DEVO DAVVERO cambiare la mia password LastPass?

8

La rete LastPass dello scorso fine settimana è stata compromessa e sono stati rubati un elenco di indirizzi e-mail insieme agli hash delle password principali. Si raccomanda agli utenti di LastPass di cambiare le loro password su diversi siti Web di sicurezza. link

Secondo il collegamento LastPass sopra, "LastPass rafforza l'hash di autenticazione con un salt random e 100.000 round di PBKDF2-SHA256 lato server, oltre ai round eseguiti dal lato client.".

C'è una vera ragione per qualcuno con una password strong (più di 30 caratteri casuali) da disturbare a cambiare la password principale? La mia comprensione era che con un sale casuale e 100.000 round di PBKDF2-SHA256 e una lunga password, la password sarebbe al sicuro dagli attacchi di forza bruta anche se un hacker avesse un budget pari al PIL mondiale. Sto facendo questa domanda per assicurarmi che non mi manchi qualcosa.

    
posta cuengi8 16.06.2015 - 16:06
fonte

2 risposte

2

No, una password di 30 caratteri a caso è sicura

Se la tua password è composta da più di 30 caratteri casuali, il numero di password possibili è ben oltre 95 ^ 30, che è 2.14e59.

La pagina Oclhashcrack fornisce una frequenza di crack di campionamento per SHA256 di 16.904 Mh / s. Quindi ipotizziamo che il "budget uguale al PIL mondiale" consentirebbe a un milione di questi computer di eseguire il cracking. (Stiamo ignorando i 10.000 round per semplicità).

Il computer può indovinare 16 miliardi di hash al secondo per 1 milione di computer. Ciò equivale a circa 1.6e16 tentativi al secondo. Quindi ci vorrebbe ancora 1.3e43 secondi che è uguale a 3.1 e25 volte l'età dell'universo. Moltiplicare il numero di computer per 10 e scendere a 3.1e24 volte l'età dell'universo.

Quindi considera che i 10.000 round significano che il calcolo dell'hash sarà ridotto di 10.000. Inoltre, considera che gli hash sono salati casualmente. Ciò significa che un attacco deve essere mirato su un hash specifico.

E altre possibilità di attacco?

Se consideriamo che gli aggressori hanno accesso alla rete Lastpass, è più probabile che gli aggressori ottengano il testo in chiaro di una password di 30 caratteri casuali intercettandola in testo in chiaro quando si accede al sito web. Lastpass non ha dato alcuna indicazione che ciò sia successo, ma questo sarebbe un motivo realistico per cambiare la tua password.

    
risposta data 16.06.2015 - 16:21
fonte
0

Il vero pericolo non è strutturato indovinando credo. L'ipotesi richiede in media 30+ password o passphrase. Ma in media significa anche che potrebbero avere un po 'di fortuna il primo giorno, e tu non vuoi che la tua password sia quella fortunata.

Il vero pericolo sono elenchi esistenti con milioni di password conosciute. Metterli a pezzi uno per uno e confrontare l'hash con gli hash rubati è abbastanza fattibile. Ho visto le liste che contenevano:

yTp3HHuuCTo9kyTp3HHuuCTo9kyTp3HHuuCTo9k

xc3xacntrxc3xackulxc3xacmbroqulxc3xac

yankeesayka-ofrp3olgavaner8913gruscha

werhnbkliopfdsrftgwerhnbkliopfdsrftg

welcomeelquehacequeelcorazonyore_21

whateverabdulaziz.ahmadjonov.1977

williamshort.guy.with.blonde.hair

Tutti i 30+, e tutti in pericolo. Per quanto ne sappia, l'unico modo per far fronte a questa lista di password è il rischio, è scegliere i vostri personaggi o parole in modo casuale. Se non lo hai fatto, la tua password 30+ è a rischio.

    
risposta data 17.06.2015 - 13:10
fonte

Leggi altre domande sui tag