LastPass foi violado: você precisa alterar sua senha mestra?

Propaganda

Se você é um dos milhares de usuários do LastPass que se sentiu muito seguro ao usar a Internet, graças a promessas de quase inquebrável segurança, você pode se sentir um pouco menos seguro sabendo que, em 15 de junho, a empresa anunciou que detectou uma invasão em seus servidores.

O LastPass enviou inicialmente um aviso por e-mail aos usuários avisando-os de que a empresa havia detectado “suspeitas atividade ”nos servidores LastPass e que os endereços de e-mail dos usuários e os lembretes de senha foram comprometidos.

A empresa garantiu aos usuários que nenhum dado criptografado do cofre havia sido comprometido, mas desde o senhas de usuário com hash O que todo esse material de hash MD5 realmente significa [tecnologia explicada]Aqui está um resumo completo do MD5, hash e uma pequena visão geral de computadores e criptografia. consulte Mais informação Após a obtenção, a empresa aconselhou os usuários a atualizar suas senhas mestras, apenas por segurança.

O Hack LastPass Explicado

Esta não é a primeira vez que os usuários do LastPass se preocupam com hackers. No ano passado, nós entrevistou Joe Siegrist, CEO do LastPass Joe Siegrist, do LastPass: a verdade sobre a segurança da sua senha consulte Mais informação após a ameaça Heartbleed, onde suas garantias tranquilizam os medos dos usuários.

Essa última violação ocorreu no final da semana anterior ao anúncio. No momento em que foi detectado e identificado como uma invasão de segurança, os invasores conseguiram obter endereços de e-mail do usuário, perguntas / respostas de lembretes de senha, hash de senhas de usuário e sais criptográficos Torne-se um esteganógrafo secreto: oculte e criptografe seus arquivos consulte Mais informação .

A boa notícia é que a segurança do sistema LastPass foi projetada para suportar esses ataques. A única maneira de acessar suas senhas em texto sem formatação seria os hackers descriptografar o senhas mestras bem protegidas Use uma estratégia de gerenciamento de senhas para simplificar sua vidaGrande parte dos conselhos sobre senhas tem sido quase impossível de seguir: use uma senha forte contendo números, letras e caracteres especiais; mude-o regularmente; crie uma senha completamente única para cada conta, etc ... consulte Mais informação .

Devido ao mecanismo usado para criptografar sua senha mestra, seriam necessários grandes quantidades de recursos do computador para descriptografá-la - recursos aos quais a maioria dos hackers pequenos ou de nível médio não tem acesso.

A razão pela qual você está tão protegido ao usar o LastPass é porque esse mecanismo que dificulta a obtenção da senha mestra é chamado de "hash lento" ou "hash com sal".

Como funciona o hash

O LastPass usa uma das técnicas de criptografia mais seguras do mundo, chamada hash with salt.

O "salt" é um código gerado usando uma ferramenta de criptografia - uma espécie de gerador de números aleatórios Os 5 Melhores Geradores de Senhas Online para Senhas Aleatórias FortesProcurando uma maneira de criar rapidamente uma senha inquebrável? Experimente um desses geradores de senha online. consulte Mais informação criado especificamente para segurança, se você preferir. Essas ferramentas criam códigos completamente imprevisíveis quando você cria sua senha mestra.

O que acontece quando você cria sua conta é que a senha é "hash" usando um desses números de "sal" gerados aleatoriamente (e muito longos). Elas nunca são reutilizadas - são exclusivas para todos os usuários e todas as senhas. Por fim, na tabela de contas de usuário, você encontrará apenas o sal e o hash.

A versão em texto real da sua senha mestra nunca é armazenada nos servidores LastPass, portanto, os hackers não têm acesso a ela. Tudo o que eles conseguiram obter nessa intrusão são esses sais aleatórios e os hashes codificados.

Portanto, a única maneira de o LastPass (ou qualquer pessoa) validar sua senha é:

1. Recupere o hash e o sal da tabela do usuário.
2. Use o salt na senha que o usuário digita, usando hash usando a mesma função de hash usada quando a senha foi gerada.
3. O hash resultante é comparado ao hash armazenado para ver se é uma correspondência.

Atualmente, os hackers conseguem gerar bilhões de hashes por segundo, então, por que um hacker não pode simplesmente usar força bruta para quebrar essas senhas Ophcrack - Uma ferramenta de hacker de senhas para quebrar quase qualquer senha do WindowsExistem muitas razões diferentes pelas quais alguém gostaria de usar qualquer número de ferramentas de hackers para invadir uma senha do Windows. consulte Mais informação ? Essa segurança extra é graças ao hash lento.

Por que o hash lento protege você

Em um ataque como esse, é realmente a parte de hash lento da segurança do LastPass que realmente protege você.

O LastPass faz com que a função hash usada para verificar a senha (ou criá-la) funcione muito lentamente. Isso basicamente coloca as quebras em qualquer operação de alta velocidade e força bruta que requer velocidade para bombear bilhões de possíveis hashes. Não importa quanta potência computacional A mais recente tecnologia de computador que você precisa ver para acreditarConfira algumas das mais recentes tecnologias de computador que devem transformar o mundo da eletrônica e dos PCs nos próximos anos. consulte Mais informação como o sistema do hacker possui, o processo para interromper a criptografia ainda levará uma eternidade, essencialmente tornando inútil os ataques de força bruta.

Além disso, o LastPass não executa o algoritmo de hash apenas uma vez, eles o executam milhares de vezes no seu computador e depois novamente no servidor.

Veja como o LastPass explicou seu próprio processo aos usuários em uma postagem do blog após este último ataque:

"Misturamos o nome de usuário e a senha mestre no computador do usuário com 5.000 rodadas de PBKDF2-SHA256, um algoritmo de fortalecimento de senha. Isso cria uma chave, na qual executamos outra rodada de hash, para gerar o hash de autenticação da senha mestre. ”

o Suporte Técnico LastPass tem uma publicação que descreve como o LastPass utiliza hash lento:

O LastPass optou por usar o SHA-256, um algoritmo de hash mais lento que fornece mais proteção contra ataques de força bruta. O LastPass utiliza a função PBKDF2 implementada com o SHA-256 para transformar sua senha mestra em sua chave de criptografia.

O que isso significa é que, apesar dessa recente violação de segurança, suas senhas ainda são muito seguras, mesmo que seu endereço de email não seja.

E se minha senha for fraca?

Há um ponto excelente levantado no blog LastPass sobre senhas fracas. Muitos usuários estão preocupados com o fato de não terem criado uma senha suficiente e que esses hackers conseguirão adivinhar sem muito esforço.

Também existe o risco remoto de sua conta ser uma daquelas que os hackers estão perdendo tempo tentando descriptografar, e sempre há a possibilidade remota de que eles possam obter seu mestre com sucesso senha. O que então?

O ponto principal é que todo esse esforço seria desperdiçado, pois o login de outro dispositivo requer verificação por email - seu email - antes do acesso ser concedido. No blog LastPass:

“Se o invasor tentou acessar seus dados usando essas credenciais para fazer login no seu LastPass, eles serão interrompidos por uma notificação solicitando que eles primeiro verifiquem seu e-mail endereço."

Portanto, a menos que eles possam invadir sua conta de e-mail além de descriptografando um algoritmo quase intransponível, você realmente não precisa se preocupar com nada.

Devo alterar minha senha mestra?

Se você deseja ou não alterar sua senha mestra, realmente se resume a quão paranóico ou azar você se sente. Se você acha que pode ser a única pessoa infeliz que teve sua senha decifrada por hackers talentosos que são capazes de alguma forma decifrar a rotina de hash redondo de 100.000 do LastPass e um código de sal exclusivo para você?

Por todos os meios, se você se preocupa com essas coisas, altere sua senha apenas para ter tranquilidade. Isso significa que pelo menos seu sal e hash, nas mãos de hackers, se tornam inúteis.

No entanto, existem especialistas em segurança por aí que não se preocupam, como Jeremi Gosney, especialista em segurança do Structure Group quem disse aos repórteres:

"O padrão é 5.000 iterações. Portanto, no mínimo, analisamos 105.000 iterações. Na verdade, eu tenho o meu definido para 65.000 iterações, ou seja, um total de 165.000 iterações protegendo minha senha do Diceware. Então não, definitivamente não estou suando essa violação. Nem me sinto obrigado a alterar minha senha mestra. "

A única preocupação real que você deve ter com essa violação de dados é que agora os hackers têm seu endereço de e-mail, que eles poderiam usar para realizar expedições de phishing em massa para tentar e induzir as pessoas a abrir mão de suas várias senhas de conta - ou talvez elas possam fazer algo tão banal quanto vender todos esses e-mails de usuários a spammers mercado.

O ponto principal é que o risco dessa invasão de segurança permanece mínimo, graças à enorme segurança do sistema LastPass. Mas o bom senso diz que sempre que os hackers obtêm os detalhes da sua conta - mesmo protegidos por milhares de iterações criptográficas avançadas - é sempre bom alterar sua senha mestra, mesmo que seja para tranqüilidade.

A violação de segurança do LastPass deixou você muito preocupado com a segurança do LastPass ou está confiante na segurança da sua conta lá? Compartilhe seus pensamentos e preocupações na seção de comentários abaixo.

Créditos de imagem: bloqueio de segurança penetrado via Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock