Se sei uno dei migliaia di utenti LastPass che si sono sentiti molto sicuri utilizzando Internet grazie alle promesse di sicurezza quasi indistruttibile, potresti sentirti un po 'meno sicuro sapendo che il 15 giugno la compagnia ha annunciato di aver rilevato un'intrusione in i loro server.
LastPass inizialmente ha inviato una notifica via email agli utenti informandoli che la società aveva rilevato "attività sospette" sui server LastPass e che gli indirizzi e-mail e i promemoria delle password degli utenti erano stati compromessi.
La società ha assicurato agli utenti che non erano stati compromessi i dati del vault crittografato, ma dal momento che le password utente hash che cosa significa Tutto questo MD5 Hash Stuff significa in realtà [Tecnologia spiegata] Che cosa significa tutto questo MD5 Hash Stuff significa in realtà [Tecnologia spiegata] Ecco una serie completa di MD5, hashing e una piccola panoramica di computer e crittografia. Per saperne di più è stato ottenuto, la società ha consigliato agli utenti di aggiornare le loro password principali, solo per essere sicuri.
Spiegato l'Hack LastPass
Questa non è la prima volta che gli utenti di LastPass si preoccupano degli hacker. L'anno scorso abbiamo intervistato l'amministratore delegato di LastPass Joe Siegrist Joe Siegrist di LastPass: La verità sulla sicurezza delle password Joe Siegrist of LastPass: La verità sulla sicurezza delle password Leggi di più sulla minaccia Heartbleed, dove le sue rassicurazioni mettono a proprio agio i timori degli utenti.
Quest'ultima violazione è avvenuta alla fine della settimana prima dell'annuncio. Nel momento in cui è stato rilevato e identificato come un'intrusione di sicurezza, gli aggressori si sono allontanati con indirizzi e-mail utente, domande / risposte di promemoria password, hash password utente e sali crittografici Diventa uno Steganographer segreto: Nascondi e crittografa i tuoi file Diventa uno Steganogravore segreto: Nascondi e crittografa i tuoi file Ulteriori informazioni.
La buona notizia è che la sicurezza del sistema LastPass è stata progettata per resistere a tali attacchi. L'unico modo per accedere alle tue password di testo normale sarebbe che gli hacker decodifichino le password master ben protette Utilizzare una strategia di gestione delle password per semplificare la vita Utilizzare una strategia di gestione delle password per semplificare la vita Gran parte dei consigli sulle password è stata vicina -impossibile da seguire: utilizzare una password complessa contenente numeri, lettere e caratteri speciali; cambiarlo regolarmente; trovare una password completamente unica per ogni account, ecc .... Leggi di più.
A causa del meccanismo utilizzato per crittografare la tua password principale, ci vorrebbe una grande quantità di risorse del computer per decrittografarlo, risorse a cui la maggior parte degli hacker di livello medio o medio non ha accesso.
Il motivo per cui sei così protetto quando usi LastPass è perché quel meccanismo che rende così difficile la master password è chiamato "hashing lento" o "hashing con salt".
Come funziona l'hashing
LastPass utilizza una delle tecniche di crittografia più sicure al mondo, chiamata hashing with salt.
Il "sale" è un codice che viene generato utilizzando uno strumento di crittografia - una sorta di generatore di numeri casuali avanzato 5 Generatori di password gratuiti per password quasi non bloccabili 5 Generatori di password gratuiti per password quasi infrangibili Leggi altro creato appositamente per la sicurezza, se lo desideri. Questi strumenti creano codici completamente imprevedibili quando crei la tua password principale.
Quello che succede quando crei il tuo account è che la password è "hash" usando uno di questi numeri "saltati" generati casualmente (e molto lunghi). Questi non vengono mai riutilizzati, sono unici per ogni utente e ogni password. Infine, nella tabella degli account utente, troverai solo il sale e l'hash.
La versione testuale effettiva della tua password principale non viene mai memorizzata sui server LastPass, quindi gli hacker non hanno accesso ad essa. Tutto ciò che sono riusciti a ottenere in questa intrusione sono questi sali casuali e gli hash codificati.
Quindi, l'unico modo in cui LastPass (o chiunque) può convalidare la tua password è:
- Recupera l'hash e il sale dalla tabella utente.
- Usa il salt sulla password che l'utente digita, eseguendo l'hashing usando la stessa funzione di hash che è stata usata quando è stata generata la password.
- L'hash risultante viene confrontato con l'hash memorizzato per vedere se è una corrispondenza.
Al giorno d'oggi, gli hacker sono in grado di generare miliardi di hash al secondo, quindi perché un hacker non può usare semplicemente la forza bruta per violare queste password Ophcrack - Uno strumento per hackerare password per craccare quasi ogni password di Windows Ophcrack - Uno strumento per hackerare password per crack Quasi tutte le password di Windows Ci sono molti diversi motivi per cui uno vorrebbe utilizzare un numero qualsiasi di strumenti di hacking della password per hackerare una password di Windows. Leggi di più ? Questa ulteriore sicurezza è dovuta all'hashing lento.
Perché Slow-Hashing ti protegge
In un attacco come questo, è davvero la parte lenta della sicurezza LastPass che ti protegge davvero.
LastPass rende la funzione di hash utilizzata per verificare la password (o crearla) funziona molto lentamente. Questo essenzialmente mette le interruzioni su qualsiasi operazione di forza bruta ad alta velocità che richiede velocità per pompare miliardi di possibili hash. Non importa quanta potenza computazionale L'ultima tecnologia informatica devi vedere per credere all'ultima tecnologia informatica che devi vedere per credere Scopri alcune delle più recenti tecnologie informatiche destinate a trasformare il mondo dell'elettronica e dei PC nei prossimi anni . Per saperne di più, il sistema dell'hacker ha, il processo per interrompere la crittografia richiederà ancora per sempre, essenzialmente rendendo inutili gli attacchi di forza bruta.
Inoltre, LastPass non esegue semplicemente l'algoritmo hash una volta, lo esegue migliaia di volte sul tuo computer e poi di nuovo sul server.
Ecco come LastPass ha spiegato il proprio processo agli utenti in un post sul blog dopo questo ultimo attacco:
"Abbiamo cancellato sia il nome utente che la password principale sul computer dell'utente con 5.000 round di PBKDF2-SHA256, un algoritmo di rafforzamento della password. Questo crea una chiave, sulla quale eseguiamo un altro giro di hashing, per generare l'hash di autenticazione della password master. "
L'Help Desk di LastPass ha un post che descrive come LastPass utilizza l'hashing lento:
LastPass ha scelto di usare SHA-256, un algoritmo di hashing più lento che fornisce una maggiore protezione contro gli attacchi a forza bruta. LastPass utilizza la funzione PBKDF2 implementata con SHA-256 per trasformare la password principale nella chiave di crittografia.
Ciò significa che nonostante questa recente violazione della sicurezza, le tue password sono praticamente ancora molto sicure, anche se il tuo indirizzo email non lo è.
Cosa succede se la mia password è debole?
C'è un eccellente punto sollevato nel blog LastPass riguardo alle password deboli. Molti utenti sono preoccupati che non abbiano inventato una password abbastanza unica e che questi hacker saranno in grado di indovinarlo senza grandi sforzi.
Esiste anche il rischio remoto che il tuo account sia uno di quelli che gli hacker sprecano il loro tempo cercando di decrittografare, e c'è sempre la possibilità remota di riuscire a ottenere la tua password principale. Cosa poi?
La linea di fondo è che tutto questo sforzo sarebbe sprecato, dal momento che l'accesso da un altro dispositivo richiede la verifica via e-mail - la tua e-mail - prima che l'accesso sia garantito. Dal blog LastPass:
"Se l'utente malintenzionato ha tentato di accedere ai tuoi dati utilizzando queste credenziali per accedere al tuo account LastPass, verrebbero interrotti da una notifica che chiede loro di verificare prima il loro indirizzo email."
Quindi, a meno che non possano in qualche modo hackerare il tuo account e-mail oltre a decifrare un algoritmo quasi noncrissibile, non hai davvero nulla di cui preoccuparti.
Devo cambiare la mia password principale?
Che tu voglia o meno cambiare la tua password principale si riduce a quanto ti senti paranoico o sfortunato. Se pensi di essere l'unica persona sfortunata che ha la sua password incrinata da hacker di talento che sono in grado di decifrare in qualche modo attraverso la routine di hashing di 100.000 round di LastPass e un codice salt che è unico solo per te?
In ogni caso, se ti preoccupi di queste cose, cambia la password solo per la tranquillità. Significa che almeno il sale e l'hash, nelle mani degli hacker, diventano inutili.
Tuttavia, ci sono esperti di sicurezza che non sono affatto interessati, come ad esempio l'esperto di sicurezza Jeremi Gosney al Structure Group che ha detto ai giornalisti:
"Il valore predefinito è 5.000 iterazioni, quindi come minimo stiamo considerando 105.000 iterazioni. In realtà ho il mio impostato su 65.000 iterazioni, quindi questo è un totale di 165.000 iterazioni che proteggono la mia passphrase Diceware. Quindi no, non sto assolutamente sudando questa violazione. Non mi sento nemmeno obbligato a cambiare la mia password principale. "
L'unica vera preoccupazione che dovresti avere su questa violazione dei dati è che ora gli hacker hanno il tuo indirizzo e-mail, che potrebbero usare per condurre spedizioni di phishing di massa per cercare di indurre le persone a rinunciare alle loro varie password di account - o forse potrebbero fare qualcosa di banale come la vendita di tutte quelle e-mail degli utenti agli spammer sul mercato nero.
La linea di fondo è che il rischio di questa intrusione di sicurezza rimane minimo, grazie alla travolgente sicurezza del sistema LastPass. Ma il buon senso dice che ogni volta che gli hacker hanno ottenuto i dettagli del tuo account - anche protetti attraverso migliaia di iterazioni crittografiche avanzate - è sempre bene cambiare la tua password principale, anche se è per la pace della mente.
La violazione della sicurezza di LastPass ti ha preoccupato molto della sicurezza di LastPass o sei sicuro della sicurezza del tuo account? Condividi i tuoi pensieri e preoccupazioni nella sezione commenti qui sotto.
Crediti immagine: blocco di sicurezza penetrato tramite Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock