Οι υπεύθυνοι της cloud based LastPass προειδοποιούν τους χρήστες πως έπεσαν θύματα επίθεσης και υποκλάπηκαν από τους servers τους κρυπτογραφικά προστατευμένα passwords και άλλα ευαίσθητα δεδομένα χρηστών.
Πρόκειται για την δεύτερη παραβίαση στα συστήματα της LastPass τα τελευταία 4 χρόνια.
Οι άγνωστοι πίσω από την επίθεση έχουν στην κατοχή τους hashed user passwords, cryptographic salts, υπενθυμίσεις για password recovery και διευθύνσεις email, αλλά όπως έγραψε ο CEO της Joe Siegrist, δεν υπάρχουν ενδείξεις πως μπόρεσαν να ανοίξουν τα κρυπτογραφημένα user vaults, μέσα στα οποία αποθηκεύονται σε μορφή κειμένου τα passwords τους. Αυτό συνέβη αφού τα master passwords προστατεύονται με έναν εξαιρετικά αργό μηχανισμό hashing που απαιτεί πολύ μεγάλη υπολογιστική δύναμη για να λειτουργήσει.
"We are confident that our encryption measures are sufficient to protect the vast majority of users," Siegrist wrote. "LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side.
This additional strengthening makes it difficult to attack the stolen hashes with any significant speed."
Σαν αποτέλεσμα της επίθεσης και για προληπτικούς λόγους, η LastPass καλεί τους χρήστες της να αλλάξουν τα master passwords τους και να ενεργοποιήσουν το multifactor authenticator.
Πηγή : Arstechnica
Εμφάνιση 1-15 από 23
-
16-06-15, 10:50 Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.821
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
16-06-15, 11:48 Απάντηση: Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #2
μου ηρθε μειλ το πρωι,οτι δεν υπεκλαπη τπτ..μαλιστα
VAMOS ARIS
-
16-06-15, 12:14 Re: Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #3
Τα λέγαμε, αλλά ... όταν η ευκολία υπερβαίνει την ασφάλεια, η ελευθερία καταπατιέται.
Όσοι το χάλκεον χέρι βαρύ του φόβου αισθάνονται,ζυγόν δουλείας ας έχωσι, θέλει αρετήν και τόλμην η ελευθερία. Ανδρέας Κάλβος
There is some shit, I will not eat. e.e.cummings
30 Hours per Week
-
16-06-15, 12:17 Απάντηση: Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #4
Για αυτο δεν μου αρεσαν ποτε οι cloud φιλοξενιες των passwords. Ασχετα οτι ειναι κρυπτογραφημενα και πιθανον να μην καταφερουν να αποκρυπτογραφηθουν. Και μονο οτι τα εχεις online, σου δημιουργει μια ανασφαλεια, εστω και μικρη. Για αυτο τοπικα με keepass.
-
16-06-15, 13:07 Απάντηση: Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #5
-
16-06-15, 13:37 Απάντηση: Re: Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #6
-
16-06-15, 13:40 Απάντηση: Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #7
Εγώ ακόμα δεν έχω καταλάβει πως γίνονται αυτές οι "επιθέσεις" που έχουν ως αποτέλεσμα να κλέβουν δεδομένα...
-
16-06-15, 13:45 Απάντηση: Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #8
Μια απορία γιατί δεν το έπιασα !
Όταν λέει αργό τι εννοεί ? Το encryption του master password... ή το decryption ...?
- - - Updated - - -
"Αυτό συνέβη αφού τα master passwords προστατεύονται με έναν εξαιρετικά αργό μηχανισμό hashing που απαιτεί πολύ μεγάλη υπολογιστική δύναμη για να λειτουργήσει."
Το bold δεν κατάλαβα !
Αυτό σημαίνει ότι η κρυπτογράφηση των κωδικών γίνετε σε 2ο χρόνο σε σχέση με την αποθήκευση και ότι για λίγο διάστημα οι κωδικοί είναι εκτεθειμένοι ?
Αν ναι υπάρχουν τότε χρήστες που την πάτησαν ... Κυρίως αυτοί που ήταν οι τελευταίο που άλλαξαν/δημιούργησαν κωδικό !
? ε ?
- - - Updated - - -
Τι εννοείς ? Αναλυτικά δεν το ξέρω αλλά φαντάζομαι με διάφορους τρόπους και ανάλογα με τις αδυναμίες τω συστημάτων της lastpass !
-
16-06-15, 13:49 Απάντηση: Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #9
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.821
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
Περί αργού hashing
Update: In an e-mail to reporters, Ars resident password expert Jeremi Gosney said the real-world risks the breach posed to end users was minimal. He based his assessment on the LastPass response to the breach and the system that was in place when it happened. He paid particular attention to the 100,000-round hashing routine, which he said was among the strongest he has ever seen. Gosney, a password security expert at Stricture Group, wrote:
On an NVIDIA GTX Titan X, which is currently the fastest GPU for password cracking, an attacker would only be able to make fewer than 10,000 guesses per second for a single password hash. That is proper slow! Even weak passwords are fairly secure with that level of protection (unless you’re using an absurdly weak password.) And this doesn’t even account for the number of client-side iterations, which is user-configurable. The default is 5,000 iterations, so at a minimum we’re looking at 105,000 iterations. I actually have mine set to 65,000 iterations, so that’s a total of 165,000 iterations protecting my Diceware passphrase. So no, I’m definitely not sweating this breach. I don’t even feel compelled to change my master password.
Post updated to correct Jeremi Gosney's math in the last paragraph. Gosney previously said an attacker with an Nvidia GTX Titan X would be able to make only 10 guesses per second. He later discovered an error in his calculations and concluded that the correct number of guesses per second was 10,000. He said 10,000 guesses per second remains extremely slow, and he stands by the rest of what he had to say.
We'll build a fortress to keep them out and in a world gone silent I'll be your sound and if they try to hurt you I'll tear them down I'm always with you now....
I forgot that I might see, so many Beautiful things
everything that has a beginning has an end
See the mirror in your eyes-see the truth behind your lies-your lies are haunting me See the reason in your eyes-giving answer to the why- your eyes are haunting me
-
16-06-15, 14:45 Απάντηση: Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #10
Ναι οκ ...αυτός μιλάει όμως για 1 GPU !
Πολλές GPU από πολλά μηχανάκια που βλέπουν κοινή βάση με guesses .... όμως !
Δεν είναι εύκολο παραταύτα !
-
16-06-15, 16:50 Απάντηση: Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #11
δεν λειτουργεί έτσι η κρυπτογραφία.
Για να κάτσει κάποιος να βάλει τα απαιτούμενα μηχανήματα (κατι εκατομμύρια gpu δηλαδή) για να σπάσει το salt της lastpass θέλει χρόνια.
Έστω όμως οτι το καταφέρνει.
Από εκει και πέρα, τι resources θα χρησιμοποιήσει για να σπάσει ενα random user password; θα κάτσει να πληρώνει ρεύμα κλπ κλπ για να δει κωδικούς που δεν ξέρει σίγουρα αν θα του φέρουν κάποιο σοβαρό οικονομικό όφελος; ΟΧΙ.See first, think later, then test. But always see first. Otherwise you will only see what you were expecting. Most scientists forget that. - Douglas Adams
There's no right, there's no wrong, there's only popular opinion. - Jeffrey Goines (12 Monkeys)
-
16-06-15, 17:00 Απάντηση: Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #12
Για μένα το πιο σημαντικό είναι τα password reminders που χάθηκαν, γιατί χρησιμοποιούνται σε πολλά sites. Αν είχα lastpass, θα άλλαζα όλα τα password reminders σε άλλα sites που είναι ίδια με το lastpass, αλλά ποιος θυμάται ποιο reminder έχει σε κάθε site;
-
16-06-15, 19:06 Απάντηση: Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #13
γιατί να προτιμά κάποιος μια τέτοια υπηρεσία και να μην κρατάει το κρυπτογραφημένο αρχείο κωδικών στον υπολογιστή του;
Σεβασμός & Απειθαρχία
δεν αντέχετε το 50-50
δεν το αντέχετε
-
16-06-15, 20:30 Απάντηση: Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #14
-
16-06-15, 21:54 Απάντηση: Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών #15
Παρόμοια Θέματα
-
Ο ICANN πέφτει θύμα επίθεσης με αποτέλεσμα την διαρροή πολλών πληροφοριών
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 7Τελευταίο Μήνυμα: 19-12-14, 05:14 -
Θύμα επίθεσης το Xbox Live
Από Comicfan στο φόρουμ ΕιδήσειςΜηνύματα: 1Τελευταίο Μήνυμα: 08-12-14, 13:24 -
Εκατομμύρια sites που χρησιμοποιούν την πλατφόρμα διαχείρισης Drupal έπεσαν θύμα επίθεσης
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 6Τελευταίο Μήνυμα: 04-11-14, 19:37 -
Θύμα του Shellshock bug servers της Yahoo χωρίς να υποκλαπούν δεδομένα
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 14Τελευταίο Μήνυμα: 08-10-14, 15:09 -
Το Playstation Network της Sony πέφτει θύμα επίθεσης DDOS
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 3Τελευταίο Μήνυμα: 26-08-14, 10:24
Bookmarks