Uživateli oceňovaný správce hesel LastPass byl opět kompromitován

cybercrimeZ informací uvedených na webu vyplývá, že došlo k průniku do systému LastPass, který slouží ke správě hesel.

A vzhledem k tomu, že společnost LastPass vyzvala své uživatele, aby si změnili svá hlavní hesla (master passwords), tak se nabízí otázka, k čemu opravdu došlo, k jakým datům se útočník dostal a jakým způsobem byl útok proveden.

Zatím nevíme, zda skutečně došlo jen ke krádeži hashů, protože stejně tak mohlo dojít i k injektáži kódu, který mohl zachytávat autentizační hashe přicházející od klienta, a to by pak bylo mnohem horší.

Především proto, že pokud byste se za takové situace přihlásili ke službě LastPass, tak by útočník získal váš hash, a mohl by se rovnou autentizovat. Budeme však předpokládat, že došlo jen k úniku hashů z DB. Je i v takovém případě nutné si heslo hned změnit?

Dle vyjádření Lastpass je použita kryptografická funkce PBKDF2 a heslo (master_password) je na straně klienta spojeno s jeho jménem (salt) a je provedeno 5000 iterací (iteration counts) bezpečnou hashovací funkcí (SHA256) a na serveru pak dalších 100.000. Zjednodušeně by se pak výpočet hashe a autentizace mohla popsat nějak takto:

  1. Uživatel zadá master_password a na jeho počítači dojde k výpočtu hashe UHASH=PBKDF2(HMAC-SHA256, master_password, username, 5000)
  2. UHASH se pošle na server a tam dojde k dalším 100000 iteracím SHASH=PBKDF2(HMAC-SHA256, UHASH, username, 100000)
  3. Server porovná SHASH s tím, který má uložen ve své DB a pokud souhlasí, je uživatel autentizován.

Jestliže platí, že nelze provést reverzibilní operaci a získat z ukradeného SHASH pro autentizaci nutný UHASH, tak případný útočník nemá jak tento SHASH zneužít, a ani v případě zcizení celé této DB by se neměli uživatelé obávat. Vždyť právě proto se hesla solí, hashují a provádí se tolik iterací, protože se počítá s tím, že kdyby ke kompromitaci DB i přes všechna přijatá opatření přeci jen došlo, tak aby hashe nemohl nikdo zneužít.

Problém je však v tom, že hesla se už několik let nelámou, nýbrž se vezme nějaká již uniklá velká databáze hesel, a že těch úniků již bylo, a tato hesla se zahashují výše uvedeným způsobem a výsledky se porovnají. Pokud hashe sedí, tak uživatel používá dané heslo. Takže tohle je možná hlavní důvod, proč LastPass své uživatele ke změně master hesel vyzval.

Závěr: Používejte komplexní hesla nebo passphrase a zamyslete se především nad tím, jak chcete svá hesla spravovat, protože to není poprvé, co měl LastPass problém.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky:


K článku “Uživateli oceňovaný správce hesel LastPass byl opět kompromitován” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: