15.06.2015 | 21:52

Adam Haertle

Uwaga, wykradzione hashe głównych haseł LastPassa

Mamy przykrą wiadomość dla użytkowników popularnego managera haseł LastPass. Właśnie ogłoszono, że nieznany sprawca wykradł hashe głównych haseł użytkowników wraz z ich solami. Dodatkowo w ręce złodzieja trafiły adresy email użytkowników. Na szczęście podobno bazy haseł nie zostały skradzione.

LasttPass

LasttPass

Lekką osłodą sytuacji niech będzie fakt, że LastPass główne hasła hashował w bardzo bezpieczny sposób. 100 tysięcy rund  PBKDF2-SHA256 po stronie serwera plus dodatkowe procesy po stronie klienta powinny sprawić, że próba łamania tych hashy będzie trwała całe eony. Jeśli jednak przyjąć, że wykradzenie hashy z LastPassa było już niezłym osiągnięciem, to proponujemy założyć, że atakujący wie co robi i być może dysponuje większą niż zazwyczaj mocą obliczeniową. Wiecie zatem, co musicie teraz zrobić (na szczęście nie trzeba zmieniać wszystkich, wystarczy główne). Możecie też pomyśleć, czy nie warto jednak korzystać z managera haseł, który nie trzyma bazy i hasła głównego w sieci.

Za informację dziękujemy Adamowi.

Powrót

Komentarze

  • 2015.06.15 22:11 hoek

    Polecam dla „Windziarzy” KeePass a dla „Linuksiarzy” KeePassX :D

    Odpowiedz
    • 2015.06.16 06:32 janmarian

      KeePass dziala tez przez mono na linuksie, polecam serdecznie

      Odpowiedz
    • 2015.06.16 08:25 Tchórz Anonim

      Osobiście jako „Linuksiarz” używam pass: the standard UNIX password manager, który tak na dobrą sprawę jest prostym skryptem basha robiącym za pośrednika między gitem i GPG. Wydaje mi się że doczekał się też wieloplatformowej implementacji graficznej.

      Odpowiedz
    • 2015.06.16 09:01 slaba-tabaka

      Używam ubuntu i keepasa. Hasło główne przechowuję w mózgu, ale plik z bazą haseł mam na kilku urządzeniach (telefon, komputer, pendrive itp.) i na dysku google.

      Zastanawiam się czy trzymanie w chmurze nie stanowi dodatkowego ryzyka. Z drugiej strony utrata bazy z powodu awarii / zgubienia urządzeń była by dla mnie katastrofą.

      Co robić, jak żyć?

      Odpowiedz
      • 2015.06.16 10:48 Arek

        Uzywaj szyfrowanej chmury (jak OwnCloud albo Wuala) albo szyfrowanie katalogow (encfs).

        Odpowiedz
      • 2017.02.24 21:15 Duszek

        Ja bym się bałbym tylko w mózgu, wolałbym zapisać to hasło główne. Możesz je zapisać na kartce, ale bardzo dobrze potem ukryj (NIE w głośnikach). Zobacz sobie jeszcze „wicked places to hide drugs” w Google. Karteczki Post-it po złożeniu mają wielkość kapsułki do leku.

        Odpowiedz
  • 2015.06.15 22:13 zbig

    Słabo się na tym znam. :( Mam z związku z tym pytanie: Czy wystarczy zmienić główne hasło? Mam pewnie ze sto haseł tam schowanych :( Gdybym je stracił to musiałbym się chyba na nowo urodzić.
    Dzięki za ostrzeżenie.

    Odpowiedz
    • 2015.06.15 22:34 Adam

      Tak. Tylko główne.

      Odpowiedz
      • 2015.06.15 22:41 XANT3R

        Mając podwójną weryfikacje Konta poprzez Kody mam się czego obawiać, czy proponujecie lepiej zmienić hasło główne?

        Odpowiedz
        • 2015.06.16 10:14 s123

          Tak, bo podwójną weryfikację można wyłączyć klikając na link z maila.

          Odpowiedz
      • 2015.06.15 23:45 użytkownik lastpass

        A usunięcie konta wystarczy? I tak go nie używałem. ;) pytanie jak najbardziej poważne

        Odpowiedz
  • 2015.06.15 22:34 Marcin

    A jak wykradnięcie hashy się ma to dodatkowego zabezpieczenia lastpassa w postaci yubikeya?

    Odpowiedz
  • 2015.06.15 22:51 pawson

    Chyba wiadomość się rozniosła, bo aktualnie serwery przeciążone i nie da się zmienić hasła :x

    Odpowiedz
  • 2015.06.15 23:07 Blue

    Z bratem mamy jubikeya, więc nas to ziębi 8-)

    Odpowiedz
  • 2015.06.15 23:24 Poncki

    „Możecie też pomyśleć, czy nie warto jednak korzystać z managera haseł, który nie trzyma bazy i hasła głównego w sieci.” — hash hasła to jednak nie hasło.

    Odpowiedz
    • 2015.06.16 01:27 chesteroni

      …póki to nie konkretnie twój hash jest celem ataku np. NSA

      Odpowiedz
  • 2015.06.15 23:35 arcy

    Używam KeePass, a baze przechowuje lokalnie i na usb. Polecam takie rozwiązanie, ograniczamy konsekwencje włamań online. Przy odpowiednio silnym, losowym haśle i mocnym szyfrowaniu bazy nawet jej utrata nie jest powodem do zmartwień.

    Odpowiedz
  • 2015.06.16 10:01 Heh

    Wiedziałem, że te aplikacje do haseł to dziadostwo.

    Odpowiedz
    • 2015.06.17 09:56 wituś

      Wyczytałeś to z tego krótkiego info? Dziadostwo to jest ludzka pamięć albo kartka papieru na której nosisz zapisany PIN do karty ;)

      Odpowiedz
  • 2015.06.16 14:08 Artur

    A może inne inne podejscie w zarzadzaniu ryzykiem, jak tylko to mozliwe ustawiam 2FA i alerty logowania oraz istotnych zdarzen w aplikacjach webowych. Powiadomienia na e-maile, lub SMS.
    Sam fakt trzymania hasła w zeszycie nie gwarantuje braku możliwości jego podsłuchu na dowolnym etapie komunikacji przeglądarka-serwer lub utraty w wyniku wpisania w „identyczną” stronę z „poprawnym” certyfikatem.
    LastPass ma szereg narzędzi, które ostatecznie, per saldo pozwalają ulepszyć podejście mas do bezpieczeństwa: generatory, automaty, wtyczki do praktycznie każdej platformy/przeglądarki, analizatory haseł (w tym powtórzonych, przestarzałych i słabych), weryfikacje vs znanych wycieków danych (np. adresu e-mail). LastPass nie zbawia świata, nie myśli za Ciebie, nie ochroni Cię, jeśli stosujesz złe praktyki -jedyne co robi, to automatyzuje i zmniejsza ból używania dziesiątek haseł. Jest częściowo jak algorytm szyfrowania -jeśli twój klucz jest słaby, nie zapewni poufności Twoich danych, jeśli jest przyzwoity może się okazać, że Twoje dane są bezpieczniejsze niż w systemie do którego potrzebujesz się zalogować.
    Ten wyciek, jest porównywalny do znalezienia zaszyfrowanego pendrive (choć to co wyciekło nie jest zaszyfrowane, tylko zahashowane). Zmiana hasła kończy temat. (choć warto wspomnieć o funkcji, którą trzeba wyłączyć, mianowicie „allow reverting the old master password” w zaawansowanych opcjach konta.

    Odpowiedz
  • 2015.06.16 22:52 xbartx

    W lastpass można zmienić hasło i również email co chyba w tym przypadku należy wykonać dla większej pewności.

    Odpowiedz

Zostaw odpowiedź do Tchórz Anonim

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga, wykradzione hashe głównych haseł LastPassa

Komentarze