Annons
Om du är en av de tusentals LastPass-användare som har känt dig väldigt säkert med Internet tack vare löften om nästan obrytbar säkerhet, kanske du känner dig lite mindre säker när du vet att företaget den 15 juni meddelade att de upptäckte ett intrång i deras servrar.
LastPass skickade initialt ett e-postmeddelande till användare som gav dem råd om att företaget hade upptäckt "misstänkt aktivitet ”på LastPass-servrar, och användarens e-postadresser och lösenordpåminnelser hade äventyrats.
Företaget försäkrade användare om att inga krypterade valvinformation hade äventyrats, men sedan hashade användarlösenord Vad allt detta MD5 Hash-material egentligen betyder [teknik förklarat]Här är en fullständig nedgång av MD5, hashing och en liten översikt över datorer och kryptografi. Läs mer hade erhållits, rådde företaget användare att uppdatera sina huvudlösenord bara för att vara säkra.
The LastPass Hack Förklarade
Det här är inte första gången LastPass-användare har varit oroliga för hackare. Förra året, vi
intervjuade LastPass vd Joe Siegrist Joe Siegrist från LastPass: The Truth About Your Password Security Läs mer efter Heartbleed-hotet, där hans försäkringar ger användarnas rädsla lätt.Detta senaste överträdelse ägde rum sent i veckan före tillkännagivandet. När det upptäcktes och identifierades som en säkerhetsintrång hade angriparna kommit undan med användar-e-postadresser, lösenordspåminnelser / svar, hashade användarlösenord och kryptografiska salter Bli en hemlig steganograf: Dölj och kryptera dina filer Läs mer .
Den goda nyheten är att säkerheten i LastPass-systemet var utformad för att motstå sådana attacker. Det enda sättet att komma åt dina vanliga textlösenord är för hackarna att dekryptera väl säkrade huvudlösenord Använd en strategi för lösenordshantering för att förenkla ditt livMånga av råden kring lösenord har varit nästan omöjliga att följa: använd ett starkt lösenord som innehåller siffror, bokstäver och specialtecken; ändra det regelbundet; komma med ett helt unikt lösenord för varje konto osv ... Läs mer .
På grund av den mekanism som används för att kryptera ditt huvudlösenord skulle det kräva enorma mängder datorresurser för att dekryptera det - resurser som de flesta små eller medelhöga hackare inte har tillgång till.
Anledningen till att du är så skyddad när du använder LastPass beror på att den mekanism som gör huvudlösenordet så svårt att få fram kallas "långsam hash" eller "hasning med salt."
Hur Hashing fungerar
LastPass använder en av de säkraste krypteringsteknikerna i världen, kallad hashing med salt.
"Saltet" är en kod som genereras med ett kryptografiskt verktyg - en slags avancerad slumptalsgenerator De 5 bästa online-lösenordgeneratorerna för starka slumpmässiga lösenordLetar du efter ett sätt att snabbt skapa ett okrossbart lösenord? Prova en av dessa online-lösenordgeneratorer. Läs mer skapad specifikt för säkerhet, om du vill. Dessa verktyg skapar helt oförutsägbara koder när du skapar ditt huvudlösenord.
Det som händer när du skapar ditt konto är att lösenordet "hashas" med ett av dessa slumpmässigt genererade (och mycket långa) "salt" -nummer. Dessa används aldrig igen - de är unika för alla användare och alla lösenord. Slutligen, i användarkontotabellen hittar du bara salt och hasj.
Den faktiska textversionen av ditt huvudlösenord lagras aldrig på LastPass-servrar, så hackare har inte tillgång till det. Allt de kunde få i denna intrång är dessa slumpmässiga salter och de kodade hasherna.
Så, det enda sättet LastPass (eller vem som helst) kan validera ditt lösenord är:
- Hämta hasj och salt från användartabellen.
- Använd saltet på lösenordet som användaren skriver in, hashing det med samma hash-funktion som användes när lösenordet genererades.
- Den resulterande hashen jämförs med den lagrade hashen för att se om det är en matchning.
Idag kan hackare generera miljarder hascher per sekund, så varför kan inte en hacker bara använda brute-force för att knäcka dessa lösenord Ophcrack - Ett lösenord hackverktyg för att knäcka nästan alla Windows-lösenordDet finns många olika skäl till varför man skulle vilja använda valfritt antal lösenordshackverktyg för att hacka ett Windows-lösenord. Läs mer ? Denna extra säkerhet är tack vare långsam hastighet.
Varför Slow-Hashing skyddar dig
I en attack som denna är det verkligen den långsamma delen av LastPass-säkerheten som verkligen skyddar dig.
LastPass gör att hashfunktionen som används för att verifiera lösenordet (eller skapa det) fungerar mycket långsamt. Detta sätter i huvudsak pauserna på alla snabba, brute-kraft operationer som kräver hastighet för att pumpa genom miljarder möjliga hashes. Spelar ingen roll hur mycket beräkningskraft Den senaste datatekniken du måste se för att troKolla in några av de senaste datorteknologierna som är avsedda att omvandla världen inom elektronik och datorer under de närmaste åren. Läs mer hackarens system har, processen för att bryta krypteringen kommer fortfarande att ta evigt, vilket i huvudsak gör brute-force attacker värdelösa.
Dessutom kör LastPass inte bara hash-algoritmen en gång, de kör den tusentals gånger på din dator och sedan igen på servern.
Så här förklarade LastPass sin egen process för användare i ett blogginlägg efter den här senaste attacken:
"Vi har både användarnamn och huvudlösenord på användarens dator med 5 000 omgångar PBKDF2-SHA256, en algoritm för förstärkning av lösenord. Det skapar en nyckel, där vi utför en ny hash-omgång, för att generera hash-lösenord för huvudlösenord.
De LastPass Help Desk har ett inlägg som beskriver hur LastPass använder slow-hashing:
LastPass har valt att använda SHA-256, en långsammare hashningsalgoritm som ger mer skydd mot brute-force attacker. LastPass använder PBKDF2-funktionen implementerad med SHA-256 för att förvandla ditt huvudlösenord till din krypteringsnyckel.
Vad detta betyder är att trots det senaste säkerhetsöverträdelsen är dina lösenord ganska mycket fortfarande mycket säkra, även om din e-postadress inte är det.
Vad händer om mitt lösenord är svagt?
Det finns en utmärkt punkt som tas upp på LastPass-bloggen om svaga lösenord. Många användare är oroliga för att de inte drömde upp ett tillräckligt unikt lösenord och att dessa hackare kan gissa det utan mycket ansträngning.
Det finns också en fjärrrisk att ditt konto är en av de som hackare slösar bort sin tid på att försöka att dekryptera, och det finns alltid en fjärrmöjlighet att de lyckats få din master Lösenord. Vad händer då?
Sammanfattningen är att all denna ansträngning skulle slösas bort, eftersom inloggning från en annan enhet kräver verifiering via e-post - din e-post - innan åtkomst ges. Från LastPass-bloggen:
”Om angriparen försökte få tillgång till dina data genom att använda dessa referenser för att logga in på din LastPass-konto, de kommer att stoppas av ett meddelande som ber dem först verifiera sin e-post adress."
Så om de inte på något sätt kan hacka till ditt e-postkonto Dessutom dekryptera en nästan obrakbar algoritm, har du verkligen ingenting att oroa dig för.
Ska jag ändra mitt huvudlösenord?
Oavsett om du vill ändra ditt huvudlösenord eller inte, kommer det verkligen att vara paranoid eller otur. Om du tror att du kan vara den oturliga personen som har lösenordet knäckt av duktiga hackare som kan för att på något sätt dechiffrera genom LastPasss 100 000 runda hashingrutin och en saltkod som är unik precis för dig?
Ändå, om du oroar dig för sådana saker, ändra ditt lösenord bara för sinnesfrid. Det betyder att åtminstone ditt salt och hash, i händerna på hackare, blir värdelöst.
Men det finns säkerhetsexperter där ute som inte alls berörs, till exempel säkerhetsekspert Jeremi Gosney hos Structure Group som berättade för reportrar:
”Standardvärdet är 5 000 iterationer, så vi tittar minst på 105 000 iterationer. Jag har faktiskt satt mig till 65 000 iterationer, så det är totalt 165 000 iterationer som skyddar mitt lösenord för Diceware. Så nej, jag svettar definitivt inte detta brott. Jag känner mig inte ens tvungen att ändra mitt huvudlösenord. ”
Den enda verkliga oro som du borde ha om detta dataintrång är att hackare nu har din e-postadress, som de kan använda för att utföra massfiskeekspeditioner för att försöka och lura människor att ge upp sina olika kontolösenord - eller kanske de kan göra något så vardagligt som att sälja alla dessa användarmail till spammare på svart marknadsföra.
Sammanfattningen är att risken för denna säkerhetsintrång förblir minimal, tack vare LastPass-systemets överväldigande säkerhet. Men sunt förnuft säger att hackare när som helst har fått dina kontouppgifter - till och med skyddade genom tusentals avancerade kryptografiska iterationer - det är alltid bra att ändra ditt huvudlösenord, även om det är för sinnesfrid.
Fick säkerhetsöverträdelsen av LastPass dig väldigt bekymrad över säkerheten för LastPass, eller är du säker på ditt kontos säkerhet där? Dela dina tankar och bekymmer i kommentarerna nedan.
Bildkrediter: trängde in säkerhetslåset via Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock
Ryan har en kandidatexamen i elektroteknik. Han har arbetat 13 år inom automationsteknik, 5 år inom IT och är nu en applikationsingenjör. Han var tidigare chefredaktör för MakeUseOf och talade vid nationella konferenser om datavisualisering och har varit med på nationell TV och radio.