Реклама

Ако сте један од хиљаде корисника ЛастПасс-а који су се осећали врло сигурним користећи Интернет захваљујући обећањима о готово нераскидивим. сигурности, можда ћете се осећати мало мање сигурним знајући да је 15. јуна компанија објавила да је открила упад у њихове уређаје сервери.

ЛастПасс је првобитно послао обавештење е-поштом корисницима саветујући их да је компанија открила „сумњиву активност “на ЛастПасс серверима и да су корисничке адресе е-поште и подсетници лозинке угрожени.

Компанија је уверила кориснике да нису угрожени никакви шифровани подаци о трезору, али од тада хасхед корисничке лозинке Шта све ово МД5 издвајање хаљина заправо значи [објашњена технологија]Ево потпуног пада МД5, хеширање и мали преглед рачунара и криптографије. Опширније компанија је саветовала кориснике да ажурирају своје главне лозинке, само да би били сигурни.

Објаснио Хацк ЛастПасс

Ово није први пут да су корисници компаније ЛастПасс забринути због хакера. Прошле године смо интервјуисао је ЦЕО ЛастПасс-а Јое Сиегрист

Јое Сиегрист из компаније ЛастПасс: Истина о безбедности ваше лозинке Опширније пратећи претњу Хеартблеед-ом, где су његова уверења ублажила страхове корисника.

Ово последње кршење догодило се крајем недеље пре објављивања. У време када је откривен и идентификован као безбедносни упад, нападачи су се склонили са корисничким адресама е-поште, питањима / одговорима са подсетником за лозинку, шифровали корисничке лозинке и криптографске соли Постаните тајни категоричар: Сакријте и шифрирајте своје датотеке Опширније .

ластпасс-бреацх1

Добра вест је да је обезбеђење система ЛастПасс дизајнирано да издржи такве нападе. Једини начин приступа вашим лозинкама у обичном тексту био би хакери да их дешифрују добро обезбеђене главне лозинке Користите стратегију управљања лозинком да бисте поједноставили животВелики број савета око лозинки био је готово немогућ да се следи: користите јаку лозинку која садржи бројеве, слова и посебне знакове; редовно га мењајте; осмислите потпуно јединствену лозинку за сваки налог итд ... Опширније .

Због механизма који се користи за шифрирање ваше главне лозинке, било би потребно огромно много рачунарских ресурса да би се дешифровали - ресурси којима већина малих или средњих хакера нема приступ.

ластпасс-бреацх2

Разлог због којег сте толико заштићени када користите ЛастПасс је тај што се механизам који матичну лозинку чини толико тешком за набавку назива „споро хасхинг“ или „хасхинг витх салт“.

Како ради мржња

ЛастПасс користи једну од најсигурнијих техника шифровања на свету, која се назива хасхинг са соли.

ластпасс-бреацх3

„Сол“ је код који се генерише помоћу алата за криптографију - својеврсни напредни генератор случајних бројева 5 најбољих интернетских генератора лозинки за јаке случајне лозинкеТражите начин да брзо створите нераскидиву лозинку? Испробајте један од ових онлајн генератора лозинки. Опширније креиран посебно за сигурност, ако хоћете. Ови алати стварају потпуно непредвидиве кодове када креирате своју главну лозинку.

Оно што се деси када креирате свој налог јесте да се лозинка „распрши“ користећи један од ових насумично генерисаних (и веома дугих) „солних“ бројева. Оне се никада не користе поново - јединствене су за сваког корисника и за сваку лозинку. Коначно, у табели корисничких налога наћи ћете само сол и хасх.

Стварна текстуална верзија главне лозинке никада се не чува на ЛастПасс серверима, тако да хакери немају приступ њој. Све што су успели да добију овим упадом су ове случајне соли и кодирани хешеви.

Дакле, једини начин на који ЛастПасс (или било ко) може да потврди вашу лозинку је:

  1. Дохватите хасх и со из корисничке таблице.
  2. Користите сол на лозинци коју корисник уписује, хасхинг је помоћу исте хасх функције која је коришћена када је лозинка генерисана.
  3. Добијени хасх се добија у поређењу са сачуваним хасх-ом да би се видјело је ли подударање.

Ових дана, хакери су у стању да направе милијарде хешева у секунди, па зашто хакер не може само да користи грубе силе испуцати ове лозинке Опхцрацк - Алат за хакирање лозинки за пробијање готово било које лозинке за ВиндовсПостоји много различитих разлога због којих би неко желео да користи било који број алата за хакирање лозинки за хакирање Виндовс лозинке. Опширније ? Ова додатна безбедност је захваљујући спорој плочици.

Зашто вас успоравање штити

У нападу попут овог, стварно вас штити део ЛастПасс безбедности.

ластпасс-прекршај4

ЛастПасс чини хасх функцију која се користи за верификацију лозинке (или је креирајте) ради врло споро. Ово у суштини ставља паузе на било који брзи рад бруте-силе који захтева брзину да би се пумпало кроз милијарде могућих хешева. Нема везе колико рачунске снаге Најновија рачунарска технологија у коју морате да верујетеПогледајте неке од најновијих рачунарских технологија које су постављене да трансформишу свет електронике и рачунара у наредних неколико година. Опширније хакерски систем има, процес прекида енкрипције и даље ће трајати заувек, у суштини бескорисни напади бескорисним.

Поврх тога, ЛастПасс не покреће алгоритам хасх-а једном, већ их хиљадама пута покреће на рачунару, а затим поново на серверу.

Ево како је ЛастПасс објаснио властити процес корисницима у посту на блогу следећи овај последњи напад:

„На рачунару корисника имамо и корисничко име и главну лозинку са 5000 рунди ПБКДФ2-СХА256, алгоритма за јачање лозинке. То ствара кључ на којем радимо још један круг хеширања, како бисмо генерисали хасх за провјеру провјере аутентичности главне лозинке. "

Тхе ЛастПасс Хелп Деск има пост који описује како ЛастПасс користи споро хеширање:

ЛастПасс је одлучио да користи СХА-256, спорији алгоритам распршивања који пружа већу заштиту од бруталних напада. ЛастПасс користи функцију ПБКДФ2 имплементирану са СХА-256 да би претворио своју главну лозинку у свој кључ за шифровање.

То значи да су упркос недавном кршењу сигурности, ваше лозинке и даље веома сигурне, иако ваша адреса е-поште није.

Шта ако је моја лозинка слаба?

На блогу ЛастПасс постоји једна одлична тачка која се односи на слабе лозинке. Многи корисници су забринути да нису смислили довољно јединствену лозинку и да ће их ови хакери моћи погодити без много напора.

Постоји и ризик да је ваш рачун један од оних на које хакери троше своје време да их дешифрујете, а увек постоји удаљена могућност да могу успешно добити вашег господара Лозинка. Шта онда?

ластпасс-бреацх5

Дно црта је да ће сав тај труд бити изгубљен, јер је пријава са другог уређаја потребна верификација путем е-поште - ваше е-поште - пре него што је приступ одобрен. Са блога ЛастПасс:

„Ако је нападач покушао да приступи вашим подацима помоћу ових акредитива за пријаву на ваше податке ЛастПасс налог зауставит ће их обавештењем којим се од њих тражи да прво верификују своју е-пошту адреса."

Дакле, осим ако не могу некако провалити у ваш рачун е-поште додатно дешифрирајући готово неупоредив алгоритам, заиста немате о чему да се бринете.

Да ли треба да променим своју главну лозинку?

Без обзира да ли желите да промените своју главну лозинку заиста се своди на то колико се осећате параноично или несрећно. Ако мислите да сте можда једина несретна особа која има пуштену лозинку од стране талентованих хакера који то могу како бисте некако дешифровали ЛастПасс-ову 100.000 округлих рутина хасхирања и код соли који је јединствен само за вас?

У сваком случају, ако се бринете због таквих ствари, промените лозинку само ради мира. То ће значити да бар ваша со и хашиш, у рукама хакера, постају бескорисни.

Међутим, постоје сигурносни стручњаци који уопште нису забринути, попут сигурносног стручњака Јеремија Госнеија из Структурне групе ко је рекао новинарима:

„Подразумевано је 5.000 понављања, тако да гледамо најмање 105.000 итерација. Заправо имам постављено на 65.000 понављања, тако да је укупно 165.000 итерација штитило моју лозинку за Дицеваре. Дакле, не, дефинитивно се не знојим због те повреде. Уопште се нисам присиљен да мењам главну лозинку. "

Једина стварна брига коју би требало да имате о овом кршењу података је да хакери сада имају вашу адресу е-поште, коју би могли да искористе за провођење масовних пхисхинг експедиција да испробају и превари људе да се одрекну разних лозинки за рачун - или можда учине нешто тако здраво као продаја свих тих е-порука корисника спамерима на црно тржиште.

Суштина је да ризик од овог упада у безбедност остаје минималан захваљујући огромној сигурности система ЛастПасс. Али здрав разум каже да су сваки пут хакери добили детаље о вашем налогу - чак и заштићени кроз хиљаде напредне криптографске итерације - увек је добро променити своју главну лозинку, чак и ако је то без мира.

Да ли вас је повреда ЛастПасс сигурности веома забринула због сигурности ЛастПасс-а или сте сигурни у сигурност свог налога тамо? Поделите своја размишљања и забринутости у одељку за коментаре испод.

Број кредита: продрли у сигурносну браву преко Схуттерстоцка, Цсехак Сзаболцс преко Схуттерстоцк-а, Бастиан Велтјен преко Схуттерстоцк-а, МцИек преко Схуттерстоцк-а, ГлебСтоцк преко Схуттерстоцк-а, Беноит Даоуст преко Схуттерстоцк-а

Риан је дипломирао електротехнику. Радио је 13 година у инжењерству аутоматизације, 5 година у ИТ-у, а сада је Аппс инжењер. Бивши главни уредник МакеУсеОф-а, говорио је на националним конференцијама о визуализацији података и био је приказан на националној телевизији и радију.