Služba LastPass bola hacknutá, bude vyzývať na potvrdenie emailu a zmenu hesla

Značky: bezpečnosťInternet

DSL.sk, 16.6.2015

Služba LastPass, populárna služba pre centrálne uchovávanie prihlasovacích hesiel a ďalších údajov vypĺňaných na webových stránkach, bola hacknutá.

Služba to oznámila v pondelok, útok identifikovala v piatok.

Čo uniklo

Hackeri sa dostali podľa oznámenia k emailovým adresám, pomocným pripomienkam pre spomenutie si na heslo, tzv. salt hodnotám použitým pri hashovaní hesla respektíve kľúča a k hashom tohto kľúča uchovávaným na serveroch služby.

Prevádzkovateľ podľa oznámenia nenašiel žiadne dôkazy, že by sa útočníci dostali k uloženým prihlasovacím údajom alebo by už pristupovali na niektoré užívateľské účty.

Ako LastPass funguje, čo únik znamená

LastPass umožňuje užívateľom spravovať ich prihlasovacie heslá do webových stránok. Tieto uchováva centrálne na serveroch služby, ale v šifrovanej podobe.

Prihlasovacie údaje sú šifrované kľúčom vypočítavaným viacnásobným hashovaním pomocou funkcie PBKDF2-SHA256 z hlavného hesla užívateľa klientskou aplikáciou, rozšírením alebo bookmarklet. Údaje sú zasielané na servery až zašifrované a zároveň sa na servery nikdy nezasiela hlavné heslo ani z neho vytvorený kľúč.

Klientské aplikácie sa autentifikujú hashom kľúča, pričom servery LastPass neuchovávajú ani túto hash a uchovávajú až hash tejto hash sumy po 100 000 kolách PBKDF2-SHA256 s použitím znáhodňujúcej salt hodnoty. Na klientovi sa PBKDF2-SHA256 štandardne opakuje 5 000-krát.

Získaná salt hodnota a hash kľúča zo serverov umožňujú útočníkom pre daný účet realizovať útok hrubou silou a hľadať heslo užívateľa skúšaním všetkých možností, napríklad s využitím slovníkov. Použitie mnohých kôl PBKDF2-SHA256 vyžadovanej pre overenie uhádnutia hesla výrazne predlžuje vyskúšanie jednej možnosti a útok je výpočtovo náročný.

Zároveň keďže každý účet používa inú salt hodnotu, nie je možné hromadne hľadať jednoduché heslá medzi všetkými účtami. Získanie hesla pre každý účet tak bude pre útočníkov relatívne výpočtovo náročné aj keď užívateľ používal relatívne slabé a ľahko uhádnuteľné heslo.

Problémom môže byť samozrejme ale aj únik pripomienok pre spomenutie si na heslo, ktoré môžu byť v niektorých prípadoch príliš odhaľujúce.

Ak sa útočníci naozaj nedostali k uloženým šifrovaným prihlasovacím údajom, po uhádnutí hesla budú musieť pre získanie prihlasovacích dát ešte individuálne pristúpiť na účet užívateľa na serveroch služby cez štandardné API.

Čo bude nasledovať, odporúčania

LastPass preto u užívateľov, ktorí nepoužívajú na prihlasovanie viacfaktorovú autentifikáciu, bude pri prihlasovaní z inej IP adresy ako pred útokom vyžadovať overenie prístupu cez nastavenú emailovú adresu.

Vyzývať užívateľov bude tiež na zmenu hlavného hesla. Podľa zverejnených inštrukcií služba odporúča zmeniť heslo až po výzve služby.

Ak ale užívateľ používal rovnaké heslo aj v iných službách, je odporúčané heslo v týchto iných službách zmeniť.

Tretí incident

V prípade LastPass ide už o tretí bezpečnostný incident.

V roku 2011 služba upozornila na potenciálne hacknutie.

V minulom roku boli zverejnené informácie o vážnych bezpečnostných chybách v službe, ktoré boli ale opravené dlho pred ich zverejnením a podľa prevádzkovateľa neboli reálne zneužité.




Najnovšie články:



Diskusia:

Konkurencny utok ? Od: rm -rf / | Pridané: 16.6.2015 9:41 Konkurencny utok ? Odpovedať Známka: -1.4 Hodnotiť:

Re: Konkurencny utok ? Od: Dávač dnuka | Pridané: 16.6.2015 9:46 Nie. Iba sezónny zber údajov nepoučiteľných ovčisiek. Odpovedať Známka: 7.8 Hodnotiť:

Re: Konkurencny utok ? Od: 48484 | Pridané: 16.6.2015 12:51 Aj si si to precital a pochopil? Odpovedať Známka: -3.8 Hodnotiť:

Re: Konkurencny utok ? Od: vsevec | Pridané: 16.6.2015 16:28 Nech žije Keepass Odpovedať Známka: 10.0 Hodnotiť:

Re: Konkurencny utok ? Od: 3534 | Pridané: 18.6.2015 16:12 LastPass je omnoho lepsie Odpovedať Hodnotiť:

Re: Konkurencny utok ? Od: vsevec | Pridané: 17.6.2015 14:03 Na DLS.sk sa čítajú iba diskusie - ak si to ešte nepochopil, tak si to prečítaj :) Odpovedať Hodnotiť:

Heslá v cloude??? Od: SeppWinkler | Pridané: 16.6.2015 10:43 Ako si niekto môže ukladať heslá online? Snáď len do fór a diskusií, ale aj tak, veď existujú pohodlné offline riešenia- Odpovedať Známka: 7.6 Hodnotiť:

Re: Heslá v cloude??? Od: armadilon | Pridané: 16.6.2015 10:52 ako pises, ja si tam ukladam len hovadiny co sa mi nechce pamatat (fora, mail na spam a pod), IB by som tam nikdy neulozil :D a ak aj zistia moje hesla, tak mi to zily netrha... to co tam mam ma pri odhaleni nijako neposkodi :D a len tak pre zaujimavost, o akych offline rieseniach je rec? net je plny takych sračičiek, tak ak mas daco vazne pouzitelne rad to vyskusam... Odpovedať Známka: 10.0 Hodnotiť:

Re: Heslá v cloude??? Od: LastPass | Pridané: 16.6.2015 11:02 LastPass Odpovedať Známka: 7.1 Hodnotiť:

Re: Heslá v cloude??? Od: Password_Safe | Pridané: 16.6.2015 11:05 Password_Safe - a ma aj Android a aktivny vyvoj. LastPass som pouzival davno, tak si to stale mylim :( Proste co nie je OpenSource - NEVERIM bezpecnosti - ale neplati naopak. Odpovedať Známka: 10.0 Hodnotiť:

Re: Heslá v cloude??? Od: keepas | Pridané: 16.6.2015 22:45 keepass je tiez open source :) Odpovedať Známka: 5.0 Hodnotiť:

Re: Heslá v cloude??? Od: J_D | Pridané: 16.6.2015 11:18 Ja pouzivam Keepass. Maju tam aj portable verziu ak klasicku. Odpovedať Známka: 10.0 Hodnotiť:

Re: Heslá v cloude??? Od: zlobik ten stredny | Pridané: 16.6.2015 11:23 ja pouzivam mozog. mam integrovanu verziu, na kokotiny mam externu verziu tj. ostatnych kolegov. Odpovedať Známka: 4.7 Hodnotiť:

Re: Heslá v cloude??? Od: lockator | Pridané: 16.6.2015 11:33 Mozog sa dá použiť na pár hesiel, ktoré používam často. Na ostatné mám Keepass, ale chce to niečo pohodlnejšie. Nebol by som ani proti podkožnému čipu, len by počítače museli byť štandartne vybavované snímačom. Asi platí buď pohodlie alebo bezpečnosť. Odpovedať Známka: -5.7 Hodnotiť:

Re: Heslá v cloude??? Od: zlobik ten stredny | Pridané: 16.6.2015 11:40 jo. s gumou alebo bez gumy. Odpovedať Známka: 8.5 Hodnotiť:

Re: Heslá v cloude??? Od: asi_ne | Pridané: 16.6.2015 14:01 > Nebol by som ani proti podkožnému čipu.. Astan Seran by mal z teba radost Odpovedať Známka: 10.0 Hodnotiť:

Re: Heslá v cloude??? Od: KvetinovyDusan | Pridané: 16.6.2015 17:27 ja pouzivam jednotne heslo JadrandkaHospodarova2014cezWifiPapier :) Odpovedať Známka: 0.0 Hodnotiť:

Re: Heslá v cloude??? Od: 48484 | Pridané: 16.6.2015 13:45 Na zaklade coho si myslis, ze Tvoj pocitac je bezpecnejsi ako cloud? Ak niekto hackne cloud, stale nema Tvoj masterkey. Ak niekto hackne Tvoj komp, k masterkey sa dostane rovnako lahko ako ku heslam samotnym. Odpovedať Známka: -3.3 Hodnotiť:

Re: Heslá v cloude??? Od: asi_ne | Pridané: 16.6.2015 14:03 pouzijem hlavu a nenastavim si ako hlavny pass meno mojho psa? ale tak, veci ako IB, hlavny mail a pod si nastavis nieco tazsie a zapamatujes v hlave, na vsetko ostatne tam mas keepassx, lastpass, etc Odpovedať Známka: 3.3 Hodnotiť:

Re: Heslá v cloude??? Od: LGE | Pridané: 16.6.2015 19:22 To by ma zaujímalo, ako sa dostane na mojom PC k Master heslu... Odpovedať Hodnotiť:

Re: Heslá v cloude??? Od: 48484 | Pridané: 17.6.2015 13:23 No skus sa zamysliet, ako ho zadavas a aky to je problem pre trojan beziaci na Tvojom pocitaci posielat niekam eventy z Tvojej klavesnice. Odpovedať Hodnotiť:

Re: Heslá v cloude??? Od: LGE | Pridané: 17.6.2015 15:31 Vravel si, že ak mi niekto hackne PC, tak sa ľahko dostane k Master heslu. Teraz spomínaš, že ho musím najprv zadať, to znamená, keď ho nezadám, ako sa ľahko dostane k môjmu Master heslu? Odpoveď nijako. Stále je šifrované. Takže také ľahké to zas nebude, musím ho najprv zadať a to si nespomínal. A keď ho už musím zadať v napadnutom PC, dá sa to aj za pomoci šifrovania kláves. Otázka je ako zistím, že mám "hacknutý" PC, ale to je už o inom... Odpovedať Hodnotiť:

Re: Heslá v cloude??? Od reg.: K-NinetyNine | Pridané: 17.6.2015 8:56 offline riesenie musis nosit so sebou. lastpass mam pristupny z ktorehokolvek zariadenia. ale suhlasim, ze by som si tam nedal ziadne heslo za ktorym mam peniaze (IB, paypal etc.) Odpovedať Hodnotiť:

LastPass Od: LastPass | Pridané: 16.6.2015 11:01 LastPass - OpenSource, Win/Lin, brutus :P Ak hladate bezpecne cokolvek: https://prism-break.org https://prism-break.org/en/ *** categories/windows/#password-managers Odpovedať Hodnotiť:

Re: LastPass Od: Password_Safe | Pridané: 16.6.2015 11:04 Sryyy som sa pomylil https://en.wikipedia.org/wiki/Password_Safe Odpovedať Hodnotiť:

Re: LastPass Od: fdgds | Pridané: 16.6.2015 16:45 co tak rovno prison break, hesla vytetovat na telo... :-) Odpovedať Známka: 10.0 Hodnotiť:

autorename v praxi Od: ertestrfd | Pridané: 16.6.2015 14:39 lastpass -> lostpass :-) Odpovedať Známka: 5.6 Hodnotiť:

máte čo ste chceli Od: ParaNoik | Pridané: 16.6.2015 20:09 Je to len otázkou času kedy takto alebo podobne dopadne každý naivný užívateľ v tejto dobe strašne sexy "cloudu". Odpovedať Známka: 4.3 Hodnotiť:

Pridať komentár