Forside Sikkerhed LastPass er overtrådt Har du brug for at ændre dit hovedadgangskode?

LastPass er overtrådt Har du brug for at ændre dit hovedadgangskode?

  • Mark Lucas
  • 0
  • 3882
  • 264
Reklame

Hvis du er en af ​​de tusinder af LastPass-brugere, der har følt sig meget sikre ved hjælp af Internettet takket være løfter om næsten uknuselig sikkerhed, kan du føle dig lidt mindre sikker, idet virksomheden den 15. juni meddelte, at de opdagede en indtrængen i deres servere.

LastPass sendte oprindeligt en e-mail-meddelelse til brugere, der rådede dem om, at virksomheden havde opdaget “mistænksom aktivitet” på LastPass-servere, og brugerens e-mail-adresser og adgangskoderpåmindelser var blevet kompromitteret.

Virksomheden forsikrede brugere om, at der ikke var kompromitteret nogen krypterede hvælvningsdata, men siden hashede brugeradgangskoder Hvad alt dette MD5 Hash-stof faktisk betyder [Teknologi forklaret] Hvad alt dette MD5 Hash-stof faktisk betyder [Teknologi forklaret] Her er en fuld nedslid af MD5, hashing og et lille overblik over computere og kryptografi. havde fået, rådede virksomheden brugere om at opdatere deres hovedadgangskoder, bare for at være sikre.

The LastPass Hack forklarede

Dette er ikke første gang LastPass-brugere har været bekymrede for hackere. Sidste år interviewede vi LastPass CEO Joe Siegrist Joe Siegrist fra LastPass: Sandheden om dit adgangskodssikkerhed Joe Siegrist fra LastPass: Sandheden om din adgangskode Sikkerhed efter hjertets trussel, hvor hans tryghed sætter brugernes frygt let.

Denne seneste overtrædelse fandt sted sent ugen før meddelelsen. Da det blev opdaget og identificeret som en sikkerhedsindtrængen, var angriberen væk med bruger-e-mail-adresser, spørgsmål om spørgsmål / svar til kodeord, hashede brugeradgangskoder og kryptografiske salte Bliv en hemmelig steganograf: Skjul og krypter dine filer Bliv en hemmelig steganograf: Skjul og krypter dine filer .

Den gode nyhed er, at sikkerheden i LastPass-systemet var designet til at modstå sådanne angreb. Den eneste måde at få adgang til dine almindelige tekst-adgangskoder ville være for hackere at dekryptere de godt sikrede master-adgangskoder Brug en adgangskodestyringsstrategi til at forenkle dit liv Brug en adgangskodestyringsstrategi for at forenkle dit liv Meget af rådene omkring adgangskoder har været i nærheden -imuligt at følge: brug en stærk adgangskode, der indeholder tal, bogstaver og specialtegn; ændre det regelmæssigt; komme med en helt unik adgangskode til hver konto osv ... .

På grund af den mekanisme, der bruges til at kryptere din masteradgangskode, ville det kræve enorme mængder computerværdier at dekryptere det - ressourcer, som de fleste små eller mellemstore hackere ikke har adgang til.

Årsagen til at du er så beskyttet, når du bruger LastPass, er fordi den mekanisme, der gør hovedadgangskoden så svært at få, kaldes “langsom hasning” eller “hashing med salt.”

Sådan fungerer Hashing

LastPass bruger en af ​​de mest sikre krypteringsteknikker i verden, kaldet hashing med salt.

Det “salt” er en kode, der er genereret ved hjælp af et kryptografiverktøj - en slags avanceret generator for tilfældigt tal De 5 bedste online adgangskodegeneratorer til stærke tilfældige adgangskoder De 5 bedste online adgangskodegeneratorer til stærke tilfældige adgangskoder Leder du efter en måde at hurtigt oprette en uknuselig adgangskode? Prøv en af ​​disse online adgangskodegeneratorer. oprettet specielt til sikkerhed, hvis du vil. Disse værktøjer opretter helt uforudsigelige koder, når du opretter din hovedadgangskode.

Hvad der sker, når du opretter din konto, er adgangskoden “hashed” ved hjælp af en af ​​disse tilfældigt genererede (og meget lange) “salt” numre. Disse genanvendes aldrig - de er unikke for enhver bruger og enhver adgangskode. Endelig i brugerkontotabellen finder du kun salt og hash.

Den faktiske tekstversion af din hovedadgangskode gemmes aldrig på LastPass-servere, så hackere har ikke adgang til det. Alt, hvad de var i stand til at opnå i denne indtrængen, er disse tilfældige salte og de kodede hasjer.

Så den eneste måde, hvorpå LastPass (eller hvem som helst) kan validere din adgangskode, er:

  1. Hent hash og salt fra brugertabellen.
  2. Brug saltet på adgangskoden, som brugeren indtaster, hash det ved hjælp af den samme hash-funktion, der blev brugt, da adgangskoden blev genereret.
  3. Den resulterende hash bliver sammenlignet med den lagrede hash for at se, om det er et match.

I disse dage er hackere i stand til at generere milliarder af hash pr. Sekund, så hvorfor kan en hacker ikke bare bruge brute-force til at knække disse adgangskoder Ophcrack - Et adgangskode-hackværktøj til at knække næsten ethvert Windows-kodeord Ophcrack - Et kodeord Hack-værktøj til at knække Næsten ethvert Windows-kodeord Der er mange forskellige grunde til, at man ønsker at bruge et vilkårligt antal adgangskodehackværktøjer til at hacke en Windows-adgangskode. ? Denne ekstra sikkerhed er takket være langsom hastighed.

Hvorfor Slow-Hashing beskytter dig

I et angreb som dette er det virkelig den langsomt hashende del af LastPass-sikkerhed, der virkelig beskytter dig.

LastPass gør, at den hashfunktion, der bruges til at verificere adgangskoden (eller oprette den), fungerer meget langsomt. Dette sætter i det væsentlige pauserne på enhver højhastighedsdrift, brute-force-operation, der kræver hastighed for at pumpe gennem milliarder af mulige hasjer. Ligegyldigt hvor meget computerkraft Den nyeste computerteknologi, du skal se for at tro, den seneste computerteknologi, du skal se for at tro, tjek nogle af de nyeste computerteknologier, der er beregnet til at transformere verdenen af ​​elektronik og pc'er i de næste par år . hackerens system har, processen til at bryde krypteringen vil stadig tage evigt, hvilket væsentligt gør brudstyrkeangreb ubrugelig.

Derudover kører LastPass ikke bare hash-algoritmen en gang, de kører den tusinder af gange på din computer og derefter igen på serveren.

Her er, hvordan LastPass forklarede sin egen proces til brugere i et blogindlæg efter dette seneste angreb:

“Vi hash både brugernavn og hovedadgangskode på brugerens computer med 5.000 runder PBKDF2-SHA256, en algoritme til styrkelse af adgangskode. Det skaber en nøgle, hvorpå vi udfører en ny hashingrunde, til at generere hash til masteradgangskodegodkendelse.”

LastPass Help Desk har et indlæg, der beskriver, hvordan LastPass bruger langsom hasning:

LastPass har valgt at bruge SHA-256, en langsommere hash-algoritme, der giver mere beskyttelse mod angreb fra brute-force. LastPass bruger PBKDF2-funktionen implementeret med SHA-256 til at omdanne dit hovedadgangskode til din krypteringsnøgle.

Hvad dette betyder er, at trods dette nylige sikkerhedsbrud er dine adgangskoder stort set stadig meget sikre, selvom din e-mail-adresse ikke er det.

Hvad hvis min adgangskode er svag?

Der er et fremragende punkt opført på LastPass-bloggen vedrørende svage adgangskoder. Mange brugere er bekymrede over, at de ikke drømmer om en unik adgangskode nok, og at disse hackere vil kunne gætte det uden særlig stor indsats.

Der er også fjernrisikoen for, at din konto er en af ​​dem, som hackere spilder deres tid på at forsøge at dekryptere, og der er altid den fjerne mulighed for, at de med succes kunne få din hovedadgangskode. Hvad så?

Hovedpunkterne er, at al den indsats ville blive spildt, da logge ind fra en anden enhed kræver verifikation via e-mail - din e-mail - før adgang er givet. Fra LastPass-bloggen:

“Hvis angriberen forsøgte at få adgang til dine data ved at bruge disse legitimationsoplysninger til at logge ind på din LastPass-konto, ville de blive stoppet af en anmeldelse, der beder dem om først at bekræfte deres e-mail-adresse.”

Så medmindre de på en eller anden måde kan hacke til din e-mail-konto i tillæg til dekryptering af en næsten uknækkelig algoritme, har du virkelig ikke noget at bekymre dig om.

Skal jeg ændre min hovedadgangskode?

Hvorvidt du ønsker at ændre dit hovedadgangskode koger virkelig ned til, hvor paranoid eller uheldig du føler dig. Hvis du tror, ​​at du måske er den uheldige person, der har deres adgangskode krakket af talentfulde hackere, der på en eller anden måde er i stand til at dechiffrere gennem LastPass's 100.000 rund hash-rutine og en saltkode, der er unik bare for dig?

Hvis du bekymrer dig om sådanne ting, skal du under alle omstændigheder ændre din adgangskode bare for ro i sindet. Det betyder, at i det mindste dit salt og hasj, i hænderne på hackere, bliver nytteløst.

Der er dog sikkerhedsexperter derude, der overhovedet ikke er bekymrede, såsom sikkerhedsekspert Jeremi Gosney over hos Structure Group, der fortalte journalister:

“Standard er 5.000 iterationer, så vi ser mindst på 105.000 iterationer. Jeg har faktisk indstillet mine til 65.000 iterationer, så det er i alt 165.000 iterationer, der beskytter min Diceware-adgangssætning. Så nej, jeg sveder bestemt ikke denne overtrædelse. Jeg føler mig ikke engang tvunget til at ændre min hovedadgangskode.”

Den eneste virkelige bekymring, du skulle være opmærksom på ved denne dataovertrædelse, er, at hackere nu har din e-mail-adresse, som de kunne bruge til at udføre masse phishing-ekspeditioner for at forsøge at narre folk til at opgive deres forskellige kontoadgangskoder - eller måske kan de gøre noget som hverdagsligt som at sælge alle disse bruger-e-mails til spammere på det sorte marked.

Hovedpunkterne er, at risikoen for denne sikkerhedsindtrængning forbliver minimal takket være LastPass-systemets overvældende sikkerhed. Men sund fornuft siger, at når som helst hackere har fået dine kontooplysninger - endda beskyttet gennem tusinder af avancerede kryptografiske iterationer - er det altid godt at ændre din hovedadgangskode, selvom det er for ro i sindet.

Fandt sikkerhedsovertrædelsen af ​​LastPass dig meget bekymret for sikkerheden ved LastPass, eller er du sikker på sikkerheden på din konto der? Del dine tanker og bekymringer i kommentarfeltet nedenfor.

Billedkreditter: penetreret sikkerhedslås via Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock




Endnu ingen kommentarer

Hvad er nyt på Netflix i juli? Gladiator, dødbringende våben og mere
Underholdning
Sådan kalibreres dine Netflix-henstillinger
Underholdning
Sådan castes videoer fra pc til tv ved hjælp af VLC og Chromecast
Underholdning
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.