Lastpass зламаний: чи потрібно міняти основний пароль?

Якщо ви є одним з тисяч користувачів LastPass, які вважали себе знаходяться в безпеці завдяки незламною захисту, обіцяної розробниками даної програми, можливо, ви трохи стурбовані, дізнавшись, що 15 червня компанія повідомила про злом її серверів.

LastPass відразу ж розіслали користувачам електронні повідомлення про підозрілу активність, виявленої на їх серверах і про те, що нестандартні адреси електронної пошти і паролі були скомпрометовані.

Компанія запевнила користувачів в тому, що дані зашифрованих сховищ були скомпрометовані, але, так як до хешировать паролів доступ все ж було отримано, LastPass запропонувала користувачам замінити свої основні паролі виходячи з міркувань безпеки.

Роз`яснення по злому LastPass

Це не перший раз, коли сервери LastPass зацікавили хакерів. У минулому році гендиректор LastPass Джо Сігріст вже заспокоював користувачів після загрози Heartbleed.

Остання спроба злому була проведена за тиждень до оголошення. На той час, як вона була виявлена і розпізнана як порушення безпеки, хакери вже отримали список адрес електронної пошти користувачів, питання / відповіді для нагадування паролів і криптографічний сіль.

last pass зламаний

Доброю новиною є те, що система LastPass була розроблена так, щоб встояти проти таких атак. Єдиним способом для хакерів отримати повнотекстові паролі користувачів є отримання добре захищених основних паролів.

Завдяки механізму, що використовується для шифровки основного пароля, розшифровка його вимагає величезних ресурсів - таких, до яких дрібні і середньої руки хакери просто не мають доступу.

Зламано last pass

Механізм, який робить пароль таким складним для злому, називається «повільне хешування» або «хешування з сіллю (модифікатором)».

Як працює хешування

LastPass використовує одну з найбільш безпечних шифрувальних технік в світі, звану «хешування з сіллю».

last pass зламаний

«Сіль» - це код, що згенерував криптографічним інструментом - різновидом просунутого генератора випадкових чисел, створеним спеціально для безпеки. Такі інструменти створюють повністю непередбачувані коди при формуванні користувачем основного пароля.

При створенні облікового запису пароль «хешіруется» з використанням одного з випадково згенерували (і дуже довгих) чисел - «солі». Вони ніколи не використовуються повторно і унікальні для кожного користувача і пароля. І, нарешті, все, що ви знайдете в даних користувача - це тільки сіль і хеш.

Актуальна текстова версія вашого основного пароля ніколи не зберігається на серверах LastPass, так що хакери не мають до нього доступу. Все, що вони отримають - це вся ця випадкова «сіль» і кодований хеш.

Відео: Важливо: всім власникам техніки Apple! Злом Apple ID

Таким чином, єдиним способом, яким LastPass (або будь-хто інший) може перевірити ваш пароль, є наступна послідовність дій:

Отримання хешу і солі з даних користувача;
Застосування солі до паролю, набирати користувачем, хешіруя його тією ж функцією хешування, яка використовувалася при генерації пароля;
Порівняння отриманого хешу з хешем, що зберігаються на сервері.

На даний момент хакери здатні генерувати мільярди хешів в секунду, чому ж вони не можуть в лоб зламати ці паролі? Завдяки повільному хешування.

Як вас захищає повільне хешування

Під час атак типу цієї повільне хешування LastPass - якраз те, що насправді захищає ваші дані.

повільне хешування

LastPass змушує функцію хешування підтвердження пароля (або його створення) працювати дуже повільно. Це накладає суттєві обмеження на будь-які спроби грубих високошвидкісних операцій, для проведення яких потрібно швидкість, щоб прогнати мільярди можливих хешів.

Неважливо, наскільки потужною є техніка, яку використовує хакерська система, процес злому все одно триватиме вічність, і, як наслідок, буде абсолютно марним.

І, нарешті, LastPass запускає механізм хешування не один раз, а тисячі разів на комп`ютері користувача, а потім на своєму сервері.

Що, якщо мій пароль виявився ненадійним?

Багато користувачів стурбовані тим, що придумали недостатньо надійний пароль, і що хакери можуть розкрити його без особливих зусиль.

Існує невелика ймовірність того, що ваш обліковий запис - один з тих, які хакери довгий час безуспішно намагаються зламати, також існує невелика ймовірність того, що вони нарешті зламали ваш основний пароль. Що тоді?

ненадійний пароль

Чудова новина в тому, що при спробі доступу до аккаунту з іншого пристрою, для підтвердження можливості доступу LastPass запитує підтвердження по електронній пошті (вашої).

Так що, якщо тільки хакери не зламали ваш електронну поштову скриньку на додачу до розшифровки практично невзламиваемого алгоритму, вам дійсно нема про що турбуватися.

Чи повинен я змінити свій основний пароль?

Необхідність поміняти основний пароль насправді залежить тільки від ступеня вашої стурбованості цим питанням. Ви вважаєте, що можете бути тим нещасним, чий пароль зламали талановиті хакери, чудесним чином примудрилися прорватися крізь 100000 кіл хеширования і унікального модифікатора коду, створеного особисто для вас в LastPass?

Відео: Як же поміняти пароль на гуглі

Звичайно, якщо ви стурбовані цим, поміняйте пароль хоча б для того, щоб знайти спокій. Це буде означати, що як мінімум ваші сіль і хеш стануть абсолютно марними в руках хакерів.

Єдиним фактом, який повинен стурбувати вас - це те, що зараз в руках хакерів знаходиться адресу вашої електронної поштової скриньки, який вони можуть використовувати для проведення однієї зі своїх масових фішингових операцій з метою змусити людей видати свої паролі від різних акаунтів. Або, що більш прозаїчно, вони просто продадуть всі ці адреси спамерам на чорному ринку.

Відео: Як змінити мислення

Ризик від цієї спроби злому мінімізований завдяки безпеки системи LastPass. Але здоровий глузд підказує, що кожен раз, коли хакери отримують доступ до даних вашого облікового запису - навіть захищеного тисячами просунутих криптографічних ітерацій - варто змінити свій основний пароль, хоча б для власного спокою.

Поділися в соц. мережах: