LastPass Dilanggar: Apakah Anda Perlu Mengubah Kata Sandi Master Anda?

Iklan

Jika Anda adalah salah satu dari ribuan pengguna LastPass yang merasa sangat aman menggunakan Internet berkat janji-janji yang hampir tidak dapat dipecahkan. keamanan, Anda mungkin merasa sedikit kurang aman mengetahui bahwa pada tanggal 15 Juni, perusahaan mengumumkan bahwa mereka mendeteksi intrusi ke dalam mereka server.

LastPass awalnya mengirim pemberitahuan email kepada pengguna yang memberi tahu mereka bahwa perusahaan telah mendeteksi “mencurigakan aktivitas ”pada server LastPass, dan bahwa alamat email pengguna dan pengingat kata sandi telah dikompromikan.

Perusahaan meyakinkan pengguna bahwa tidak ada data vault terenkripsi telah dikompromikan, tetapi sejak kata sandi pengguna hash Apa Semua Ini MD5 Hash Stuff Sebenarnya Berarti [Teknologi Dijelaskan]Berikut ini adalah daftar lengkap MD5, hashing dan gambaran kecil komputer dan kriptografi. Baca lebih banyak telah diperoleh, perusahaan menyarankan pengguna untuk memperbarui kata sandi utama mereka, hanya agar aman.

The LastPass Hack Dijelaskan

Ini bukan pertama kalinya pengguna LastPass mengkhawatirkan peretas. Tahun lalu, kita mewawancarai CEO LastPass Joe Siegrist Joe Siegrist dari LastPass: Kebenaran Tentang Keamanan Kata Sandi Anda Baca lebih banyak mengikuti ancaman Heartbleed, di mana jaminannya membuat para pengguna merasa nyaman.

Pelanggaran terbaru ini terjadi pada akhir minggu sebelum pengumuman. Pada saat terdeteksi dan diidentifikasi sebagai intrusi keamanan, para penyerang telah pergi dengan alamat email pengguna, pertanyaan / jawaban pengingat kata sandi, kata sandi hash pengguna dan garam kriptografi Menjadi Steganografer Rahasia: Sembunyikan dan Enkripsi File Anda Baca lebih banyak .

Berita baiknya adalah keamanan sistem LastPass dirancang untuk menahan serangan tersebut. Satu-satunya cara untuk mengakses kata sandi teks biasa Anda adalah peretas untuk mendekripsi kata sandi master yang diamankan dengan baik Gunakan Strategi Manajemen Kata Sandi Untuk Menyederhanakan Hidup AndaSebagian besar saran seputar kata sandi hampir tidak mungkin diikuti: gunakan kata sandi yang kuat yang berisi angka, huruf, dan karakter khusus; ubah secara teratur; datang dengan kata sandi yang benar-benar unik untuk setiap akun dll ... Baca lebih banyak .

Karena mekanisme yang digunakan untuk mengenkripsi kata sandi utama Anda, dibutuhkan sumber daya komputer dalam jumlah besar untuk mendekripsi - sumber daya yang tidak dapat diakses oleh sebagian besar peretas tingkat menengah atau menengah.

Alasan Anda sangat terlindungi saat menggunakan LastPass adalah karena mekanisme yang membuat kata sandi master sangat sulit diperoleh disebut "hashing lambat" atau "hashing dengan garam."

Bagaimana Hashing Bekerja

LastPass menggunakan salah satu teknik enkripsi paling aman di dunia, yang disebut hashing with salt.

"Garam" adalah kode yang dibuat menggunakan alat kriptografi - semacam lanjutan generator nomor acak 5 Generator Kata Sandi Daring Terbaik untuk Kata Sandi Acak yang KuatMencari cara untuk membuat kata sandi yang tidak bisa dipecahkan dengan cepat? Coba salah satu dari generator kata sandi online ini. Baca lebih banyak dibuat khusus untuk keamanan, jika Anda mau. Alat-alat ini membuat kode yang sama sekali tidak dapat diprediksi ketika Anda membuat kata sandi utama Anda.

Apa yang terjadi ketika Anda membuat akun adalah kata sandi "hash" menggunakan salah satu dari angka "garam" yang dihasilkan secara acak ini. Ini tidak pernah digunakan kembali - mereka unik untuk setiap pengguna dan setiap kata sandi. Terakhir, di tabel akun pengguna, Anda hanya akan menemukan garam dan hash.

Versi teks sandi master Anda yang sebenarnya tidak pernah disimpan di server LastPass, jadi peretas tidak dapat mengaksesnya. Yang bisa mereka peroleh dalam intrusi ini adalah garam acak ini, dan hash yang disandikan.

Jadi, satu-satunya cara LastPass (atau siapa pun) dapat memvalidasi kata sandi Anda adalah:

1. Ambil hash dan garam dari tabel pengguna.
2. Gunakan garam pada kata sandi yang diketik pengguna, hashing menggunakan fungsi hash yang sama yang digunakan ketika kata sandi dibuat.
3. Hash yang dihasilkan dibandingkan dengan hash yang disimpan untuk melihat apakah itu cocok.

Saat ini, peretas dapat menghasilkan milyaran hash per detik, jadi mengapa peretas tidak bisa menggunakan brute-force untuk memecahkan kata sandi ini Ophcrack - Alat Peretas Kata Sandi untuk Memecah Hampir Semua Kata Sandi WindowsAda banyak alasan berbeda mengapa seseorang ingin menggunakan sejumlah alat peretas kata sandi untuk meretas kata sandi Windows. Baca lebih banyak ? Keamanan ekstra ini berkat perlambatan lambat.

Mengapa Slow-Hashing Melindungi Anda

Dalam serangan seperti ini, itu benar-benar bagian lambat dari keamanan LastPass yang benar-benar melindungi Anda.

LastPass membuat fungsi hash yang digunakan untuk memverifikasi kata sandi (atau membuatnya) bekerja sangat lambat. Ini pada dasarnya menempatkan kerusakan pada kecepatan tinggi, operasi brute-force yang membutuhkan kecepatan untuk memompa melalui miliaran kemungkinan hash. Tidak penting berapa banyak daya komputasi Teknologi Komputer Terbaru yang Harus Anda Lihat untuk PercayaLihatlah beberapa teknologi komputer terbaru yang siap mengubah dunia elektronik dan PC selama beberapa tahun ke depan. Baca lebih banyak sistem peretas memiliki, proses untuk memecahkan enkripsi masih akan berlangsung selamanya, pada dasarnya membuat serangan brute-force tidak berguna.

Lebih dari itu, LastPass tidak hanya menjalankan algoritma hash sekali saja, mereka menjalankannya ribuan kali di komputer Anda, dan kemudian lagi di server.

Begini cara LastPass menjelaskan prosesnya sendiri kepada pengguna dalam posting blog mengikuti serangan terbaru ini:

“Kami hash baik username dan password master di komputer pengguna dengan 5.000 putaran PBKDF2-SHA256, sebuah algoritma penguatan kata sandi. Itu menciptakan kunci, di mana kami melakukan putaran hashing lainnya, untuk menghasilkan hash otentikasi kata sandi utama. "

Itu LastPass Help Desk memiliki pos yang menjelaskan bagaimana LastPass menggunakan hashing lambat:

LastPass telah memilih untuk menggunakan SHA-256, algoritma hashing yang lebih lambat yang memberikan perlindungan lebih terhadap serangan brute-force. LastPass memanfaatkan fungsi PBKDF2 yang diimplementasikan dengan SHA-256 untuk mengubah kata sandi utama Anda menjadi kunci enkripsi Anda.

Apa artinya ini adalah bahwa meskipun ada pelanggaran keamanan baru-baru ini, kata sandi Anda masih sangat aman, meskipun alamat email Anda tidak.

Bagaimana Jika Kata Sandi Saya Lemah?

Ada satu poin bagus yang diangkat di blog LastPass tentang kata sandi yang lemah. Banyak pengguna khawatir bahwa mereka tidak memimpikan kata sandi yang cukup unik, dan bahwa peretas ini akan dapat menebaknya tanpa banyak usaha.

Ada juga risiko jarak jauh bahwa akun Anda adalah salah satu peretas yang menghabiskan waktu untuk mencoba untuk mendekripsi, dan selalu ada kemungkinan jauh bahwa mereka bisa berhasil mendapatkan master Anda kata sandi. Lalu bagaimana?

Intinya adalah semua upaya itu akan sia-sia, karena masuk dari perangkat lain memerlukan verifikasi melalui email - email Anda - sebelum akses diberikan. Dari blog LastPass:

"Jika penyerang berusaha mendapatkan akses ke data Anda dengan menggunakan kredensial ini untuk masuk ke Anda Akun LastPass, mereka akan dihentikan oleh pemberitahuan yang meminta mereka untuk memverifikasi email mereka terlebih dahulu alamat."

Jadi, kecuali mereka entah bagaimana bisa meretas akun email Anda sebagai tambahannya mendekripsi algoritma yang hampir tidak dapat dipecahkan, Anda benar-benar tidak perlu khawatir.

Haruskah Saya Mengubah Kata Sandi Master Saya?

Apakah Anda ingin mengubah kata sandi master Anda benar-benar bermuara pada seberapa paranoid atau sialnya perasaan Anda. Jika Anda pikir Anda mungkin satu-satunya orang yang tidak beruntung yang passwordnya dibobol oleh peretas berbakat yang mampu entah bagaimana menguraikan melalui 100.000 putaran hashing rutin LastPass dan kode garam yang unik hanya untuk Anda?

Bagaimanapun, jika Anda khawatir tentang hal-hal seperti itu, ubah kata sandi Anda hanya untuk ketenangan pikiran. Ini berarti bahwa setidaknya garam dan hash Anda, di tangan peretas, menjadi tidak berguna.

Namun, ada pakar keamanan di luar sana yang sama sekali tidak peduli, seperti pakar keamanan Jeremi Gosney di atas di Structure Group yang mengatakan kepada wartawan:

“Defaultnya adalah 5.000 iterasi, jadi setidaknya kami melihat 105.000 iterasi. Saya benar-benar telah menetapkan tambang saya untuk 65.000 iterasi, sehingga total 165.000 iterasi melindungi frasa sandi Diceware saya. Jadi tidak, saya jelas tidak berkeringat karena pelanggaran ini. Saya bahkan tidak merasa terdorong untuk mengubah kata sandi utama saya. "

Satu-satunya masalah nyata yang harus Anda miliki tentang pelanggaran data ini adalah bahwa peretas sekarang memiliki alamat email Anda, yang dapat mereka gunakan untuk melakukan ekspedisi phishing massal untuk mencoba dan menipu orang agar menyerahkan berbagai kata sandi akun mereka - atau mungkin mereka dapat melakukan sesuatu yang biasa seperti menjual semua email pengguna itu kepada spammer dengan cara hitam pasar.

Intinya adalah bahwa risiko dari intrusi keamanan ini tetap minimal, berkat keamanan yang luar biasa dari sistem LastPass. Tetapi akal sehat mengatakan bahwa setiap saat peretas telah memperoleh detail akun Anda - bahkan dilindungi melalui ribuan iterasi kriptografi tingkat lanjut - selalu baik untuk mengubah kata sandi utama Anda, meskipun itu untuk ketenangan pikiran.

Apakah pelanggaran keamanan LastPass membuat Anda sangat khawatir tentang keamanan LastPass, atau apakah Anda yakin dengan keamanan akun Anda di sana? Bagikan pemikiran dan kekhawatiran Anda di bagian komentar di bawah ini.

Kredit gambar: menembus kunci keamanan melalui Shutterstock, Csehak Szabolcs melalui Shutterstock, Bastian Weltjen melalui Shutterstock, McIek melalui Shutterstock, GlebStock melalui Shutterstock, Benoit Daoust melalui Shutterstock