Si vous êtes l'un des milliers d'utilisateurs de LastPass qui se sont sentis très en sécurité sur Internet grâce à des promesses de sécurité quasi incassable, vous vous sentirez peut-être un peu moins en sécurité en sachant que le 15 juin, ils ont détecté une intrusion leurs serveurs.
LastPass a initialement envoyé un avis par courrier électronique aux utilisateurs les informant que la société avait détecté une «activité suspecte» sur les serveurs LastPass et que les adresses e-mail des utilisateurs et les rappels de mot de passe avaient été compromis.
La société a assuré aux utilisateurs qu'aucune donnée de coffre cryptée n'avait été compromise, mais depuis les mots de passe de l'utilisateur hashed Ce que signifie tout ce truc de hachage MD5 [Explication technologique] Ce que signifie tout ce hachage MD5 [Explication de la technologie] MD5, hachage et un petit aperçu des ordinateurs et de la cryptographie. Read More a été obtenu, la société a conseillé aux utilisateurs de mettre à jour leurs mots de passe, juste pour être sûr.
The LastPass Hack expliqué
Ce n'est pas la première fois que les utilisateurs de LastPass se préoccupent des pirates informatiques. L'année dernière, nous avons interviewé le PDG de LastPass, Joe Siegrist, Joe Siegrist de LastPass: La vérité sur votre mot de passe. Sécurité Joe Siegrist de LastPass: La vérité sur votre sécurité par mot de passe.
Cette dernière violation a eu lieu la semaine dernière avant l'annonce. Au moment où il a été détecté et identifié comme une intrusion de sécurité, les attaquants se sont débarrassés des adresses e-mail des utilisateurs, des questions / réponses de rappel de mot de passe, des mots de passe hachés et des sels cryptographiques. Masquer et crypter vos fichiers En savoir plus.
La bonne nouvelle est que la sécurité du système LastPass a été conçue pour résister à de telles attaques. La seule façon d'accéder à vos mots de passe en texte clair serait pour les pirates de déchiffrer les mots de passe maîtres bien sécurisés Utilisez une stratégie de gestion de mot de passe pour simplifier votre vie Utilisez une stratégie de gestion de mot de passe pour simplifier votre vie -impossible de suivre: utiliser un mot de passe fort contenant des chiffres, des lettres et des caractères spéciaux; changez-le régulièrement; trouver un mot de passe unique pour chaque compte, etc .... En savoir plus.
En raison du mécanisme utilisé pour crypter votre mot de passe principal, il faudrait de grandes quantités de ressources informatiques pour le déchiffrer - des ressources auxquelles la plupart des pirates de petite et moyenne taille n'ont pas accès.
La raison pour laquelle vous êtes si protégé lorsque vous utilisez LastPass est que ce mécanisme qui rend le mot de passe principal si difficile à obtenir est appelé "hachage lent" ou "hachage avec salt".
Comment Hashing fonctionne
LastPass utilise l'une des techniques de cryptage les plus sûres au monde, appelée hachage avec du sel.
Le «sel» est un code qui est généré à l'aide d'un outil de cryptographie - une sorte de générateur de nombres aléatoires avancés 5 Générateurs de mot de passe gratuits pour les mots de passe presque incontrôlables 5 Générateurs de mot de passe pour les mots de passe presque incontrôlables. Ces outils créent des codes complètement imprévisibles lorsque vous créez votre mot de passe principal.
Ce qui se passe lorsque vous créez votre compte est que le mot de passe est "haché" en utilisant l'un de ces nombres "salt" générés aléatoirement (et très long). Ceux-ci ne sont jamais réutilisés - ils sont uniques pour chaque utilisateur et chaque mot de passe. Enfin, dans la table des comptes utilisateur, vous ne trouverez que le sel et le hachage.
La version texte de votre mot de passe principal n'est jamais stockée sur les serveurs LastPass, les pirates n'ont donc pas accès à ce dernier. Tout ce qu'ils ont pu obtenir dans cette intrusion, ce sont ces sels aléatoires et les hachages codés.
Ainsi, la seule façon dont LastPass (ou n'importe qui) peut valider votre mot de passe est:
- Récupérez le hachage et le sel de la table utilisateur.
- Utilisez le sel sur le mot de passe saisi par l'utilisateur, en le hachant à l'aide de la même fonction de hachage que celle utilisée lors de la génération du mot de passe.
- Le hachage résultant est comparé au hachage stocké pour voir si c'est une correspondance.
Ophcrack - Un outil de piratage de mot de passe pour casser presque n'importe quel mot de passe de Windows Ophcrack - un outil de piratage de mot de passe pour se fissurer Ces jours-ci, les pirates sont capables de générer des milliards de hachages par seconde, alors pourquoi un pirate ne peut-il pas utiliser la force brute? Presque n'importe quel mot de passe Windows Il y a beaucoup de raisons différentes pour lesquelles on voudrait utiliser n'importe quel nombre d'outils de piratage de mot de passe pour pirater un mot de passe Windows. Lire la suite ? Cette sécurité supplémentaire est due au lent-hachage.
Pourquoi le hachage lent vous protège
Dans une attaque comme celle-ci, c'est vraiment la partie slow-hashing de la sécurité LastPass qui vous protège vraiment.
LastPass rend la fonction de hachage utilisée pour vérifier le mot de passe (ou le créer) très lentement. Ceci met essentiellement les ruptures sur n'importe quelle opération à haute vitesse, force brute qui exige la vitesse afin de pomper par des milliards de hashs possibles. Quelle que soit la puissance de calcul La technologie informatique la plus récente à avoir à l'esprit pour comprendre les dernières technologies informatiques à avoir à l'esprit Découvrez quelques-unes des dernières technologies informatiques destinées à transformer le monde de l'électronique et des PC au cours des prochaines années . En savoir plus sur le système du hacker, le processus visant à briser le cryptage prendra toujours une éternité, ce qui rendra les attaques par force brute inutiles.
En plus de cela, LastPass ne se contente pas d'exécuter l'algorithme de hachage une seule fois, il l'exécute des milliers de fois sur votre ordinateur, puis de nouveau sur le serveur.
Voici comment LastPass a expliqué son propre processus aux utilisateurs dans un article de blog suite à cette dernière attaque:
"Nous avons haché le nom d'utilisateur et le mot de passe principal sur l'ordinateur de l'utilisateur avec 5000 tours de PBKDF2-SHA256, un algorithme de renforcement de mot de passe. Cela crée une clé, sur laquelle nous effectuons un autre cycle de hachage, pour générer le hachage d'authentification du mot de passe principal. "
Le service d'assistance de LastPass a un article qui décrit comment LastPass utilise le hachage lent:
LastPass a choisi d'utiliser SHA-256, un algorithme de hachage plus lent qui fournit plus de protection contre les attaques par force brute. LastPass utilise la fonction PBKDF2 implémentée avec SHA-256 pour transformer votre mot de passe principal en clé de chiffrement.
Cela signifie que malgré cette récente faille de sécurité, vos mots de passe sont encore très sécurisés, même si votre adresse e-mail ne l'est pas.
Que faire si mon mot de passe est faible?
Il y a un excellent point soulevé sur le blog LastPass concernant les mots de passe faibles. Beaucoup d'utilisateurs s'inquiètent du fait qu'ils n'ont pas imaginé un mot de passe unique, et que ces pirates seront capables de le deviner sans trop d'efforts.
Il y a aussi le risque à distance que votre compte soit l'un de ceux que les pirates perdent leur temps à essayer de déchiffrer, et il y a toujours la possibilité à distance qu'ils puissent obtenir votre mot de passe principal. Quoi alors?
L'essentiel est que tout cet effort serait gaspillé, puisque se connecter depuis un autre appareil nécessite une vérification par email - votre email - avant que l'accès ne soit accordé. Sur le blog LastPass:
"Si l'attaquant tentait d'accéder à vos données en utilisant ces informations d'identification pour se connecter à votre compte LastPass, il serait arrêté par une notification lui demandant de vérifier d'abord son adresse e-mail."
Donc, à moins qu'ils ne puissent en quelque sorte pirater votre compte e-mail en plus de décrypter un algorithme presque incontrôlable, vous n'avez vraiment rien à craindre.
Devrais-je changer mon mot de passe principal?
Si vous voulez ou non changer votre mot de passe maître se résume vraiment à la façon paranoïaque ou malchanceux que vous ressentez. Si vous pensez que vous êtes la personne malchanceuse qui a son mot de passe piraté par des hackers talentueux qui sont en mesure de déchiffrer d'une manière ou d'une autre la routine de hachage de 100 000 tours de LastPass et un code sel unique pour vous?
Par tous les moyens, si vous vous inquiétez de telles choses, changez votre mot de passe pour la tranquillité d'esprit. Cela signifie qu'au moins votre sel et votre hachage, entre les mains des hackers, deviennent inutiles.
Cependant, il y a des experts en sécurité qui ne sont pas du tout concernés, comme l'expert en sécurité Jeremi Gosney du groupe Structure qui a déclaré aux journalistes:
"La valeur par défaut est de 5 000 itérations, donc au minimum, nous examinons 105 000 itérations. En fait, j'ai le mien réglé à 65 000 itérations, donc un total de 165 000 itérations protégeant ma phrase secrète Diceware. Donc non, je ne suis définitivement pas en train de transpirer cette brèche. Je ne me sens même pas obligé de changer mon mot de passe principal. "
La seule vraie inquiétude que vous devriez avoir à propos de cette violation de données est que les pirates ont maintenant votre adresse e-mail, qu'ils pourraient utiliser pour mener des expéditions de phishing de masse pour essayer de tromper leurs utilisateurs. comme la vente de tous ces courriels d'utilisateurs aux spammeurs sur le marché noir.
L'essentiel est que le risque de cette intrusion de sécurité reste minime, grâce à la sécurité écrasante du système LastPass. Mais le bon sens indique que chaque fois que les pirates ont obtenu les détails de votre compte - même protégés par des milliers d'itérations cryptographiques avancées - il est toujours bon de changer votre mot de passe principal, même si c'est pour votre tranquillité d'esprit.
La violation de sécurité LastPass vous a-t-elle inquiété de la sécurité de LastPass, ou êtes-vous sûr de la sécurité de votre compte? Partagez vos pensées et vos préoccupations dans la section des commentaires ci-dessous.
Crédits image: verrouillage sécurisé via Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock