LastPass er brutt: Trenger du å endre ditt hovedpassord?

Hvis du er en LastPass-bruker, kan du føle deg mindre sikker ved å vite at den 15. juni annonserte selskapet at de oppdaget et inntrenging i serverne sine. Er det på tide å endre hovedpassordet ditt?

Hvis du er en LastPass-bruker, kan du føle deg mindre sikker ved å vite at den 15. juni annonserte selskapet at de oppdaget et inntrenging i serverne sine.  Er det på tide å endre hovedpassordet ditt?
Annonse

Hvis du er en av de tusenvis av LastPass-brukere som har følt seg veldig trygge ved hjelp av Internett takket være løfter om nesten ubrytelig sikkerhet, kan du føle deg litt mindre sikker da du visste at den 15. juni annonserte at de oppdaget et innbrudd i deres servere.

LastPass sendte i utgangspunktet en e-postvarsel til brukere som ga dem beskjed om at selskapet hadde oppdaget "mistenkelig aktivitet" på LastPass-servere, og at brukerens e-postadresser og passordpåminnelser var blitt kompromittert.

Selskapet forsikret brukerne om at ingen krypterte hvelvdata var blitt kompromittert, men siden de hakkede brukerpassordene. Alt dette MD5 Hash-stoffet egentlig betyr [Teknologi forklart]. Alt dette MD5 Hash-stoffet egentlig betyr [Teknologi forklart] Her er en full nedlasting av MD5, hashing og en liten oversikt over datamaskiner og kryptografi. Les mer var oppnådd, selskapet anbefalte brukerne å oppdatere sine hovedpassord, bare for å være trygge.

The LastPass Hack Forklart

Dette er ikke første gang LastPass-brukere har vært opptatt av hackere. I fjor intervjuet vi LastPass CEO Joe Siegrist Joe Siegrist of LastPass: Sannheten om passordet ditt Sikkerhet Joe Siegrist of LastPass: Sannheten om passordets sikkerhet Les mer etter Heartbleed-trusselen, der hans forsikringer setter brukerens frykt til ro.

Dette siste bruddet skjedde sent i uken før kunngjøringen. Da det ble oppdaget og identifisert som et sikkerhetsinnbrudd, hadde angriperne blitt borte med brukerens e-postadresser, passordpåminnelsespørsmål / svar, hashedbrukerpassord og kryptografiske salter Bli en hemmelig steganograf: Skjul og krypter filene Bli en hemmelig steganograf: Skjul og krypter filene dine Les mer.

Lastpass-breach1

Den gode nyheten er at sikkerheten til LastPass-systemet ble utviklet for å motstå slike angrep. Den eneste måten å få tilgang til ordene med vanlig tekst, vil være for hackerne å dekryptere de godt sikrede mesterpassordene. Bruk en passordadministrasjonsstrategi for å forenkle livet ditt. Bruk en strategiløsningsstrategi for å forenkle livet. Mange av rådene rundt passord har vært i nærheten -imulert å følge: bruk et sterkt passord som inneholder tall, bokstaver og spesialtegn; endre det jevnlig; kom opp med et helt unikt passord for hver konto etc .... Les mer.

På grunn av mekanismen som brukes til å kryptere ditt hovedpassord, vil det ta store mengder datamaskiner for å dekryptere det - ressurser som de fleste små eller mellomstore hackere ikke har tilgang til.

Lastpass-breach2

Grunnen til at du er så beskyttet når du bruker LastPass, er at den mekanismen som gjør hovedpassordet så vanskelig å oppnå, kalles "slow hashing" eller "hashing with salt."

Hvordan Hashing Works

LastPass bruker en av de sikreste krypteringsteknikkene i verden, kalt hashing med salt.

Lastpass-breach3

"Salt" er en kode som er generert ved hjelp av et krypteringsverktøy - en slags avansert tilfeldig talgenerator 5 Gratis passordgeneratorer for nesten unhackable passord 5 Gratis passordgeneratorer for nesten unhackable passord Les mer laget spesielt for sikkerhet, hvis du vil. Disse verktøyene oppretter helt uforutsigbare koder når du oppretter ditt hovedpassord.

Hva skjer når du oppretter kontoen din er passordet er "hashed" ved hjelp av et av disse tilfeldig genererte (og svært lange) "salt" tallene. Disse blir aldri gjenbrukt - de er unike for hver bruker og alle passord. Til slutt finner du bare salt og hash i brukerkonto-tabellen.

Den faktiske tekstversjonen av ditt hovedpassord lagres aldri på LastPass-servere, slik at hackere ikke har tilgang til det. Alt de kunne få i denne inntrengingen er disse tilfeldige salter, og de kodede hashene.

Så, den eneste måten LastPass (eller noen) kan validere passordet ditt er:

  1. Hent hash og salt fra brukerbordet.
  2. Bruk saltet på passordet brukeren skriver inn, hashing den ved hjelp av samme hash-funksjonen som ble brukt når passordet ble generert.
  3. Den resulterende hash blir sammenlignet med den lagrede hasen for å se om det er en kamp.

I disse dager kan hackere generere milliarder hash per sekund, så hvorfor kan ikke en hacker bare bruke brute-force til å knekke disse passordene. Ophcrack - et passordhack-verktøy for å sprekke nesten alle Windows-passord Ophcrack - et passordhackverktøy for å sprekke Nesten alle Windows-passord Det er mange forskjellige grunner til at man vil bruke et hvilket som helst antall nøkkelhakkverktøy for å hack et Windows-passord. Les mer ? Denne ekstra sikkerhet er takket være langsom hashing.

Hvorfor Slow-Hashing beskytter deg

I et angrep som dette, er det virkelig den sakte-hashing-delen av LastPass-sikkerheten som virkelig beskytter deg.

Lastpass-breach4

LastPass gjør hash-funksjonen som brukes til å verifisere passordet (eller opprette det), arbeider veldig sakte. Dette legger i hovedsak pauser på enhver høyhastighets, brute-force operasjon som krever hastighet for å pumpe gjennom milliarder av mulige hashes. Uansett hvor mye datakraft Den nyeste datateknologi du må se for å tro på den nyeste datateknologien du må se for å tro Sjekk ut noen av de nyeste datateknologiene som er satt til å forandre verden av elektronikk og PCer de neste årene . Les mer hackerens system har, prosessen for å bryte krypteringen vil fortsatt ta for alltid, noe som i hovedsak gir brute-force angrep ubrukelig.

Dessuten driver LastPass ikke bare hashalgoritmen en gang, de kjører det tusenvis av ganger på datamaskinen, og så igjen på serveren.

Slik forklarte LastPass sin egen prosess for brukere i et blogginnlegg som følger dette siste angrepet:

"Vi har både brukernavnet og hovedpassordet på brukerens datamaskin med 5.000 runder PBKDF2-SHA256, en passordstyringsalgoritme. Det skaper en nøkkel, som vi utfører en annen runde med hashing, for å generere hovedpassordet autentiseringshash. "

LastPass Help Desk har et innlegg som beskriver hvordan LastPass bruker slow-hashing:

LastPass har valgt å bruke SHA-256, en tregere hashingalgoritme som gir mer beskyttelse mot brute-force angrep. LastPass benytter PBKDF2-funksjonen implementert med SHA-256 for å slå hovedpassordet ditt inn i krypteringsnøkkelen.

Hva dette betyr er at til tross for denne nylige sikkerhetsbrudd, er passordene dine ganske mye fortsatt veldig sikre, selv om e-postadressen din ikke er.

Hva hvis passordet mitt er svakt?

Det er et utmerket poeng tatt opp på LastPass bloggen om svake passord. Mange brukere er bekymret for at de ikke drømte opp et unikt nok passord, og at disse hackerne vil kunne gjette det uten mye innsats.

Det er også en ekstern risiko for at kontoen din er en av de som hackere spilder tiden sin på å prøve å dekryptere, og det er alltid den eksterne muligheten for at de med hell kan få tak i hovedpassordet ditt. Hva da?

Lastpass-breach5

Bunnlinjen er at alt arbeidet vil bli bortkastet, siden innlogging fra en annen enhet krever bekreftelse via e-post - din e-post - før tilgang er gitt. Fra LastPass bloggen:

"Hvis angriperen forsøkte å få tilgang til dataene dine ved å bruke disse legitimasjonene for å logge på LastPass-kontoen, ble de stoppet av et varsel om at de først skulle bekrefte e-postadressen sin."

Så, med mindre de på en eller annen måte kan hacke inn på e-postkontoen din i tillegg til dekryptering av en nesten uhellbar algoritme, har du egentlig ingenting å bekymre deg for.

Skal jeg endre mitt hovedpassord?

Uansett om du vil endre hovedpassordet ditt, koker det egentlig deg for hvor paranoid eller uheldig du føler. Hvis du tror du kan være den uheldig personen som har sitt passord sprakk av talentfulle hackere som på en eller annen måte kan dechifrere gjennom LastPass 100.000 runde hashingrutine og en saltkode som er unik bare for deg?

For all del, hvis du bekymrer deg for slike ting, endrer du passordet bare for trygghet. Det betyr at minst ditt salt og hash, i hendene på hackere, blir ubrukelig.

Men det er sikkerhetseksperter der ute som ikke er i det hele tatt bekymret, for eksempel sikkerhetsekspert Jeremi Gosney over på Structure Group som fortalte journalister:

"Standard er 5000 iterasjoner, så vi ser på et minimum 105.000 iterasjoner. Jeg har faktisk min satt til 65.000 iterasjoner, så det er totalt 165.000 iterasjoner som beskytter min Diceware passord. Så nei, jeg svetter absolutt ikke dette bruddet. Jeg føler meg ikke engang tvunget til å endre mitt hovedpassord. "

Den eneste virkelige bekymringen du burde ha om dette brudd på data er at hackere nå har e-postadressen din, som de kan bruke til å utføre massefishing-ekspedisjoner for å prøve å lure folk til å gi opp sine ulike kontopassord - eller kanskje de kan gjøre noe som dagligdags som å selge alle disse brukerens e-post til spammere på det svarte markedet.

Bunnlinjen er at risikoen fra denne sikkerhetsinngangen fortsatt er minimal, takket være den overveldende sikkerheten til LastPass-systemet. Men sunn fornuft sier at noen gang hackere har fått dine kontoopplysninger - selv beskyttet gjennom tusenvis av avanserte kryptografiske iterasjoner - det er alltid godt å endre hovedpassordet ditt, selv om det er for fred i sinnet.

Gjorde LastPass-sikkerhetsbrudd deg svært bekymret for sikkerheten til LastPass, eller er du sikker på sikkerheten til kontoen din der? Del dine tanker og bekymringer i kommentarfeltet nedenfor.

Bildekreditter: Sikkerhetslås gjennom Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock

In this article