Reklame

Hvis du er en af ​​de tusinder af LastPass-brugere, der har følt dig meget sikker ved at bruge internettet takket være løfter om næsten uknuselig sikkerhed, kan du føle dig lidt mindre sikker, idet virksomheden den 15. juni meddelte, at de opdagede et indtrængen i deres servere.

LastPass sendte oprindeligt en e-mail-meddelelse til brugere, der rådede dem om, at virksomheden havde opdaget ”mistænksom aktivitet ”på LastPass-servere, og brugerens e-mail-adresser og adgangskodepåmindelser var blevet kompromitteret.

Virksomheden forsikrede brugerne om, at der ikke var kompromitteret nogen krypterede hvælvsedata, men siden hashede brugeradgangskoder Hvad alt dette MD5 Hash-stof faktisk betyder [Teknologi forklaret]Her er en fuld nedslidning af MD5, hashing og et lille overblik over computere og kryptografi. Læs mere var opnået, rådede virksomheden brugere om at opdatere deres hovedadgangskoder, bare for at være sikre.

The LastPass Hack forklarede

Dette er ikke første gang LastPass-brugere har været bekymrede for hackere. Sidste år, vi

instagram viewer
interviewede LastPass CEO Joe Siegrist Joe Siegrist fra LastPass: Sandheden om dit password-sikkerhed Læs mere efter Heartbleed-truslen, hvor hans forsikringer sætter brugernes frygt let.

Denne seneste overtrædelse fandt sted sent ugen før meddelelsen. Da det blev opdaget og identificeret som en sikkerhedsindtrængen, var angriberen væk med bruger-e-mail-adresser, spørgsmål / svar om adgangskodepåmindelse, hashede brugeradgangskoder og kryptografiske salte Bliv en hemmelig steganograf: Skjul og krypter dine filer Læs mere .

LastPass-breach1

Den gode nyhed er, at sikkerheden i LastPass-systemet var designet til at modstå sådanne angreb. Den eneste måde at få adgang til dine almindelige tekst-adgangskoder ville være for hackere at dekryptere godt sikrede hovedadgangskoder Brug en adgangskodestyringsstrategi for at forenkle dit livMeget af rådene omkring adgangskoder har været næsten umulige at følge: brug en stærk adgangskode, der indeholder tal, bogstaver og specialtegn; ændre det regelmæssigt; komme med en helt unik adgangskode til hver konto osv ... Læs mere .

På grund af den mekanisme, der bruges til at kryptere din hovedadgangskode, vil det kræve enorme mængder computerressourcer at dekryptere det - ressourcer, som de fleste små eller mellemstore hackere ikke har adgang til.

LastPass-breach2

Årsagen til at du er så beskyttet, når du bruger LastPass, er fordi den mekanisme, der gør hovedadgangskoden så svær at få, kaldes "langsom hasling" eller "hashing med salt."

Sådan fungerer Hashing

LastPass bruger en af ​​de mest sikre krypteringsteknikker i verden, kaldet hashing med salt.

LastPass-breach3

"Saltet" er en kode, der genereres ved hjælp af et kryptografiverktøj - en slags avanceret generator af tilfældigt tal De 5 bedste online adgangskodegeneratorer til stærke tilfældige adgangskoderLeder du efter en måde at hurtigt oprette en uknuselig adgangskode? Prøv en af ​​disse online adgangskodegeneratorer. Læs mere oprettet specielt til sikkerhed, hvis du vil. Disse værktøjer opretter helt uforudsigelige koder, når du opretter din hovedadgangskode.

Hvad der sker, når du opretter din konto, er adgangskoden "hashet" ved hjælp af et af disse tilfældigt genererede (og meget lange) "salt" -numre. Disse genanvendes aldrig - de er unikke for enhver bruger og enhver adgangskode. Endelig i brugerkontotabellen finder du kun salt og hash.

Den aktuelle tekstversion af din hovedadgangskode gemmes aldrig på LastPass-servere, så hackere har ikke adgang til det. Alt, hvad de var i stand til at opnå i denne indtrængen, er disse tilfældige salte og de kodede hasjer.

Så den eneste måde, hvorpå LastPass (eller hvem som helst) kan validere din adgangskode, er:

  1. Hent hash og salt fra brugertabellen.
  2. Brug saltet på adgangskoden, som brugeren indtaster, hashing det ved hjælp af den samme hash-funktion, der blev brugt, da adgangskoden blev genereret.
  3. Den resulterende hash bliver sammenlignet med den gemte hash for at se, om det er et match.

I disse dage er hackere i stand til at generere milliarder af hash per sekund, så hvorfor kan en hacker ikke bare bruge brute-force til knæk disse adgangskoder Ophcrack - Et adgangskodehackværktøj til at knække næsten enhver Windows-adgangskodeDer er mange forskellige grunde til, at man ønsker at bruge et vilkårligt antal adgangskodehackværktøjer til at hacke en Windows-adgangskode. Læs mere ? Denne ekstra sikkerhed er takket være langsom hastering.

Hvorfor Slow-Hashing beskytter dig

I et angreb som dette er det virkelig den langsomt hashende del af LastPass-sikkerhed, der virkelig beskytter dig.

LastPass-breach4

LastPass gør, at hash-funktionen, der bruges til at verificere adgangskoden (eller oprette den), fungerer meget langsomt. Dette sætter i det væsentlige pauserne på enhver højhastighedsdrift, brute-force-operation, der kræver hastighed for at pumpe gennem milliarder af mulige hasjer. Lige meget hvor meget computerkraft Den seneste computerteknologi, du skal se for at troSe nogle af de nyeste computerteknologier, der er indstillet til at transformere verdenen inden for elektronik og pc'er i de næste par år. Læs mere hackerens system har, processen til at bryde krypteringen vil stadig tage evigt, hvilket væsentligt gør brudstyrkeangreb ubrugelig.

Desuden kører LastPass ikke bare hash-algoritmen en gang, de kører den tusinder af gange på din computer og derefter igen på serveren.

Sådan forklarede LastPass sin egen proces til brugerne i et blogindlæg efter dette seneste angreb:

”Vi hash både brugernavn og hovedadgangskode på brugerens computer med 5.000 runder PBKDF2-SHA256, en algoritme til styrkelse af adgangskode. Det skaber en nøgle, hvorpå vi udfører en ny hashingrunde, til at generere hash til master-adgangskodegodkendelse.

Det LastPass Help Desk har et indlæg, der beskriver hvordan LastPass bruger langsom hasning:

LastPass har valgt at bruge SHA-256, en langsommere hash-algoritme, der giver mere beskyttelse mod angreb fra brute-force. LastPass bruger PBKDF2-funktionen implementeret med SHA-256 til at omdanne dit hovedadgangskode til din krypteringsnøgle.

Hvad det betyder er, at trods dette nylige sikkerhedsbrud er dine adgangskoder stort set stadig meget sikre, selvom din e-mail-adresse ikke er.

Hvad hvis min adgangskode er svag?

Der er et fremragende punkt opført på LastPass-bloggen vedrørende svage adgangskoder. Mange brugere er bekymrede over, at de ikke drømmer om en unik adgangskode nok, og at disse hackere vil kunne gætte det uden særlig stor indsats.

Der er også den fjerne risiko for, at din konto er en af ​​dem, som hackere spilder deres tid på at prøve at dekryptere, og der er altid den fjerne mulighed for, at de med succes kunne få din master adgangskode. Hvad så?

LastPass-breach5

Hovedpunkterne er, at al den indsats ville blive spildt, da logge ind fra en anden enhed kræver verifikation via e-mail - din e-mail - før adgang er givet. Fra LastPass-bloggen:

”Hvis angriberen forsøgte at få adgang til dine data ved at bruge disse legitimationsoplysninger til at logge ind på dine LastPass-konto, de blev stoppet af en anmeldelse, der beder dem først bekræfte deres e-mail adresse."

Så medmindre de på en eller anden måde kan hacke til din e-mail-konto i tillæg til dekryptering af en næsten uknækkelig algoritme, har du virkelig ikke noget at bekymre dig om.

Bør jeg ændre min hovedadgangskode?

Hvorvidt du ønsker at ændre din hovedadgangskode koger virkelig ned til, hvor paranoid eller uheldig du føler dig. Hvis du tror, ​​du kan være den uheldige person, der har deres adgangskode krakket af talentfulde hackere, der er i stand til på en eller anden måde at dechiffrere gennem LastPass's 100.000 rund hash-rutine og en saltkode, der er unik bare for dig?

Hvis du bekymrer dig om sådanne ting, skal du alligevel ændre din adgangskode bare for ro i sindet. Det betyder, at i det mindste dit salt og hasj, i hænderne på hackere, bliver nytteløst.

Der er dog sikkerhedseksperter derude, der slet ikke er bekymrede, såsom sikkerhedsekspert Jeremi Gosney over hos Structure Group der fortalte journalister:

”Standard er 5.000 iterationer, så vi ser mindst på 105.000 iterationer. Jeg har faktisk indstillet til 65.000 iterationer, så det er i alt 165.000 iterationer, der beskytter min Diceware-adgangssætning. Så nej, jeg sveder bestemt ikke denne overtrædelse. Jeg føler mig ikke engang tvunget til at ændre min hovedadgangskode. ”

Den eneste virkelige bekymring, du skulle være opmærksom på ved denne dataovertrædelse er, at hackere nu har din e-mail-adresse, som de kunne bruge til at udføre massefiskekspeditioner for at prøve og narre folk til at opgive deres forskellige kontoadgangskoder - eller måske kan de gøre noget så verdsligt som at sælge alle disse bruger-e-mails til spammere på sort marked.

Hovedpunkterne er, at risikoen for denne sikkerhedsindtrængning forbliver minimal takket være LastPass-systemets overvældende sikkerhed. Men sund fornuft siger, at hackere når som helst har fået dine kontooplysninger - endda beskyttet gennem tusinder af avancerede kryptografiske iterationer - det er altid godt at ændre din hovedadgangskode, selvom det er for ro i sindet.

Fandt sikkerhedsovertrædelsen af ​​LastPass dig meget bekymret for sikkerheden ved LastPass, eller er du sikker på sikkerheden på din konto der? Del dine tanker og bekymringer i kommentarfeltet nedenfor.

Billedkreditter: trængte ind i sikkerhedslåsen via Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock

Ryan har en BSc-grad i elektroteknik. Han har arbejdet 13 år inden for automatisering, 5 år inden for it, og er nu en applikationsingeniør. En tidligere administrerende redaktør for MakeUseOf, han har talt på nationale konferencer om datavisualisering og har været vist på nationalt tv og radio.