Διαφήμιση

Εάν είστε ένας από τους χιλιάδες χρήστες του LastPass που αισθανθήκατε πολύ ασφαλείς χρησιμοποιώντας το Διαδίκτυο χάρη σε υποσχέσεις σχεδόν άθραυστων ασφάλεια, μπορεί να αισθάνεστε λίγο λιγότερο ασφαλής γνωρίζοντας ότι στις 15 Ιουνίου, η εταιρεία ανακοίνωσε ότι εντόπισαν εισβολή στο δικό τους διακομιστές.

Το LastPass έστειλε αρχικά μια ειδοποίηση μέσω email σε χρήστες που τους ενημέρωσαν ότι η εταιρεία είχε εντοπίσει «ύποπτη» δραστηριότητα "στους διακομιστές LastPass και ότι οι διευθύνσεις email χρήστη και οι υπενθυμίσεις κωδικών πρόσβασης είχαν παραβιαστεί.

Η εταιρεία διαβεβαίωσε τους χρήστες ότι δεν είχαν παραβιαστεί κρυπτογραφημένα δεδομένα θησαυροφυλακίου, αλλά από τότε κατακερματισμένους κωδικούς χρήστη Τι σημαίνει πραγματικά αυτό το MD5 Hash Stuff [Επεξήγηση τεχνολογίας]Ακολουθεί μια πλήρης ανάλυση του MD5, κατακερματισμού και μια μικρή επισκόπηση των υπολογιστών και της κρυπτογραφίας. Διαβάστε περισσότερα είχε ληφθεί, η εταιρεία συμβούλεψε τους χρήστες να ενημερώσουν τους κύριους κωδικούς πρόσβασης, για να είναι ασφαλείς.

Το Hack του LastPass εξήγησε

Δεν είναι η πρώτη φορά που οι χρήστες του LastPass ανησυχούν για τους χάκερ. Πέρυσι, εμείς πήρε συνέντευξη από τον CEO της LastPass, Joe Siegrist Joe Siegrist του LastPass: Η αλήθεια για την ασφάλεια του κωδικού πρόσβασης Διαβάστε περισσότερα μετά την απειλή του Heartbleed, όπου οι διαβεβαιώσεις του έκαναν τους φόβους των χρηστών άνετα.

Αυτή η τελευταία παραβίαση πραγματοποιήθηκε αργά την εβδομάδα πριν από την ανακοίνωση. Μέχρι τη στιγμή που εντοπίστηκε και αναγνωρίστηκε ως εισβολή ασφαλείας, οι εισβολείς είχαν ξεφύγει με διευθύνσεις email χρήστη, ερωτήσεις / απαντήσεις υπενθύμισης κωδικού πρόσβασης, κατακερματισμένους κωδικούς πρόσβασης χρήστη και κρυπτογραφικά άλατα Γίνετε Μυστικός Στεγανογράφος: Απόκρυψη και Κρυπτογράφηση των Αρχείων σας Διαβάστε περισσότερα .

lastpass-breach1

Τα καλά νέα είναι ότι η ασφάλεια του συστήματος LastPass σχεδιάστηκε για να αντέχει σε τέτοιες επιθέσεις. Ο μόνος τρόπος πρόσβασης στους κωδικούς πρόσβασης απλού κειμένου θα ήταν να αποκρυπτογραφήσουν οι χάκερ καλά ασφαλισμένοι κύριοι κωδικοί πρόσβασης Χρησιμοποιήστε μια στρατηγική διαχείρισης κωδικού πρόσβασης για να απλοποιήσετε τη ζωή σαςΠολλές από τις συμβουλές σχετικά με τους κωδικούς πρόσβασης ήταν σχεδόν αδύνατο να ακολουθηθούν: χρησιμοποιήστε έναν ισχυρό κωδικό πρόσβασης που περιέχει αριθμούς, γράμματα και ειδικούς χαρακτήρες. αλλάζετε τακτικά. ελάτε με έναν εντελώς μοναδικό κωδικό πρόσβασης για κάθε λογαριασμό κ.λπ. Διαβάστε περισσότερα .

Λόγω του μηχανισμού που χρησιμοποιείται για την κρυπτογράφηση του κύριου κωδικού πρόσβασής σας, θα χρειαστούν τεράστιες ποσότητες πόρων υπολογιστών για την αποκρυπτογράφηση - πόροι στους οποίους δεν έχουν πρόσβαση οι περισσότεροι μικροί ή μεσαίο επίπεδο χάκερ.

lastpass-breach2

Ο λόγος που είστε τόσο προστατευμένοι όταν χρησιμοποιείτε το LastPass είναι επειδή αυτός ο μηχανισμός που καθιστά τον κύριο κωδικό πρόσβασης τόσο δύσκολο να ληφθεί ονομάζεται "αργό κατακερματισμό" ή "κατακερματισμός με αλάτι".

Πώς λειτουργεί το Hashing

Το LastPass χρησιμοποιεί μία από τις πιο ασφαλείς τεχνικές κρυπτογράφησης στον κόσμο, που ονομάζεται κατακερματισμός με αλάτι.

lastpass-breach3

Το "salt" είναι ένας κωδικός που δημιουργείται χρησιμοποιώντας ένα εργαλείο κρυπτογραφίας - ένα είδος προηγμένου γεννήτρια τυχαίων αριθμών Οι 5 καλύτερες διαδικτυακές δημιουργίες κωδικών πρόσβασης για ισχυρούς τυχαίους κωδικούς πρόσβασηςΨάχνετε έναν τρόπο να δημιουργήσετε γρήγορα έναν άθραυστο κωδικό πρόσβασης; Δοκιμάστε μία από αυτές τις διαδικτυακές συσκευές δημιουργίας κωδικών πρόσβασης. Διαβάστε περισσότερα δημιουργήθηκε ειδικά για την ασφάλεια, αν θέλετε. Αυτά τα εργαλεία δημιουργούν εντελώς απρόβλεπτους κωδικούς όταν δημιουργείτε τον κύριο κωδικό πρόσβασης.

Αυτό που συμβαίνει όταν δημιουργείτε τον λογαριασμό σας είναι ο κωδικός πρόσβασης "hashed" χρησιμοποιώντας έναν από αυτούς τους τυχαία (και πολύ μεγάλους) αριθμούς "salt". Δεν επαναχρησιμοποιούνται ποτέ - είναι μοναδικά για κάθε χρήστη και κάθε κωδικό πρόσβασης. Τέλος, στον πίνακα λογαριασμού χρήστη, θα βρείτε μόνο το αλάτι και το κατακερματισμό.

Η πραγματική έκδοση κειμένου του κύριου κωδικού πρόσβασης δεν αποθηκεύεται ποτέ σε διακομιστές LastPass, επομένως οι εισβολείς δεν έχουν πρόσβαση σε αυτόν. Το μόνο που μπόρεσαν να αποκτήσουν σε αυτή την εισβολή είναι αυτά τα τυχαία άλατα και οι κωδικοποιημένοι κατακερματισμοί.

Έτσι, ο μόνος τρόπος με τον οποίο το LastPass (ή οποιοσδήποτε) μπορεί να επικυρώσει τον κωδικό πρόσβασής σας είναι:

  1. Ανακτήστε το κατακερματισμό και το αλάτι από τον πίνακα χρηστών.
  2. Χρησιμοποιήστε το αλάτι στον κωδικό πρόσβασης που πληκτρολογεί ο χρήστης, καταργώντας τον χρησιμοποιώντας την ίδια συνάρτηση κατακερματισμού που χρησιμοποιήθηκε κατά τη δημιουργία του κωδικού πρόσβασης.
  3. Ο κατακερματισμός που προκύπτει συγκρίνεται με τον αποθηκευμένο κατακερματισμό για να δει αν ταιριάζει.

Αυτές τις μέρες, οι χάκερ μπορούν να δημιουργήσουν δισεκατομμύρια κατακερματισμούς ανά δευτερόλεπτο, οπότε γιατί δεν μπορεί ένας χάκερ να χρησιμοποιήσει απλώς βίαια δύναμη σπάστε αυτούς τους κωδικούς πρόσβασης Ophcrack - Ένα εργαλείο χάραξης κωδικού πρόσβασης για τη διάλυση σχεδόν οποιουδήποτε κωδικού πρόσβασης των WindowsΥπάρχουν πολλοί διαφορετικοί λόγοι για τους οποίους κάποιος θα ήθελε να χρησιμοποιήσει οποιονδήποτε αριθμό εργαλείων χάραξης κωδικού πρόσβασης για να χαράξει έναν κωδικό πρόσβασης των Windows. Διαβάστε περισσότερα ? Αυτή η επιπλέον ασφάλεια είναι χάρη στο αργό κατακερματισμό.

Γιατί το Slow-Hashing σας προστατεύει

Σε μια τέτοια επίθεση, είναι πραγματικά το αργό μέρος της ασφάλειας LastPass που σας προστατεύει πραγματικά.

lastpass-breach4

Το LastPass κάνει τη λειτουργία κατακερματισμού που χρησιμοποιείται για την επαλήθευση του κωδικού πρόσβασης (ή τη δημιουργία του) να λειτουργεί πολύ αργά. Αυτό ουσιαστικά θέτει τα διαλείμματα σε οποιαδήποτε λειτουργία υψηλής ταχύτητας, ωμής βίας που απαιτεί ταχύτητα για να αντλήσει δισεκατομμύρια πιθανών κατακερματισμών. Δεν πειράζει πόση υπολογιστική δύναμη Η τελευταία τεχνολογία υπολογιστών που πρέπει να δείτε για να πιστέψετεΔείτε μερικές από τις τελευταίες τεχνολογίες υπολογιστών που έχουν προγραμματιστεί να μεταμορφώσουν τον κόσμο των ηλεκτρονικών και των υπολογιστών τα επόμενα χρόνια. Διαβάστε περισσότερα όπως έχει το σύστημα του χάκερ, η διαδικασία για τη διακοπή της κρυπτογράφησης θα διαρκέσει για πάντα, καθιστώντας ουσιαστικά άχρηστες τις επιθέσεις ωμής βίας.

Επιπλέον, το LastPass δεν εκτελεί μόνο τον αλγόριθμο κατακερματισμού μία φορά, το εκτελεί χιλιάδες φορές στον υπολογιστή σας και, στη συνέχεια, ξανά στον διακομιστή.

Δείτε πώς η LastPass εξήγησε τη δική της διαδικασία στους χρήστες σε μια ανάρτηση ιστολογίου μετά από αυτήν την τελευταία επίθεση:

«Έχουμε κατακερματιστεί τόσο το όνομα χρήστη όσο και τον κύριο κωδικό πρόσβασης στον υπολογιστή του χρήστη με 5.000 γύρους PBKDF2-SHA256, έναν αλγόριθμο ενίσχυσης κωδικού πρόσβασης. Αυτό δημιουργεί ένα κλειδί, στο οποίο εκτελούμε έναν άλλο γύρο κατακερματισμού, για να δημιουργήσουμε τον κατακερματισμό κύριου κωδικού πρόσβασης. "

ο Γραφείο βοήθειας LastPass έχει μια ανάρτηση που περιγράφει πώς το LastPass χρησιμοποιεί αργό κατακερματισμό:

Το LastPass επέλεξε να χρησιμοποιήσει το SHA-256, έναν πιο αργό αλγόριθμο κατακερματισμού που παρέχει περισσότερη προστασία από επιθέσεις με brute-force. Το LastPass χρησιμοποιεί τη λειτουργία PBKDF2 που εφαρμόζεται με το SHA-256 για να μετατρέψει τον κύριο κωδικό πρόσβασης στο κλειδί κρυπτογράφησης.

Αυτό σημαίνει ότι παρά την πρόσφατη παραβίαση ασφαλείας, οι κωδικοί πρόσβασής σας παραμένουν πολύ ασφαλείς, παρόλο που η διεύθυνση ηλεκτρονικού ταχυδρομείου σας δεν είναι.

Τι γίνεται αν ο κωδικός μου είναι αδύναμος;

Υπάρχει ένα εξαιρετικό σημείο στο blog LastPass σχετικά με τους αδύναμους κωδικούς πρόσβασης. Πολλοί χρήστες ανησυχούν ότι δεν ονειρεύτηκαν έναν αρκετά μοναδικό κωδικό πρόσβασης και ότι αυτοί οι χάκερ θα μπορούν να το μαντέψουν χωρίς πολλή προσπάθεια.

Υπάρχει επίσης ο απομακρυσμένος κίνδυνος ότι ο λογαριασμός σας είναι ένας από αυτούς που οι χάκερ χάνουν το χρόνο τους προσπαθώντας για την αποκρυπτογράφηση και υπάρχει πάντα η απομακρυσμένη πιθανότητα να αποκτήσουν με επιτυχία τον κύριο σας Κωδικός πρόσβασης. Τι τότε?

Lastpass-breach5

Η ουσία είναι ότι όλη αυτή η προσπάθεια θα χαθεί, δεδομένου ότι η σύνδεση από άλλη συσκευή απαιτεί επαλήθευση μέσω email - το email σας - πριν από την πρόσβαση. Από το ιστολόγιο LastPass:

"Εάν ο εισβολέας προσπάθησε να αποκτήσει πρόσβαση στα δεδομένα σας χρησιμοποιώντας αυτά τα διαπιστευτήρια για να συνδεθείτε στο δικό σας Λογαριασμός LastPass, θα σταματούσαν από μια ειδοποίηση που θα τους ζητούσε να επαληθεύσουν πρώτα το email τους διεύθυνση."

Λοιπόν, εκτός και αν με κάποιο τρόπο μπορούν να εισβάλουν στον λογαριασμό email σας Επιπρόσθετα αποκρυπτογράφηση ενός σχεδόν ακατάπαυστου αλγορίθμου, πραγματικά δεν έχετε τίποτα να ανησυχείτε.

Πρέπει να αλλάξω τον κύριο κωδικό μου;

Το αν θέλετε ή όχι να αλλάξετε τον κύριο κωδικό πρόσβασής σας εξαρτάται από το πόσο παρανοϊκός ή άτυχος αισθάνεστε. Εάν νομίζετε ότι μπορεί να είστε το μοναδικό άτομο που έχει τον κωδικό πρόσβασής του από ταλαντούχους χάκερ που είναι σε θέση να αποκρυπτογραφήσετε κάπως τη ρουτίνα 100.000 στρογγυλών κατακερματισμών του LastPass και έναν κώδικα αλατιού που είναι μοναδικός μόνο για εσάς;

Με κάθε τρόπο, αν ανησυχείτε για τέτοια πράγματα, αλλάξτε τον κωδικό πρόσβασής σας μόνο για την ηρεμία. Αυτό σημαίνει ότι τουλάχιστον το αλάτι και ο κατακερματισμός σας, στα χέρια των χάκερ, θα είναι άχρηστοι.

Ωστόσο, υπάρχουν ειδικοί ασφαλείας εκεί έξω που δεν ενδιαφέρονται καθόλου, όπως ο εμπειρογνώμονας ασφάλειας Jeremi Gosney στο Structure Group που είπε στους δημοσιογράφους:

"Η προεπιλογή είναι 5.000 επαναλήψεις, οπότε τουλάχιστον εξετάζουμε 105.000 επαναλήψεις. Στην πραγματικότητα έχω ορίσει τη δική μου σε 65.000 επαναλήψεις, οπότε πρόκειται για συνολικά 165.000 επαναλήψεις που προστατεύουν τη φράση πρόσβασης Diceware. Οπότε όχι, σίγουρα δεν ιδρώνω αυτήν την παραβίαση. Δεν αισθάνομαι ούτε υποχρεωμένος να αλλάξω τον κύριο κωδικό μου. "

Η μόνη πραγματική ανησυχία που πρέπει να έχετε σχετικά με αυτήν την παραβίαση δεδομένων είναι ότι οι χάκερ έχουν τώρα τη διεύθυνση ηλεκτρονικού ταχυδρομείου σας, την οποία θα μπορούσαν να χρησιμοποιήσουν για να πραγματοποιήσουν μαζικές αποστολές ηλεκτρονικού ψαρέματος (phishing) για να δοκιμάσουν και να εξαπατήσουν τους ανθρώπους να εγκαταλείψουν τους διάφορους κωδικούς πρόσβασης του λογαριασμού τους - ή ίσως να κάνουν κάτι τόσο απλό όσο το να πουλήσουν όλα αυτά τα μηνύματα χρήστη σε spammers στο μαύρο αγορά.

Η ουσία είναι ότι ο κίνδυνος από αυτήν την εισβολή ασφαλείας παραμένει ελάχιστος, χάρη στην τεράστια ασφάλεια του συστήματος LastPass. Αλλά η κοινή λογική λέει ότι κάθε φορά που οι χάκερ έχουν αποκτήσει τα στοιχεία του λογαριασμού σας - ακόμη και προστατεύονται μέσω χιλιάδων προηγμένες κρυπτογραφικές επαναλήψεις - είναι πάντα καλό να αλλάζετε τον κύριο κωδικό πρόσβασής σας, ακόμα κι αν είναι για ειρήνη.

Μήπως η παραβίαση ασφαλείας του LastPass σας ανησυχεί πολύ για την ασφάλεια του LastPass ή είστε σίγουροι για την ασφάλεια του λογαριασμού σας εκεί; Μοιραστείτε τις σκέψεις και τις ανησυχίες σας στην παρακάτω ενότητα σχολίων.

Πιστώσεις εικόνας: διείσδυση κλειδαριά ασφαλείας μέσω του Shutterstock, Csehak Szabolcs μέσω του Shutterstock, Bastian Weltjen μέσω του Shutterstock, McIek μέσω του Shutterstock, GlebStock μέσω του Shutterstock, Benoit Daoust μέσω του Shutterstock

Ο Ryan έχει πτυχίο Ηλεκτρολόγου Μηχανικού. Εργάστηκε 13 χρόνια στη μηχανική αυτοματισμού, 5 χρόνια στον τομέα της πληροφορικής και τώρα είναι Μηχανικός εφαρμογών. Πρώην διευθύνων σύμβουλος του MakeUseOf, μίλησε σε εθνικά συνέδρια για την οπτικοποίηση δεδομένων και έχει εμφανιστεί στην εθνική τηλεόραση και ραδιόφωνο.