LastPass is geschonden: moet u uw hoofdwachtwoord wijzigen?

Advertentie

Als u een van de duizenden LastPass-gebruikers bent die zich heel veilig voelden op het internet dankzij beloftes van bijna onbreekbaar beveiliging, voelt u zich misschien een beetje minder veilig wetende dat het bedrijf op 15 juni heeft aangekondigd dat ze een inbraak in hun computer hebben gedetecteerd servers.

LastPass stuurde aanvankelijk een e-mailbericht naar gebruikers met de mededeling dat het bedrijf 'verdacht' had gedetecteerd activiteit ”op LastPass-servers en dat de e-mailadressen van gebruikers en wachtwoordherinneringen zijn aangetast.

Het bedrijf verzekerde gebruikers dat er geen versleutelde kluisgegevens waren aangetast, maar sinds de gehashte gebruikerswachtwoorden Wat al dit MD5-hasj-spul eigenlijk betekent [Technologie uitgelegd]Hier is een volledig overzicht van MD5, hashing en een klein overzicht van computers en cryptografie. Lees verder was verkregen, adviseerde het bedrijf gebruikers om hun hoofdwachtwoorden bij te werken, voor de zekerheid.

De LastPass-hack uitgelegd

Dit is niet de eerste keer dat LastPass-gebruikers zich zorgen maken over hackers. Vorig jaar hebben we interviewde LastPass CEO Joe Siegrist Joe Siegrist van LastPass: The Truth About Your Password Security Lees verder het volgen van de Heartbleed-dreiging, waar zijn geruststellingen de angsten van gebruikers geruststellen.

Deze laatste inbreuk vond plaats laat in de week voor de aankondiging. Tegen de tijd dat het werd gedetecteerd en geïdentificeerd als een inbreuk op de beveiliging, waren de aanvallers weggekomen met e-mailadressen van gebruikers, vragen / antwoorden over wachtwoordherinnering, gehashte gebruikerswachtwoorden en cryptografische zouten Word een geheime steganograaf: verberg en versleutel uw bestanden Lees verder .

Het goede nieuws is dat de beveiliging van het LastPass-systeem is ontworpen om dergelijke aanvallen te weerstaan. De enige manier om toegang te krijgen tot uw wachtwoorden in platte tekst is dat de hackers de goed beveiligde hoofdwachtwoorden Gebruik een wachtwoordbeheerstrategie om uw leven te vereenvoudigenVeel van het advies rond wachtwoorden is bijna onmogelijk te volgen: gebruik een sterk wachtwoord dat cijfers, letters en speciale tekens bevat; verander het regelmatig; bedenk een volledig uniek wachtwoord voor elk account enz ... Lees verder .

Vanwege het mechanisme dat wordt gebruikt om uw hoofdwachtwoord te versleutelen, zijn er enorme hoeveelheden computerbronnen nodig om het te ontsleutelen - bronnen waartoe de meeste kleine of middelgrote hackers geen toegang hebben.

De reden dat je zo beschermd bent wanneer je LastPass gebruikt, is omdat dat mechanisme dat het hoofdwachtwoord zo moeilijk maakt om te krijgen, 'langzaam hashen' of 'hashen met zout' wordt genoemd.

Hoe Hashing werkt

LastPass maakt gebruik van een van de veiligste coderingstechnieken ter wereld, genaamd hashing met zout.

Het 'zout' is een code die wordt gegenereerd met een cryptografietool - een soort geavanceerd willekeurig nummer generator De 5 beste online wachtwoordgeneratoren voor sterke willekeurige wachtwoordenOp zoek naar een manier om snel een onbreekbaar wachtwoord te maken? Probeer een van deze online wachtwoordgeneratoren. Lees verder speciaal gemaakt voor beveiliging, als je wilt. Deze tools maken volledig onvoorspelbare codes wanneer u uw hoofdwachtwoord maakt.

Wat er gebeurt wanneer u uw account aanmaakt, is dat het wachtwoord wordt 'gehasht' met behulp van een van deze willekeurig gegenereerde (en zeer lange) 'zout'-nummers. Deze worden nooit hergebruikt: ze zijn uniek voor elke gebruiker en elk wachtwoord. Ten slotte vindt u in de tabel met gebruikersaccounts alleen het zout en de hash.

De daadwerkelijke tekstversie van uw hoofdwachtwoord wordt nooit opgeslagen op LastPass-servers, dus hackers hebben er geen toegang toe. Het enige dat ze in deze inbraak hebben kunnen verkrijgen, zijn deze willekeurige zouten en de gecodeerde hashes.

De enige manier waarop LastPass (of iemand anders) uw wachtwoord kan valideren, is dus:

1. Haal de hasj en het zout uit de gebruikerstabel.
2. Gebruik het zout op het wachtwoord dat de gebruiker typt, hash het met dezelfde hash-functie die werd gebruikt toen het wachtwoord werd gegenereerd.
3. De resulterende hash wordt vergeleken met de opgeslagen hash om te zien of het een match is.

Tegenwoordig kunnen hackers miljarden hashes per seconde genereren, dus waarom kan een hacker niet gewoon brute-force gebruiken om kraak deze wachtwoorden Ophcrack - Een wachtwoordhacktool om bijna elk Windows-wachtwoord te krakenEr zijn veel verschillende redenen waarom je een willekeurig aantal wachtwoordhacktools zou willen gebruiken om een ​​Windows-wachtwoord te hacken. Lees verder ? Deze extra beveiliging is te danken aan slow-hashing.

Waarom Slow-Hashing je beschermt

Bij een aanval als deze is het echt het trage hashing-deel van LastPass-beveiliging dat je echt beschermt.

LastPass zorgt ervoor dat de hashfunctie die wordt gebruikt om het wachtwoord te verifiëren (of aan te maken) zeer langzaam werkt. Dit zet in wezen de onderbrekingen in voor elke snelle, brute krachtoperatie die snelheid vereist om door miljarden mogelijke hashes te pompen. Ongeacht hoeveel rekenkracht De nieuwste computertechnologie die u moet zien om te gelovenBekijk enkele van de nieuwste computertechnologieën die de wereld van elektronica en pc's de komende jaren zullen transformeren. Lees verder het systeem van de hacker heeft, zal het proces om de codering te doorbreken nog steeds eeuwig duren, waardoor brute-force-aanvallen in wezen nutteloos worden.

Bovendien voert LastPass niet alleen het hash-algoritme één keer uit, ze voeren het duizenden keren uit op uw computer en vervolgens opnieuw op de server.

Hier is hoe LastPass zijn eigen proces aan gebruikers uitlegde in een blogpost na deze laatste aanval:

"We hashen zowel de gebruikersnaam als het hoofdwachtwoord op de computer van de gebruiker met 5000 rondes PBKDF2-SHA256, een algoritme voor wachtwoordversterking. Dat creëert een sleutel, waarop we nog een hashing-ronde uitvoeren, om de authenticatie-hash van het hoofdwachtwoord te genereren. ”

De LastPass Help Desk heeft een post die beschrijft hoe LastPass slow-hashing gebruikt:

LastPass heeft ervoor gekozen om SHA-256 te gebruiken, een langzamer hash-algoritme dat meer bescherming biedt tegen brute-force-aanvallen. LastPass gebruikt de PBKDF2-functie die is geïmplementeerd met SHA-256 om uw hoofdwachtwoord om te zetten in uw coderingssleutel.

Dit betekent dat ondanks deze recente inbreuk op de beveiliging, uw wachtwoorden vrijwel nog steeds zeer veilig zijn, ook al is uw e-mailadres dat niet.

Wat als mijn wachtwoord zwak is?

Er is een uitstekend punt naar voren gebracht op de LastPass-blog over zwakke wachtwoorden. Veel gebruikers zijn bezorgd dat ze geen uniek wachtwoord hebben bedacht en dat deze hackers het zonder veel moeite kunnen raden.

Er is ook een klein risico dat uw account een van de accounts is die hackers hun tijd aan het verspillen zijn om te decoderen, en er is altijd de mogelijkheid op afstand dat ze uw master met succes kunnen verkrijgen wachtwoord. Wat dan?

Het komt erop neer dat al die moeite verloren zou gaan, omdat inloggen vanaf een ander apparaat verificatie via e-mail vereist - uw e-mail - voordat toegang wordt verleend. Van de LastPass-blog:

'Als de aanvaller heeft geprobeerd toegang tot uw gegevens te krijgen door deze inloggegevens te gebruiken om u aan te melden LastPass-account, ze zouden worden gestopt door een melding waarin hen wordt gevraagd om eerst hun e-mail te verifiëren adres."

Dus tenzij ze op de een of andere manier je e-mailaccount kunnen hacken in aanvulling op Als u een bijna onkraakbaar algoritme ontcijfert, hoeft u zich echt helemaal geen zorgen te maken.

Moet ik mijn hoofdwachtwoord wijzigen?

Of u uw hoofdwachtwoord wilt wijzigen of niet, komt in feite neer op hoe paranoïde of ongelukkig u zich voelt. Als u denkt dat u misschien de enige ongelukkige bent die zijn wachtwoord heeft gekraakt door getalenteerde hackers die dat kunnen om op de een of andere manier te ontcijferen via LastPass's 100.000 round hashing routine en een salt code die uniek is voor jou?

Als je je zorgen maakt over zulke dingen, verander dan zeker je wachtwoord voor de gemoedsrust. Het betekent dat in ieder geval je zout en hasj, in de handen van hackers, nutteloos wordt.

Er zijn echter beveiligingsexperts die zich helemaal niet zorgen maken, zoals beveiligingsexpert Jeremi Gosney bij Structure Group die verslaggevers vertelde:

"De standaard is 5.000 iteraties, dus we kijken minimaal naar 105.000 iteraties. Ik heb de mijne eigenlijk ingesteld op 65.000 iteraties, dus dat zijn in totaal 165.000 iteraties die mijn wachtwoordzin voor Diceware beschermen. Dus nee, ik zweet deze inbreuk zeker niet. Ik voel me niet eens gedwongen om mijn hoofdwachtwoord te wijzigen. "

De enige echte zorg die u zou moeten hebben over dit datalek is dat hackers nu uw e-mailadres hebben, dat ze kunnen gebruiken om massale phishing-expedities uit te voeren om te proberen en mensen misleiden om hun verschillende accountwachtwoorden op te geven - of misschien doen ze zoiets alledaags als het verkopen van al die e-mails van gebruikers aan spammers markt.

Het komt erop neer dat het risico van deze beveiligingsinbraak minimaal blijft, dankzij de overweldigende beveiliging van het LastPass-systeem. Maar gezond verstand zegt dat hackers elke keer dat ze uw accountgegevens hebben verkregen - zelfs beschermd door duizenden geavanceerde cryptografische iteraties - het is altijd goed om uw hoofdwachtwoord te wijzigen, ook al is het voor uw gemoedsrust.

Heeft de LastPass-inbreuk op de beveiliging u erg bezorgd gemaakt over de veiligheid van LastPass, of heeft u vertrouwen in de beveiliging van uw account daar? Deel uw mening en zorgen in de opmerkingen hieronder.

Afbeeldingscredits: doordrongen veiligheidsslot via Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock