Med vdorom v LastPass in katastrofo le kakovost glavnih gesel uporabnikov
Matej Huš
29. dec 2022 ob 17:52:47
Varnostna skupnost je do zadnjih navedb in izjav za javnost, ki jih je LastPass z večmesečno zamudo posredoval po avgustovskem vdoru v njihovo storitev, izjemno kritična. Medtem ko podjetje trdi, da se uporabniki nimajo česa bati, če so le uporabljali primerne varnostne nastavitve, je resnica manj prijetna.
Wladimir Palant pojasnjuje, da so LastPassove navedbe zavajajoče in da dajejo uporabnikov neupravičeni občutek varnosti. Vdor je bil izjemno resen in je segal v avgust, ko ni bil primerno razrešen, zato je napadalcem omogočil dostop do dodatnih podatkov. Prav tako to ni bil prvi vdor v zadnjih letih. Čeprav LastPass trdi, da so uporabniški podatki varni, ker so šifrirani - pa še to drži le za gesla - to velja le do trenutka, ko napadalci uganejo glavno geslo (master password). LastPass je sicer v zadnjih letih zahteval, da ima geslo vsaj 12 znakov, a kdor starejša gesla odtlej ni spremenil, je lahko obdržal staro geslo, četudi ni ustrezalo tem pogojem. Tudi število iteracij PBKDF2 je znašalo 100.100, kar ni ravno veliko in je manj od priporočil. Starejši računi so tudi to vrednost imeli nastavljeno nižjo.
Jeremi Gosney dodaja, da je v preteklosti LastPass priporočal, a je zaradi pomanjkljivosti to že pred leti prenehal. Medtem ko je Palant kritičen zlasti do načina, kako je LastPass komuniciral, Gosney problematizira tehnične odločitve in izvedbo. Zato sedaj aktivno predlaga uporabo konkurenco, denimo 1Password ali Bitwarden. Razlogov je več, vsi pa se nanašajo na varnost in dizajn. Da je enakega mnenja tudi taista konkurenca, ni presenetljivo. Dejstvo je, da gesla, ki si jih izmišljujemo ljudje, niso zelo zapletena (tipično okrog 40 bitov entropije), kar je dandanes že možno sorazmerno hitro zlomiti s surovo silo.
Kaj torej storiti? Vsaj najpomembnejša gesla, ki jih imate v LastPassu, velja zamenjati. Razmislek o spremembi ponudnika pa tudi še nikoli ni bil bolj upravičen.