Mainos

Jos olet yksi tuhansista LastPass-käyttäjistä, jotka ovat olleet erittäin turvallisina Internetin käytössä melkein murtumattomien lupausten ansiosta Turvallisuus, saatat tuntea olevani hieman vähemmän turvallinen tietäessäsi, että yritys ilmoitti 15. kesäkuuta havainneensa tunkeutumisen heidän yritykseensä palvelimia.

LastPass lähetti alun perin käyttäjille sähköpostia koskevan ilmoituksen, jonka mukaan yritys oli havainnut epäilyttävän aktiviteetti ”LastPass-palvelimilla, ja että käyttäjän sähköpostiosoitteet ja salasanamuistutukset olivat vaarantuneet.

Yhtiö vakuutti käyttäjille, että salattuja holvitietoja ei ollut vaarannettu, mutta hajautettu käyttäjän salasanat Mitä tämä kaikki MD5: n räjähdysasiat tosiasiallisesti tarkoittaa [tekniikka selitetty]Tässä on MD5: n täydellinen loppuminen, yhdistelmä ja pieni yleiskuva tietokoneista ja salaus. Lue lisää oli saatu, yritys kehotti käyttäjiä päivittämään pääsalasanansa vain turvallisuuden vuoksi.

LastPass-hakkeri selitettiin

Tämä ei ole ensimmäinen kerta, kun LastPass-käyttäjät ovat huolissaan hakkereista. Viime vuonna me

haastatteli LastPassin toimitusjohtaja Joe Siegrist Joe Siegrist, LastPass: Totuus salasanasuojaukseesi Lue lisää seuraten sydämen sykeuhkia, jossa hänen vakuutuksensa lievittää käyttäjien pelkoja.

Viimeisin rikkomus tapahtui myöhään viikkoa ennen ilmoitusta. Siihen mennessä, kun se oli havaittu ja tunnistettu tietoturvahäiriöksi, hyökkääjät olivat päässeet pois käyttäjien sähköpostiosoitteilla, salasanamuistutuskysymyksillä / -vastauksilla, saaneet käyttäjän salasanoja ja salaussuolat Tule salaisiksi steganografeiksi: piilota ja salaa tiedostosi Lue lisää .

LastPass-breach1

Hyvä uutinen on, että LastPass-järjestelmän turvallisuus on suunniteltu kestämään tällaisia ​​hyökkäyksiä. Ainoa tapa käyttää teksti-salasanoja olisi hakkereiden purkaa salasana hyvin turvatut pääsalasanat Käytä salasananhallintastrategiaa yksinkertaistaaksesi elämääsiSuuri osa salasanoihin liittyvistä neuvoista on ollut lähes mahdotonta noudattaa: käytä vahvaa salasanaa, joka sisältää numeroita, kirjaimia ja erikoismerkkejä; vaihda sitä säännöllisesti; keksiä täysin yksilöllinen salasana jokaiselle tilille jne. ... Lue lisää .

Pääsalasanasi salaamiseksi käytetyn mekanismin takia salasanan purkaminen vie huomattavia määriä tietokoneresursseja - resursseja, joihin useimmilla pienillä tai keskitason hakkereilla ei ole pääsyä.

LastPass-breach2

Syy siihen, että olet niin suojattu LastPass -sovellusta käytettäessä, on se, että mekanismia, joka tekee pääsalasanan niin vaikeaksi saada, kutsutaan “hitaaksi hajautukseksi” tai “suolaa hajauttamiseksi”.

Kuinka hashing toimii

LastPass käyttää yhtä maailman turvallisimmista salausmenetelmistä, jota kutsutaan hajoamiseksi suolalla.

LastPass-breach3

"Suola" on koodi, joka luodaan salaustekniikan avulla - eräänlainen edistyksellinen satunnaislukugeneraattori 5 parasta online salasanageneraattoria vahvoille satunnaissalasanoilleEtsitkö tapaa nopeasti murtumattoman salasanan luomiseen? Kokeile jotakin näistä online-salasanalähettäjistä. Lue lisää luotu erityisesti turvallisuudelle, jos haluat. Nämä työkalut luovat täysin arvaamattomia koodeja, kun luot pääsalasanasi.

Se mitä tapahtuu, kun luot tiliäsi, salasana on hajautettu käyttämällä yhtä näistä satunnaisesti luotuista (ja erittäin pitkistä) “suola” numeroista. Niitä ei koskaan käytetä uudelleen - ne ovat ainutlaatuisia jokaiselle käyttäjälle ja jokaiselle salasanalle. Viimeinkin käyttäjätilitaulusta löydät vain suolaa ja hashia.

Pääsalasanan todellista tekstiversiota ei koskaan tallenneta LastPass-palvelimille, joten hakkereilla ei ole pääsyä siihen. Kaikki mitä he pystyivät saamaan aikaan tässä tunkeutumisessa, ovat nämä satunnaiset suolat ja koodatut tiivisteet.

Joten ainoa tapa, jolla LastPass (tai kuka tahansa) voi vahvistaa salasanasi, on:

  1. Hae tiiviste ja suola käyttäjäpöydästä.
  2. Käytä käyttäjän kirjoittamassa salasanassa olevaa suolaa, hajauta se samalla hajautustoiminnolla, jota käytettiin salasanan luomisessa.
  3. Tuloksena oleva hash verrataan tallennettuun hashiin nähdäkseen, onko se vastaa.

Nykyään hakkerit pystyvät tuottamaan miljardeja hashia sekunnissa, joten miksi hakkeri ei voi käyttää pelkää voimaa murtaa nämä salasanat Ophcrack - Salasanahakkutyökalu melkein minkä tahansa Windows-salasanan murtamiseenWindows-salasanan hakkerointiin on monia eri syitä, miksi halutaan käyttää mitä tahansa määrää salasanan hakkerointityökaluja. Lue lisää ? Tämä ylimääräinen turvallisuus on hitaan hajautuksen ansiota.

Miksi hidas hajautus suojaa sinua

Tällaisessa hyökkäyksessä se todella suojaa LastPass-tietoturvan hitaasti tiivistävää osaa.

LastPass-breach4

LastPass saa salasanan varmentamiseen (tai luomiseen) käytetyn hash-toiminnon toimimaan erittäin hitaasti. Tämä merkitsee pääosin taukoja kaikille nopeille, raa'alle voimalle suoritetuille operaatioille, jotka vaativat nopeutta, jotta pumppataan miljardien mahdollisten räjähteiden läpi. Ei väliä kuinka paljon laskentatehoa Uusin tietotekniikka, joka sinun täytyy nähdä uskoaksesiTutustu uusimpaan tietotekniikkaan, joka on asetettu muuttamaan elektroniikan ja tietokoneiden maailmaa seuraavien vuosien aikana. Lue lisää hakkerointijärjestelmällä on, salauksen purkaminen kestää edelleen ikuisesti, mikä tekee brutaatio-iskuista hyödytöntä.

Lisäksi LastPass ei vain suorita hajautusalgoritmia kerran, he ajavat sitä tuhansia kertoja tietokoneellasi ja sitten uudelleen palvelimella.

Näin LastPass selitti käyttäjilleen oman prosessinsa blogiviestissä tämän viimeisen hyökkäyksen jälkeen:

”Meillä on hash käyttäjänimellä ja pääsalasanalla käyttäjän tietokoneella 5000 kierroksella PBKDF2-SHA256-salasanaa vahvistavaa algoritmia. Tämä luo avaimen, jolle suoritamme uuden hajautuskierroksen, pääsalasanan todennusta varten.

LastPass-asiakaspalvelu on viesti, joka kuvaa kuinka LastPass hyödyntää hidasta hajauttamista:

LastPass on päättänyt käyttää SHA-256: ta, hitaampaa hajautusalgoritmia, joka tarjoaa paremman suojan raa'ilta voimilta. LastPass käyttää SHA-256: lla toteutettua PBKDF2-toimintoa kääntääksesi pääsalasanasi salausavaimeesi.

Tämä tarkoittaa sitä, että tästä viimeaikaisesta tietoturvaloukkauksesta huolimatta salasanasi ovat melko edelleen erittäin turvallisia, vaikka sähköpostiosoitteesi ei olisi.

Entä jos salasanani on heikko?

LastPass-blogissa on yksi erinomainen seikka, joka koskee heikkoja salasanoja. Monet käyttäjät ovat huolissaan siitä, että he eivät haaveillut tarpeeksi ainutlaatuista salasanaa, ja että nämä hakkerit pystyvät arvaamaan sen ilman paljon vaivaa.

On myös etäinen riski, että tilisi on yksi niistä, jonka hakkerit tuhlaavat aikaa yrittäessään salauksen purkamiseen, ja aina on etämahdollisuus, että he voivat menestyksekkäästi hankkia isäntäsi Salasana. Mitä sitten?

LastPass-breach5

Tärkeintä on, että kaikki nämä vaiheet menevät hukkaan, koska toisesta laitteesta kirjautuminen vaatii vahvistuksen sähköpostitse - sähköpostisi - ennen käyttöoikeuden myöntämistä. LastPass-blogista:

”Jos hyökkääjä yritti saada tietojasi käyttämällä näitä tunnistetietoja kirjautuaksesi sisään LastPass -tili, heidät lopetettiin ilmoituksella, jossa heitä pyydettiin ensin vahvistamaan sähköpostinsa osoite."

Joten, elleivät he pääse jollain tavalla tunkeutumaan sähköpostitiliisi lisäksi purkamalla melkein murtumaton algoritmi, sinulla ei oikeastaan ​​ole mitään hätää.

Pitäisikö minun vaihtaa pääsalasanani?

Haluatko vaihtaa pääsalasanasi, riippuu todella siitä, kuinka vainoharhainen tai epäonninen sinusta tuntuu. Jos luulet saavasi olla epäonninen henkilö, jonka salasanat murtuvat kykenevät hakkerit, jotka kykenevät tulkita jotenkin LastPassin 100 000 pyöreän hajautusrutiinin ja suolakoodin kautta, joka on ainutlaatuinen juuri sinulle?

Kaiken kaikkiaan, jos olet huolissasi sellaisista asioista, vaihda salasanasi vain mielenrauhan vuoksi. Se tarkoittaa, että ainakin suolasi ja hashisi, hakkereiden käsissä, käyvät turhiksi.

Siellä on kuitenkin tietoturva-asiantuntijoita, jotka eivät ole lainkaan huolissaan, kuten turvallisuusasiantuntija Jeremi Gosney Structure Groupissa joka kertoi toimittajille:

”Oletusarvo on 5 000 iteraatiota, joten tarkastelemme vähintään 105 000 iteraatiota. Minulla on itse asiassa asetettu 65 000 iteraatiota, joten se on yhteensä 165 000 iteraatiota, jotka suojaavat Diceware-salasanani. Joten ei, en todellakaan hikoile tätä rikkomusta. Minusta ei edes tarvitse pakottaa vaihtamaan pääsalasanani. ”

Ainoa todellinen huolestuneisuus tästä tietorikkomuksesta on se, että hakkereilla on nyt sähköpostiosoitteesi, jota he voivat käyttää järjestämään joukkohuijauksia kokeillakseen ja huijaa ihmisiä luopumaan useista tilin salasanoistaan. Ehkä he saattavat tehdä niin arkipäivää kuin myydä kaikki nämä käyttäjän sähköpostit roskapostittajille. markkinoida.

Tärkeintä on, että tästä tietoturvallisuuteen liittyvä tunkeutumisen riski pysyy minimaalisena LastPass-järjestelmän ylivoimaisen turvallisuuden ansiosta. Mutta terve järki sanoo, että milloin tahansa hakkerit ovat hankkineet tilisi tiedot - jopa suojattu tuhansilla edistyneet salaustoiminnot - on aina hyvä vaihtaa pääsalasanasi, vaikka se olisi mielenrauhaa varten.

Saako LastPass-tietoturvaloukkaus sinua erittäin huolestuneeksi LastPassin turvallisuudesta vai oletko varma tilisi turvallisuudesta siellä? Jaa ajatuksesi ja huolenaiheesi alla olevassa kommenttiosassa.

Kuvahyvitykset: tunkeutunut lukko Shutterstockin kautta, Csehak Szabolcs Shutterstockin kautta, Bastian Weltjen Shutterstockin kautta, McIek Shutterstockin kautta, GlebStock Shutterstockin kautta, Benoit Daoust Shutterstockin kautta

Ryanilla on BSc-tutkinto sähkötekniikasta. Hän on työskennellyt 13 vuotta automaatiotekniikassa, 5 vuotta IT: ssä ja on nyt sovellusinsinööri. MakeUseOfin entinen toimitusjohtaja, hänet puhutaan kansallisissa konferensseissa datan visualisoinnista ja hänet on esitelty kansallisessa televisiossa ja radiossa.