LastPass doživel manjši vdor

Ponudnik priljubljene brskalniške razširitve za upravljanje z gesli LastPass je včeraj priznal, da so bili tarča vdora. Kot pravijo, so še neznani storilci uspeli pridobiti delni dostop do njihove podatkovne baze in odtujiti nekatere ("osnovne") podatke o njihovih uporabnikih.

Konkretno; odtujili naj bi podatke o vseh uporabniških računih - e-poštni naslov, opomnik za primer pozabljenega gesla ter močno zgoščeno obliko glavnega (master) gesla za zavarovanje gesel na drugih straneh. Naj pa ne bi bilo nobenih dokazov, da so se napadalci uspeli priti tudi do tistega dela podatkovne baze, kjer se hrani gesla za druge strani ("vault").

Ekipa pojasnjuje, da zgolj z navedenimi podatki praviloma ne bi smelo biti mogoče priti do izvrine (cleartext) oblike glavnega gesla in torej tudi ne do gesel za ostale strani. Za zgoščevanja gesla namreč uporabljajo uveljavljeni in preverjeni algoritem PBKDF2 (Password-Based Key Derivation Function 2, ki je del RSA-jevega toolkita PKCS #5 v2.0). PBKDF2 deluje tako, da iz osnovnega gesla ob pomoči naključne vrednosti (salt) in zgoščevalne funkcije izdela bistveno močnejši ključ (key stretching). Več ponovitev pri tem naredi, težje je potem iz zgoščenega ključa priti nazaj do izvirnega ključa. Priporočilo naj bi bilo vsaj 5.000x, medtem ko oni to storijo več kot 100.000x. Posledično bi bil napad na zgoščena gesla bolj ko ne nepraktičen.

Žal navedeno velja zgolj v primeru, da je uporabnik primerno zavaroval svoj LastPass račun, predvsem tako, da ni izbral smešno enostavnega gesla, npr. "password123". Številni ga najbrž niso, glede na to, da se storitev oglašuje prav s tem, da uporabniku "nikoli več ne bo treba skbeti za gesla". Vsa takšna gesla bi napadalci seveda lahko razbili z slovarskim napadom. Dalje, napadalci imajo opomnik za pozabljeno geslo. Sicer ga ne morejo kar uporabiti, ker je LastPass preventivno zaklenil vse račune na IP naslove, s katerih so se dosedaj vršili dostopi. Če pa je isti opomnik v rabi pri ponudniku e-poštnega naslova ali kje drugje, pa ga seveda lahko uporabijo za obnovo gesla tam. Iz tega razloga je LastPass že začel razpošiljati obvestila, da naj uporabniki preventivno zamenjajo tako svoje glavno geslo in opomnik za njegovo obnovo. Slednje naj storijo še zlasti, če ju uporabljajo ("reciklirajo") tudi na kakšni drugi pomembni spletni strani.

Količina in vsebina komentarjev pod LastPassovo novico kaže, da uporabniki (sploh plačljivi) z vsem niso kaj preveč zadovoljni. Predvsem jih moti, da so o vdoru izvedli iz medijev in ne neposredno od podjetja. Očitajo jim, da izjave niso podali že čez vikend, ampak da so "ležerno" počakali do ponedeljka. Še bolj pa jim očitajo zamude z opozorilnimi mejli, ki za nekatere prihajajo šele v teh dneh. V nekaterih komentarjih po svetovnih medijih je videti celo mnenja, da LastPass več ni zaupanja vreden, oz. še dlje, da ideja, da se hrambo gesel zaupa komu tretjemu, že sama po sebi ni najboljša.

Morda res ni. S hrambo na tretjih strežnikih v tretji državi seveda dostopijo raznorazni riziki, od vdorov (kot videno), pravosodnega dostopa, do vprašanja, kaj potem, če LastPass kdaj ugasne ali ponikne. Je pa res, da smo uporabniki zelo neodgovorni z gesli. Slabo jih izbiramo, nikoli jih ne spreminjamo, radi jih recikliramo domala povsod. Posledica je, da lahko izguba gesla na enem koncu vodi do škode še marsikje drugje. Obstajajo sicer številna priporočila, kako jo omejiti, npr. tako, da se za ključne račune izbere močna gesla ter vklopi dvofaktorsko avtenctikacijo. Prav tako pa obstajajo sistemi prijave brez gesel, npr. s certifikati ali še rajši s certifikati na raznih prenosnih karticah in ključkih (npr. FIDO, ki ga močno podpira tudi Google). A tudi ti sistemi imajo svoje slabosti.