פרסומת
אם אתה אחד מאלפי משתמשי LastPass שהרגישו מאוד בטוחים באמצעות האינטרנט בזכות הבטחות כמעט בלתי ניתנות לשבירה אבטחה, יתכן שתרגיש קצת פחות בטוחה בידיעה שב- 15 ביוני החברה הודיעה שהם גילו פריצה לתוכם שרתים.
LastPass שלחה בתחילה הודעת דוא"ל למשתמשים שהמליצה להם כי החברה גילתה "חשודה פעילות "בשרתים של LastPass, וכתובות הדוא"ל של המשתמש ותזכורות הסיסמאות נפגעו.
החברה הבטיחה למשתמשים כי לא נפגעו נתוני כספת מוצפנים, אך מאז סיסמאות משתמש מה כל הדברים האלה בעצם MD5 Hash (משמעות הטכנולוגיה)להלן פירוט מלא של MD5, hashing וסקירה כללית קטנה של מחשבים וקריפטוגרפיה. קרא עוד לאחר שהושגה, החברה המליצה למשתמשים לעדכן את סיסמאות האב שלהם רק כדי להיות בטוחים.
האק LastPass הסביר
זו לא הפעם הראשונה שמשתמשי LastPass חוששים מהאקרים. בשנה שעברה, אנחנו ראיין את מנכ"ל LastPass, ג'ו זיגריסט ג'ו זיגרסט מ- LastPass: האמת על אבטחת הסיסמה שלך קרא עוד בעקבות האיום שנקרא Heartbed, שם הרגיעות שלו הציבו את הפחדים של המשתמשים בנוח.
הפרה אחרונה זו התרחשה בסוף השבוע שלפני ההכרזה. כשהוא זוהה וזוהה כחדירה אבטחתית, התוקפים התחמקו עם כתובות דוא"ל של משתמשים, שאלות / תשובות לתזכורת סיסמה, סיסמו סיסמאות משתמשים ו
מלחים קריפטוגרפיים הפוך לסטגנוגרף סודי: הסתר והצפין את הקבצים שלך קרא עוד .
החדשות הטובות הן שהאבטחה של מערכת LastPass נועדה לעמוד בהתקפות כאלה. הדרך היחידה לגשת לסיסמאות בטקסט רגיל תהיה שהאקרים מפענחים את ה- סיסמאות אב מאובטחות היטב השתמש באסטרטגיית ניהול סיסמאות כדי לפשט את חייךכמעט לא ניתן היה לעקוב אחר עצות רבות בנושא סיסמאות: השתמש בסיסמה חזקה המכילה מספרים, אותיות ותווים מיוחדים; לשנות את זה באופן קבוע; לבוא עם סיסמא ייחודית לחלוטין לכל חשבון וכו '... קרא עוד .
בגלל המנגנון המשמש להצפנת סיסמת המאסטר שלך, יידרש כמויות עצומות של משאבי מחשב כדי לפענח אותה - משאבים שלרוב ההאקרים הקטנים או הבינוניים אין גישה אליהם.
הסיבה שאתה מוגן כל כך כשאתה משתמש ב- LastPass היא מכיוון שמנגנון זה שמקשה להשיג את סיסמת המאסטר כל כך קשה נקרא "hasming slow" או "hashing with salt."
איך עובד האשינג
LastPass משתמש באחת מטכניקות ההצפנה המאובטחות ביותר בעולם, המכונה hashing עם מלח.
"המלח" הוא קוד שנוצר באמצעות כלי קריפטוגרפיה - מעין מתקדם מחולל מספר אקראי 5 מחוללי הסיסמאות המקוונים הטובים ביותר לסיסמאות אקראיות חזקותמחפש דרך ליצור סיסמה בלתי ניתנת לשבירה במהירות? נסה אחד ממחוללי הסיסמאות המקוונים האלה. קרא עוד נוצר במיוחד לצורך אבטחה, אם תרצו. כלים אלה יוצרים קודים בלתי צפויים לחלוטין בעת יצירת סיסמת המאסטר שלך.
מה שקורה כשאתה יוצר את חשבונך הוא שהסיסמה "נוהגת" באמצעות אחד ממספרי "המלח" המופקים באופן אקראי (וארוך מאוד). אלה לעולם אינם בשימוש חוזר - הם ייחודיים לכל משתמש ולכל סיסמה. לבסוף, בטבלת חשבון המשתמש, תוכלו למצוא רק את המלח ואת החשיש.
גרסת הטקסט בפועל של סיסמת המאסטר שלך לעולם אינה מאוחסנת בשרתי LastPass, כך שהאקרים אין גישה אליה. כל מה שהצליחו להשיג בפריצה זו הם המלחים האקראיים הללו והאשכים המקודדים.
אז הדרך היחידה ש LastPass (או מישהו אחר) יכול לאמת את הסיסמה שלך היא:
- אחזר את החשיש והמלח מטבלת המשתמשים.
- השתמש במלח על הסיסמה שהמשתמש מקליד, ומשחרר אותה באמצעות אותה פונקציית hash ששימשה בעת יצירת הסיסמה.
- החשיש שנוצר מתקבל בהשוואה לחשיש המאוחסן כדי לראות אם זה משחק.
בימינו האקרים מסוגלים לייצר מיליארדי חשיש בשנייה, אז מדוע האקר לא יכול פשוט להשתמש בכוח אמיץ לפצח את הסיסמאות האלה Ophcrack - כלי לפריצה של סיסמאות לפיצוח כמעט כל סיסמא של Windowsישנן הרבה סיבות שונות לכך שרוצים להשתמש בכל מספר של כלי פריצת סיסמאות כדי לפרוץ סיסמא של Windows. קרא עוד ? האבטחה הנוספת הזו הודות לחיפזון איטי.
מדוע איטי-השאה מגן עליך
בהתקפה כמו זו, זה באמת החלק האיטי של האבטחה של LastPass שבאמת מגן עליך.
LastPass גורם לפונקציית ה- Hash המשמשת לאימות הסיסמה (או ליצור אותה) לעבוד לאט מאוד. זה בעצם מעביר את ההפסקות בכל פעולה מהירה וחזקת ברזל הדורשת מהירות על מנת לשאוב דרך מיליארדי חשיש אפשרי. לא משנה כמה כוח חישובי טכנולוגיית המחשבים האחרונה שעליך לראות כדי להאמיןבדוק כמה מהטכנולוגיות המחשוב האחרונות אשר מיועדות להפוך את עולם האלקטרוניקה והמחשבים האישיים במהלך השנים הקרובות. קרא עוד למערכת ההאקר, התהליך לשבירת ההצפנה עדיין יימשך לנצח, מה שהופך את התקפות כוח הזרוע ללא תועלת.
נוסף על כך, LastPass לא רק מפעיל את אלגוריתם ה- Hash פעם אחת, הם מפעילים אותו אלפי פעמים במחשב שלך, ואז שוב בשרת.
כך הסביר LastPass למשתמשים את התהליך האישי שלה בפוסט בבלוג בעקבות ההתקפה האחרונה הזו:
"יש לנו חשיפה של שם המשתמש וסיסמת האב במחשב המשתמש עם 5,000 סיבובים של PBKDF2-SHA256, אלגוריתם לחיזוק סיסמאות. זה יוצר מפתח, בו אנו מבצעים סבב חשיפה נוסף, ליצירת ה- hash של אימות סיסמת האב. "
ה דלפק העזרה של LastPass יש פוסט שמתאר כיצד LastPass משתמש בחיפזון איטי:
LastPass בחרה להשתמש ב- SHA-256, אלגוריתם חיפוי איטי יותר המספק הגנה רבה יותר מפני התקפות כוח סוער. LastPass משתמש בפונקציית PBKDF2 המיושמת באמצעות SHA-256 כדי להפוך את סיסמת האב שלך למפתח ההצפנה שלך.
משמעות הדבר היא שלמרות הפרת האבטחה האחרונה, הסיסמאות שלך עדיין די מאובטחות מאוד, למרות שכתובת הדוא"ל שלך איננה.
מה אם הסיסמה שלי חלשה?
ישנה נקודה אחת מצוינת המובאת בבלוג של LastPass הנוגע לסיסמאות חלשות. משתמשים רבים חוששים שהם לא חלמו סיסמה מספיק ייחודית, וכי האקרים אלו יוכלו לנחש זאת ללא מאמץ רב.
יש גם את הסיכון המרוחק כי חשבונך הוא אחד מאלה שהאקרים מבזבזים את זמנם בניסיון לפענח, ותמיד קיימת האפשרות המרוחקת שהם יוכלו להשיג בהצלחה את המאסטר שלך סיסמה. מה אז?
בשורה התחתונה, כל המאמץ הזה יבוזבז, מכיוון שהכניסה למכשיר אחר מחייבת אימות באמצעות הדוא"ל - הדוא"ל שלך - לפני שתוענק הגישה. מהבלוג של LastPass:
"אם התוקף ניסה לקבל גישה לנתונים שלך על ידי שימוש בתעודות אלה כדי להתחבר לנתונים שלך חשבון LastPass, הם ייעצרו על ידי הודעה המבקשת מהם לאמת תחילה את הדוא"ל שלהם כתובת."
לכן, אלא אם כן הם יכולים איכשהו לפרוץ לחשבון הדוא"ל שלך בנוסף ל בפענוח אלגוריתם כמעט בלתי ניתן לניתוק, באמת שאין לך בכלל מה לדאוג.
האם עלי לשנות את סיסמת המאסטר שלי?
אם אתה רוצה לשנות את סיסמת המאסטר שלך או לא, באמת מסתכם עד כמה אתה מרגיש פרנואי או חסר מזל. אם אתה חושב שאתה יכול להיות האדם חסר המזל שהסיסמה שלו סדוקה על ידי האקרים מוכשרים המסוגלים לאפשר איכשהו לפענח את שגרת ההאשטה העגולה של LastPass וקוד מלח שהוא ייחודי רק בשבילך?
בכל דרך, אם אתה דואג לדברים כאלה, שנה את הסיסמה שלך רק לשקט נפשי. זה אומר שלפחות המלח והחשיש שלך, בידי האקרים, הופך להיות חסר תועלת.
עם זאת, ישנם שם מומחי אבטחה שאינם מודאגים כלל, כמו מומחה האבטחה ג'רמי גוסני בקבוצת Structure. מי אמר לכתבים:
"ברירת המחדל היא 5,000 איטרציות, אז לפחות אנו מסתכלים על 105,000 איטרציות. למעשה קבעתי ש- 65,000 איטרציות, כך שהם סך הכל 165,000 איטרציות שמגנות על ביטוי הסיסמה של Diceware. אז לא, אני בהחלט לא מזיע את הפרה הזו. אני אפילו לא מרגיש מחויב לשנות את סיסמת המאסטר שלי. "
החשש האמיתי היחיד שעליך להיות בנוגע להפרת נתונים זו הוא שלהאקרים יש כעת את כתובת הדוא"ל שלך, בה הם יוכלו להשתמש כדי לבצע משלחות דיוג המוניות כדי לנסות ולהערים על אנשים לוותר על סיסמאות החשבון השונות שלהם - או אולי הם עשויים לעשות משהו לא פשוט כמו למכור את כל אותם הודעות דוא"ל למשתמשים לרשימות דואר זבל. שוק.
בשורה התחתונה, הסיכון מפריצת אבטחה זו נשאר מינימלי, בזכות האבטחה המדהימה של מערכת LastPass. אולם השכל הישר אומר שבכל עת שהאקרים משיגים את פרטי החשבון שלך - אפילו מוגנים באמצעות אלפי איטרציות קריפטוגרפיות מתקדמות - תמיד טוב לשנות את סיסמת המאסטר שלך, אפילו אם זה מיועד לשקט נפשי.
האם הפרת האבטחה של LastPass גרמה לך לדאוג מאוד לבטיחות של LastPass, או שאתה בטוח בביטחון חשבונך שם? שתף את המחשבות והדאגות שלך בקטע ההערות שלהלן.
נקודות זכות: חדר למנעול האבטחה דרך Shutterstock, צחק זאבולץ דרך Shutterstock, בסטיאן וולטן דרך Shutterstock, מקיק דרך Shutterstock, GlebStock דרך Shutterstock, בנואה דאוסט דרך Shutterstock
לראיין תואר ראשון בהנדסת חשמל. הוא עבד 13 שנה בהנדסת אוטומציה, 5 שנים בתחום ה- IT, וכעת הוא מהנדס אפליקציות. כעורך מנהל לשעבר של MakeUseOf, הוא דיבר בכנסים ארציים להמחשת נתונים והופיע בטלוויזיה וברדיו הארציים.
