Mamy przykrą wiadomość dla użytkowników popularnego managera haseł LastPass. Właśnie ogłoszono, że nieznany sprawca wykradł hashe głównych haseł użytkowników wraz z ich solami. Dodatkowo w ręce złodzieja trafiły adresy email użytkowników. Na szczęście podobno bazy haseł nie zostały skradzione.
LasttPass
Lekką osłodą sytuacji niech będzie fakt, że LastPass główne hasła hashował w bardzo bezpieczny sposób. 100 tysięcy rund PBKDF2-SHA256 po stronie serwera plus dodatkowe procesy po stronie klienta powinny sprawić, że próba łamania tych hashy będzie trwała całe eony. Jeśli jednak przyjąć, że wykradzenie hashy z LastPassa było już niezłym osiągnięciem, to proponujemy założyć, że atakujący wie co robi i być może dysponuje większą niż zazwyczaj mocą obliczeniową. Wiecie zatem, co musicie teraz zrobić (na szczęście nie trzeba zmieniać wszystkich, wystarczy główne). Możecie też pomyśleć, czy nie warto jednak korzystać z managera haseł, który nie trzyma bazy i hasła głównego w sieci.
Za informację dziękujemy Adamowi.
Komentarze
Polecam dla „Windziarzy” KeePass a dla „Linuksiarzy” KeePassX :D
KeePass dziala tez przez mono na linuksie, polecam serdecznie
Osobiście jako „Linuksiarz” używam pass: the standard UNIX password manager, który tak na dobrą sprawę jest prostym skryptem basha robiącym za pośrednika między gitem i GPG. Wydaje mi się że doczekał się też wieloplatformowej implementacji graficznej.
Używam ubuntu i keepasa. Hasło główne przechowuję w mózgu, ale plik z bazą haseł mam na kilku urządzeniach (telefon, komputer, pendrive itp.) i na dysku google.
Zastanawiam się czy trzymanie w chmurze nie stanowi dodatkowego ryzyka. Z drugiej strony utrata bazy z powodu awarii / zgubienia urządzeń była by dla mnie katastrofą.
Co robić, jak żyć?
Uzywaj szyfrowanej chmury (jak OwnCloud albo Wuala) albo szyfrowanie katalogow (encfs).
Ja bym się bałbym tylko w mózgu, wolałbym zapisać to hasło główne. Możesz je zapisać na kartce, ale bardzo dobrze potem ukryj (NIE w głośnikach). Zobacz sobie jeszcze „wicked places to hide drugs” w Google. Karteczki Post-it po złożeniu mają wielkość kapsułki do leku.
Słabo się na tym znam. :( Mam z związku z tym pytanie: Czy wystarczy zmienić główne hasło? Mam pewnie ze sto haseł tam schowanych :( Gdybym je stracił to musiałbym się chyba na nowo urodzić.
Dzięki za ostrzeżenie.
Tak. Tylko główne.
Mając podwójną weryfikacje Konta poprzez Kody mam się czego obawiać, czy proponujecie lepiej zmienić hasło główne?
Tak, bo podwójną weryfikację można wyłączyć klikając na link z maila.
A usunięcie konta wystarczy? I tak go nie używałem. ;) pytanie jak najbardziej poważne
A jak wykradnięcie hashy się ma to dodatkowego zabezpieczenia lastpassa w postaci yubikeya?
Chyba wiadomość się rozniosła, bo aktualnie serwery przeciążone i nie da się zmienić hasła :x
Z bratem mamy jubikeya, więc nas to ziębi 8-)
„Możecie też pomyśleć, czy nie warto jednak korzystać z managera haseł, który nie trzyma bazy i hasła głównego w sieci.” — hash hasła to jednak nie hasło.
…póki to nie konkretnie twój hash jest celem ataku np. NSA
Używam KeePass, a baze przechowuje lokalnie i na usb. Polecam takie rozwiązanie, ograniczamy konsekwencje włamań online. Przy odpowiednio silnym, losowym haśle i mocnym szyfrowaniu bazy nawet jej utrata nie jest powodem do zmartwień.
Wiedziałem, że te aplikacje do haseł to dziadostwo.
Wyczytałeś to z tego krótkiego info? Dziadostwo to jest ludzka pamięć albo kartka papieru na której nosisz zapisany PIN do karty ;)
A może inne inne podejscie w zarzadzaniu ryzykiem, jak tylko to mozliwe ustawiam 2FA i alerty logowania oraz istotnych zdarzen w aplikacjach webowych. Powiadomienia na e-maile, lub SMS.
Sam fakt trzymania hasła w zeszycie nie gwarantuje braku możliwości jego podsłuchu na dowolnym etapie komunikacji przeglądarka-serwer lub utraty w wyniku wpisania w „identyczną” stronę z „poprawnym” certyfikatem.
LastPass ma szereg narzędzi, które ostatecznie, per saldo pozwalają ulepszyć podejście mas do bezpieczeństwa: generatory, automaty, wtyczki do praktycznie każdej platformy/przeglądarki, analizatory haseł (w tym powtórzonych, przestarzałych i słabych), weryfikacje vs znanych wycieków danych (np. adresu e-mail). LastPass nie zbawia świata, nie myśli za Ciebie, nie ochroni Cię, jeśli stosujesz złe praktyki -jedyne co robi, to automatyzuje i zmniejsza ból używania dziesiątek haseł. Jest częściowo jak algorytm szyfrowania -jeśli twój klucz jest słaby, nie zapewni poufności Twoich danych, jeśli jest przyzwoity może się okazać, że Twoje dane są bezpieczniejsze niż w systemie do którego potrzebujesz się zalogować.
Ten wyciek, jest porównywalny do znalezienia zaszyfrowanego pendrive (choć to co wyciekło nie jest zaszyfrowane, tylko zahashowane). Zmiana hasła kończy temat. (choć warto wspomnieć o funkcji, którą trzeba wyłączyć, mianowicie „allow reverting the old master password” w zaawansowanych opcjach konta.
W lastpass można zmienić hasło i również email co chyba w tym przypadku należy wykonać dla większej pewności.