LastPass zaatakowany - poufne dane użytkowników zagrożone...

[Anonymous]

LastPass zaatakowany - poufne dane użytkowników zagrożone, radzimy co robić.

Mamy złą wiadomość dla wszystkich użytkowników dość popularnej usługi zarządzania hasłami i poufnymi danymi online - LastPass został zaatakowany przez hakerów. Przedstawiciele firmy odpowiedzialnej za działanie tej, opisywanej już przez nas wcześniej (jak zarządzać hasłami) przyznali w wydanym kilkanaście godzin temu komunikacie, że wykryli podejrzaną aktywność w wewnętrznej sieci i na serwerach, na których znajdują się poufne hasła i dane użytkowników, którzy zawierzyli bezpieczeństwu oferowanemu przez LastPass. Jakkolwiek w oficjalnych komunikatach pojawia się informacja, że nie ma dowodu, iż zaszyfrowane banki haseł poszczególnych użytkowników zostały wykradzione, to natychmiast wdrożone śledztwo wykazało, że bezpieczeństwo takich danych jak adresy e-mail, powiadomienia przypominające o hasłach, tzw. "sole haseł" (wyjaśniamy dalej o co chodzi) i skróty (hasze) uwierzytelniające zostało naruszone. Jeżeli korzystasz z LastPass, obowiązkowo skorzystaj z naszych porad.

Na podstawie danych opublikowanych na oficjalnym blogu LastPass można wywnioskować, że skuteczny - jak się okazało - atak cyberprzestępców to atak przeprowadzony na implementację, a nie na same algorytmy kryptograficzne. Usługa LastPass podczas uwierzytelniania użytkownika korzysta z funkcji skrótu SHA-256 (liczona na 32-bitowych słowach) dodatkowo wzmocnionej mieszaniem z losową solą (czyli z losowo dobieranym ciągiem zaburzającym - sól w kryptografii oznacza losowo dodawane do hasła dane podczas obliczania funkcji skrótu przechowywanej na serwerze) przy zastosowaniu 100 tysięcy rund po stronie serwera, niezależnie od rund wykonywanych po stronie klienta. Taki poziom zabezpieczeń bardzo utrudnia kradzież haseł użytkowników, a ściślej - deszyfrację haseł.

Z całą pewnością nie muszą obawiać się niczego osoby, które wcześniej dla swojego konta w LastPass i wszelkich danych uwierzytelniających przechowywanych w sejfie LastPass włączyły podwójne uwierzytelnianie (podczas logowania oprócz informacji tajnej - hasła - należy podać jeszcze tajny kod wygenerowany przez aplikację zainstalowaną wyłącznie na smartfonie należącym do uprawnionego użytkownika).

Osoby nie stosujące podwójnego uwierzytelniania, co do których wystąpi podejrzenie iż ich dane (zaszyfrowane skróty haseł) mogły zostać wykradzione, otrzymają od serwisu LastPass powiadomienia z prośbą o zmianę hasła. Ponadto w przypadku prób logowania do sejfu LastPass z nowych urządzeń (nowych komputerów, smartfonów, tabletów itp.) lub urządzeń podłączonych do nowych, wcześniej niewykorzystywanych sieci (nowe adres IP itp.) przedstawiciele LastPass zalecają zawsze weryfikację emaili powiązanych z kontem LastPass. Można to sprawdzić wywołując najpierw z menu LastPass (z paska przeglądarki internetowej, w której jest zainstalowane rozszerzenie LastPass) pozycję Narzędzia i Kontrola bezpieczeństwa.

Następnie należy sprawdzić, czy po wprowadzeniu głównego hasła, zaprezentowane w wyświetlonym oknie dialogowym adresy e-mail faktycznie należą do użytkownika.

Jeżeli adresy e-mail widoczne w ramce są Twoje, to dobra wiadomość.

Jeżeli nie otrzymaliście powiadomień o konieczności zmiany głównego hasła do usługi LastPass (do sejfu LastPass), to nie musicie tego robić (choć oczywiście nikt tego nie zabrania, regularna zmiana hasła to zawsze dobry pomysł). Natomiast osoby, które otrzymają stosowne powiadomienie absolutnie muszą dokonać jak najszybszej zmiany hasła do swojego sejfu w LastPass.

Do zmiany hasła zachęcani są również te osoby, które to samo hasło wykorzystywały nie tylko w LastPass, ale i w innych usługach internetowych (naganna praktyka, ale niestety wciąż przez wielu stosowana) - wtedy oczywiście trzeba również pamiętać o zmianie hasła w usłudze, do której dotychczas logowano się takim samym hasłem jak w LastPass.

Jeżeli wierzyć przedstawicielom LastPass, potencjalne zagrożenie dotyczy jedynie niektórych informacji i na pewno nienaruszone są zaszyfrowane banki haseł poszczególnych użytkowników LastPass. Jednak zarówno twórcy LastPass, jak i my bardzo zachęcamy wszystkich, dla których cenne są informacje chronione przechowywanymi w sejfie hasłami do włączenia podwójnego uwierzytelniania.

Podwójne uwierzytelnianie to znacznie większe bezpieczeństwo!

Dostęp do opcji związanych z podwójnym uwierzytelnianiem w LastPass możemy uzyskać poprzez panel Ustawienia konta. Należy w górnej części tego panelu wybrać polecenie Multifactor Options, co da nam dostęp do listy wyboru wielu obsługiwanych przez LastPass metod podwójnego uwierzytelniania. Jak widać, w naszej redakcji stosujemy dodatkowe zabezpieczenie poprzez narzędzie o nazwie Google Authenticator. Jest to specjalna aplikacja (dostępna na wszystkie mobilne platformy), będąca de facto wirtualnym tokenem kryptograficznym ściśle powiązanym ze smartfonem, na którym jest zainstalowana. Dzięki podwójnemu uwierzytelnianiu, naszą tożsamość potwierdzamy nie tylko poprzez wprowadzenie hasła głównego do sejfu LastPass, ale dodatkowo musimy to hasło potwierdzić specjalnym kodem liczbowym wygenerowanym właśnie przez wspomnianą aplikację-token, zainstalowaną na smartfonie. Generalnie zasada podwójnego uwierzytelniania bazuje na dwóch istotnych tajemnicach, którymi dysponuje uprawniony użytkownik: tym co wie (tajne hasło znane tylko jemu) oraz tym co posiada (czyli smartfon z aplikacją-tokenem generującym specjalne kody uwierzytelniające). Dzięki temu nawet w najczarniejszym scenariuszu, kiedy agresor w pełni pozna hasło główne do sejfu LastPass (czy też jakiejkolwiek innej informacji chronionej podwójnym uwierzytelnianiem), nie będzie mógł nic zrobić, bo nie będzie w stanie wygenerować niezbędnego kodu - ten będzie dalej w posiadaniu wyłącznie uprawnionej osoby. W takim przypadku jedynym skutecznym atakiem byłaby nie tylko kradzież hasła głównego (np. z serwera LastPass), ale również kradzież smartfonu użytkownika z zainstalowaną na nim aplikacją-tokenem. Podwójne uwierzytelnianie bardzo utrudnia działania cyberprzestępcom i bardzo podwyższa poziom ochrony danych osób uprawnionych.

Autor: Marek Kowalski

Źródło artykułu:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

Info z oficjalnego blogu LastPass:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[KnightPL]

Re: LastPass zaatakowany - poufne dane użytkowników zagrożon

Właśnie dlatego nie używam takich rzeczy

 

[al]

Re: LastPass zaatakowany - poufne dane użytkowników zagrożon

Dlatego używam KeePass Password Safe a konto LastPass wywaliłem już dawno temu. Brawo JA!

 

[Hefajstos]

Re: LastPass zaatakowany - poufne dane użytkowników zagrożon

Pamięć jeszcze sprawna i wszystkie hasła wklepuję bez potrzeby szyfrowania. Nie mam bólu głowy z ich zabezpieczaniem.

 

[remool]

Re: LastPass zaatakowany - poufne dane użytkowników zagrożon

......osoby, które otrzymają stosowne powiadomienie absolutnie muszą dokonać jak najszybszej zmiany hasła do swojego sejfu w LastPass

Oooo to użytkownicy LP zaczną masowo zmieniać hasła główne z 123456 na qwerty

Tajny Agent wiec jesteś albo posiadaczem super pamięci dla której poniższa przykładowa baza haseł podobna do mojej nie stanowi żadnego problemu albo stosujesz krótkie, nieskomplikowane, powtarzalne w wielu serwisach i łatwe do zapamiętania frazy

:Mù»3ÁA,§Øº¶$Õ8jì{ïÀâ¿Ùûa½ÄÛ!ZWøY¬½
Oð^ôÀv¿áç|háÅ¥uqµ%¨ãE?$,Bño(¤¼áÕ&Yn
DÙóÀâwÁÞ.¿·íf9pù9OmR/û!_ØU³Âô(TÓzÈL
«ðrùÞ6öWÒmoÑõr+¸w7I#£lz¶Ïû*,_¿Ï`ÆAÞ
VÌ~éc¯#4Xu;¸mvËrã ö¦{e3;.½ÿa¯¡>DÎ
Y¯å¹WÙàõuåû-E»úìñÊ>VÖxðN#Lî³ÿyoÙAø&
Böò#[Îãºk¼ËºäZE2ïKIQ_¢)N0F¥ÀP×®ðGýð
þ.iu¿2Ã>$T]D"ÏÝÜ*ÕH"ðÛV¸¯ñdýX^@%(i#
)&2¿:#U1aÌ8îð|&ÿpßòi4¤ÌlÉøP͵üµ)>¿d
ú0㮡ú1LCË6÷y"Ä@ÃÁP@äýÍvB
Òå8Å75MbÅßV{(q}éy¶¦±*ÐÄæ}
1Ûù÷#N+voô®Ö§´Õǯ)l#L-èÌR
5b7(<zer<fcQW0A5FZC#9-4\a
IEAiG&dg7gQ=}[G<ifg=LF%wo
+v&j}k[X@{ROlQ(GL}I|cRW-6
jd=*3Y5!SHWnH(,={4wR=EbpH
3b1)8kH>`n790zWb0eoD-9n+X
D[^e2,3Df<kd6{GFmH8Jm/iOE
$zGQ17(R>MxQh ")^@d*xFVyH
0;;$),xbB^ko!ZKXp@6H-IL~@
gVr,~FX=" ra&92$`0]D~nVwG
`X}U|smFldM"#u/']cmzObUO|5|~i[@,3
tB--rW13e4D(X|5G/vU?4004/OQVmoD^Pei
qtTz-NZ!}Lwp-/iBxG=0G7qA9fEC)ZL{%X@
- 0^\6KA%g2I2\KCEj8Bma$i= IQ/|37y
Wpe1I{'}5]N6 'v=s)?xkn]Tk/CiG} [gBD

BTW nr 1 Dodam jeszcze, że hasło typu dzis1zjadł2emZCi3ociąJ4Adzią scha5bikazKapuStą nie jest mocnym hasłem .
BTW nr 2 Osobiście od zawsze używam KeePass`a

 

[marsellusaliveinНиш]

Re: LastPass zaatakowany - poufne dane użytkowników zagrożon

Kpina, cyrk. Ale nie wiem kto przy zdrowych zmysłach, trzyma ważne hasła w na serwerach jakiejś usługi

 

[artoor]

Re: LastPass zaatakowany - poufne dane użytkowników zagrożon

Nie pamiętam kto to był, ale jakaś amerykańska szycha, której wstyd nie znać, kiś magik co to się wypowiadał w 2-godzinnym podcast'cie nt. bezpieczeństwa, szyfrowania etc., między innymi o tym, że bezwzględnie ufa usłudze LastPass... ciekawe czy zdania nie zmienił.
Ja tam korzystam z 1Password - ale haseł na Dropboxie w żadnym wypadku nie przechowuje.

 

[OXYGEN THIEF]

Re: LastPass zaatakowany - poufne dane użytkowników zagrożon

w sumie dobrze, może to czegoś ludzi nauczy, a trzymanie haseł gdzieś w chmurze to kpina po prostu.

 

[artoor]

Re: LastPass zaatakowany - poufne dane użytkowników zagrożon

To jest to o czym wspominałem powyżej:

Spoiler: pokaż

Zaloguj lub Zarejestruj się aby zobaczyć!

niejaki Steve Gibson się wypowiada nt. LastPass od około 25:30 minuty

 

[Anonymous]

Re: LastPass zaatakowany - poufne dane użytkowników zagrożon

Z brak myślenia zawsze ,wcześniej czy później , ale jednak się płaci

nie korzystam, i nigdy nie będę

 

[Hefajstos]

Re: LastPass zaatakowany - poufne dane użytkowników zagrożon

Tajny Agent wiec jesteś albo posiadaczem super pamięci dla której poniższa przykładowa baza haseł podobna do mojej nie stanowi żadnego problemu albo stosujesz krótkie, nieskomplikowane, powtarzalne w wielu serwisach i łatwe do zapamiętania frazy

Kolego remool. Może się mylę, ale wyczuwam ledwo skrywaną ironię, sarkazm. Tak, nie chwaląc się pamięć mam idealną, bo ją ćwiczę. A myślenie na skróty, lenistwo i naiwna wiara w cudowne programy jak widać nie popłaca. A po wtóre - a przed kim mam się to zbroić po zęby jakimiś kosmicznymi łamańcami, jak Fort Knox nie przymierzając? I kto miałby dybać na skromniutką zawartość mojego kompa? Co ja mam do ukrycia? Kto zechce i tak się włamie, ale czy znajdzie coś ciekawego - to już inna bajka.

 

[artoor]

Re: LastPass zaatakowany - poufne dane użytkowników zagrożon

Jedno mnie zastanawia... dlaczego w artykule proponowane jest aby zmienić hasło główne? Skoro wyciekły hasła główne, to nie tylko je trzeba zmienić, ale hasła do wszystkich serwisów, jakie te osoby posiadały w banku LastPass tak na logikę.