İlan

Neredeyse kırılmaz vaatler sayesinde interneti kullanırken kendini güvende hisseden binlerce LastPass kullanıcısından biriyseniz güvenlik, 15 Haziran'da, şirkete bir saldırı tespit ettiklerini açıkladığını bilerek daha az güvende hissedebilirsiniz. Sunucular.

LastPass başlangıçta kullanıcılara şirketin “şüpheli olduğunu tespit ettiklerini bildiren bir e-posta bildirimi gönderdi. sunucularında "ve kullanıcı e-posta adresleri ile şifre hatırlatıcılarının güvenliği ihlal edilmişti.

Şirket, kullanıcılara şifreli kasa verilerinin tehlikeye girmediğinden emin oldu, ancak karma kullanıcı şifreleri Tüm Bu MD5 Hash Şeyler Aslında Ne Demektir [Teknoloji Açıklaması]İşte MD5, karma ve bilgisayar ve kriptografiye küçük bir genel bakış. Daha fazla oku Şirket, kullanıcılara sadece güvenli olmaları için ana şifrelerini güncellemelerini tavsiye etti.

LastPass Hack Açıklaması

LastPass kullanıcıları bilgisayar korsanları hakkında ilk kez bu konuda endişe duymuyorlar. Geçen yıl, biz LastPass CEO'su Joe Siegrist ile röportaj

instagram viewer
LastPass'tan Joe Siegrist: Şifre Güvenliğiniz Hakkındaki Gerçek Daha fazla oku güvencesinin kullanıcıların korkularını rahatlattığı Heartbleed tehdidinden sonra.

Bu son ihlal, duyurudan bir hafta önce gerçekleşti. Saldırganlar tespit edildiğinde ve güvenlik ihlali olarak tanımlandığında, kullanıcı e-posta adresleri, şifre hatırlatma soruları / cevapları, karma kullanıcı şifreleri ve kriptografik tuzlar Gizli Bir Steganografi Uzmanı Olun: Dosyalarınızı Gizleyin ve Şifreleyin Daha fazla oku .

LastPass-breach1

İyi haber, LastPass sisteminin güvenliğinin bu tür saldırılara dayanacak şekilde tasarlanmasıdır. Düz metin şifrelerinize erişmenin tek yolu bilgisayar korsanlarının şifresini çözmek olacaktır. güvenli ana parolalar Hayatınızı Kolaylaştırmak için Şifre Yönetimi Stratejisi KullanınŞifrelerle ilgili tavsiyelerin çoğunu takip etmek neredeyse imkansızdır: sayılar, harfler ve özel karakterler içeren güçlü bir şifre kullanın; düzenli olarak değiştirin; vb her hesap için tamamen benzersiz bir şifre ile gel ... Daha fazla oku .

Ana parolanızı şifrelemek için kullanılan mekanizma nedeniyle, şifresini çözmek büyük miktarda bilgisayar kaynağı gerektirir - çoğu küçük veya orta düzey bilgisayar korsanının erişemediği kaynaklar.

LastPass-breach2

LastPass'i kullanırken bu kadar korunmanızın nedeni, ana parolayı elde etmeyi bu kadar zorlaştıran mekanizmaya “yavaş karma” veya “tuzlu karma” denilmesidir.

Hashing Nasıl Çalışır?

LastPass, tuz ile karma adı verilen dünyadaki en güvenli şifreleme tekniklerinden birini kullanır.

LastPass-breach3

"Tuz", bir şifreleme aracı kullanılarak oluşturulan bir koddur - bir tür gelişmiş rastgele numara üreticisi Güçlü Rastgele Parolalar için En İyi 5 Çevrimiçi Parola OluşturucuHızla kırılmaz bir şifre oluşturmanın bir yolunu mu arıyorsunuz? Bu çevrimiçi şifre üreticilerinden birini deneyin. Daha fazla oku İsterseniz güvenlik için özel olarak yaratılmıştır. Bu araçlar, ana parolanızı oluşturduğunuzda tamamen öngörülemeyen kodlar oluşturur.

Hesabınızı oluşturduğunuzda, bu parola rastgele oluşturulmuş (ve çok uzun) “tuz” numaralarından biri kullanılarak “karma” yapılır. Bunlar asla tekrar kullanılmaz - her kullanıcı ve her şifre için benzersizdir. Son olarak, kullanıcı hesabı tablosunda yalnızca tuz ve karmayı bulacaksınız.

Ana şifrenizin gerçek metin sürümü asla LastPass sunucularında saklanmaz, bu nedenle bilgisayar korsanlarının şifreye erişimi yoktur. Bu saldırıda elde edebildikleri tek şey bu rastgele tuzlar ve kodlanmış karmalardır.

LastPass (veya herhangi birinin) şifrenizi doğrulamanın tek yolu şudur:

  1. Kullanıcı tablosundan karma ve tuzu alın.
  2. Kullanıcının yazdığı paroladaki tuzu, parola oluşturulduğunda kullanılan karma işlevini kullanarak kullanın.
  3. Ortaya çıkan karma, bir eşleşme olup olmadığını görmek için depolanan karma ile karşılaştırılır.

Bugünlerde, bilgisayar korsanları saniyede milyarlarca karma üretebiliyor, bu yüzden bir bilgisayar korsanı neden kaba kuvvet kullanamıyor? bu şifreleri kır Ophcrack - Neredeyse Tüm Windows Parolalarını Kırmak için Bir Parola Hack AracıBir kişinin bir Windows parolasını hacklemek için herhangi bir sayıda parola hack aracı kullanmak istemesinin birçok farklı nedeni vardır. Daha fazla oku ? Bu ekstra güvenlik, yavaş karmaşa sayesinde.

Yavaş Karma Neden Sizi Korur

Böyle bir saldırıda, LastPass güvenliğinin sizi gerçekten koruyan yavaş yavaş olan kısmı.

LastPass-breach4

LastPass, parolanın (ya da parolanın) çok yavaş çalıştığını doğrulamak için kullanılan sağlama işlevini yapar. Bu, esasen milyarlarca olası karmayı pompalamak için hız gerektiren herhangi bir yüksek hızlı, kaba kuvvet operasyonuna ara verir. Önemli değil ne kadar hesaplama gücü İnanmak İçin Görmeniz Gereken En Son Bilgisayar TeknolojisiÖnümüzdeki birkaç yıl içinde elektronik ve PC dünyasını dönüştürmek için ayarlanmış en yeni bilgisayar teknolojilerine göz atın. Daha fazla oku bilgisayar korsanının sistemi, şifrelemeyi kırma süreci sonsuza dek sürecek ve esas olarak kaba kuvvet saldırılarını işe yaramayacak.

Bunun da ötesinde, LastPass karma algoritmayı sadece bir kez çalıştırmaz, bilgisayarınızda binlerce kez ve sonra tekrar sunucuda çalıştırır.

LastPass kendi sürecini kullanıcılara şu şekilde açıklıyor: bir blog gönderisinde bu son saldırıyı takiben:

“Kullanıcı bilgisayarında hem kullanıcı adını hem de ana parolayı, parola güçlendirme algoritması olan 5.000 tur PBKDF2-SHA256 ile birleştiriyoruz. Bu, ana parola kimlik doğrulaması karmasını oluşturmak için başka bir karma işlem gerçekleştirdiğimiz bir anahtar oluşturur. ”

LastPass Yardım Masası LastPass'ın yavaş karma işlemini nasıl kullandığını açıklayan bir yayını vardır:

LastPass, kaba kuvvet saldırılarına karşı daha fazla koruma sağlayan daha yavaş bir karma algoritması olan SHA-256 kullanmayı seçti. LastPass, ana parolanızı şifreleme anahtarınıza dönüştürmek için SHA-256 ile uygulanan PBKDF2 işlevini kullanır.

Bunun anlamı, bu son güvenlik ihlaline rağmen, e-posta adresiniz olmasa bile, şifrelerinizin hala çok güvenli olmasıdır.

Şifrem Zayıf Olursa Ne Olur?

LastPass blogunda zayıf parolalarla ilgili mükemmel bir nokta var. Birçok kullanıcı yeterince benzersiz bir şifre hayal etmediklerinden ve bu bilgisayar korsanlarının çok fazla çaba harcamadan tahmin edebileceğinden endişe duyuyor.

Hesabınızın, bilgisayar korsanlarının denemek için zamanını harcadığı hesaplardan biri olması gibi uzak bir risk de vardır. şifresini çözmek için ve her zaman ustanızı başarıyla elde edebilecekleri uzak bir ihtimal var parola. Sonra ne?

LastPass-breach5

Sonuç olarak, başka bir cihazdan giriş yapmak, erişim verilmeden önce e-posta - e-postanız - yoluyla doğrulama gerektirdiğinden, tüm bu çabaların boşa harcanmasıdır. LastPass blogundan:

“Saldırgan, hesabınıza giriş yapmak için bu kimlik bilgilerini kullanarak verilerinize erişmeye çalıştıysa LastPass hesabı için, önce e-postalarını doğrulamalarını isteyen bir bildirim tarafından durdurulurlar adres."

Yani, bir şekilde e-posta hesabınıza giremezlerse ek olarak neredeyse kırılmaz bir algoritmanın şifresini çözmek için endişelenecek bir şeyiniz yok.

Ana Şifremi Değiştirmeli miyim?

Ana parolanızı değiştirmek isteyip istemediğiniz, gerçekten ne kadar paranoyak veya şanssız olduğunuzu gösterir. Eğer şifreleri yetenekli bilgisayar korsanları tarafından kırılmış tek şanssız kişi olabilir düşünüyorsanız LastPass’ın 100.000 yuvarlak karma rutini ve size özel bir tuz kodu ile bir şekilde deşifre etmek için?

Elbette, bu tür şeyler için endişeleniyorsanız, şifrenizi sadece gönül rahatlığı için değiştirin. Bu, en azından bilgisayar korsanlarının elindeki tuz ve karmalarınızın işe yaramayacağı anlamına gelecektir.

Ancak, Yapı Grubu'nda güvenlik uzmanı Jeremi Gosney gibi endişe duymayan güvenlik uzmanları var. gazetecilere kim söyledi:

“Varsayılan 5.000 yinelemedir, dolayısıyla en azından 105.000 yinelemeye bakıyoruz. Aslında benim 65.000 yinelemeye ayarladım, bu yüzden Diceware parolamı koruyan toplam 165.000 yineleme. Yani hayır, kesinlikle bu ihlali terlemiyorum. Ana şifremi değiştirmek zorunda bile hissetmiyorum. ”

Bu veri ihlali hakkında tek endişeniz, bilgisayar korsanlarının artık e-posta adresinize sahip olmalarıdır. ve insanları çeşitli hesap şifrelerini bırakmalarına kandırmak - veya belki de tüm bu kullanıcı e-postalarını siyahtaki spam göndericilere satmak kadar sıradan bir şey yapabilirler. Market.

Sonuç olarak, LastPass sisteminin ezici güvenliği sayesinde bu güvenlik saldırı riskinin minimum düzeyde kalmasıdır. Ancak sağduyu, bilgisayar korsanlarının hesap bilgilerinizi her zaman elde ettiklerini söylüyor - hatta binlerce gelişmiş şifreleme yinelemeleri - gönül rahatlığı için olsa bile ana şifrenizi değiştirmek her zaman iyidir.

LastPass güvenlik ihlali, LastPass'in güvenliği konusunda sizi çok endişelendirdi mi, yoksa oradaki hesabınızın güvenliğinden emin misiniz? Düşüncelerinizi ve endişelerinizi aşağıdaki yorumlar bölümünde paylaşın.

Resim kredileri: Shutterstock üzerinden delinmiş güvenlik kilidi, Csehak Szabolcs Shutterstock aracılığıyla, Bastian Weltjen Shutterstock aracılığıyla, McIek Shutterstock aracılığıyla, GlebStock Shutterstock aracılığıyla, Benoit Daoust Shutterstock aracılığıyla

Ryan Elektrik Mühendisliği lisans derecesine sahiptir. 13 yıl otomasyon mühendisliği, 5 yıl BT'de çalıştı ve şu anda bir Uygulama Mühendisi. MakeUseOf'un eski bir Genel Yayın Yönetmeni, Veri Görselleştirme üzerine ulusal konferanslarda konuştu ve ulusal TV ve radyoda yer aldı.