Lastpass hack: rischi di abuso

Naviga le tue risposte
18

Uso Lastpass. Oggi ho ricevuto un'email da loro che mi dicevano che i loro server erano hackato e probabilmente è stato copiato un database con indirizzi email e suggerimenti per il recupero.

Dear LastPass User,

We wanted to alert you that, recently, our team discovered and immediately blocked suspicious activity on our network. No encrypted user vault data was taken, however other data, including email addresses and password reminders, was compromised.

We are confident that the encryption algorithms we use will sufficiently protect our users. To further ensure your security, we are requiring verification by email when logging in from a new device or IP address, and will be prompting users to update their master passwords.

We apologize for the inconvenience, but ultimately we believe this will better protect LastPass users. Thank you for your understanding, and for using LastPass.

Quanto è sicuro il metodo di recupero?

Proprio ora mi sono disconnesso dal mio account Lastpass e ho fatto un recupero. Si scopre che Lastpass memorizza una password una tantum sulla mia macchina (e su ogni macchina che ho usato per accedere a Lastpass), attivata da un link di ripristino inviato all'indirizzo di posta utilizzato per l'account Lastpass. Basta fare clic sul collegamento è sufficiente per sbloccare il database locale. Il link ha un identificatore lungo. Immagino che questo ID sia necessario per sbloccare la password locale una volta - se non la password potrebbe semplicemente essere copiata e abusata.

  • Domanda: quanto è sicuro questo metodo, con quelle password una tantum su tutte le macchine in cui ho effettuato l'accesso?

Abuso di indirizzi email rubati

Gli indirizzi email rubati - quale rischio pongono?

Naturalmente non va bene che ancora una volta vengano rubati migliaia o milioni di indirizzi di posta validi e possano essere sfruttati per spam. Inoltre, poiché si tratta di tutti gli utenti di Lastpass, possono essere inviati via mail a Lastpass e indotti a inserire la loro password principale.

Quando accedo a lastpass, scarica il database utente e lo sblocca. Se questo accade in questo ordine, posso scaricare tutti i database per tutti gli utenti senza avere le loro password. Potrei quindi provare a sbloccare i database utilizzando un elenco di password standard come "password" e "1234567890", le solite cattive password. Questo si aprirà parecchio, e non notificherà Lastpass visto che non vedono molti tentativi.

Se il database non viene scaricato prima che la password sia convalidata, significa che il database è sbloccato in remoto, che non è quello che ci dicono. Destra?

  • Domanda: si tratta di uno scenario possibile o questo metodo è protetto in qualche modo?

La connessione tra il browser addon e Lastpass è ovviamente crittografata, e non so se in qualche modo proteggono un database appena scaricato per evitare qualcosa del genere, ma alcune persone davvero intelligenti non saranno in grado di aggirare il problema crittografia?

Consigli per aggiornare la password principale

Mentre scrivono nella posta, Lastpass controlla ogni volta che qualcuno accede da una posizione sconosciuta e invia una mail per verificare che sia legittima. Questa è ovviamente una buona pratica. Quindi scrivono che richiederanno agli utenti di aggiornare la loro password principale. Perché? Non capisco. In che modo ciò impedirà ai criminali di sbloccare gli account più di quanto non sia attualmente? Lastpass dice che non vengono scaricate password, il che dovrebbe essere comunque impossibile perché non vengono memorizzate.

  • Domanda: Allora, perché abbiamo bisogno di cambiare la password principale e in che modo renderla più difficile per i criminali?

impatto Hack

Questo "hack" può essere fatto senza avere tutti quegli indirizzi. Basta accedere utilizzando un indirizzo email casuale e seguire lo stesso scenario. La differenza è l'efficienza.

  • Domanda: Se Lastpass è sicuro che protegga correttamente i miei dati e io uso una password sicura, nulla è cambiato, tranne che alcune organizzazioni criminali hanno ricevuto il mio indirizzo email, se non l'hanno già fatto?

Altri rischi?

Mi manca qualcosa? Quali altri rischi ci sono?

    
posta SPRBRN 16.06.2015 - 14:09
fonte

1 risposta

11

Ars ha un articolo decente sul problema: link

Un particolare utente Ars ha anche pubblicato una descrizione illuminante:

epixoip wrote:

vcsjones wrote: I feel like LastPass needs to really lay out their security. They tout PBKDF2-SHA256 with 100k rounds. Sure, that is pretty good. But they also mention doing 5k rounds on the client side. What is the relationship between the client side PBKDF2 and server side? What about the salt that goes in there?

     

round = user_rounds || 5000 // il conteggio dell'iterazione è definito dall'utente. il valore predefinito è 5k

     

encryption_key = PBKDF2 (HMAC-SHA256, password, salt, rounds) // questo è ciò che sblocca il vault

     

auth_key = sha256 (encryption_key) // questo è ciò che viene inviato al server per l'autenticazione

     

server_hash = PBKDF2 (HMAC-SHA256, auth_key, salt, 100000) // questo è ciò che è memorizzato in auth db

     

Quindi l'intero algoritmo per la password memorizzata nel database, che è ciò che hanno ottenuto gli hacker, è:

     

PBKDF2 (HMAC-SHA256, sha256 (PBKDF2 (HMAC-SHA256, password, sale, cicli)), sale, 100000)

     

Nessuno ha tempo per questo.

In breve, non devi preoccuparti di cambiare la tua password principale.

    
risposta data 16.06.2015 - 21:26
fonte

Leggi altre domande sui tag

È sicuro usare rng-tools su una macchina virtuale? Esiste un modo sicuro per avere un server terminal rivolto pubblicamente?