Om du är en av de tusentals LastPass-användare som har känt dig väldigt säker med internet tack vare löften om nästan obrutlig säkerhet, kan du känna dig lite mindre säker med att 15 juni meddelade företaget att de upptäckte ett intrång i deras servrar.
LastPass skickade ursprungligen ett e-postmeddelande till användare som informerade dem om att företaget hade upptäckt "misstänkt aktivitet" på LastPass-servrar, och att användarens e-postadresser och lösenordsminnelser hade äventyras.
Företaget försäkrade användarna om att inga krypterade valvdata hade äventyras, men eftersom lösenordet för hashed-användaren Vad All This MD5 Hash-saker faktiskt betyder [Teknologi förklaras] Vad Allt detta MD5 Hash-saker faktiskt betyder [Teknologi förklaras] Här är en fullständig nedgång av MD5, hashing och en liten översikt över datorer och kryptografi. Läs mer hade erhållits, företaget uppmanade användarna att uppdatera sina huvudlösenord, bara för att vara säkra.
The LastPass Hack Explained
Det här är inte första gången som LastPass-användare har varit oroliga för hackare. Förra året intervjuade vi LastPass VD Joe Siegrist Joe Siegrist of LastPass: Sanningen om ditt lösenordssäkerhet Joe Siegrist of LastPass: Sanningen om ditt lösenordssäkerhet Läs mer efter Heartbleed-hotet, där hans försäkringar ställer användarnas rädsla tillfredsställande.
Denna senaste överträdelse ägde rum sent sent i veckan före tillkännagivandet. När det upptäcktes och identifierades som ett säkerhetsintrång, hade attackerna blivit borta med användaradresser, lösenordsminnesfrågor / svar, hashed användarlösenord och kryptografiska salter Bli en hemlig steganograf: Dölj och kryptera dina filer Bli en hemlig steganograf: Dölj och kryptera dina filer Läs mer.
Den goda nyheten är att säkerhetssystemet för LastPass-systemet var konstruerat för att motstå sådana attacker. Det enda sättet att få tillgång till dina lösenords lösenord skulle vara att hackarna dekrypterar de väl säkrade huvudlösenorden. Använd en lösenordshanteringsstrategi för att förenkla ditt liv. Använd en strategi för lösenordshantering för att förenkla ditt liv. Mycket av de råd som finns runt lösenorden har varit nära -Tillgängligt att följa: använd ett starkt lösenord som innehåller siffror, bokstäver och specialtecken; ändra det regelbundet komma med ett helt unikt lösenord för varje konto etc .... Läs mer.
På grund av den mekanism som används för att kryptera ditt huvudlösenord, skulle det ta enorma mängder datorresurser att dekryptera det - resurser som de flesta små eller medelhöga hackare inte har tillgång till.
Anledningen till att du är så skyddad när du använder LastPass är att den mekanismen som gör huvudlösenordet så svårt att skaffa kallas "slow hashing" eller "hashing with salt."
Hur Hashing fungerar
LastPass använder en av de säkraste krypteringsteknikerna i världen, kallad hashing med salt.
"Salt" är en kod som genereras med hjälp av ett krypteringsverktyg - ett slags avancerat slumptalsgenerator 5 Gratis lösenordsgeneratorer för nästan unhackable lösenord 5 Gratis lösenordsgeneratorer för nästan unhackable lösenord Läs mer skapad speciellt för säkerhet, om du vill. Dessa verktyg skapar helt oförutsägbara koder när du skapar ditt huvudlösenord.
Vad händer när du skapar ditt konto är lösenordet "hashed" med ett av dessa slumpmässigt genererade (och mycket långa) "salt" -nummer. Dessa återanvänds aldrig - de är unika för varje användare och varje lösenord. Slutligen hittar du bara saltet och hasen i användarkontotabellen.
Den faktiska textversionen av ditt huvudlösenord lagras aldrig på LastPass-servrar, så hackare har inte tillgång till det. Allt de kunde få i denna intrång är dessa slumpmässiga salter och de kodade hasherna.
Så, det enda sättet LastPass (eller någon) kan validera ditt lösenord är:
- Hämta is och salt från användarbordet.
- Använd saltet på lösenordet användaren skriver in, hashing den med samma hash-funktion som användes när lösenordet genererades.
- Den resulterande hash blir jämförd med den lagrade hasen för att se om det är en match.
Idag kan hackare generera miljarder hash per sekund, så varför kan inte en hacker bara använda brute-force för att spricka dessa lösenord? Ophcrack - Ett lösenordshackverktyg för att spricka nästan alla Windows lösenord Ophcrack - ett lösenordshackverktyg att spricka Nästan alla Windows-lösenord Det finns många olika anledningar till varför man skulle vilja använda ett antal lösenordshackverktyg för att hacka ett Windows-lösenord. Läs mer ? Denna extra säkerhet beror på långsam hash.
Varför Slow-Hashing skyddar dig
I en attack som denna är det verkligen den långsamma hashing-delen av LastPass-säkerhet som verkligen skyddar dig.
LastPass gör hash-funktionen som används för att verifiera lösenordet (eller skapa det) fungerar mycket långsamt. Detta innebär väsentligen pauserna på alla höghastighetsbrutna kraftoperationer som kräver hastighet för att pumpa igenom miljarder möjliga haschar. Oavsett hur mycket beräkningskraft Den senaste datatekniken du måste se för att tro på den senaste datatekniken du måste se för att tro Kolla in några av de senaste datortekniken som är inställda för att omvandla världen av elektronik och datorer under de närmaste åren . Läs mer hackerens system har, processen att bryta krypteringen kommer fortfarande att ta för evigt, vilket i huvudsak gör brutna våldsattacker värdelösa.
Dessutom driver LastPass inte bara hashalgoritmen en gång, de kör det tusentals gånger på din dator och sedan igen på servern.
Så här förklarade LastPass sin egen process för användare i ett blogginlägg som följde den senaste attacken:
"Vi har både användarnamnet och huvudlösenordet på användarens dator med 5.000 rundor PBKDF2-SHA256, en lösenordsstärkande algoritm. Det skapar en nyckel, som vi utför en annan omgång av hash, för att skapa huvudlösenordsverifieringshashen. "
LastPass Help Desk har ett inlägg som beskriver hur LastPass använder slow-hashing:
LastPass har valt att använda SHA-256, en långsammare hashing-algoritm som ger mer skydd mot brutta kraftattacker. LastPass använder PBKDF2-funktionen implementerad med SHA-256 för att aktivera ditt huvudlösenord i din krypteringsnyckel.
Vad det här betyder är att dina lösenord är ganska mycket säkra trots din senaste säkerhetsbrott, trots att din e-postadress inte är.
Vad om mitt lösenord är svagt?
Det finns en utmärkt punkt upptagen på LastPass-bloggen om svaga lösenord. Många användare är oroade över att de inte drömde upp ett unikt nog lösenord, och att dessa hackare kommer att kunna gissa det utan mycket ansträngning.
Det finns också den avlägsna risken att ditt konto är en av de som hackare slösar bort tiden att försöka dekryptera, och det finns alltid den fjärranslutna möjligheten att de framgångsrikt kan få ditt huvudlösenord. Vad händer då?
Slutsatsen är att all den insatsen skulle vara bortkastad, eftersom inloggning från en annan enhet kräver verifiering via e-post - ditt e-postmeddelande - innan åtkomst beviljas. Från LastPass-bloggen:
"Om angriparen försökte få åtkomst till dina uppgifter genom att använda dessa uppgifter för att logga in på ditt LastPass-konto, skulle de stoppas av en anmälan om att de först verifierar deras e-postadress."
Så, om inte de på något sätt kan hacka in på ditt e-postkonto förutom att dekryptera en nästan orackbar algoritm, har du verkligen inget alls att oroa dig för.
Ska jag ändra mitt huvudlösenord?
Oavsett huruvida du vill ändra ditt huvudlösenord förkylar verkligen hur paranoid eller otur du känner. Om du tror att du kan vara den olyckliga personen som har sitt lösenord knäckt av begåvade hackare som på något sätt kan dechiffrera genom LastPass 100 000 runda hashingrutin och en saltkod som är unik bara för dig?
Om du oroar dig för sådana saker, ändra ditt lösenord bara för sinnesfrid. Det betyder att åtminstone ditt salt och hash i händerna på hackare blir värdelös.
Det finns dock säkerhetsexperter där ute som inte alls är berörda, till exempel säkerhetsexpert Jeremi Gosney över på Structure Group som sa till reportrar:
"Standardvärdet är 5.000 iterationer, så vi tittar på minst 105 000 iterationer. Jag har faktiskt min uppsättning till 65 000 iterationer, så det är totalt 165 000 iterationer som skyddar mitt Diceware lösenord. Så nej, jag svettar definitivt inte detta brott. Jag känner mig inte ens tvungen att ändra mitt huvudlösenord. "
Den enda verkliga oro som du borde ha om denna dataöverträdelse är att hackare nu har din e-postadress, som de kan använda för att utföra massvisa phishing-expeditioner för att försöka lura folk att ge upp sina olika lösenord för kontot - eller kanske de kan göra någonting så vardagligt som säljer alla dessa användaremails till spammare på den svarta marknaden.
Grunden är att risken för denna säkerhetsintrång är minimal, tack vare den överväldigande säkerheten för LastPass-systemet. Men sunt förnuft säger att när som helst hackare har fått dina kontouppgifter - även skyddad genom tusentals avancerade kryptografiska iterationer - är det alltid bra att ändra ditt huvudlösenord, även om det är för sinnesfrid.
Har LastPass-säkerhetsbrottet fått dig mycket oroad över Säkerhetssäkerheten hos LastPass, eller är du säker på säkerheten för ditt konto där? Dela dina tankar och bekymmer i kommentarfältet nedan.
Bildkrediter: penetrerad säkerhetslås via Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock