Hvis du er en af de tusindvis af LastPass-brugere, der har følt sig meget sikre ved hjælp af internettet takket være løfter om næsten ubrydelig sikkerhed, kan du føle dig lidt mindre sikker ved at vide, at den 15. juni meddelte virksomheden, at de opdagede et indbrud i deres servere.
LastPass sendte i første omgang en e-mail-meddelelse til brugere, der rådede dem om, at virksomheden havde opdaget "mistænkelig aktivitet" på LastPass-servere, og at brugerens e-mail-adresser og adgangskodeindkaldelser var blevet kompromitteret.
Virksomheden forsikrede brugerne om, at der ikke var gået nogen krypterede hvælvedata, men da de hakkede brugeradgangskoder Hvad alle disse MD5 Hash-ting egentlig betyder [Teknologi forklaret] Hvad Alt dette MD5 Hash-indhold egentlig betyder [Teknologi forklaret] Her er en fuldstændig nedslidning af MD5, hashing og et lille overblik over computere og kryptografi. Læs mere var blevet opnået, selskabet råde brugerne til at opdatere deres master adgangskoder, bare for at være sikker.
The LastPass Hack Forklaret
Dette er ikke første gang, at LastPass-brugere har været bekymrede over hackere. Sidste år interviewede vi LastPass CEO Joe Siegrist Joe Siegrist of LastPass: Sandheden om din adgangskode Sikkerhed Joe Siegrist of LastPass: Sandheden om din adgangskode Sikkerhed Læs mere efter Heartbleed-trusselen, hvor hans forsikringer sætter brugerens frygt til fred.
Denne seneste overtrædelse fandt sted sent i ugen før meddelelsen. Da det blev registreret og identificeret som et sikkerhedsindbrud, var angriberne blevet væk med brugerens e-mail-adresser, adgangskodepåmindelse spørgsmål / svar, hashed brugeradgangskoder og kryptografiske salte Bliv en hemmelig steganograf: Skjul og krypter dine filer Bliv en hemmelig steganograf: Skjul og krypter dine filer Læs mere.
Den gode nyhed er, at LastPass systemets sikkerhed var designet til at modstå sådanne angreb. Den eneste måde at få adgang til dine plain-text-adgangskoder ville være for hackerne at dekryptere de godt sikrede master-adgangskoder. Brug en adgangskodeadministrationsstrategi for at forenkle dit liv. Brug en strategi til håndtering af adgangskoder til at forenkle dit liv. Meget af rådene omkring adgangskoder har været tæt på -implerbar at følge: Brug et stærkt kodeord med tal, bogstaver og specialtegn; ændre det jævnligt kom med et helt unikt kodeord for hver konto osv. .... Læs mere.
På grund af den mekanisme, der bruges til at kryptere dit hovedadgangskode, ville det tage masser af computerressourcer at dekryptere det - ressourcer, som de fleste små eller mellemhackede hackere ikke har adgang til.
Grunden til, at du er så beskyttet, når du bruger LastPass, er, at den mekanisme, der gør hovedadgangskoden så vanskelig at opnå, kaldes "slow hashing" eller "hashing with salt."
Hvordan Hashing virker
LastPass bruger en af de mest sikre krypteringsteknikker i verden, kaldet hashing med salt.
"Salt" er en kode, der genereres ved hjælp af et kryptografisk værktøj - en slags avanceret tilfældig talgenerator 5 Gratis adgangskodegeneratorer til næsten unhackable adgangskoder 5 Gratis adgangskodegeneratorer til næsten unhackable adgangskoder Læs mere skabt specielt til sikkerhed, hvis du vil. Disse værktøjer skaber fuldstændig uforudsigelige koder, når du opretter dit hovedadgangskode.
Hvad sker der, når du opretter din konto, er adgangskoden "hashed" ved hjælp af et af disse tilfældigt genererede (og meget lange) "salt" tal. Disse genbruges aldrig - de er unikke for hver bruger og alle adgangskoder. Endelig finder du kun salt og hash i brugerkonto bordet.
Den faktiske tekstversion af dit hovedadgangskode gemmes aldrig på LastPass-servere, så hackere har ikke adgang til det. Alle de kunne opnå i denne indbrud er disse tilfældige salte og de kodede hash'er.
Så den eneste måde, LastPass (eller nogen) kan validere dit kodeord på er:
- Hent hash og salt fra brugerbordet.
- Brug saltet på den adgangskode, brugeren skriver ind, hashing den med den samme hash-funktion, der blev brugt, da adgangskoden blev genereret.
- Den resulterende hash bliver sammenlignet med den lagrede hash for at se om det er en kamp.
I dag kan hackere generere milliarder hash per sekund, så hvorfor kan ikke en hacker bare bruge brute-force til at knække disse adgangskoder. Ophcrack - et passwordhack-værktøj til at knække næsten alle Windows-adgangskoder Ophcrack - et passwordhack-værktøj til at sprænge Næsten ethvert Windows-kodeord Der er mange forskellige grunde til, at man vil bruge et vilkårligt antal adgangskodehakværktøjer til at hakke en Windows-adgangskode. Læs mere ? Denne ekstra sikkerhed er takket være langsom hashing.
Hvorfor beskytter langsom hashing dig
I et angreb som dette er det virkelig den langsommelige del af LastPass-sikkerhed, der virkelig beskytter dig.
LastPass gør hash-funktionen, der bruges til at bekræfte adgangskoden (eller oprette den), arbejder meget langsomt. Dette sætter i det væsentlige pauserne på enhver højhastighedstog, brute-force-operation, der kræver hastighed for at kunne pumpe gennem milliarder af mulige hash'er. Ligegyldigt hvor meget computerkraft Den nyeste computerteknologi du skal se for at tro på den nyeste computerteknologi, du skal se for at tro. Tjek nogle af de nyeste computerteknologier, der er sat til at omdanne verden af elektronik og pc'er i løbet af de næste par år . Læs mere hackerens system har, processen til at bryde krypteringen vil stadig tage for evigt, hovedsagelig gør brute-force angreb ubrugelig.
Dertil kommer, at LastPass ikke bare kører hashalgoritmen en gang, de kører det tusindvis af gange på din computer og derefter igen på serveren.
Her er hvordan LastPass forklarede sin egen proces til brugere i et blogindlæg, der følger dette sidste angreb:
"Vi har både brugernavn og masteradgangskode på brugerens computer med 5.000 runder PBKDF2-SHA256, en kodeordstyringsalgoritme. Det skaber en nøgle, hvor vi udfører en anden runde hash, for at generere master password authentication hash. "
LastPass Help Desk har et indlæg, der beskriver, hvordan LastPass bruger slow-hashing:
LastPass har valgt at bruge SHA-256, en langsommere hashingalgoritme, der giver mere beskyttelse mod brute-force angreb. LastPass udnytter PBKDF2-funktionen implementeret med SHA-256 for at slå dit hovedadgangskode til din krypteringsnøgle.
Hvad det betyder er at på trods af dette nylige sikkerhedsbrud er dine adgangskoder stort set stadig meget sikre, selvom din e-mail-adresse ikke er.
Hvad hvis mit kodeord er svagt?
Der er et glimrende punkt, der er optaget på LastPass-blogmet om svage adgangskoder. Mange brugere er bekymret over, at de ikke drømte om en unik nok adgangskode, og at disse hackere vil kunne gætte det uden meget indsats.
Der er også den eksterne risiko for, at din konto er en af dem, som hackere spilder deres tid på at forsøge at dekryptere, og der er altid den eksterne mulighed for, at de med held kunne få dit hovedadgangskode. Hvad så?
Den nederste linie er, at al den indsats vil blive spildt, da indlogning fra en anden enhed kræver verifikation via e-mail - din email - før adgang er givet. Fra LastPass bloggen:
"Hvis angriberen forsøgte at få adgang til dine data ved at bruge disse legitimationsoplysninger for at logge ind på din LastPass-konto, ville de blive stoppet af en meddelelse, der beder dem om at verificere deres e-mail-adresse først."
Så medmindre de på en eller anden måde kan hakke i din e-mail-konto ud over at dekryptere en næsten uhændelig algoritme, har du virkelig intet at bekymre dig om.
Skal jeg ændre mit hovedadgangskode?
Uanset om du vil ændre din hovedadgangskode, koger du virkelig ned til, hvor paranoid eller uheldig du føler. Hvis du tror, du kan være den uheldige person, der har deres adgangskode krakket af talentfulde hackere, der på en eller anden måde kan dechifrere gennem LastPass 100.000 runde hashingrutine og en saltkode, som er unik bare for dig?
Hvis du bekymrer dig om sådanne ting, skal du ændre dit kodeord kun for ro i sindet. Det betyder, at i hvert fald dit salt og hash i hænderne på hackere bliver ubrugeligt.
Der er dog sikkerhedseksperter derude, som slet ikke er interesserede, såsom sikkerhedsekspert Jeremi Gosney over på Structure Group, der fortalte journalister:
"Standarden er 5.000 iterationer, så vi kigger i det mindste på 105.000 iterationer. Jeg har faktisk min indstillet til 65.000 iterationer, så det er i alt 165.000 iterationer der beskytter mit Diceware passphrase. Så nej, jeg sværger bestemt ikke dette brud. Jeg føler mig ikke engang tvunget til at ændre min hovedadgangskode. "
Den eneste reelle bekymring, du burde have om dette databrud, er, at hackere nu har din email-adresse, som de kunne bruge til at udføre masse phishing-ekspeditioner for at prøve at narre folk til at opgive deres forskellige kontoadgangskoder - eller måske kan de gøre noget som almindeligt som at sælge alle disse bruger e-mails til spammere på det sorte marked.
Grunden er, at risikoen for denne sikkerhedsindbrud forbliver minimal, takket være den overvældende sikkerhed i LastPass-systemet. Men sund fornuft siger, at når som helst hackere har fået dine kontooplysninger - selv beskyttet gennem tusindvis af avancerede kryptografiske iterationer - er det altid godt at ændre dit hovedadgangskode, selvom det er for ro i sindet.
Har LastPass-sikkerhedsbruddet fået dig meget bekymret for sikkerheden ved LastPass, eller er du sikker på sikkerheden for din konto der? Del dine tanker og bekymringer i kommentarfeltet nedenfor.
Billedkreditter: Sikkerhedslås via Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock