» »

LastPass doživel manjši vdor

LastPass doživel manjši vdor

LastPass - Ponudnik priljubljene brskalniške razširitve za upravljanje z gesli LastPass je včeraj priznal, da so bili tarča vdora. Kot pravijo, so še neznani storilci uspeli pridobiti delni dostop do njihove podatkovne baze in odtujiti nekatere ("osnovne") podatke o njihovih uporabnikih.

Konkretno; odtujili naj bi podatke o vseh uporabniških računih - e-poštni naslov, opomnik za primer pozabljenega gesla ter močno zgoščeno obliko glavnega (master) gesla za zavarovanje gesel na drugih straneh. Naj pa ne bi bilo nobenih dokazov, da so se napadalci uspeli priti tudi do tistega dela podatkovne baze, kjer se hrani gesla za druge strani ("vault").

Ekipa pojasnjuje, da zgolj z navedenimi podatki praviloma ne bi smelo biti mogoče priti do izvrine (cleartext) oblike glavnega gesla in torej tudi ne do gesel za ostale strani. Za zgoščevanja gesla namreč uporabljajo uveljavljeni in preverjeni algoritem PBKDF2 (Password-Based Key Derivation Function 2, ki je del RSA-jevega toolkita PKCS #5 v2.0). PBKDF2 deluje tako, da iz osnovnega gesla ob pomoči naključne vrednosti (salt) in zgoščevalne funkcije izdela bistveno močnejši ključ (key stretching). Več ponovitev pri tem naredi, težje je potem iz zgoščenega ključa priti nazaj do izvirnega ključa. Priporočilo naj bi bilo vsaj 5.000x, medtem ko oni to storijo več kot 100.000x. Posledično bi bil napad na zgoščena gesla bolj ko ne nepraktičen.

Žal navedeno velja zgolj v primeru, da je uporabnik primerno zavaroval svoj LastPass račun, predvsem tako, da ni izbral smešno enostavnega gesla, npr. "password123". Številni ga najbrž niso, glede na to, da se storitev oglašuje prav s tem, da uporabniku "nikoli več ne bo treba skbeti za gesla". Vsa takšna gesla bi napadalci seveda lahko razbili z slovarskim napadom. Dalje, napadalci imajo opomnik za pozabljeno geslo. Sicer ga ne morejo kar uporabiti, ker je LastPass preventivno zaklenil vse račune na IP naslove, s katerih so se dosedaj vršili dostopi. Če pa je isti opomnik v rabi pri ponudniku e-poštnega naslova ali kje drugje, pa ga seveda lahko uporabijo za obnovo gesla tam. Iz tega razloga je LastPass že začel razpošiljati obvestila, da naj uporabniki preventivno zamenjajo tako svoje glavno geslo in opomnik za njegovo obnovo. Slednje naj storijo še zlasti, če ju uporabljajo ("reciklirajo") tudi na kakšni drugi pomembni spletni strani.

Količina in vsebina komentarjev pod LastPassovo novico kaže, da uporabniki (sploh plačljivi) z vsem niso kaj preveč zadovoljni. Predvsem jih moti, da so o vdoru izvedli iz medijev in ne neposredno od podjetja. Očitajo jim, da izjave niso podali že čez vikend, ampak da so "ležerno" počakali do ponedeljka. Še bolj pa jim očitajo zamude z opozorilnimi mejli, ki za nekatere prihajajo šele v teh dneh. V nekaterih komentarjih po svetovnih medijih je videti celo mnenja, da LastPass več ni zaupanja vreden, oz. še dlje, da ideja, da se hrambo gesel zaupa komu tretjemu, že sama po sebi ni najboljša.

Morda res ni. S hrambo na tretjih strežnikih v tretji državi seveda dostopijo raznorazni riziki, od vdorov (kot videno), pravosodnega dostopa, do vprašanja, kaj potem, če LastPass kdaj ugasne ali ponikne. Je pa res, da smo uporabniki zelo neodgovorni z gesli. Slabo jih izbiramo, nikoli jih ne spreminjamo, radi jih recikliramo domala povsod. Posledica je, da lahko izguba gesla na enem koncu vodi do škode še marsikje drugje. Obstajajo sicer številna priporočila, kako jo omejiti, npr. tako, da se za ključne račune izbere močna gesla ter vklopi dvofaktorsko avtenctikacijo. Prav tako pa obstajajo sistemi prijave brez gesel, npr. s certifikati ali še rajši s certifikati na raznih prenosnih karticah in ključkih (npr. FIDO, ki ga močno podpira tudi Google). A tudi ti sistemi imajo svoje slabosti.

14 komentarjev

zmaugy ::

Živelo vse v oblaku!

crystal ::

pri njih sem uporabljal dvostopenjsko avtentikacijo, sedaj sem zamenjal master password, ce se mi bo ljubil bom se vsa ostala gesla, vendar njihovo storitev bom vrjetno se zmer uporaljal ker je zakon.

filip007 ::

Ah, jaz imam blokec pa notri napišem vse in menjam, ko se mi zazdi.
Trevor Philips Industries

Roadkill ::

KeePass FTW!
Ü

energetik ::

Hm, bom zamenjal master. SIcer pa je Lastpass zakon. Kar se tiče primera, da bi firma crknila ni problema, ker imaš kriptirano bazo na vsaki kišti, s katere si kdaj dostopal do storitve. Odkriptiraš pa lohk kadarkoli offline (preizkušeno, z iztaknjenim UTP :D), nato vse izvoziš v npr. CSV.
Online storitev je le sinhronizacija vseh teh lokalnih baz.

Zgodovina sprememb…

  • spremenilo: energetik ()

Relanium ::

Dobiš občutek, da je skor manj možnosti da ti kdo spizdi geslo, če ga imaš napisanega na kos papirja zraven PCja, kot pa nekje na internetu.
Je bolj nepraktično vlamljat.

energetik ::

Jasno, vlomilec ti ne bo šel glih po mejlih in forumih gledat, če bo zravn PC najdu listek z gesli. :D
Ni pa praktično vsakič pretipkavat 20-mestnega naključnega gesla s papirja...

CyberPunk ::

Roadkill je izjavil:

KeePass FTW!

Točno tako. KeePass in lokalna baza. Zihr je zihr.

Relanium ::

energetik je izjavil:

Jasno, vlomilec ti ne bo šel glih po mejlih in forumih gledat, če bo zravn PC najdu listek z gesli. :D
Ni pa praktično vsakič pretipkavat 20-mestnega naključnega gesla s papirja...

V mislih sem imel splošno vdiranje in kraje podatkov, kar se po internetu dosti dogaja.
Sicer pa spet odvisno, kakšen je napadalčev namen.

phong ::

Kako pa uporabljate KeePass v brskalnikih? Na roke Copy/Paste-ate username in nato password iz KeePass-a v brskalnik?

Največja uporabnost LastPass-a je ravno v tem, da ti sam predizpolni že na spletni strani.

Roadkill ::

phong je izjavil:

Kako pa uporabljate KeePass v brskalnikih? Na roke Copy/Paste-ate username in nato password iz KeePass-a v brskalnik?

Največja uporabnost LastPass-a je ravno v tem, da ti sam predizpolni že na spletni strani.


Ja. Žrtvuješ malo lagodja za notrani mir.

V KeePass si nastaviš auti type, da ko prideš na site, da naredi copy/paste-tab/copy/paste-enter
Glavna stvar katere se večina ne zaveda (ne glede na platformo)- menjava master passowrda, brez da menjaš vse sub passworde, nima smisla.
Ü

AlienRR ::

Roadkill je izjavil:

phong je izjavil:

Kako pa uporabljate KeePass v brskalnikih? Na roke Copy/Paste-ate username in nato password iz KeePass-a v brskalnik?

Največja uporabnost LastPass-a je ravno v tem, da ti sam predizpolni že na spletni strani.


Ja. Žrtvuješ malo lagodja za notrani mir.

V KeePass si nastaviš auti type, da ko prideš na site, da naredi copy/paste-tab/copy/paste-enter
Glavna stvar katere se večina ne zaveda (ne glede na platformo)- menjava master passowrda, brez da menjaš vse sub passworde, nima smisla.


Na kar nekaj straneh deluje "auto type" kar out of box.
You can override the laws of thermodynamics with sufficient sudo access.

phong ::

Zanimivo. Nisem poznal auto-type-inga v KeePass-u.

Kaj pa Firefox/Chrome plugin za KeePass uporabljate (in ali takšnim pluginom gre verjeti glede na to, da jih razvijajo posamezniki, ki niso povezani s KeePass-om)?

AlienRR ::

Ne uporabljam pluginov.
You can override the laws of thermodynamics with sufficient sudo access.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Passwordi me ubijajo! (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
17647926 (34345) Pero_SLO
»

LastPass odslej omogoča brezplačno sinhronizacijo med napravami

Oddelek: Novice / Varnost
339207 (6403) PARTyZAN
»

Sum vdora v LastPass povzročil množično menjavo gesel

Oddelek: Novice / Varnost
3014816 (13715) poweroff
»

LastPass (potencialno) napaden.

Oddelek: Informacijska varnost
103838 (3610) bluefish

Več podobnih tem