Lastpass é violada: você precisa mudar a sua senha mestra?

Se você é um dos milhares de usuários LastPass que me senti muito seguro usando a Internet graças a promessas de segurança quase inquebrável, você pode sentir um pouco menos seguro sabendo que em 15 de junho, a empresa anunciou que detectou uma intrusão seus servidores.

LastPass inicialmente enviado um aviso por email para os usuários alertando-os de que a empresa havia detectado “atividade suspeita” em servidores LastPass, e que os endereços de e-mail do usuário e lembretes de senha foi comprometida.

A empresa assegurou os usuários que não existem dados vault cifrado tinham sido comprometidos, mas desde que o senhas de usuários com hash tinha sido obtido, a empresa aconselhou os usuários a atualizar suas senhas mestre, apenas para ser seguro.O que tudo isso Hash material MD5 realmente significa [Tecnologia Explicada]O que tudo isso Hash material MD5 realmente significa [Tecnologia Explicada]Aqui está um degradado cheio de MD5, hashing e uma pequena visão geral de computadores e criptografia.consulte Mais informação

Video: LastPass

O LastPass corte Explicado

Esta não é a primeira vez que os usuários LastPass têm se preocupado com hackers. No ano passado, CEO entrevistados LastPass Joe Siegrist após a ameaça heartbleed, onde suas garantias definir temores dos usuários à vontade.

Esta última violação ocorreu tarde da semana antes do anúncio. No momento em que foi detectado e identificado como uma invasão de segurança, os atacantes tinham fugido com endereços de e-mail do usuário, perguntas lembrete de senha / respostas, as senhas do usuário e hash sais de criptografia.Torne-se um Steganographer Segredo: Hide and criptografar os arquivosTorne-se um Steganographer Segredo: Hide and criptografar os arquivosconsulte Mais informação

LastPass-breach1

Video: LastPass Password Management App Now Free for Smartphones and Tablets

A boa notícia é que a segurança do sistema LastPass foi projetado para resistir a tais ataques. A única maneira de acessar suas senhas de texto simples seria para os hackers para descriptografar o senhas mestras bem garantidos.Use uma estratégia de gestão de senha para simplificar sua vidaUse uma estratégia de gestão de senha para simplificar sua vidaBoa parte dos conselhos em torno de senhas tem sido quase impossível seguir: use uma senha forte que contém números, letras e especial characters- alterá-lo regularly- vir para cima com uma senha completamente único para cada conta etc ....consulte Mais informação

Devido ao mecanismo usado para criptografar sua senha mestra, que seria necessário uma quantidade enorme de recursos computacionais para decifrá-lo - recursos que a maioria das pequenas ou de nível médio hackers não têm acesso.

LastPass-breach2

A razão que você está tão protegido quando você usa LastPass é porque esse mecanismo que faz com que a senha mestra tão difícil de obter é chamado de “hash lento” ou “hash com sal.”

Como Hashing Works

LastPass usa uma das técnicas de criptografia mais seguros do mundo, chamado de hash com sal.

LastPass-breach3

O “sal” é um código que é gerado utilizando uma ferramenta de criptografia - uma espécie de avançado gerador de números aleatórios criado especificamente para a segurança, se você quiser. Estas ferramentas criam códigos completamente imprevisíveis quando você cria sua senha mestra.5 geradores de senha grátis para senhas Quase unhackable5 geradores de senha grátis para senhas Quase unhackableconsulte Mais informação

O que acontece quando você criar a sua conta é a senha é “hash” utilizando um desses números “Salt” gerados aleatoriamente (e muito longas). Estes nunca são reutilizados - eles são únicos para cada usuário e cada senha. Finalmente, na tabela de conta de usuário, você encontrará apenas o sal e o hash.

A versão de texto real de sua senha mestra nunca é armazenado em servidores LastPass, de modo hackers não têm acesso a ele. Tudo o que eles foram capazes de obter neste intrusão são estes sais aleatórios, e os hashes codificados.

Então, a única maneira LastPass (ou alguém) possa validar sua senha é:

  1. Recuperar o hash e sal de mesa do utilizador.
  2. Usar o sal na palavra-passe o utilizador escreve, de hashing usando a mesma função hash que foi usado quando a palavra-passe foi gerado.
  3. O hash resultante fica em comparação com o hash armazenado para ver se é um jogo.

Estes dias, os hackers são capazes de gerar bilhões de hashes por segundo, então por que não um hacker pode simplesmente usar de força bruta para quebrar essas senhas? Esta segurança extra é graças a abrandar-hashing.Ophcrack - A senha hack ferramenta para quebrar Quase Qualquer Windows PasswordOphcrack - A senha hack ferramenta para quebrar Quase Qualquer Windows PasswordHá uma série de diferentes razões por que alguém iria querer usar qualquer número de ferramentas de senha de hackers para hackear uma senha do Windows.consulte Mais informação

Por Slow-Hashing Protege Você

Em um ataque como esse, é realmente a parte slow-hashing de segurança LastPass que realmente protege.

LastPass-breach4



LastPass faz a função hash usado para verificar a senha (ou criá-lo) funcionam muito lentamente. Isto essencialmente coloca as quebras em qualquer de alta velocidade, operação de força bruta que requer velocidade, a fim de bombear através de bilhões de possíveis hashes. Não importa quanto poder computacional sistema do hacker, o processo para quebrar a criptografia ainda vai levar para sempre, essencialmente, tornando ataques de força bruta inútil.A mais recente tecnologia de computador você tem que ver para crerA mais recente tecnologia de computador você tem que ver para crerConfira algumas das mais recentes tecnologias de computador que estão definidos para transformar o mundo da eletrônica e PCs ao longo dos próximos anos.consulte Mais informação

Em cima disso, LastPass não basta executar o algoritmo de hash uma vez, eles executá-lo milhares de vezes no seu computador, e depois novamente no servidor.

Veja como LastPass explicou seu próprio processo para usuários em um post de blog seguindo este último ataque:

“Nós botar tanto o nome de usuário e uma senha mestre no computador do usuário com 5.000 rodadas de PBKDF2-SHA256, uma senha fortalecimento algoritmo. Isso cria uma chave, em que realizamos uma nova rodada de hashing, para gerar o hash de autenticação por senha master “.

O LastPass Help Desk tem um post que descreve como LastPass utiliza slow-hashing:

LastPass optou por usar SHA-256, um algoritmo mais lento hashing que oferece mais proteção contra ataques de força bruta. LastPass utiliza a função PBKDF2 implementado com SHA-256 para transformar a sua senha mestra em sua chave de criptografia.

O que isto significa é que, apesar desta recente falha de segurança, as senhas são praticamente ainda muito seguro, mesmo que o seu endereço de e-mail não é.

E se a minha senha é fraca?

Há um excelente ponto levantada no blog LastPass sobre senhas fracas. Muitos usuários estão preocupados que eles não sonhar com uma senha bastante único, e que esses hackers serão capazes de adivinhar-lo sem muito esforço.

Há também o risco remoto de sua conta é um daqueles que hackers estão desperdiçando seu tempo tentando decifrar, e há sempre a possibilidade remota de que eles poderiam obter com sucesso a sua senha mestra. O que então?

LastPass-breach5

A linha inferior é que todo esse esforço seria desperdiçado, uma vez que o login de outro dispositivo requer verificação via e-mail - o seu e-mail - antes que o acesso seja concedido. Do blog LastPass:

“Se o atacante tentou obter acesso aos seus dados usando essas credenciais para entrar em sua conta LastPass, eles estariam parados por uma notificação pedindo-lhes que primeiro verificar o seu endereço de e-mail.”

Então, a menos que possam de alguma forma invadir sua conta de email além de descriptografar um algoritmo quase uncrackable, você realmente tem nada para se preocupar.

Devo mudar minha senha mestra?

Querendo ou não você quer mudar sua senha mestra realmente se resume a quão paranóico ou azar você sente. Se você acha que pode ser a única pessoa azarado que tem a sua senha quebrada por hackers talentosos que são capazes de decifrar alguma forma através de 100.000 rotina hashing rodada do LastPass e um código de sal que é exclusivo só para você?

Video: Como escolher e guardar as senhas 2

Por todos os meios, se você se preocupar com tais coisas, alterar sua senha apenas para a paz de espírito. Vai significar que pelo menos o seu sal e haxixe, nas mãos de hackers, torna-se inútil.

No entanto, há especialistas em segurança lá fora, que não são de todo em causa, como especialista em segurança Jeremi Gosney sobre a Estrutura do Grupo que disse aos repórteres:

“O padrão é de 5.000 iterações, então, no mínimo, nós estamos olhando para 105.000 iterações. Na verdade, eu tenho a minha definida para 65.000 iterações, então isso é um total de 165.000 iterações protegendo minha senha Diceware. Então, não, eu estou definitivamente não suando esta violação. Eu nem sequer se sentir compelido a mudar minha senha mestra.”

A única preocupação real você deve ter sobre esta violação de dados é que os hackers têm agora o seu endereço de e-mail, o que eles poderiam usar para realizar expedições phishing em massa para tentar enganar as pessoas a desistir de suas várias senhas de conta - ou talvez eles podem fazer algo tão mundano como a venda de todos os e-mails de usuários para spammers no mercado negro.

A linha inferior é que o risco de esta intrusão de segurança continua a ser mínima, graças à esmagadora segurança do sistema LastPass. Mas o senso comum diz que nenhum hackers tempo ter obtido os detalhes da conta - mesmo protegidos através de milhares de iterações de criptografia avançadas - é sempre bom para alterar sua senha mestre, mesmo que seja para a paz de espírito.

Será que a falha de segurança LastPass chegar muito preocupado com a segurança do LastPass, ou você está confiante sobre a segurança da sua conta lá? Compartilhe seus pensamentos e preocupações na seção de comentários abaixo.


Artigos relacionados