Θύμα επίθεσης η LastPass υπεκλάπησαν κρυπτογραφημένα δεδομένα χρηστών

[nnn]

Οι υπεύθυνοι της cloud based LastPass προειδοποιούν τους χρήστες πως έπεσαν θύματα επίθεσης και υποκλάπηκαν από τους servers τους κρυπτογραφικά προστατευμένα passwords και άλλα ευαίσθητα δεδομένα χρηστών.

Πρόκειται για την δεύτερη παραβίαση στα συστήματα της LastPass τα τελευταία 4 χρόνια.

Οι άγνωστοι πίσω από την επίθεση έχουν στην κατοχή τους hashed user passwords, cryptographic salts, υπενθυμίσεις για password recovery και διευθύνσεις email, αλλά όπως έγραψε ο CEO της Joe Siegrist, δεν υπάρχουν ενδείξεις πως μπόρεσαν να ανοίξουν τα κρυπτογραφημένα user vaults, μέσα στα οποία αποθηκεύονται σε μορφή κειμένου τα passwords τους. Αυτό συνέβη αφού τα master passwords προστατεύονται με έναν εξαιρετικά αργό μηχανισμό hashing που απαιτεί πολύ μεγάλη υπολογιστική δύναμη για να λειτουργήσει.

"We are confident that our encryption measures are sufficient to protect the vast majority of users," Siegrist wrote. "LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side.

This additional strengthening makes it difficult to attack the stolen hashes with any significant speed."

Σαν αποτέλεσμα της επίθεσης και για προληπτικούς λόγους, η LastPass καλεί τους χρήστες της να αλλάξουν τα master passwords τους και να ενεργοποιήσουν το multifactor authenticator.

Πηγή : Arstechnica

[blade_]

μου ηρθε μειλ το πρωι,οτι δεν υπεκλαπη τπτ..μαλιστα

[konenas]

Τα λέγαμε, αλλά ... όταν η ευκολία υπερβαίνει την ασφάλεια, η ελευθερία καταπατιέται.

[runner70]

Για αυτο δεν μου αρεσαν ποτε οι cloud φιλοξενιες των passwords. Ασχετα οτι ειναι κρυπτογραφημενα και πιθανον να μην καταφερουν να αποκρυπτογραφηθουν. Και μονο οτι τα εχεις online, σου δημιουργει μια ανασφαλεια, εστω και μικρη. Για αυτο τοπικα με keepass.

[phantom77]

μου ηρθε μειλ το πρωι,οτι δεν υπεκλαπη τπτ..μαλιστα

Αυτό ακριβώς:

No encrypted user vault data was taken, however other data, including email addresses and password reminders, was compromised.

Το password reminder ας το πάρουν. Ούτε εμένα βοηθάει να θυμηθώ το password

[DVader]

Τα λέγαμε, αλλά ... όταν η ευκολία υπερβαίνει την ασφάλεια, η ελευθερία καταπατιέται.

Μαζί σου !

- - - Updated - - -

Για αυτο δεν μου αρεσαν ποτε οι cloud φιλοξενιες των passwords. Ασχετα οτι ειναι κρυπτογραφημενα και πιθανον να μην καταφερουν να αποκρυπτογραφηθουν. Και μονο οτι τα εχεις online, σου δημιουργει μια ανασφαλεια, εστω και μικρη. Για αυτο τοπικα με keepass.

Speechless

[Atilas]

Εγώ ακόμα δεν έχω καταλάβει πως γίνονται αυτές οι "επιθέσεις" που έχουν ως αποτέλεσμα να κλέβουν δεδομένα...

[DVader]

Μια απορία γιατί δεν το έπιασα !

Όταν λέει αργό τι εννοεί ? Το encryption του master password... ή το decryption ...?

- - - Updated - - -

"Αυτό συνέβη αφού τα master passwords προστατεύονται με έναν εξαιρετικά αργό μηχανισμό hashing που απαιτεί πολύ μεγάλη υπολογιστική δύναμη για να λειτουργήσει."

Το bold δεν κατάλαβα !

Αυτό σημαίνει ότι η κρυπτογράφηση των κωδικών γίνετε σε 2ο χρόνο σε σχέση με την αποθήκευση και ότι για λίγο διάστημα οι κωδικοί είναι εκτεθειμένοι ?
Αν ναι υπάρχουν τότε χρήστες που την πάτησαν ... Κυρίως αυτοί που ήταν οι τελευταίο που άλλαξαν/δημιούργησαν κωδικό !

? ε ?

- - - Updated - - -

Εγώ ακόμα δεν έχω καταλάβει πως γίνονται αυτές οι "επιθέσεις" που έχουν ως αποτέλεσμα να κλέβουν δεδομένα...

Τι εννοείς ? Αναλυτικά δεν το ξέρω αλλά φαντάζομαι με διάφορους τρόπους και ανάλογα με τις αδυναμίες τω συστημάτων της lastpass !

[nnn]

Μια απορία γιατί δεν το έπιασα !

Όταν λέει αργό τι εννοεί ? Το encryption του master password... ή το decryption ...?

- - - Updated - - -

"Αυτό συνέβη αφού τα master passwords προστατεύονται με έναν εξαιρετικά αργό μηχανισμό hashing που απαιτεί πολύ μεγάλη υπολογιστική δύναμη για να λειτουργήσει."

Το bold δεν κατάλαβα !

Αυτό σημαίνει ότι η κρυπτογράφηση των κωδικών γίνετε σε 2ο χρόνο σε σχέση με την αποθήκευση και ότι για λίγο διάστημα οι κωδικοί είναι εκτεθειμένοι ?
Αν ναι υπάρχουν τότε χρήστες που την πάτησαν ... Κυρίως αυτοί που ήταν οι τελευταίο που άλλαξαν/δημιούργησαν κωδικό !

? ε ?

- - - Updated - - -



Τι εννοείς ? Αναλυτικά δεν το ξέρω αλλά φαντάζομαι με διάφορους τρόπους και ανάλογα με τις αδυναμίες τω συστημάτων της lastpass !

Περί αργού hashing

Update: In an e-mail to reporters, Ars resident password expert Jeremi Gosney said the real-world risks the breach posed to end users was minimal. He based his assessment on the LastPass response to the breach and the system that was in place when it happened. He paid particular attention to the 100,000-round hashing routine, which he said was among the strongest he has ever seen. Gosney, a password security expert at Stricture Group, wrote:

On an NVIDIA GTX Titan X, which is currently the fastest GPU for password cracking, an attacker would only be able to make fewer than 10,000 guesses per second for a single password hash. That is proper slow! Even weak passwords are fairly secure with that level of protection (unless you’re using an absurdly weak password.) And this doesn’t even account for the number of client-side iterations, which is user-configurable. The default is 5,000 iterations, so at a minimum we’re looking at 105,000 iterations. I actually have mine set to 65,000 iterations, so that’s a total of 165,000 iterations protecting my Diceware passphrase. So no, I’m definitely not sweating this breach. I don’t even feel compelled to change my master password.

Post updated to correct Jeremi Gosney's math in the last paragraph. Gosney previously said an attacker with an Nvidia GTX Titan X would be able to make only 10 guesses per second. He later discovered an error in his calculations and concluded that the correct number of guesses per second was 10,000. He said 10,000 guesses per second remains extremely slow, and he stands by the rest of what he had to say.

[DVader]

Ναι οκ ...αυτός μιλάει όμως για 1 GPU !

Πολλές GPU από πολλά μηχανάκια που βλέπουν κοινή βάση με guesses .... όμως !

Δεν είναι εύκολο παραταύτα !

[xhaos]

Ναι οκ ...αυτός μιλάει όμως για 1 GPU !

Πολλές GPU από πολλά μηχανάκια που βλέπουν κοινή βάση με guesses .... όμως !

Δεν είναι εύκολο παραταύτα !

δεν λειτουργεί έτσι η κρυπτογραφία.
Για να κάτσει κάποιος να βάλει τα απαιτούμενα μηχανήματα (κατι εκατομμύρια gpu δηλαδή) για να σπάσει το salt της lastpass θέλει χρόνια.
Έστω όμως οτι το καταφέρνει.
Από εκει και πέρα, τι resources θα χρησιμοποιήσει για να σπάσει ενα random user password; θα κάτσει να πληρώνει ρεύμα κλπ κλπ για να δει κωδικούς που δεν ξέρει σίγουρα αν θα του φέρουν κάποιο σοβαρό οικονομικό όφελος; ΟΧΙ.

[tsigarid]

Για μένα το πιο σημαντικό είναι τα password reminders που χάθηκαν, γιατί χρησιμοποιούνται σε πολλά sites. Αν είχα lastpass, θα άλλαζα όλα τα password reminders σε άλλα sites που είναι ίδια με το lastpass, αλλά ποιος θυμάται ποιο reminder έχει σε κάθε site;

[raspoutiv]

γιατί να προτιμά κάποιος μια τέτοια υπηρεσία και να μην κρατάει το κρυπτογραφημένο αρχείο κωδικών στον υπολογιστή του;

[DVader]

γιατί να προτιμά κάποιος μια τέτοια υπηρεσία και να μην κρατάει το κρυπτογραφημένο αρχείο κωδικών στον υπολογιστή του;

Δεν είναι όλοι γνώστες σαν και εμάς και η διαδικασία αυτή ακούγετε εξωγήινη !
Σε υπηρεσίες σαν την LastPass αυτοματοποιούν την όλη ιστορία των κωδικών στα εκάστοτε σιτε !....

[pakitis]

Κι εμένα μου ήρθε το e-mail. Δεν αλλάζω ούτε masterpass ούτε τίποτα. Βαριέμαι...