais pārkāpums5

Būtība ir tāda, ka visas šīs pūles tiks veltītas, jo, lai piekļūtu, izmantojot pieteikšanos no citas ierīces, ir jāveic verifikācija pa e-pastu - jūsu e-pasts. No emuāra LastPass:

“Ja uzbrucējs mēģināja piekļūt jūsu datiem, izmantojot šos akreditācijas datus, lai pieteiktos savā LastPass konts viņus aptur, saņemot paziņojumu, kurā vispirms tiek lūgts verificēt savu e-pastu adrese."

Tātad, ja vien viņi kaut kā nevar iekļūt jūsu e-pasta kontā Papildus atšifrējot gandrīz nesaraujamu algoritmu, jums tiešām nav par ko uztraukties.

Vai man jāmaina galvenā parole?

Neatkarīgi no tā, vai vēlaties mainīt galveno paroli, patiesībā var secināt, cik jūtaties paranoiski vai nelaimīgi. Ja domājat, ka jūs varētu būt tā nelaimīgā persona, kuras paroli ir uzlauzuši talantīgi hakeri, kuri to spēj kaut kā atšifrēt caur LastPass 100 000 apaļo sajaukšanas kārtību un sāls kodu, kas ir unikāls tieši jums?

Jebkurā gadījumā, ja jūs uztraucaties par šādām lietām, nomainiet paroli tikai miera labad. Tas nozīmēs, ka vismaz jūsu sāls un hash hakeru rokās kļūst bezjēdzīgi.

Tomēr tur ir drošības eksperti, kuri nemaz neuztraucas, piemēram, drošības eksperts Jeremi Gosney Struktūras grupā kurš stāstīja žurnālistiem:

“Pēc noklusējuma ir 5000 iterāciju, tāpēc mēs vismaz skatāmies uz 105 000 iterācijām. Man faktiski ir iestatīta 65 000 iterāciju, tātad kopumā 165 000 iterāciju aizsargā manu Diceware ieejas frāzi. Tātad nē, es noteikti nesvīpos par šo pārkāpumu. Es pat nejūtos spiests mainīt galveno paroli. ”

Vienīgās patiesās bažas, kas jums varētu būt par šo datu pārkāpumu, ir tas, ka hakeriem tagad ir jūsu e-pasta adrese, kuru viņi varētu izmantot, lai vadītu masveida pikšķerēšanas ekspedīcijas, lai mēģinātu un pievīla cilvēkus atteikties no dažādajām kontu parolēm - vai varbūt viņi rīkojas tik ikdienišķi, kā pārdod visus šos lietotāju e-pastus surogātpasta izplatītājiem tirgus.

Galvenais ir tas, ka šīs drošības ielaušanās risks paliek minimāls, pateicoties pēdējās LastPass sistēmas milzīgajai drošībai. Bet veselais saprāts saka, ka jebkad hakeri ir ieguvuši jūsu konta informāciju - pat aizsargāti ar tūkstošiem uzlabotas šifrēšanas iterācijas - vienmēr ir labi nomainīt galveno paroli, pat ja tā ir mierīga.

Vai LastPass drošības pārkāpums jūs ļoti uztrauca par LastPass drošību, vai arī esat pārliecināts par sava konta drošību tur? Kopīgojiet savas domas un bažas komentāru sadaļā zemāk.

Attēlu kredīti: iespiesta drošības slēdzene caur Shutterstock, Čehaks Szabolcs izmantojot Shutterstock, Bastians Veltenjens izmantojot Shutterstock, Makieks izmantojot Shutterstock, GlebStock izmantojot Shutterstock, Benoit Daoust caur Shutterstock

Ryanam ir bakalaura grāds elektrotehnikā. Viņš ir strādājis 13 gadus automatizācijas inženierijā, 5 gadus IT jomā un tagad ir Apps Engineer. Bijušais MakeUseOf galvenais redaktors, viņš uzstājās nacionālajās datu vizualizācijas konferencēs un tiek demonstrēts nacionālajā televīzijā un radio.