Uživateli oceňovaný správce hesel LastPass byl opět kompromitován

Z informací uvedených na webu vyplývá, že došlo k průniku do systému LastPass, který slouží ke správě hesel.

A vzhledem k tomu, že společnost LastPass vyzvala své uživatele, aby si změnili svá hlavní hesla (master passwords), tak se nabízí otázka, k čemu opravdu došlo, k jakým datům se útočník dostal a jakým způsobem byl útok proveden.

Zatím nevíme, zda skutečně došlo jen ke krádeži hashů, protože stejně tak mohlo dojít i k injektáži kódu, který mohl zachytávat autentizační hashe přicházející od klienta, a to by pak bylo mnohem horší.

Především proto, že pokud byste se za takové situace přihlásili ke službě LastPass, tak by útočník získal váš hash, a mohl by se rovnou autentizovat. Budeme však předpokládat, že došlo jen k úniku hashů z DB. Je i v takovém případě nutné si heslo hned změnit?

Dle vyjádření Lastpass je použita kryptografická funkce PBKDF2 a heslo (master_password) je na straně klienta spojeno s jeho jménem (salt) a je provedeno 5000 iterací (iteration counts) bezpečnou hashovací funkcí (SHA256) a na serveru pak dalších 100.000. Zjednodušeně by se pak výpočet hashe a autentizace mohla popsat nějak takto:

1. Uživatel zadá master_password a na jeho počítači dojde k výpočtu hashe UHASH=PBKDF2(HMAC-SHA256, master_password, username, 5000)
2. UHASH se pošle na server a tam dojde k dalším 100000 iteracím SHASH=PBKDF2(HMAC-SHA256, UHASH, username, 100000)
3. Server porovná SHASH s tím, který má uložen ve své DB a pokud souhlasí, je uživatel autentizován.

Jestliže platí, že nelze provést reverzibilní operaci a získat z ukradeného SHASH pro autentizaci nutný UHASH, tak případný útočník nemá jak tento SHASH zneužít, a ani v případě zcizení celé této DB by se neměli uživatelé obávat. Vždyť právě proto se hesla solí, hashují a provádí se tolik iterací, protože se počítá s tím, že kdyby ke kompromitaci DB i přes všechna přijatá opatření přeci jen došlo, tak aby hashe nemohl nikdo zneužít.

Problém je však v tom, že hesla se už několik let nelámou, nýbrž se vezme nějaká již uniklá velká databáze hesel, a že těch úniků již bylo, a tato hesla se zahashují výše uvedeným způsobem a výsledky se porovnají. Pokud hashe sedí, tak uživatel používá dané heslo. Takže tohle je možná hlavní důvod, proč LastPass své uživatele ke změně master hesel vyzval.

Závěr: Používejte komplexní hesla nebo passphrase a zamyslete se především nad tím, jak chcete svá hesla spravovat, protože to není poprvé, co měl LastPass problém.

Štítky: cybercrime

K článku “Uživateli oceňovaný správce hesel LastPass byl opět kompromitován” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

Δ

 Chci zasílat upozornění na nové komentáře e-mailem.