» »

LastPassu avgusta ukradli šifrirana gesla uporabnikov

LastPassu avgusta ukradli šifrirana gesla uporabnikov

Slo-Tech - Ko so hekerji avgusta letos vdrli v LastPass, je podjetje v uradnem sporočilu zatrjevalo, da so odnesli le nekaj izvorne kode in tehničnih informacij. Podatki uporabnikov, tako osebni podatki kakor njihova gesla, naj bi bili varni. A izkazalo se je, da to ne drži. LastPass, ki sodi med najpopularnejše upravljavce gesel, priznava, da so hekerji odnesli tudi osebne podatke z metapodatki, kamor sodijo imena, naslovi, elektronski naslovi, telefonske številke in IP-naslovi zadnjih prijav. Najbolj zaskrbljujoče pa je, da so skopirali tudi podatkovni trezor z gesli, v katerem so bili nešifrirani podatki (na primer domene spletnih strani) in šifrirani podatki (uporabniška imena, gesla, varni zapiski, predizpolnjena polja).

Ti podatki so bili zaščiteni, zagotavljajo pri LastPassu. Šifrirani so bili z 256-bitnim ključem z algoritmom AES, dešifrirati pa jih je možno le ob poznavanju glavnega gesla vsakega uporabnika. Tega podatka LastPass ne pozna in ne more shranjevati, zato naj bi bili podatki uporabnikov varni. Za zdaj ne poročajo, kaj se je zgodilo s številkami kreditnih kartic za naročnike plačljive verzije. Ti podatki so shranjeni v drugem trezorji, do katerega hekerji očitno niso dostopili - razen če nam bo LastPass z nekajmesečno zamudo razkril še kaj.

LastPass vsem uporabnikom svetuje, da zamenjajo glavna gesla (master password). Prav tako priporočajo uporabo nastavitev za povečanje varnosti, denimo čim več iteracij PBKDF2. OWASP za SHA256 priporoča vsaj 310.000 iteracij. LastPass tudi ni edini niti najboljši upravljavec gesel, zato lahko uporabniki preprosto pobrišejo podatke, spremenijo svoja gesla ne nekaj neuganljivega in prestopijo h konkurenci.

35 komentarjev

Evolve ::

kekci

Boobiz ::

Dober kratek video na to temo.



LostPass FTW.
I'm drunk, what's your excuse?

Jarno ::

Tovrstna konformnost je super, dokler ne gre kaj narobe. Papirnat medij z gesli je še vedno dobra ideja.
#65W!

c3p0 ::

LastPass vsem uporabnikom svetuje, da zamenjajo glavna gesla (master password).


To ti nič ne koristi, če pridejo do starega gesla, imajo vsa. Torej za pravo zaščito, moraš zamenjati vsa vsebovana gesla.

twom ::

Ok, imam skopirano bazo.
Kaj mi preprečuje, da te baze ne obdelujem s super računalnikom 24/7 in razbijem uporabniška gesla in s tem pridem tudi do vseh gesel in ostalega v bazi?
Kaj mi pomaga spreminjat geslo 5x na dan na obstoječi bazi...?

Preprečuje mi, da nimam super računalnika ;)

starfotr ::

Če ne štekaš, potem ne štekaš.

Če ti sedaj na vseh servisih, kjer imaš uporabniški račun spremeniš geslo, hkrati pa migriraš na drugo storitev za shranjevanje gesel, ti živ bog ne bo hudega naredil s tvojimi podatki.

s1m0n ::

So kakšne alternative kjer sinhronizacija laufa brez večjega napora?

PARTyZAN ::

BitWarden.

Dax ::

s1m0n je izjavil:

So kakšne alternative kjer sinhronizacija laufa brez večjega napora?


KeePass in potem ročen sync preko poljubne oblačne storitve, p2p ali pa ročno kopiranje.

Password database je popolnoma zadnja zadeva, ki bi jo zaupal neki 3rd party firmi v shranjevanje in obdelavo.

Netrunner ::

PARTyZAN je izjavil:

BitWarden.

+1
Doing nothing is very hard to do... you never know when you're finished.

PARTyZAN ::

Ročen sync ni "brez večjega napora". BitWarden lahko self-hostaš če si paranoik.

s1m0n ::

PARTyZAN je izjavil:

Ročen sync ni "brez večjega napora". BitWarden lahko self-hostaš če si paranoik.


Bom pogledal malo BitWarden, self-hosting pa se mi ne zdi nekakšna prednost (vprašanje kako lahko to domačo serviranje storitve dobro zaščitiš v primerjavi s kakšnim podjetjem, ki se s tem ukvarja).

Čeprav je LastPass služil dobro imajo zadnje čase preveč teh neprijetnih dogodkov :) Pa je bolje poskusit kaj drugega.

Dax ::

Ročno sync-anje ni problem, če imaš vsa gesla strojno generirana in jih ne spreminjaš pogosto.

Jaz imam KeePass container v Dropbox-u (for ease of use), preimenovan v JPG datoteko in lociran nekje v morju poddirektorijev.

Vsi ti online namenski "hranilci" gesel postanejo tarča napadov, kakorhitro postanejo popularni. In je samo vprašanje časa, kdaj kaj odnesejo.

Netrunner ::

s1m0n je izjavil:

Bom pogledal malo BitWarden, self-hosting pa se mi ne zdi nekakšna prednost (vprašanje kako lahko to domačo serviranje storitve dobro zaščitiš v primerjavi s kakšnim podjetjem, ki se s tem ukvarja).

Prednost je v temu, da se ne bo nihče spravil nate ker nihče ne ve da sploh obstajaš :)
Doing nothing is very hard to do... you never know when you're finished.

PARTyZAN ::

Če boš na merku APT skupine bodo tudi tvoj preimenovan vault v dropboxu našli.

Če bi se kdo igral z lastno instanco BW: VaultWarden (Rust implementacija BW backenda)

Dax ::

PARTyZAN je izjavil:

Če boš na merku APT skupine bodo tudi tvoj preimenovan vault v dropboxu našli.


Security by obscurity. Nihče (z visoko verjetnostjo) se ne bo spravil name. Na neko hrambo tisočev ali milijonov hramb gesel pa malce bolj verjetno.

Boobiz ::

keepass bi pomoje bil znosen le, če bi si na vseh napravah zrihtal syncthing, da je vedno baza up to date in ni važno iz katere naprave dodajaš v bazo.
I'm drunk, what's your excuse?

bobby ::

Gaddemt,.. kako da f*** nisem že prej vedel za syncthing?!
Simply beautiful... pa še Truenas ga podpira,.. fafilulo demt
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.

Seljak ::

To moraš biti umsko prizadet, da zaupaš gesla v hrambo neki spletni strani 8-)
Še bolj pa moraš biti zabit, da jim verjameš, da pri hakerskem napadu na to stran niso ukradli gesel :))

bobby ::

Ukradli so gesla, tega niti ne zanikajo ampak gesla so hasirana s SHA1 256 bit opcijo,..
Če si se kdaj ukvarjal s hashcatom, potem veš, kako lahko je razbit gesla, ki so "lena", vsaj prvih 9 zankov.
Katero opcijo SHA1 pa so uporabili, pa ne vem. recimo da so uporabili 1400 po hashcat definiciji (https://hashcat.net/wiki/doku.php?id=ha... potem 2 grafiki 1070 razbijata s hitrostjo 4700 MH/s

Session..........: hashcat
Status...........: Running
Hash.Mode........: 1400 (SHA2-256)
Hash.Target......: 3120567d4427c9a39295aa1e45f83363c4915951e694438fe59...748590
Time.Started.....: Sat Dec 24 17:44:13 2022 (13 secs)
Time.Estimated...: Sun Dec 25 11:19:15 2022 (17 hours, 34 mins)
Kernel.Feature...: Pure Kernel
Guess.Mask.......: ?1?1?1?1?1?1?1?1?1? [9]
Guess.Charset....: -1 ?u?l?d, -2 Undefined, -3 Undefined, -4 Undefined
Guess.Queue......: 1/1 (100.00%)
Speed.#5.........: 1706.2 MH/s (9.06ms) @ Accel:4 Loops:1024 Thr:256 Vec:1
Speed.#6.........: 1742.9 MH/s (8.90ms) @ Accel:8 Loops:512 Thr:256 Vec:1
Speed.#*.........: 3449.1 MH/s
Recovered........: 0/1 (0.00%) Digests (total), 0/1 (0.00%) Digests (new)
Progress.........: 44058501120/218340105584896 (0.02%)
Rejected.........: 0/44058501120 (0.00%)
Restore.Point....: 153600/916132832 (0.02%)
Restore.Sub.#5...: Salt:0 Amplifier:227328-228352 Iteration:0-1024
Restore.Sub.#6...: Salt:0 Amplifier:9728-10240 Iteration:0-512
Candidate.Engine.: Device Generator
Candidates.#5....: AmX1Uine? -> aoIPjNAN?
Candidates.#6....: OICZwLLL? -> jREbDwan?
Hardware.Mon.#5..: Temp: 72c Fan: 56% Util: 99% Core:1885MHz Mem:3802MHz Bus:16
Hardware.Mon.#6..: Temp: 76c Fan: 60% Util: 99% Core:1911MHz Mem:3802MHz Bus:1

Za 9 mestno geslo, kjer so uporabljene vse velike, male črke in številke potrebujeta dve 1070 grafiki 44dni. Zdej je pa od napadalca odvisno, kako zelo si želi,.. in koliko časa ima.

In ker smo ljudje leni in lahko sprobaš najprej, da je prva črva velika ali mala potem pa 6 malih pa na koncu še dve številki pa traja 10minut
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.

Prospekt ::

Jah nič, zamenjal 15 2fa gesel, menjal 2fa aplikacijo, menjal 30 najbolj nujnih od 400 gesel.
Ostalo pa tekom naslednjih dveh tednov.

Vesel Božič vsem! :D

StarMafijec ::

Torej predlagate, da LastPass ("LostPass") zamenjamo z BitWarden?

MrStein ::

Predlagamo, da svojim ponudnikom storitev rečeš, naj namesto najmanj varne metode avtentikacije (gesla) uporabijo kaj drugega.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

PARTyZAN ::

Dax je izjavil:

PARTyZAN je izjavil:

Če boš na merku APT skupine bodo tudi tvoj preimenovan vault v dropboxu našli.


Security by obscurity. Nihče (z visoko verjetnostjo) se ne bo spravil name. Na neko hrambo tisočev ali milijonov hramb gesel pa malce bolj verjetno.


Tvoja lastna instanca (self-hosted) BitWardna je glih tko obscure kot tvoj keepass vault na dropboxu, s tem da v primeru, ki ga navajaš ti (dropbox) zaupaš tretji osebi za storage.

sbawe64 ::

bobby
2x Nvidia gtx 1070 vs cloud:
Kakšne so razlike v hitrosti ?

Tu dosegajo v primerjavi s tvojimi številkami precej nižje cifre
https://www.eiken.dev/blog/2022/03/crac...
iskanje po strani za:
We can run proper benchmarks with


Za primerjavo z gtx 1070
Nvidia RTX 3090
https://gist.github.com/Chick3nman/e4fc...

vrstica 202
Hashmode: 1400 - SHA2-256
Speed.#1.........: 9713.2 MH/s
2020 is new 1984
Corona World order

Zgodovina sprememb…

  • spremenilo: sbawe64 ()

sbawe64 ::

Nvidia RTX 4090
vrstica 308
https://gist.github.com/Chick3nman/32e6...

* Hash-Mode 1400 (SHA2-256)
Speed.#1.........: 21975.5 MH/s
2020 is new 1984
Corona World order

energetik ::

PARTyZAN je izjavil:

Dax je izjavil:

PARTyZAN je izjavil:

Če boš na merku APT skupine bodo tudi tvoj preimenovan vault v dropboxu našli.


Security by obscurity. Nihče (z visoko verjetnostjo) se ne bo spravil name. Na neko hrambo tisočev ali milijonov hramb gesel pa malce bolj verjetno.


Tvoja lastna instanca (self-hosted) BitWardna je glih tko obscure kot tvoj keepass vault na dropboxu, s tem da v primeru, ki ga navajaš ti (dropbox) zaupaš tretji osebi za storage.
Tako je, v vsakem primeru če hočem imeti trezor syncan, moraš neki oblačni storitvi zaupat. Je pa res, da mora v tem primeru nekdo vdreti ravno v tvoj npr. Dropbox in ga poskenirat za vse "čudne" datoteke, ki bi lahko bile trezor. Torej se mora nekdo spraviti ravno nate.
Jaz sem sicer migriral spomladi na Bitwarden, ampak na žalost nisem še zbrisal Lastpass računa...
Dobro pa je to, da sem se že prej zavedal pomembnosti masterpassworda in sem imel zelo dobrega.

Na reddit so podali tole orodje za preizkusti svoj password (ne vpisujte pravega, ampak analognega pravemu!): https://lowe.github.io/tryzxcvbn/

Za mojega izračuna, da se ga sheka v stoletjih, tudi če imajo moj vault pri sebi in ga bruteforcajo. Tako da se ne sekiram pretirano, zamenjal bom najpomembnejša gesla pa je to to. Za Bitwarden pa imam še bolj varno geslo, z igralno kocko true random določenih 6 besed.
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

bobby ::

@sbawe64:
tole je realni primer hitrosti razbijanja SHA-256 hasha (:

Hash.Mode........: 1400 (SHA2-256)
Hash.Target......: 3120567d4427c9a39295aa1e45f83363c4915951e694438fe59...748590
Time.Started.....: Sun Dec 25 04:39:29 2022 (3 secs)
Time.Estimated...: Sun Dec 25 04:40:15 2022 (43 secs)
Kernel.Feature...: Pure Kernel
Guess.Mask.......: ?1?l?l?l?l?l?l?d [8]
Guess.Charset....: -1 ?u?l, -2 Undefined, -3 Undefined, -4 Undefined
Guess.Queue......: 1/2 (50.00%)
Speed.#5.........: 1714.4 MH/s (8.91ms) @ Accel:4 Loops:1024 Thr:256 Vec:1
Speed.#6.........: 1765.3 MH/s (8.76ms) @ Accel:8 Loops:512 Thr:256 Vec:1
Speed.#*.........: 3479.6 MH/s

tole je pa benchmark:
---------------------------
* Hash-Mode 1400 (SHA2-256)
---------------------------

Speed.#5.........: 1829.8 MH/s (68.42ms) @ Accel:32 Loops:1024 Thr:256 Vec:1
Speed.#6.........: 1995.4 MH/s (62.81ms) @ Accel:64 Loops:512 Thr:256 Vec:1
Speed.#*.........: 3825.2 MH/s


Ne vem, na kakšnem HW so v cloudu ta test naredili,.. številke so pač čist dependent od HW kjer laufajo, kot si že ugotovil.

True random je ok ampak če razbijaš bazo, kjer te posamezniki ne zanimajo, potem preprosto narediš dict napad, kjer je ena beseda enako 1 črka in dejansko je napad potem 6ih znakov in pa ignoriraš vse besede, ki so krajše od 3 znakov in se zopet blazno zmanjša količina napada in poveča verjetnost.

Največji problem tega vdora pa so bolj kot ne phishing napadi, kot je tale (TESTNI):
(DISCLAIMER: če že ignoriraš vse varnostna opozorila vsaj NE TIPKAT pravih podatkov!!!!)
kulturen antivirus bo opozoril, da je fake link in pa tudi brskalnik bi te moral, vsaj 2x!


EDIT: link brisan,.. Đizs ljudstvo,.. tud opozorila vam ne pomagajo al kaj!?
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.

Zgodovina sprememb…

  • spremenil: bobby ()

energetik ::

6 true random besed naj bi bilo zadosti, če se nate ne spravi tolpa s proračunom 3-črkovne agencije. Vprašanje, kdo je ukradel vaulte Lastpassu.
Verjetno bom ob zamenjavi pomembnejših gesel v Bitwardenu prešel na 8 besedni MP, potem bi moral biti varen vsaj za nekaj let.
vires in numeris

c3p0 ::

Vrži vmes še kak simbol.

energetik ::

Lažje si zapomnit še 1 besedo več kot gruntat kam si vmes vtaknil poseben znak...
vires in numeris

c3p0 ::

Lahko izmenjuješ dva med besedami, npr Energetik,Je.Šel,V.Trgovino,Po.Kabel

-Wall ::

Zanimivo, da imate kup resitev, to, da bi pa hostali zadeve sami je pa prehudo.

Ker to, da si potem majhna nepomembna tarca, niti pod razno ne prinese nobene varnosti.

energetik je izjavil:

Tako je, v vsakem primeru če hočem imeti trezor syncan, moraš neki oblačni storitvi zaupat.


Navadna neumnost. Nikomur ne rabis zaupat. Se nikoli v preteklosti ni bilo tako preprosto hostati vse sam. Ampak je za nekatere se pretezko.

Zgodovina sprememb…

  • spremenilo: -Wall ()

c3p0 ::

Jaz hostam sam Bitwardna. Je pa to dvorezen meč, če se ne spoznaš na varnost, si lahko še prej ob podatke. Ali pa OB podatke, ob kaki nepremišljeni potezi, oz. brez backupa.

energetik ::

Nč, za pomembnejše zadeve sem zamenjal gesla, pa Bitwarden MP nadgradil na 8 random besed, pa je to to. Better safe than sorry. Če bi imel tako geslo prej pri Lastpassu, se zdaj sploh ne bi ubadal s tem.


Sam pa mislim da ne bom šel hostat bitwardena, da ne bi shekal sam sebe... Raje potem uporabljam samo Keepass z zelo močnim MP pa ga syncam na npr. Dropboxu
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

LastPass ponovno napaden, odtujeni osebni podatki, a ne gesla

Oddelek: Novice / Varnost		385756 (3199) -Nevsky-
»

Hekerji ukradli del izvorne kode LastPassa (strani: 1 2 )

Oddelek: Novice / Varnost		8612283 (7692) NejcSSD
»

LastPass doživel manjši vdor

Oddelek: Novice / Varnost		1411154 (9434) AlienRR
»

Sum vdora v LastPass povzročil množično menjavo gesel

Oddelek: Novice / Varnost		3013772 (12671) poweroff
»

LastPass (potencialno) napaden.

Oddelek: Informacijska varnost		103653 (3425) bluefish

Več podobnih tem