Wenn Sie zu den Tausenden von LastPass-Benutzern gehören, die sich dank der Zusage fast unzerstörbarer Sicherheit sehr sicher im Internet gefühlt haben, fühlen Sie sich etwas unsicherer und wissen, dass das Unternehmen am 15. Juni bekannt gab, dass es einen Eingriff in ihre Server.
LastPass hat zunächst eine E-Mail-Benachrichtigung an die Benutzer gesendet, in der er darüber informiert wurde, dass das Unternehmen "verdächtige Aktivitäten" auf LastPass-Servern erkannt hat und dass die E-Mail-Adressen und Kennworterinnerungen des Benutzers kompromittiert wurden.
Die Firma versicherte Benutzern, dass keine verschlüsselten Tresordaten kompromittiert worden waren, aber da die verschlüsselten Benutzerkennwörter Was alles diese MD5 Hash Stuff tatsächlich bedeutet [Technologie erklärt] Was all diese MD5 Hash Stuff tatsächlich bedeutet [Technologie erklärt] Hier ist eine vollständige heruntergekommen von MD5, Hashing und ein kleiner Überblick über Computer und Kryptographie. Read More wurde erhalten, das Unternehmen empfahl Benutzern, ihre Master-Passwörter zu aktualisieren, nur um sicher zu sein.
Der LastPass-Hack erklärt
Dies ist nicht das erste Mal, dass sich LastPass-Benutzer Gedanken über Hacker machen. Letztes Jahr haben wir LastPass CEO Joe Siegrist Joe Siegrist von LastPass interviewt: Die Wahrheit über Ihre Passwortsicherheit Joe Siegrist von LastPass: Die Wahrheit über Ihre Passwortsicherheit Lesen Sie mehr über die Heartbleed Bedrohung, wo seine Zusicherungen die Ängste der Benutzer beruhigen.
Dieser letzte Verstoß fand Ende der Woche vor der Ankündigung statt. Zu der Zeit, als es entdeckt und als Sicherheitseingriff identifiziert wurde, waren die Angreifer mit Benutzer-E-Mail-Adressen, Passwort-Erinnerungsfragen / -antworten, verschlüsselten Benutzerpasswörtern und kryptographischen Salzen entkommen. Verstecken und verschlüsseln Sie Ihre Dateien Lesen Sie mehr.
Die gute Nachricht ist, dass die Sicherheit des LastPass-Systems solchen Angriffen standhalten sollte. Der einzige Weg, auf Ihre Klartext-Passwörter zuzugreifen, wäre für die Hacker, die gut gesicherten Master-Passwörter zu entschlüsseln Verwenden Sie eine Passwort-Management-Strategie, um Ihr Leben zu vereinfachen Verwenden Sie eine Passwort-Management-Strategie, um Ihr Leben zu vereinfachen Viele der Ratschläge rund um Passwörter war nahe -unmöglich zu folgen: Verwenden Sie ein starkes Passwort mit Zahlen, Buchstaben und Sonderzeichen; ändere es regelmäßig; ein völlig einzigartiges Passwort für jedes Konto usw. finden. Lesen Sie mehr.
Aufgrund des Mechanismus, der zum Verschlüsseln Ihres Master-Passworts verwendet wird, würden enorme Mengen an Computerressourcen benötigt, um es zu entschlüsseln - Ressourcen, auf die die meisten kleinen oder mittleren Hacker keinen Zugriff haben.
Der Grund, warum Sie so geschützt sind, wenn Sie LastPass verwenden, ist, dass dieser Mechanismus, der das Master-Passwort so schwer zu erhalten macht, "langsames Hashing" oder "Hashing mit Salz" genannt wird.
Wie Hashing funktioniert
LastPass verwendet eine der sichersten Verschlüsselungstechniken der Welt, Hashing mit Salz.
Das "Salz" ist ein Code, der mit einem Kryptografie-Tool generiert wird - eine Art fortschrittlicher Zufallszahlengenerator 5 Free Password Generators für Fast Unhackable Passwords 5 Free Passwortgeneratoren für Fast Unhackable Passwörter Read More speziell für die Sicherheit erstellt, wenn Sie so wollen. Diese Tools erstellen vollständig unvorhersehbare Codes, wenn Sie Ihr Master-Passwort erstellen.
Was passiert, wenn Sie Ihr Konto erstellen, ist das Passwort "Hashed" mit einer dieser zufällig generierten (und sehr langen) "Salz" -Zahlen. Diese werden nie wiederverwendet - sie sind für jeden Benutzer und jedes Passwort einzigartig. Schließlich finden Sie in der Benutzerkontentabelle nur das Salz und den Hash.
Die eigentliche Textversion Ihres Master-Passworts wird niemals auf LastPass-Servern gespeichert, sodass Hacker keinen Zugriff darauf haben. Alles, was sie in dieser Intrusion erhalten konnten, waren diese zufälligen Salze und die codierten Hashes.
LastPass (oder jeder andere) kann Ihr Passwort nur folgendermaßen validieren:
- Rufen Sie den Hash und das Salz aus der Benutzertabelle ab.
- Verwenden Sie das Salz für das Passwort, das der Benutzer eingibt, indem Sie es mit der gleichen Hash-Funktion hashen, die beim Generieren des Passworts verwendet wurde.
- Der resultierende Hash wird mit dem gespeicherten Hash verglichen, um zu sehen, ob es eine Übereinstimmung ist.
Heutzutage können Hacker Milliarden von Hashes pro Sekunde generieren, also warum kann ein Hacker nicht einfach Brute-Force verwenden, um diese Passwörter zu knacken Ophcrack - Ein Passwort-Hack-Tool zum Knacken fast jedes Windows-Passwort Ophcrack - Ein Passwort-Hack-Tool zu knacken Beinahe jedes Windows-Passwort Es gibt viele verschiedene Gründe, warum man eine beliebige Anzahl von Passwort-Hack-Tools verwenden sollte, um ein Windows-Passwort zu hacken. Weiterlesen ? Diese zusätzliche Sicherheit ist dank Slow-Hashing möglich.
Warum schützt Slow-Hashing dich?
Bei einem Angriff wie diesem ist es wirklich der langsame Hash-Teil der LastPass-Sicherheit, der Sie wirklich schützt.
LastPass bewirkt, dass die Hash-Funktion, mit der das Passwort überprüft (oder erstellt) wird, sehr langsam arbeitet. Dies bedeutet im Wesentlichen die Unterbrechung von Hochgeschwindigkeitsoperationen mit Brachialkräften, die Geschwindigkeit erfordern, um Milliarden möglicher Hashes zu pumpen. Egal, wie viel Rechenleistung die neueste Computertechnologie, die Sie sehen müssen, um die neueste Computertechnologie zu sehen, die Sie glauben müssen Schauen Sie sich einige der neuesten Computertechnologien an, die die Welt der Elektronik und PCs in den nächsten Jahren verändern werden . Lesen Sie weiter das System des Hackers, der Prozess, um die Verschlüsselung zu brechen wird immer noch dauern, im Wesentlichen Brute-Force-Angriffe nutzlos machen.
Darüber hinaus führt LastPass den Hash-Algorithmus nicht nur einmal aus, sondern tauscht ihn auf Ihrem Computer tausende Male und dann wieder auf dem Server aus.
So hat LastPass seinen Benutzern in einem Blogpost nach dem letzten Angriff seinen eigenen Prozess erklärt:
"Wir hashen sowohl den Benutzernamen als auch das Master-Passwort auf dem Computer des Benutzers mit 5.000 Runden PBKDF2-SHA256, einem Algorithmus zur Passwortverstärkung. Das erzeugt einen Schlüssel, auf dem wir eine weitere Hash-Runde durchführen, um den Master-Passwort-Authentifizierungs-Hash zu generieren. "
Der LastPass-Helpdesk verfügt über einen Post, der beschreibt, wie LastPass langsamen Hash verwendet:
LastPass hat sich für SHA-256 entschieden, einen langsameren Hashalgorithmus, der mehr Schutz vor Brute-Force-Angriffen bietet. LastPass verwendet die mit SHA-256 implementierte PBKDF2-Funktion, um Ihr Hauptkennwort in Ihren Verschlüsselungsschlüssel umzuwandeln.
Das bedeutet, dass trotz dieser jüngsten Sicherheitsverletzung Ihre Kennwörter ziemlich sicher sind, auch wenn Ihre E-Mail-Adresse dies nicht tut.
Was passiert, wenn mein Passwort schwach ist?
Es gibt einen ausgezeichneten Punkt, der im LastPass-Blog über schwache Passwörter angesprochen wurde. Viele Benutzer sind besorgt, dass sie sich ein Passwort, das nicht eindeutig genug ist, nicht ausgedacht haben und dass diese Hacker es ohne viel Aufwand erraten können.
Es besteht auch das entfernte Risiko, dass Ihr Konto zu denjenigen gehört, bei denen Hacker ihre Zeit beim Entschlüsseln verschwenden und es immer die Möglichkeit gibt, dass sie Ihr Master-Passwort erfolgreich erhalten könnten. Was dann?
Die Quintessenz ist, dass dieser ganze Aufwand verschwendet wird, da die Anmeldung von einem anderen Gerät eine Überprüfung per E-Mail - Ihre E-Mail - erfordert, bevor der Zugriff gewährt wird. Aus dem LastPass-Blog:
"Wenn der Angreifer versucht hat, Zugriff auf Ihre Daten zu erhalten, indem er diese Anmeldeinformationen verwendet, um sich bei Ihrem LastPass-Konto anzumelden, werden diese durch eine Benachrichtigung gestoppt, in der Sie aufgefordert werden, zunächst ihre E-Mail-Adresse zu überprüfen."
Also, es sei denn, sie können sich irgendwie in Ihren E-Mail-Account einklinken und zusätzlich einen nahezu unknackbaren Algorithmus entschlüsseln. Sie haben also wirklich gar nichts zu befürchten.
Sollte ich mein Master-Passwort ändern?
Ob Sie Ihr Master-Passwort ändern wollen oder nicht, läuft darauf hinaus, wie paranoid oder unglücklich Sie sich fühlen. Wenn Sie denken, dass Sie die unglückliche Person sind, die ihr Passwort von talentierten Hackern geknackt hat, die in der Lage sind, durch die 100.000 Runden-Hashing-Routine von LastPass und einen für Sie einzigartigen Salzcode zu entschlüsseln?
Wenn Sie sich über solche Dinge Sorgen machen, sollten Sie Ihr Passwort ändern, um Ihre Sicherheit zu gewährleisten. Es bedeutet, dass zumindest Ihr Salz und Hash in den Händen von Hackern nutzlos wird.
Aber es gibt Sicherheitsexperten da draußen, die überhaupt nicht betroffen sind, wie zum Beispiel der Sicherheitsexperte Jeremi Gosney von der Structure Group, der Reportern sagte:
"Der Standardwert ist 5.000 Iterationen, also betrachten wir mindestens 105.000 Iterationen. Ich habe tatsächlich 65.000 Iterationen eingestellt, das sind insgesamt 165.000 Iterationen, die meine Diceware-Passphrase schützen. Also nein, ich schwitze diese Verletzung definitiv nicht. Ich fühle mich nicht einmal gezwungen, mein Master-Passwort zu ändern. "
Die einzige wirkliche Sorge, die Sie über diese Datenverletzung haben sollten, ist, dass Hacker jetzt Ihre E-Mail-Adresse haben, mit der sie Massenphishing-Expeditionen durchführen können, um Leute dazu zu bringen, ihre verschiedenen Account-Passwörter aufzugeben - oder vielleicht etwas banales wie alle diese Nutzer-E-Mails an Spammer auf dem Schwarzmarkt zu verkaufen.
Das Endergebnis ist, dass das Risiko aufgrund dieses Sicherheitseinbruchs minimal bleibt, dank der überwältigenden Sicherheit des LastPass-Systems. Aber der gesunde Menschenverstand besagt, dass Hacker jederzeit Zugriff auf Ihre Kontodetails haben - sogar geschützt durch tausende von fortgeschrittenen kryptografischen Iterationen - es ist immer gut, Ihr Master-Passwort zu ändern, auch wenn es für den Seelenfrieden ist.
Hat die LastPass-Sicherheitsverletzung Sie über die Sicherheit von LastPass beunruhigt oder sind Sie von der Sicherheit Ihres Kontos dort überzeugt? Teilen Sie Ihre Gedanken und Bedenken in den Kommentaren unten.
Bildnachweis: Sicherheitsschloss über Shutterstock, Csehak Szabolcs über Shutterstock, Bastian Weltjen über Shutterstock, McIek über Shutterstock, GlebStock über Shutterstock, Benoit Daoust über Shutterstock