LastPass is verbroken Heeft u uw hoofdwachtwoord nodig?
Als u een van de duizenden LastPass-gebruikers bent die zich zeer veilig hebben gevoeld met behulp van het internet dankzij beloften van bijna onbreekbare beveiliging, voelt u zich misschien wat minder veilig omdat u weet dat op 15 juni het bedrijf heeft aangekondigd dat zij een inbreuk hebben gedetecteerd op hun servers.
LastPass stuurde aanvankelijk een e-mailbericht naar gebruikers die hen adviseerden dat het bedrijf had gedetecteerd “verdachte activiteit” op LastPass-servers en dat gebruikers-e-mailadressen en wachtwoordherinneringen in gevaar waren gebracht.
Het bedrijf verzekerde gebruikers dat er geen versleutelde kluisgegevens waren gecompromitteerd, maar sinds de hash-gebruikerswachtwoorden What All This MD5 Hash Stuff betekent feitelijk [technologie verklaard] Wat al deze MD5 Hash Stuff eigenlijk betekent [Technologie verklaard] Hier is een volledige run-down van MD5, hashing en een klein overzicht van computers en cryptografie. Lees meer was verkregen, het bedrijf adviseerde gebruikers hun hoofdwachtwoorden bij te werken, alleen maar om veilig te zijn.
De LastPass-hack uitgelegd
Dit is niet de eerste keer dat LastPass-gebruikers zich zorgen maken over hackers. Vorig jaar interviewden we LastPass CEO Joe Siegrist Joe Siegrist van LastPass: De waarheid over je wachtwoordbeveiliging Joe Siegrist van LastPass: De waarheid over je wachtwoordbeveiliging Lees meer na de Heartbleed-dreiging, waar zijn geruststellingen de angsten van gebruikers op hun gemak stellen.
Deze laatste doorbraak vond eind van de week voor de aankondiging plaats. Tegen de tijd dat het werd gedetecteerd en geïdentificeerd als een beveiligingsintrusie, waren de aanvallers weggekomen met e-mailadressen van gebruikers, vragen / antwoorden op wachtwoordherinnering, gehashte gebruikerswachtwoorden en cryptografische zouten. Word een geheime steganograaf: verberg en codeer uw bestanden Word een geheime steganograaf: Verberg en codeer uw bestanden Lees meer .
Het goede nieuws is dat de beveiliging van het LastPass-systeem is ontworpen om dergelijke aanvallen te weerstaan. De enige manier om toegang te krijgen tot uw wachtwoord voor platte tekst is voor de hackers om de goed beveiligde hoofdwachtwoorden te ontsleutelen Een wachtwoordbeheerstrategie gebruiken om uw leven eenvoudiger te maken Gebruik een wachtwoordbeheerstrategie om uw leven eenvoudiger te maken Veel van de adviezen over wachtwoorden zijn in de buurt geweest -mogelijk om te volgen: gebruik een sterk wachtwoord met cijfers, letters en speciale tekens; verander het regelmatig; bedenk een volledig uniek wachtwoord voor elke account enz ... Lees meer .
Vanwege het mechanisme dat wordt gebruikt om uw hoofdwachtwoord te coderen, zou het enorme hoeveelheden computerbronnen nodig hebben om het te ontsleutelen - bronnen die de meeste kleine of middelgrote hackers niet hebben.
De reden dat u zo beschermd bent wanneer u LastPass gebruikt, is omdat dat mechanisme dat het hoofdwachtwoord zo moeilijk maakt om te verkrijgen, wordt aangeroepen “langzaam hashen” of “hashen met zout.”
Hoe Hashing werkt
LastPass maakt gebruik van een van de veiligste coderingstechnieken ter wereld, genaamd hashing with salt.
De “zout” is een code die is gegenereerd met behulp van een cryptografietool - een soort van geavanceerde willekeurige nummergenerator 5 gratis wachtwoordgeneratoren voor bijna onkraakbare wachtwoorden 5 gratis wachtwoordgeneratoren voor bijna onkraakbare wachtwoorden Lees meer speciaal gemaakt voor beveiliging, als u wilt. Deze tools maken volledig onvoorspelbare codes wanneer u uw hoofdwachtwoord maakt.
Wat er gebeurt wanneer u uw account aanmaakt, is het wachtwoord “gehashte” met behulp van een van deze willekeurig gegenereerde (en zeer lang) “zout” getallen. Deze worden nooit opnieuw gebruikt - ze zijn uniek voor elke gebruiker en voor elk wachtwoord. Tot slot vindt u in de tabel met gebruikersaccounts alleen het zout en de hash.
De daadwerkelijke tekstversie van uw hoofdwachtwoord wordt nooit opgeslagen op LastPass-servers, dus hackers hebben er geen toegang toe. Alles wat ze in deze inbraak konden verkrijgen zijn deze willekeurige zouten en de gecodeerde hashes.
De enige manier waarop LastPass (of iemand anders) uw wachtwoord kan valideren is:
- Haal de hash en het zout op van de gebruikerstabel.
- Gebruik het salt op het wachtwoord dat de gebruiker invoert, hashing het met dezelfde hash-functie die werd gebruikt toen het wachtwoord werd gegenereerd.
- De resulterende hash wordt vergeleken met de opgeslagen hash om te zien of het een match is.
Tegenwoordig kunnen hackers miljarden hashes per seconde genereren, dus waarom kan een hacker niet gewoon brute-force gebruiken om deze wachtwoorden te kraken Ophcrack - Een wachtwoordhack tool om bijna elk Windows-wachtwoord te kraken Ophcrack - Een wachtwoordhack om te kraken Bijna elk Windows-wachtwoord Er zijn veel verschillende redenen waarom u een wachtwoordhack-tool zou willen gebruiken om een Windows-wachtwoord te hacken. Lees verder ? Deze extra beveiliging is te danken aan slow-hashen.
Waarom Slow-Hashing je beschermt
In een aanval als deze is het echt het trage-hashing-gedeelte van LastPass-beveiliging dat je echt beschermt.
LastPass zorgt ervoor dat de hash-functie die wordt gebruikt om het wachtwoord te verifiëren (of het te maken) heel langzaam werkt. Dit zet in feite de breuken op elke snelle, brute kracht-operatie die snelheid vereist om miljarden mogelijke hashes door te pompen. Ongeacht de hoeveelheid rekenkracht die u de laatste tijd nodig hebt om te geloven De nieuwste computertechnologie die u moet leren kennen Bekijk enkele van de nieuwste computertechnologieën die de komende jaren de wereld van elektronica en pc's zullen transformeren . Lees Meer het systeem van de hacker heeft, het proces om de encryptie te doorbreken nog steeds voor altijd zal duren, in wezen brute-force aanvallen nutteloos te maken.
Bovendien voert LastPass niet alleen het hash-algoritme uit, ze voeren het duizenden keren uit op uw computer en vervolgens opnieuw op de server.
Hier is hoe LastPass zijn eigen proces aan gebruikers uitlegde in een blogpost na deze laatste aanval:
“We hashen zowel de gebruikersnaam als het hoofdwachtwoord op de computer van de gebruiker met 5000 rondes PBKDF2-SHA256, een wachtwoordversterkend algoritme. Dat maakt een sleutel, waarop we nog een hashing-cyclus uitvoeren, om de hash voor master-wachtwoordverificatie te genereren.”
De LastPass Help Desk heeft een bericht dat beschrijft hoe LastPass slow-hashing gebruikt:
LastPass heeft ervoor gekozen om SHA-256 te gebruiken, een trager hash-algoritme dat meer bescherming biedt tegen aanvallen met brute kracht. LastPass maakt gebruik van de PBKDF2-functie die is geïmplementeerd met SHA-256 om uw hoofdwachtwoord om te zetten in uw coderingssleutel.
Wat dit betekent is dat ondanks deze recente inbreuk op de beveiliging, uw wachtwoorden nog steeds erg veilig zijn, ook al is uw e-mailadres dat niet.
Wat als mijn wachtwoord zwak is?
Er is een uitstekend punt naar voren gebracht op de LastPass-blog over zwakke wachtwoorden. Veel gebruikers zijn bezorgd dat ze geen uniek wachtwoord hebben bedacht en dat deze hackers het zonder veel moeite kunnen raden.
Er is ook een klein risico dat uw account een van die is waarbij hackers hun tijd verspillen aan het decoderen en er is altijd de mogelijkheid dat ze uw hoofdwachtwoord met succes kunnen verkrijgen. Wat dan?
De bottom line is dat al die moeite zou worden verspild, aangezien inloggen vanaf een ander apparaat verificatie via e-mail vereist - uw e-mail - voordat toegang wordt verleend. Van de LastPass-blog:
“Als de aanvaller geprobeerd toegang te krijgen tot uw gegevens door deze inloggegevens te gebruiken om zich aan te melden bij uw LastPass-account, worden ze gestopt door een melding waarin ze worden gevraagd eerst hun e-mailadres te verifiëren.”
Dus tenzij ze op de een of andere manier je e-mailaccount kunnen hacken in aanvulling op het decoderen van een bijna onoverzichtbaar algoritme, je hebt echt helemaal niets om je zorgen over te maken.
Moet ik mijn hoofdwachtwoord wijzigen?
Of je je hoofdwachtwoord wilt wijzigen, komt eigenlijk neer op hoe paranoïde of ongelukkig je je voelt. Als je denkt dat je de enige ongelukkige persoon bent die zijn wachtwoord laat kraken door getalenteerde hackers die op de een of andere manier kunnen ontcijferen via LastPass's 100.000 ronde hash-routine en een zoutcode die uniek is voor jou?
In ieder geval, als u zich zorgen maakt over dergelijke dingen, verander uw wachtwoord dan gewoon uit gemoedsrust. Het betekent dat je zout en hasj, in handen van hackers, nutteloos worden.
Er zijn echter beveiligingsdeskundigen die helemaal niet bezorgd zijn, zoals beveiligingsexpert Jeremi Gosney bij Structure Group die verslaggevers heeft verteld:
“De standaard is 5000 herhalingen, dus we kijken minimaal naar 105.000 iteraties. Ik heb de mijne ingesteld op 65.000 iteraties, dus dat is een totaal van 165.000 iteraties die mijn Diceware-wachtwoordzin beschermen. Dus nee, ik ben zeker niet zweten deze schending. Ik voel niet eens dat ik mijn hoofdwachtwoord moet veranderen.”
De enige echte zorg die u zou moeten hebben over deze datalek is dat hackers nu uw e-mailadres hebben, waarmee zij massale phishing-expedities kunnen uitvoeren om mensen te misleiden om hun verschillende accountwachtwoorden op te geven - of misschien doen ze misschien iets alledaags als het verkopen van al die gebruikers-e-mails aan spammers op de zwarte markt.
Het komt erop neer dat het risico van deze beveiligingsinbreuk minimaal blijft, dankzij de overweldigende beveiliging van het LastPass-systeem. Maar het gezond verstand zegt dat wanneer hackers uw accountgegevens hebben verkregen - zelfs beschermd door duizenden geavanceerde cryptografische iteraties - het altijd goed is om uw hoofdwachtwoord te wijzigen, zelfs als het om gemoedsrust gaat.
Heeft de LastPass-beveiligingslek u erg bezorgd gemaakt over de veiligheid van LastPass, of heeft u vertrouwen in de beveiliging van uw account daar? Deel uw mening en zorgen in de opmerkingen hieronder.
Beeldcredits: doorgedrongen beveiligingsslot via Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock
Ontdek meer over: LastPass, online beveiliging, wachtwoordbeheer.