LastPass è interrotto: è necessario modificare la password principale?

Annuncio pubblicitario

Se sei una delle migliaia di utenti LastPass che si sono sentiti molto al sicuro utilizzando Internet grazie alle promesse di quasi infrangibili sicurezza, potresti sentirti un po 'meno sicuro sapendo che il 15 giugno la società ha annunciato di aver rilevato un'intrusione nella loro server.

Inizialmente LastPass ha inviato una notifica via e-mail agli utenti avvisando che la società aveva rilevato "sospetti" attività "sui server LastPass e che gli indirizzi e-mail dell'utente e i promemoria password sono stati compromessi.

La società ha assicurato agli utenti che nessun dato crittografato del deposito era stato compromesso, ma dal momento che il password utente con hash Cosa significa in realtà tutto questo hash MD5 [spiegazione della tecnologia]Ecco un riassunto completo di MD5, hashing e una piccola panoramica di computer e crittografia. Leggi di più era stato ottenuto, la società ha consigliato agli utenti di aggiornare le loro password principali, solo per sicurezza.

L'Hack LastPass ha spiegato

Questa non è la prima volta che gli utenti di LastPass si preoccupano degli hacker. L'anno scorso, noi ha intervistato Joe Siegrist, CEO di LastPass Joe Siegrist di LastPass: The Truth About Your Password Security Leggi di più seguendo la minaccia Heartbleed, dove le sue rassicurazioni mettono a proprio agio le paure degli utenti.

Quest'ultima violazione è avvenuta alla fine della settimana prima dell'annuncio. Quando è stato rilevato e identificato come un'intrusione nella sicurezza, gli aggressori erano scappati con indirizzi e-mail dell'utente, domande / risposte di promemoria password, hash delle password degli utenti e sali crittografici Diventa uno Steganografo segreto: nascondi e crittografa i tuoi file Leggi di più .

La buona notizia è che la sicurezza del sistema LastPass è stata progettata per resistere a tali attacchi. L'unico modo per accedere alle password in chiaro sarebbe che gli hacker decifrassero il file password principali ben protette Usa una strategia di gestione delle password per semplificarti la vitaGran parte dei consigli sulle password è stato quasi impossibile da seguire: utilizzare una password complessa contenente numeri, lettere e caratteri speciali; cambiarlo regolarmente; trovare una password completamente unica per ogni account ecc ... Leggi di più .

A causa del meccanismo utilizzato per crittografare la password principale, occorrerebbero enormi quantità di risorse del computer per decrittografare, risorse a cui la maggior parte degli hacker di piccole o medie dimensioni non hanno accesso.

Il motivo per cui sei così protetto quando usi LastPass è perché quel meccanismo che rende la password principale così difficile da ottenere si chiama "hashing lento" o "hashing con salt".

Come funziona l'hashing

LastPass utilizza una delle tecniche di crittografia più sicure al mondo, chiamata hashing con salt.

Il "sale" è un codice generato utilizzando uno strumento di crittografia, una sorta di avanzato generatore di numeri casuali I 5 migliori generatori di password online per password casuali fortiCerchi un modo per creare rapidamente una password infrangibile? Prova uno di questi generatori di password online. Leggi di più creato appositamente per la sicurezza, se lo desideri. Questi strumenti creano codici completamente imprevedibili quando si crea la password principale.

Quello che succede quando crei il tuo account è che la password è "hash" usando uno di questi numeri "salt" generati casualmente (e molto lunghi). Questi non vengono mai riutilizzati: sono unici per ogni utente e ogni password. Infine, nella tabella degli account utente, troverai solo il sale e l'hash.

La versione testuale effettiva della tua password principale non viene mai archiviata sui server LastPass, quindi gli hacker non possono accedervi. Tutto ciò che sono stati in grado di ottenere in questa intrusione sono questi sali casuali e gli hash codificati.

Quindi, l'unico modo in cui LastPass (o chiunque) può convalidare la tua password è:

1. Recupera l'hash e il salt dalla tabella utente.
2. Usa il salt sulla password digitata dall'utente, eseguendo l'hashing utilizzando la stessa funzione hash utilizzata al momento della generazione della password.
3. L'hash risultante viene confrontato con l'hash memorizzato per vedere se è una corrispondenza.

In questi giorni, gli hacker sono in grado di generare miliardi di hash al secondo, quindi perché un hacker non può semplicemente usare la forza bruta per rompere queste password Ophcrack - Uno strumento di hacking della password per decifrare quasi tutte le password di WindowsCi sono molte ragioni diverse per cui si vorrebbe usare un numero qualsiasi di strumenti per hackerare una password per hackerare una password di Windows. Leggi di più ? Questa sicurezza aggiuntiva è dovuta al rallentamento dell'hashing.

Perché il rallentatore ti protegge

In un attacco come questo, è davvero la parte di rallentamento della sicurezza di LastPass che ti protegge davvero.

LastPass fa funzionare la funzione hash utilizzata per verificare la password (o crearla) molto lentamente. Questo essenzialmente pone le interruzioni su qualsiasi operazione ad alta velocità e forza bruta che richiede velocità per pompare miliardi di possibili hash. Non importa quanta potenza computazionale L'ultima tecnologia informatica che devi vedere per credereScopri alcune delle più recenti tecnologie informatiche destinate a trasformare il mondo dell'elettronica e dei PC nei prossimi anni. Leggi di più il sistema dell'hacker ha, il processo per rompere la crittografia richiederà ancora per sempre, essenzialmente rendendo inutili gli attacchi di forza bruta.

Inoltre, LastPass non esegue l'algoritmo hash solo una volta, lo esegue migliaia di volte sul tuo computer e poi di nuovo sul server.

Ecco come LastPass ha spiegato agli utenti il ​​proprio processo in un post sul blog a seguito di questo ultimo attacco:

"Abbiamo inserito sia il nome utente che la password principale sul computer dell'utente con 5.000 round di PBKDF2-SHA256, un algoritmo di rafforzamento della password. Ciò crea una chiave, sulla quale eseguiamo un altro giro di hashing, per generare l'hash di autenticazione della password principale. "

Il Help Desk LastPass ha un post che descrive come LastPass utilizza l'hashing lento:

LastPass ha scelto di utilizzare SHA-256, un algoritmo di hashing più lento che offre maggiore protezione contro gli attacchi di forza bruta. LastPass utilizza la funzione PBKDF2 implementata con SHA-256 per trasformare la password principale nella chiave di crittografia.

Ciò significa che nonostante questa recente violazione della sicurezza, le tue password sono praticamente ancora molto sicure, anche se il tuo indirizzo email non lo è.

Cosa succede se la mia password è debole?

C'è un punto eccellente sollevato sul blog LastPass per quanto riguarda le password deboli. Molti utenti sono preoccupati di non aver inventato una password abbastanza unica e che questi hacker saranno in grado di indovinarlo senza troppi sforzi.

C'è anche il rischio remoto che il tuo account sia uno di quelli che gli hacker stanno perdendo tempo a provare per decrittografare e c'è sempre la remota possibilità che possano ottenere con successo il tuo master parola d'ordine. Cosa poi?

La linea di fondo è che tutto questo sforzo sarebbe sprecato, dal momento che l'accesso da un altro dispositivo richiede la verifica via e-mail - la tua e-mail - prima che venga concesso l'accesso. Dal blog LastPass:

"Se l'attaccante ha tentato di ottenere l'accesso ai tuoi dati utilizzando queste credenziali per accedere al tuo Account LastPass, sarebbero stati bloccati da una notifica che chiedeva loro di verificare prima la loro email indirizzo."

Quindi, a meno che non possano in qualche modo hackerare il tuo account di posta elettronica inoltre decifrando un algoritmo quasi indecifrabile, non hai davvero nulla di cui preoccuparti.

Devo cambiare la mia password principale?

Se vuoi cambiare la tua password principale si riduce davvero a quanto paranoico o sfortunato. Se pensi di essere l'unica persona sfortunata a cui viene violata la password da hacker di talento in grado decifrare in qualche modo attraverso la routine di hashing di 100.000 round di LastPass e un codice salt che è unico solo per te?

In ogni caso, se ti preoccupi di queste cose, cambia la tua password solo per la tranquillità. Significa che almeno il tuo sale e hash, nelle mani degli hacker, diventa inutile.

Tuttavia, ci sono esperti di sicurezza là fuori che non sono affatto interessati, come l'esperto di sicurezza Jeremi Gosney di Structure Group chi ha detto ai giornalisti:

"L'impostazione predefinita è 5.000 iterazioni, quindi come minimo stiamo esaminando 105.000 iterazioni. In realtà ho impostato il mio su 65.000 iterazioni, per un totale di 165.000 iterazioni che proteggono la mia passphrase di Diceware. Quindi no, sicuramente non sto sudando questa breccia. Non mi sento nemmeno obbligato a cambiare la mia password principale ".

L'unica vera preoccupazione che dovresti avere riguardo a questa violazione dei dati è che gli hacker ora hanno il tuo indirizzo email, che potrebbero usare per condurre spedizioni di phishing di massa per provare e indurre le persone a rinunciare alle varie password degli account - o forse potrebbero fare qualcosa di banale come vendere tutte quelle e-mail degli utenti agli spammer sul nero mercato.

La linea di fondo è che il rischio derivante da questa intrusione di sicurezza rimane minimo, grazie alla schiacciante sicurezza del sistema LastPass. Ma il buon senso dice che ogni volta che gli hacker hanno ottenuto i dettagli del tuo account - persino protetti attraverso migliaia di iterazioni crittografiche avanzate: è sempre bene modificare la password principale, anche se è per tranquillità.

La violazione della sicurezza di LastPass ti ha preoccupato molto della sicurezza di LastPass o sei sicuro della sicurezza del tuo account? Condividi i tuoi pensieri e preoccupazioni nella sezione commenti qui sotto.

Crediti immagine: penetrazione del blocco di sicurezza tramite Shutterstock, Csehak Szabolcs tramite Shutterstock, Bastian Weltjen tramite Shutterstock, McIek tramite Shutterstock, GlebStock tramite Shutterstock, Benoit Daoust tramite Shutterstock