szukaj

15.06.2015 | 21:52

avatar

Adam Haertle

Uwaga, wykradzione hashe głównych haseł LastPassa

Mamy przykrą wiadomość dla użytkowników popularnego managera haseł LastPass. Właśnie ogłoszono, że nieznany sprawca wykradł hashe głównych haseł użytkowników wraz z ich solami. Dodatkowo w ręce złodzieja trafiły adresy email użytkowników. Na szczęście podobno bazy haseł nie zostały skradzione.

LasttPass

LasttPass

Lekką osłodą sytuacji niech będzie fakt, że LastPass główne hasła hashował w bardzo bezpieczny sposób. 100 tysięcy rund  PBKDF2-SHA256 po stronie serwera plus dodatkowe procesy po stronie klienta powinny sprawić, że próba łamania tych hashy będzie trwała całe eony. Jeśli jednak przyjąć, że wykradzenie hashy z LastPassa było już niezłym osiągnięciem, to proponujemy założyć, że atakujący wie co robi i być może dysponuje większą niż zazwyczaj mocą obliczeniową. Wiecie zatem, co musicie teraz zrobić (na szczęście nie trzeba zmieniać wszystkich, wystarczy główne). Możecie też pomyśleć, czy nie warto jednak korzystać z managera haseł, który nie trzyma bazy i hasła głównego w sieci.

Za informację dziękujemy Adamowi.

Powrót

Komentarze

  • avatar
    2015.06.15 22:11 hoek

    Polecam dla „Windziarzy” KeePass a dla „Linuksiarzy” KeePassX :D

    Odpowiedz
    • avatar
      2015.06.16 06:32 janmarian

      KeePass dziala tez przez mono na linuksie, polecam serdecznie

      Odpowiedz
    • avatar
      2015.06.16 08:25 Tchórz Anonim

      Osobiście jako „Linuksiarz” używam pass: the standard UNIX password manager, który tak na dobrą sprawę jest prostym skryptem basha robiącym za pośrednika między gitem i GPG. Wydaje mi się że doczekał się też wieloplatformowej implementacji graficznej.

      Odpowiedz
    • avatar
      2015.06.16 09:01 slaba-tabaka

      Używam ubuntu i keepasa. Hasło główne przechowuję w mózgu, ale plik z bazą haseł mam na kilku urządzeniach (telefon, komputer, pendrive itp.) i na dysku google.

      Zastanawiam się czy trzymanie w chmurze nie stanowi dodatkowego ryzyka. Z drugiej strony utrata bazy z powodu awarii / zgubienia urządzeń była by dla mnie katastrofą.

      Co robić, jak żyć?

      Odpowiedz
      • avatar
        2015.06.16 10:48 Arek

        Uzywaj szyfrowanej chmury (jak OwnCloud albo Wuala) albo szyfrowanie katalogow (encfs).

        Odpowiedz
      • avatar
        2017.02.24 21:15 Duszek

        Ja bym się bałbym tylko w mózgu, wolałbym zapisać to hasło główne. Możesz je zapisać na kartce, ale bardzo dobrze potem ukryj (NIE w głośnikach). Zobacz sobie jeszcze „wicked places to hide drugs” w Google. Karteczki Post-it po złożeniu mają wielkość kapsułki do leku.

        Odpowiedz
  • avatar
    2015.06.15 22:13 zbig

    Słabo się na tym znam. :( Mam z związku z tym pytanie: Czy wystarczy zmienić główne hasło? Mam pewnie ze sto haseł tam schowanych :( Gdybym je stracił to musiałbym się chyba na nowo urodzić.
    Dzięki za ostrzeżenie.

    Odpowiedz
    • avatar
      2015.06.15 22:34 Adam

      Tak. Tylko główne.

      Odpowiedz
      • avatar
        2015.06.15 22:41 XANT3R

        Mając podwójną weryfikacje Konta poprzez Kody mam się czego obawiać, czy proponujecie lepiej zmienić hasło główne?

        Odpowiedz
        • avatar
          2015.06.16 10:14 s123

          Tak, bo podwójną weryfikację można wyłączyć klikając na link z maila.

          Odpowiedz
      • avatar
        2015.06.15 23:45 użytkownik lastpass

        A usunięcie konta wystarczy? I tak go nie używałem. ;) pytanie jak najbardziej poważne

        Odpowiedz
  • avatar
    2015.06.15 22:34 Marcin

    A jak wykradnięcie hashy się ma to dodatkowego zabezpieczenia lastpassa w postaci yubikeya?

    Odpowiedz
  • avatar
    2015.06.15 22:51 pawson

    Chyba wiadomość się rozniosła, bo aktualnie serwery przeciążone i nie da się zmienić hasła :x

    Odpowiedz
  • avatar
    2015.06.15 23:07 Blue

    Z bratem mamy jubikeya, więc nas to ziębi 8-)

    Odpowiedz
  • avatar
    2015.06.15 23:24 Poncki

    „Możecie też pomyśleć, czy nie warto jednak korzystać z managera haseł, który nie trzyma bazy i hasła głównego w sieci.” — hash hasła to jednak nie hasło.

    Odpowiedz
    • avatar
      2015.06.16 01:27 chesteroni

      …póki to nie konkretnie twój hash jest celem ataku np. NSA

      Odpowiedz
  • avatar
    2015.06.15 23:35 arcy

    Używam KeePass, a baze przechowuje lokalnie i na usb. Polecam takie rozwiązanie, ograniczamy konsekwencje włamań online. Przy odpowiednio silnym, losowym haśle i mocnym szyfrowaniu bazy nawet jej utrata nie jest powodem do zmartwień.

    Odpowiedz
  • avatar
    2015.06.16 10:01 Heh

    Wiedziałem, że te aplikacje do haseł to dziadostwo.

    Odpowiedz
    • avatar
      2015.06.17 09:56 wituś

      Wyczytałeś to z tego krótkiego info? Dziadostwo to jest ludzka pamięć albo kartka papieru na której nosisz zapisany PIN do karty ;)

      Odpowiedz
  • avatar
    2015.06.16 14:08 Artur

    A może inne inne podejscie w zarzadzaniu ryzykiem, jak tylko to mozliwe ustawiam 2FA i alerty logowania oraz istotnych zdarzen w aplikacjach webowych. Powiadomienia na e-maile, lub SMS.
    Sam fakt trzymania hasła w zeszycie nie gwarantuje braku możliwości jego podsłuchu na dowolnym etapie komunikacji przeglądarka-serwer lub utraty w wyniku wpisania w „identyczną” stronę z „poprawnym” certyfikatem.
    LastPass ma szereg narzędzi, które ostatecznie, per saldo pozwalają ulepszyć podejście mas do bezpieczeństwa: generatory, automaty, wtyczki do praktycznie każdej platformy/przeglądarki, analizatory haseł (w tym powtórzonych, przestarzałych i słabych), weryfikacje vs znanych wycieków danych (np. adresu e-mail). LastPass nie zbawia świata, nie myśli za Ciebie, nie ochroni Cię, jeśli stosujesz złe praktyki -jedyne co robi, to automatyzuje i zmniejsza ból używania dziesiątek haseł. Jest częściowo jak algorytm szyfrowania -jeśli twój klucz jest słaby, nie zapewni poufności Twoich danych, jeśli jest przyzwoity może się okazać, że Twoje dane są bezpieczniejsze niż w systemie do którego potrzebujesz się zalogować.
    Ten wyciek, jest porównywalny do znalezienia zaszyfrowanego pendrive (choć to co wyciekło nie jest zaszyfrowane, tylko zahashowane). Zmiana hasła kończy temat. (choć warto wspomnieć o funkcji, którą trzeba wyłączyć, mianowicie „allow reverting the old master password” w zaawansowanych opcjach konta.

    Odpowiedz
  • avatar
    2015.06.16 22:52 xbartx

    W lastpass można zmienić hasło i również email co chyba w tym przypadku należy wykonać dla większej pewności.

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga, wykradzione hashe głównych haseł LastPassa

Komentarze