Sicherheit

LastPass ist verletzt Sie müssen Ihr Master-Passwort ändern?

LastPass ist verletzt Sie müssen Ihr Master-Passwort ändern? / Sicherheit

Wenn Sie einer von Tausenden von LastPass-Benutzern sind, die sich dank des Versprechens einer nahezu unzerbrechlichen Sicherheit im Internet sehr sicher gefühlt haben, fühlen Sie sich vielleicht etwas weniger sicher, da das Unternehmen am 15. Juni angekündigt hat, dass ein Eindringling entdeckt wurde ihre Server.

Zunächst schickte LastPass eine E-Mail-Benachrichtigung an die Benutzer, die sie darüber informiert, dass das Unternehmen entdeckt hat “verdächtige Aktivität” auf LastPass-Servern, und die E-Mail-Adressen und Passworterinnerungen der Benutzer wurden beeinträchtigt.

Das Unternehmen versicherte den Benutzern, dass keine verschlüsselten Tresordaten gefährdet wurden, aber seit den Hash-Benutzerpasswörtern Was bedeutet dieser MD5-Hash-Inhalt eigentlich [Technologie erklärt] Was all dieser MD5-Hash-Stoff tatsächlich bedeutet [Technologie erklärt] Hier ist ein vollständiger Ablauf MD5, Hashing und ein kleiner Überblick über Computer und Kryptographie. Nachdem mehr erfahren worden war, riet das Unternehmen den Benutzern, ihre Hauptkennwörter zu aktualisieren, um sicherzugehen.

Der LastPass-Hack erklärt

Dies ist nicht das erste Mal, dass sich LastPass-Benutzer mit Hackern befasst haben. Letztes Jahr hatten wir ein Interview mit dem CEO von LastPass, Joe Siegrist, von Joe Siegrist von LastPass: Die Wahrheit über Ihr Passwort. Sicherheit Joe Siegrist von LastPass: Die Wahrheit über Ihr Passwort. Lesen Sie mehr nach der Heartbleed-Bedrohung, bei der sich seine Ängste beruhigen.

Diese letzte Verletzung fand Ende der Woche vor der Ankündigung statt. Als es erkannt und als Sicherheitsverletzung erkannt wurde, waren die Angreifer mit E-Mail-Adressen der Benutzer, Fragen / Antworten zur Kennworterinnerung, Hash-Passwörter und kryptografischen Salzen fertig geworden. Werden Sie zum geheimen Steganographen: Verstecken und verschlüsseln Sie Ihre Dateien Werden Sie zum geheimen Steganographen: Dateien ausblenden und verschlüsseln Weitere Informationen .

Die gute Nachricht ist, dass die Sicherheit des LastPass-Systems solchen Angriffen standhalten sollte. Die einzige Möglichkeit, auf Ihre Klartextkennwörter zuzugreifen, besteht darin, dass die Hacker die gut gesicherten Hauptkennwörter entschlüsseln. Verwenden Sie eine Kennwortverwaltungsstrategie, um Ihr Leben zu vereinfachen. Verwenden Sie eine Kennwortverwaltungsstrategie, um Ihr Leben zu vereinfachen. Viele Ratschläge zu Kennwörtern waren in der Nähe - Unmöglich zu folgen: Verwenden Sie ein sicheres Kennwort, das Zahlen, Buchstaben und Sonderzeichen enthält. ändern Sie es regelmäßig; Geben Sie für jedes Konto ein völlig eindeutiges Kennwort ein .

Aufgrund des Mechanismus, der zum Verschlüsseln des Hauptkennworts verwendet wird, sind zur Entschlüsselung sehr viele Computerressourcen erforderlich - Ressourcen, auf die die meisten kleinen oder mittelgroßen Hacker keinen Zugriff haben.

Der Grund, warum Sie bei der Verwendung von LastPass so geschützt sind, besteht darin, dass der Mechanismus aufgerufen wird, durch den das Hauptkennwort so schwer zu erhalten ist “langsames Hashing” oder “Haschisch mit Salz.”

Wie funktioniert Hashing?

LastPass verwendet eine der sichersten Verschlüsselungstechniken der Welt, Hashing with Salt genannt.

Das “Salz-” ist ein Code, der mit einem Kryptografietool generiert wird - eine Art fortschrittlicher Zufallszahlengenerator. 5 Kostenlose Passwortgeneratoren für fast unaushackbare Passwörter. 5 Kostenlose Passwortgeneratoren für fast unaushackbare Passwörter. Weitere Informationen wurden speziell für die Sicherheit erstellt, wenn Sie möchten. Diese Tools erstellen völlig unvorhersehbare Codes, wenn Sie Ihr Hauptkennwort erstellen.

Was passiert, wenn Sie Ihr Konto erstellen, ist das Kennwort “hashed” mit einem dieser zufällig generierten (und sehr langen) “Salz-” Zahlen. Diese werden nie wiederverwendet - sie sind für jeden Benutzer und jedes Passwort eindeutig. Schließlich finden Sie in der Benutzerkontentabelle nur das Salt und den Hash.

Die tatsächliche Textversion Ihres Master-Passworts wird niemals auf LastPass-Servern gespeichert, sodass Hacker keinen Zugriff darauf haben. Alles, was sie bei diesem Eingriff erreichen konnten, sind diese zufälligen Salze und die kodierten Hashes.

Die einzige Möglichkeit, wie LastPass (oder irgendjemand) Ihr Passwort überprüfen kann, ist:

  1. Rufen Sie den Hash und den Salt aus der Benutzertabelle ab.
  2. Verwenden Sie das Salt des Kennworts, das der Benutzer eingibt, und verwenden Sie das Hashing mit derselben Hash-Funktion, die verwendet wurde, als das Kennwort generiert wurde.
  3. Der resultierende Hash wird mit dem gespeicherten Hash verglichen, um zu sehen, ob er übereinstimmt.

Hacker sind heutzutage in der Lage, Milliarden Hashes pro Sekunde zu generieren. Warum kann ein Hacker diese Passwörter nicht mit Brute-Force knacken? Ophcrack - ein Passwort-Hack-Tool, um fast jedes Windows-Passwort zu knacken Ophcrack - ein Passwort-Hack-Tool, das zu knacken gilt Fast jedes Windows-Kennwort Es gibt verschiedene Gründe, warum Sie zum Hacken eines Windows-Kennworts eine beliebige Anzahl von Kennwort-Hack-Tools verwenden möchten. Weiterlesen ? Diese zusätzliche Sicherheit ist dem langsamen Hashing zu verdanken.

Warum Slow-Hashing Sie schützt

Bei einem Angriff wie diesem ist es wirklich der langsame Hash-Teil der LastPass-Sicherheit, der Sie wirklich schützt.

LastPass bewirkt, dass die Hash-Funktion, mit der das Kennwort überprüft wird (oder erstellt wird), sehr langsam arbeitet. Dies führt im Wesentlichen zu den Unterbrechungen bei jedem Hochgeschwindigkeits-Brute-Force-Vorgang, der Geschwindigkeit erfordert, um Milliarden von möglichen Hashes durchzupumpen. Unabhängig von der Rechenleistung Die neueste Computertechnologie, die Sie sehen müssen, um zu glauben Die neueste Computertechnologie, die Sie sehen müssen, um zu glauben Sehen Sie sich einige der neuesten Computertechnologien an, die die Welt der Elektronik und PCs in den nächsten Jahren verändern werden . Lesen Sie mehr das System des Hackers, der Prozess, die Verschlüsselung zu brechen, wird immer noch ewig dauern, was Brute-Force-Angriffe im Wesentlichen nutzlos macht.

Darüber hinaus führt LastPass den Hash-Algorithmus nicht nur einmal, sondern tausendfach auf Ihrem Computer und dann erneut auf dem Server aus.

So hat LastPass den Benutzern in einem Blogbeitrag nach diesem letzten Angriff den eigenen Prozess erläutert:

“Wir haben sowohl den Benutzernamen als auch das Hauptkennwort auf dem Computer des Benutzers mit 5.000 Runden PBKDF2-SHA256, einem Algorithmus zur Kennwortverbesserung. Dadurch wird ein Schlüssel erstellt, auf dem eine weitere Hash-Runde ausgeführt wird, um den Authentifizierungs-Hash für das Master-Kennwort zu generieren.”

Das LastPass-Helpdesk enthält einen Beitrag, in dem beschrieben wird, wie LastPass langsames Hashing verwendet:

LastPass hat sich für SHA-256 entschieden, einen langsameren Hash-Algorithmus, der mehr Schutz vor Brute-Force-Angriffen bietet. LastPass verwendet die mit SHA-256 implementierte PBKDF2-Funktion, um Ihr Master-Passwort in Ihren Verschlüsselungsschlüssel zu verwandeln.

Dies bedeutet, dass trotz dieser Sicherheitslücke Ihre Passwörter immer noch sehr sicher sind, auch wenn Ihre E-Mail-Adresse nicht sicher ist.

Was ist, wenn mein Passwort schwach ist??

Es gibt einen hervorragenden Punkt im LastPass-Blog bezüglich schwacher Passwörter. Viele Benutzer sind besorgt, dass sie sich kein einzigartiges Passwort ausgedacht haben und dass diese Hacker es ohne viel Aufwand erraten können.

Es besteht auch die Gefahr, dass Ihr Konto von den Hackern mit dem Entschlüsseln verschwendet wird, und es besteht immer die Möglichkeit, dass Sie Ihr Master-Kennwort erhalten. Was dann?

Das Fazit ist, dass all diese Anstrengungen vergeudet werden, da für die Anmeldung von einem anderen Gerät aus eine Bestätigung per E-Mail erforderlich ist - Ihre E-Mail -, bevor der Zugriff gewährt wird. Aus dem LastPass-Blog:

“Wenn der Angreifer versucht, mithilfe dieser Anmeldeinformationen Zugriff auf Ihre Daten zu erhalten, um sich bei Ihrem LastPass-Konto anzumelden, wird er durch eine Benachrichtigung angehalten, in der er aufgefordert wird, zunächst die E-Mail-Adresse zu bestätigen.”

Es sei denn, sie können sich irgendwie in Ihr E-Mail-Konto einhacken zusätzlich zu Wenn Sie einen nahezu unkrackbaren Algorithmus entschlüsseln, haben Sie wirklich nichts zu befürchten.

Soll ich mein Master-Passwort ändern??

Ob Sie Ihr Master-Passwort ändern möchten oder nicht, hängt davon ab, wie paranoid oder unglücklich Sie sich fühlen. Wenn Sie der Meinung sind, dass Sie derjenige sind, der ein Pech hat, der sein Passwort von talentierten Hackern geknackt hat, die in der Lage sind, die 100.000 Round-Hash-Routine von LastPass und einen für Sie einzigartigen Salt-Code irgendwie zu entschlüsseln?

Wenn Sie sich um solche Dinge Sorgen machen, ändern Sie auf jeden Fall Ihr Passwort, um die Sicherheit zu gewährleisten. Es bedeutet, dass zumindest Ihr Salz und Haschisch in den Händen von Hackern nutzlos wird.

Es gibt jedoch Sicherheitsexperten, die überhaupt nicht betroffen sind, wie der Sicherheitsexperte Jeremi Gosney von der Structure Group, der den Reportern sagte:

“Der Standardwert liegt bei 5.000 Iterationen. Wir betrachten also mindestens 105.000 Iterationen. Ich habe für mich tatsächlich 65.000 Iterationen festgelegt, das heißt, insgesamt 165.000 Iterationen schützen meine Passwörter von Diceware. Also nein, ich schwöre definitiv nicht gegen diese Verletzung. Ich fühle mich nicht einmal gezwungen, mein Master-Passwort zu ändern.”

Das einzig wahre Problem, das Sie wegen dieses Datenschutzverstoßes haben sollten, ist, dass Hacker jetzt Ihre E-Mail-Adresse haben, die sie für Massenphishing-Expeditionen verwenden könnten, um zu versuchen, Menschen dazu zu überreden, ihre verschiedenen Kontopasswörter aufzugeben - oder vielleicht tun sie etwas banal all diese Benutzer-E-Mails an Spammer auf dem Schwarzmarkt zu verkaufen.

Unter dem Strich bleibt das Risiko durch diese Sicherheitsverletzung dank der überwältigenden Sicherheit des LastPass-Systems minimal. Der gesunde Menschenverstand besagt jedoch, dass jedes Mal, wenn Hacker Ihre Kontodaten abgerufen haben - auch wenn sie durch Tausende von fortgeschrittenen kryptografischen Iterationen geschützt sind - es immer gut ist, Ihr Master-Passwort zu ändern, auch wenn es sich um ein sicheres Gefühl handelt.

Hat die LastPass-Sicherheitsverletzung Sie sehr beunruhigt über die Sicherheit von LastPass oder sind Sie zuversichtlich, dass Ihr Konto dort sicher ist? Teilen Sie Ihre Gedanken und Bedenken in den Kommentaren unten mit.

Bildnachweise: Sicherheitsschloss über Shutterstock, Csehak Szabolcs über Shutterstock, Bastian Weltjen über Shutterstock, McIek über Shutterstock, GlebStock über Shutterstock, Benoit Daoust über Shutterstock

Erfahren Sie mehr über LastPass, Online Security und Password Manager.