Se você é um dos milhares de usuários do LastPass que se sentiram muito seguros usando a Internet graças a promessas de segurança quase inquebrável, você pode se sentir um pouco menos seguro, sabendo que no dia 15 de junho a empresa anunciou que detectou uma invasão seus servidores.
O LastPass inicialmente enviou uma notificação por e-mail para os usuários, informando-os de que a empresa havia detectado “atividades suspeitas” nos servidores do LastPass, e que os endereços de e-mail e lembretes de senhas haviam sido comprometidos.
A empresa assegurou aos usuários que nenhum dado de cofre criptografado foi comprometido, mas desde as senhas de usuário com hash O que todo esse material de hash MD5 realmente significa [tecnologia explicada] O que todo esse material de hash MD5 realmente significa [tecnologia explicada] MD5, hashing e uma pequena visão geral de computadores e criptografia. Leia mais foi obtido, a empresa aconselhou os usuários a atualizar suas senhas mestres, apenas para ser seguro.
O Hack LastPass Explicado
Esta não é a primeira vez que usuários do LastPass se preocupam com hackers. No ano passado, entrevistamos o CEO da LastPass, Joe Siegrist Joe Siegrist, do LastPass: A verdade sobre a segurança de senhas, após a ameaça Heartbleed, onde suas garantias tranquilizaram os usuários.
Esta última violação ocorreu no final da semana anterior ao anúncio. No momento em que foi detectado e identificado como uma invasão de segurança, os invasores se livraram dos endereços de e-mail, das perguntas e respostas do lembrete de senhas, das senhas de usuário e dos sais criptográficos. Torne-se um Steganographer Secreto: Ocultar e Criptografar seus Arquivos Torne-se um Steganographer Secreto: Ocultar e criptografar seus arquivos Leia mais.
A boa notícia é que a segurança do sistema LastPass foi projetada para resistir a esses ataques. A única maneira de acessar suas senhas de texto simples seria os hackers descriptografarem as senhas mestras bem protegidas. Use uma estratégia de gerenciamento de senhas para simplificar sua vida Use uma estratégia de gerenciamento de senhas para simplificar sua vida Muitos dos conselhos sobre senhas estão próximos -impossível de seguir: use uma senha forte contendo números, letras e caracteres especiais; altere-o regularmente; venha com uma senha completamente original para cada conta, etc .... Leia mais.
Devido ao mecanismo usado para criptografar sua senha mestra, seriam necessários enormes quantidades de recursos do computador para descriptografá-la - recursos aos quais a maioria dos hackers de pequeno e médio porte não tem acesso.
A razão pela qual você está tão protegido quando usa o LastPass é porque o mecanismo que torna a senha mestra tão difícil de obter é chamado de “hashing lento” ou “hashing com sal”.
Como funciona o hash
O LastPass usa uma das técnicas de criptografia mais seguras do mundo, chamada de hashing com sal.
O "sal" é um código que é gerado usando uma ferramenta de criptografia - uma espécie de gerador de números aleatórios avançados 5 Geradores de senhas grátis para senhas quase inacessíveis 5 geradores de senhas grátis para senhas quase violáveis Leia mais criado especificamente para segurança, se você quiser. Essas ferramentas criam códigos completamente imprevisíveis quando você cria sua senha mestra.
O que acontece quando você cria sua conta é a senha "hash" usando um desses números "salt" gerados aleatoriamente (e muito longos). Estes nunca são reutilizados - são exclusivos para todos os usuários e todas as senhas. Finalmente, na tabela de contas de usuários, você encontrará apenas o sal e o hash.
A versão real do texto da sua senha mestra nunca é armazenada nos servidores LastPass, portanto, os hackers não têm acesso a ela. Tudo o que conseguiram obter nessa intrusão foram esses sais aleatórios e os hashes codificados.
Portanto, a única maneira pela qual o LastPass (ou qualquer um) pode validar sua senha é:
- Recupere o hash e sal da tabela do usuário.
- Use o salt na senha que o usuário digita, usando a mesma função de hash que foi usada quando a senha foi gerada.
- O hash resultante é comparado ao hash armazenado para ver se é uma correspondência.
Hoje em dia, os hackers são capazes de gerar bilhões de hashes por segundo, então por que um hacker não pode usar a força bruta para quebrar essas senhas Ophcrack - Uma ferramenta de corte de senha para quebrar quase qualquer senha do Windows Ophcrack - Uma ferramenta de senha para crack Quase todas as senhas do Windows Há muitas razões diferentes pelas quais alguém poderia querer usar qualquer número de ferramentas de invasão de senha para hackear uma senha do Windows. Consulte Mais informação ? Esta segurança extra é graças ao slow-hashing.
Por que o Hashing Lento Protege Você
Em um ataque como este, é realmente a parte lenta da segurança do LastPass que realmente protege você.
O LastPass faz com que a função hash usada para verificar a senha (ou criá-la) funcione muito lentamente. Isso essencialmente coloca as quebras em qualquer operação de força bruta de alta velocidade que exija velocidade para bombear bilhões de possíveis hashes. Não importa o quanto de poder computacional A última tecnologia de computador que você precisa ver para acreditar na mais recente tecnologia de computador que você precisa ver Confira algumas das mais recentes tecnologias de computador que estão prontas para transformar o mundo de eletrônicos e PCs nos próximos anos . Leia mais o sistema de hackers tem, o processo para quebrar a criptografia ainda levará uma eternidade, essencialmente tornando os ataques de força bruta inúteis.
Além disso, o LastPass não apenas executa o algoritmo de hash uma vez, eles o executam milhares de vezes em seu computador e, em seguida, novamente no servidor.
Veja como o LastPass explicou seu próprio processo para os usuários em um post após este último ataque:
“Nós hash tanto o nome de usuário e senha mestre no computador do usuário com 5.000 rodadas de PBKDF2-SHA256, um algoritmo de fortalecimento de senha. Isso cria uma chave, na qual realizamos outra rodada de hashing, para gerar o hash de autenticação de senha mestra. ”
O Help Desk do LastPass tem um post que descreve como o LastPass utiliza o slow-hashing:
O LastPass optou por usar o SHA-256, um algoritmo de hash mais lento que fornece mais proteção contra ataques de força bruta. O LastPass utiliza a função PBKDF2 implementada com o SHA-256 para transformar sua senha mestra em sua chave de criptografia.
O que isso significa é que, apesar dessa recente falha de segurança, suas senhas ainda são muito seguras, mesmo que seu endereço de e-mail não seja.
E se minha senha for fraca?
Há um ponto excelente no blog do LastPass sobre senhas fracas. Muitos usuários estão preocupados com o fato de não terem inventado uma senha única e suficiente, e que esses hackers poderão adivinhar sem muito esforço.
Há também o risco remoto de que sua conta seja uma das que os hackers estão perdendo tempo tentando decifrar, e há sempre a possibilidade remota de que eles possam obter com sucesso sua senha mestra. O que então?
O resultado é que todo esse esforço seria desperdiçado, já que o login de outro dispositivo requer verificação por e-mail - seu e-mail - antes que o acesso seja concedido. Do blog do LastPass:
“Se o invasor tentar obter acesso aos seus dados usando essas credenciais para fazer login na sua conta do LastPass, elas serão interrompidas por uma notificação, solicitando que primeiro confirmem o endereço de e-mail delas.”
Então, a menos que eles possam de alguma forma invadir sua conta de e-mail, além de descriptografar um algoritmo quase indecifrável, você realmente não tem nada com o que se preocupar.
Devo alterar minha senha mestra?
Se você quer ou não mudar sua senha mestra realmente se resume a quão paranoico ou infeliz você se sente. Se você acha que pode ser a única pessoa infeliz que tem sua senha quebrada por hackers talentosos que são capazes de decifrar de alguma forma a rotina de hashing de 100.000 rounds do LastPass e um código de sal que é único para você?
Por todos os meios, se você se preocupa com essas coisas, mude sua senha apenas para ter paz de espírito. Isso significa que pelo menos o seu sal e hash, nas mãos de hackers, se torna inútil.
No entanto, existem especialistas em segurança que não estão nada preocupados, como o especialista em segurança Jeremi Gosney, do Structure Group, que disse aos repórteres:
“O padrão é de 5.000 iterações, portanto, no mínimo, estamos analisando 105.000 iterações. Na verdade, tenho o meu definido para 65.000 iterações, o que representa um total de 165.000 iterações protegendo minha frase secreta do Diceware. Então não, definitivamente não estou suando essa brecha. Eu nem me sinto obrigado a mudar minha senha mestra. ”
A única preocupação real que você deve ter com essa violação de dados é que os hackers agora têm seu endereço de e-mail, que poderiam ser usados para conduzir expedições de phishing em massa para tentar convencer as pessoas a desistirem de suas várias senhas de conta - ou talvez façam algo tão mundano como vender todos esses emails de usuários para spammers no mercado negro.
A conclusão é que o risco dessa invasão de segurança permanece mínimo, graças à segurança esmagadora do sistema LastPass. Mas o bom senso diz que sempre que os hackers obtiverem os detalhes da sua conta - mesmo protegidos por milhares de iterações criptográficas avançadas - é sempre bom alterar sua senha mestra, mesmo que seja para tranqüilidade.
A violação de segurança do LastPass deixou você muito preocupado com a segurança do LastPass ou está confiante na segurança de sua conta? Compartilhe seus pensamentos e preocupações na seção de comentários abaixo.
Créditos da imagem: trava de segurança penetrada via Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock