Werbung

Wenn Sie einer der Tausenden von LastPass-Benutzern sind, die sich dank der Versprechen, nahezu unzerbrechlich zu sein, im Internet sehr sicher gefühlt haben Sicherheit, Sie fühlen sich möglicherweise etwas weniger sicher, wenn Sie wissen, dass das Unternehmen am 15. Juni bekannt gegeben hat, dass ein Eingriff in das Unternehmen festgestellt wurde Server.

LastPass schickte zunächst eine E-Mail-Benachrichtigung an Benutzer, in der sie darauf hingewiesen wurden, dass das Unternehmen „verdächtig“ erkannt hat Aktivität “auf LastPass-Servern, und die E-Mail-Adressen und Kennworterinnerungen der Benutzer wurden kompromittiert.

Das Unternehmen versicherte den Benutzern, dass keine verschlüsselten Tresordaten kompromittiert worden seien, sondern seit dem gehashte Benutzerkennwörter Was all dieses MD5-Hash-Zeug eigentlich bedeutet [Technologie erklärt]Hier finden Sie eine vollständige Übersicht über MD5, Hashing und einen kleinen Überblick über Computer und Kryptografie. Weiterlesen Nachdem das Unternehmen die Informationen erhalten hatte, riet es den Benutzern, ihre Hauptkennwörter zu aktualisieren, um die Sicherheit zu gewährleisten.

instagram viewer

Der LastPass-Hack erklärt

Dies ist nicht das erste Mal, dass LastPass-Benutzer über Hacker besorgt sind. Letztes Jahr haben wir interviewte LastPass CEO Joe Siegrist Joe Siegrist von LastPass: Die Wahrheit über Ihre Passwortsicherheit Weiterlesen nach der Heartbleed-Bedrohung, bei der seine Zusicherungen die Ängste der Benutzer beruhigten.

Dieser letzte Verstoß ereignete sich Ende der Woche vor der Ankündigung. Als es als Sicherheitsverletzung erkannt und identifiziert wurde, waren die Angreifer mit Benutzer-E-Mail-Adressen, Fragen / Antworten zur Kennworterinnerung, gehashten Benutzerkennwörtern und kryptografische Salze Werden Sie ein geheimer Steganograf: Verstecken und verschlüsseln Sie Ihre Dateien Weiterlesen .

Lastpass-Verletzung1

Die gute Nachricht ist, dass die Sicherheit des LastPass-Systems solchen Angriffen standhält. Die einzige Möglichkeit, auf Ihre Klartext-Passwörter zuzugreifen, besteht darin, dass die Hacker die Passwörter entschlüsseln gut gesicherte Master-Passwörter Verwenden Sie eine Passwortverwaltungsstrategie, um Ihr Leben zu vereinfachenViele der Ratschläge zu Passwörtern waren nahezu unmöglich zu befolgen: Verwenden Sie ein sicheres Passwort, das Zahlen, Buchstaben und Sonderzeichen enthält. ändere es regelmäßig; Überlegen Sie sich ein völlig eindeutiges Passwort für jedes Konto usw. Weiterlesen .

Aufgrund des Mechanismus, mit dem Ihr Hauptkennwort verschlüsselt wird, sind zum Entschlüsseln enorme Mengen an Computerressourcen erforderlich - Ressourcen, auf die die meisten kleinen oder mittleren Hacker keinen Zugriff haben.

Lastpass-Breach2

Der Grund, warum Sie bei der Verwendung von LastPass so geschützt sind, liegt darin, dass dieser Mechanismus, der es so schwierig macht, das Hauptkennwort zu erhalten, als "langsames Hashing" oder "Hashing mit Salz" bezeichnet wird.

Wie Hashing funktioniert

LastPass verwendet eine der sichersten Verschlüsselungstechniken der Welt, das Hashing mit Salz.

Lastpass-Breach3

Das "Salz" ist ein Code, der mit einem Kryptografietool generiert wird - eine Art fortgeschrittener Code Zufallszahlengenerator Die 5 besten Online-Passwortgeneratoren für starke zufällige PasswörterSuchen Sie nach einer Möglichkeit, schnell ein unzerbrechliches Passwort zu erstellen? Probieren Sie einen dieser Online-Passwortgeneratoren aus. Weiterlesen speziell für die Sicherheit erstellt, wenn Sie so wollen. Diese Tools erstellen völlig unvorhersehbare Codes, wenn Sie Ihr Hauptkennwort erstellen.

Wenn Sie Ihr Konto erstellen, wird das Passwort mit einer dieser zufällig generierten (und sehr langen) "Salt" -Nummern "gehasht". Diese werden nie wiederverwendet - sie sind für jeden Benutzer und jedes Passwort eindeutig. Schließlich finden Sie in der Benutzerkontotabelle nur das Salt und den Hash.

Die eigentliche Textversion Ihres Hauptkennworts wird niemals auf LastPass-Servern gespeichert, sodass Hacker keinen Zugriff darauf haben. Alles, was sie bei diesem Eindringen erhalten konnten, waren diese zufälligen Salze und die codierten Hashes.

Der einzige Weg, wie LastPass (oder jemand anderes) Ihr Passwort überprüfen kann, ist:

  1. Rufen Sie den Hash und das Salz aus der Benutzertabelle ab.
  2. Verwenden Sie das Salt für das Kennwort, das der Benutzer eingibt, und hacken Sie es mit derselben Hash-Funktion, die beim Generieren des Kennworts verwendet wurde.
  3. Der resultierende Hash wird mit dem gespeicherten Hash verglichen, um festzustellen, ob es sich um eine Übereinstimmung handelt.

Heutzutage können Hacker Milliarden von Hashes pro Sekunde generieren. Warum kann ein Hacker nicht einfach Brute-Force anwenden? knacken Sie diese Passwörter Ophcrack - Ein Passwort-Hack-Tool zum Knacken fast aller Windows-PasswörterEs gibt viele verschiedene Gründe, warum man eine beliebige Anzahl von Passwort-Hack-Tools verwenden möchte, um ein Windows-Passwort zu hacken. Weiterlesen ? Diese zusätzliche Sicherheit ist dem langsamen Hashing zu verdanken.

Warum Slow-Hashing Sie schützt

Bei einem solchen Angriff ist es wirklich der langsame Teil der LastPass-Sicherheit, der Sie wirklich schützt.

Lastpass-Breach4

Mit LastPass funktioniert die Hash-Funktion, mit der das Kennwort überprüft (oder erstellt) wird, sehr langsam. Dies führt im Wesentlichen zu Unterbrechungen bei jedem Brute-Force-Hochgeschwindigkeitsbetrieb, der Geschwindigkeit erfordert, um Milliarden möglicher Hashes zu pumpen. Ganz gleich wie viel Rechenleistung Die neueste Computertechnologie, die Sie sehen müssen, um zu glaubenSchauen Sie sich einige der neuesten Computertechnologien an, die die Welt der Elektronik und PCs in den nächsten Jahren verändern werden. Weiterlesen Nach dem System des Hackers wird der Prozess zum Aufheben der Verschlüsselung immer noch ewig dauern, was Brute-Force-Angriffe im Wesentlichen unbrauchbar macht.

Darüber hinaus führt LastPass den Hash-Algorithmus nicht nur einmal aus, sondern tausende Male auf Ihrem Computer und dann erneut auf dem Server.

So erklärte LastPass den Benutzern seinen eigenen Prozess in einem Blogbeitrag nach diesem letzten Angriff:

„Wir haben sowohl den Benutzernamen als auch das Hauptkennwort auf dem Computer des Benutzers mit 5.000 Runden PBKDF2-SHA256, einem Algorithmus zur Kennwortverstärkung. Dadurch wird ein Schlüssel erstellt, für den wir eine weitere Hashing-Runde durchführen, um den Master-Kennwortauthentifizierungs-Hash zu generieren. “

Das LastPass-Helpdesk hat einen Beitrag, der beschreibt, wie LastPass Slow-Hashing verwendet:

LastPass hat sich für SHA-256 entschieden, einen langsameren Hashing-Algorithmus, der mehr Schutz vor Brute-Force-Angriffen bietet. LastPass verwendet die mit SHA-256 implementierte PBKDF2-Funktion, um Ihr Hauptkennwort in Ihren Verschlüsselungsschlüssel umzuwandeln.

Dies bedeutet, dass Ihre Passwörter trotz dieser kürzlich erfolgten Sicherheitsverletzung so gut wie immer noch sehr sicher sind, obwohl Ihre E-Mail-Adresse dies nicht ist.

Was ist, wenn mein Passwort schwach ist?

Im LastPass-Blog wird ein hervorragender Punkt in Bezug auf schwache Passwörter angesprochen. Viele Benutzer befürchten, dass sie sich kein Kennwort ausgedacht haben, das eindeutig genug ist, und dass diese Hacker es ohne großen Aufwand erraten können.

Es besteht auch das entfernte Risiko, dass Ihr Konto zu den Konten gehört, bei denen Hacker ihre Zeit damit verschwenden, es zu versuchen zu entschlüsseln, und es besteht immer die entfernte Möglichkeit, dass sie Ihren Master erfolgreich erhalten Passwort. Was dann?

Lastpass-Breach5

Das Fazit ist, dass all dieser Aufwand verschwendet würde, da die Anmeldung von einem anderen Gerät aus eine Bestätigung per E-Mail - Ihrer E-Mail - erfordert, bevor der Zugriff gewährt wird. Aus dem LastPass-Blog:

„Wenn der Angreifer versucht hat, mithilfe dieser Anmeldeinformationen auf Ihre Daten zuzugreifen, um sich bei Ihnen anzumelden LastPass-Konto werden sie durch eine Benachrichtigung gestoppt, in der sie aufgefordert werden, zuerst ihre E-Mail-Adresse zu bestätigen Adresse."

Also, es sei denn, sie können sich irgendwie in Ihr E-Mail-Konto hacken zusätzlich zu Wenn Sie einen nahezu unknackbaren Algorithmus entschlüsseln, brauchen Sie sich wirklich keine Sorgen zu machen.

Soll ich mein Master-Passwort ändern?

Ob Sie Ihr Master-Passwort ändern möchten oder nicht, hängt davon ab, wie paranoid oder unglücklich Sie sich fühlen. Wenn Sie glauben, dass Sie die einzige unglückliche Person sind, deren Passwort von talentierten Hackern geknackt wurde, die dazu in der Lage sind um durch die 100.000-Runden-Hashing-Routine von LastPass und einen Salzcode, der nur für Sie einzigartig ist, irgendwie zu entschlüsseln?

Wenn Sie sich über solche Dinge Sorgen machen, ändern Sie auf jeden Fall Ihr Passwort, um sich keine Sorgen zu machen. Dies bedeutet, dass zumindest Ihr Salz und Hasch in den Händen von Hackern unbrauchbar wird.

Es gibt jedoch Sicherheitsexperten, die überhaupt nicht betroffen sind, wie beispielsweise den Sicherheitsexperten Jeremi Gosney von der Structure Group wer erzählte Reportern:

"Der Standardwert beträgt 5.000 Iterationen. Wir sehen uns also mindestens 105.000 Iterationen an. Ich habe meine auf 65.000 Iterationen festgelegt, das sind also insgesamt 165.000 Iterationen, die meine Diceware-Passphrase schützen. Also nein, ich schwitze definitiv nicht an dieser Verletzung. Ich fühle mich nicht einmal gezwungen, mein Master-Passwort zu ändern. "

Die einzige wirkliche Sorge, die Sie wegen dieser Datenverletzung haben sollten, ist, dass Hacker jetzt Ihre E-Mail-Adresse haben, mit der sie Massen-Phishing-Expeditionen durchführen können, um dies zu versuchen und die Leute dazu bringen, ihre verschiedenen Kontokennwörter aufzugeben - oder sie tun etwas so Alltägliches wie den Verkauf all dieser Benutzer-E-Mails an schwarze Spammer Markt.

Unter dem Strich bleibt das Risiko dieser Sicherheitsverletzung dank der überwältigenden Sicherheit des LastPass-Systems minimal. Der gesunde Menschenverstand sagt jedoch, dass Hacker jederzeit Ihre Kontodaten erhalten haben - sogar durch Tausende von geschützt Erweiterte kryptografische Iterationen - Es ist immer gut, Ihr Hauptkennwort zu ändern, auch wenn dies zur Beruhigung dient.

Hat Sie die Sicherheitsverletzung von LastPass sehr besorgt über die Sicherheit von LastPass gemacht, oder sind Sie zuversichtlich, dass Ihr Konto dort sicher ist? Teilen Sie Ihre Gedanken und Bedenken im Kommentarbereich unten mit.

Bildnachweis: eingedrungenes Sicherheitsschloss über Shutterstock, Csehak Szabolcs über Shutterstock, Bastian Weltjen über Shutterstock, McIek über Shutterstock, GlebStock über Shutterstock, Benoit Daoust über Shutterstock

Ryan hat einen BSc-Abschluss in Elektrotechnik. Er hat 13 Jahre in der Automatisierungstechnik, 5 Jahre in der IT gearbeitet und ist jetzt Apps Engineer. Als ehemaliger Managing Editor von MakeUseOf sprach er auf nationalen Konferenzen zur Datenvisualisierung und wurde im nationalen Fernsehen und Radio vorgestellt.