El fabricant d'emmagatzematge de contrasenyes S'ha anunciat LastPass Dilluns, la pitjor notícia possible per a una empresa del seu negoci: la seva base de dades de contrasenyes es va trencar i la informació del compte d'usuari es va robar. Com que LastPass permet l'emmagatzematge central i la sincronització del vostre magatzem de dades (la volta de contrasenyes i altra informació que utilitzeu amb la seva aplicació i lloc web), algú que pugui descobrir la vostra contrasenya mestra aparentment tindria accés a tots els vostres secrets.
Afortunadament, LastPass sembla haver emprat prou capes de seguretat de la manera correcta perquè fins i tot aquesta escala de fallades no us hauria de recuperar. Anem a revisar quins riscos esteu exposats si sou un usuari de LastPass i quins passos hauríeu de fer per reduir-los.
Anem volta i volta
El primer programari d'emmagatzematge de contrasenyes en ordinadors de sobretaula i telèfons intel·ligents es va veure obstaculitzat tant per la baixa potència computacional disponible com per problemes d'implementació. En un informe del 2012, la firma de programari forense digital Elcomsoft va trobar defectes en 17 aplicacions de gestió de contrasenyes per a telèfons intel·ligents, algunes greus. (Alguns d'aquests problemes també es van reflectir a les versions d'escriptori.) Aquest informe va estimular les solucions i el desenvolupament, i les empreses es van fer més intel·ligents o més exhaustives. Això va donar els seus fruits en aquesta incompliment.
Les contrasenyes s'han d'emmagatzemar de manera que no es puguin recuperar fàcilment, ja sigui en un sistema operatiu, per a un lloc web o per protegir l'emmagatzematge de dades d'una aplicació. Tot tipus de sistema que utilitza una contrasenya per a l'autenticació o l'accés empra un procés unidireccional, tret que l'equip que l'executi sigui negligent.
Molts llocs web gairebé segur que encara utilitzen un mètode senzill. Prenen la vostra contrasenya, l'executen a través del que s'anomena algorisme de hash que realitza operacions matemàtiques intensives sobre ella i produeix un resultat (un hash) que no es pot revertir: conèixer el hash no revela la contrasenya original.
Sempre que inicieu sessió, la vostra contrasenya no es compara amb una contrasenya emmagatzemada. Més aviat, el lloc o el servei executa tot el que heu introduït mitjançant el mateix procés hash i prova el resultat amb el que té emmagatzemat. Si el text que acabeu d'introduir quan es fa un hash coincideix amb el calculat anteriorment, sou legítim.
LastPass ha posat prou capes de seguretat a la vostra caixa de contrasenyes perquè aquesta incompliment no sigui la fi del món. (Però encara hauríeu de canviar la vostra contrasenya mestra.)
Quan els que no ho fan roban fitxers de contrasenyes, no tenen accés immediatament a les contrasenyes. Han de dur a terme operacions de cracking, fent camí a través de contrasenyes comunes (basades en molts robatoris públics anteriors) i en paraules i combinacions habituals. Els crackers no passen per totes les combinacions possibles; trien primer els més probables. Per exemple, si se li demana que introdueixi una paraula amb majúscules i minúscules, un nombre i signes de puntuació, és més probable que la gent introdueixi |_+_| que |_+_|; Els galetes ara segueixen aquest tipus de camins per collir més resultats.
Un ordinador d'escriptori ben equipat amb una targeta gràfica de gamma alta (o diverses) pot fer milers de milions de proves de contrasenyes per segon, sí, per segon. Empreses com LastPass incorporen capes de protecció per frenar-les.
En primer lloc, LastPass utilitza una sal, que és un text que es combina amb una contrasenya de manera que, quan s'aplica, totes les contrasenyes idèntiques per als comptes d'usuari tinguin hash diferents. aa + Apple1! és molt diferent quan es fa hash que fins i tot aA + Apple1!.
En segon lloc, l'empresa utilitza un algorisme que no només fa hash una vegada, sinó moltes vegades. El valor predeterminat de LastPass al costat del client, en una aplicació nativa o web, és de 5.000 rondes.
En tercer lloc, quan inicieu sessió a LastPass al lloc web o mitjançant un client de sincronització, la contrasenya encara no s'envia. En lloc d'això, la vostra contrasenya hash localment s'envia en aquest formulari al servidor, on s'executa un altre 100.000 rondes.
Això no és només per espectacle. L'estimació que puc fer per a tot aquest cracking combinat amb uns 10.000 dòlars d'unitats de processadors gràfics (GPU) unes 30 contrasenyes per segon en lloc de milers de milions. Un expert en Ars Technica creu que és encara més baix : unes 10 contrasenyes per segon.
Ara, hem de tenir en compte el fet que les pistes de contrasenya d'algunes persones poden permetre orientar comptes específics (la meva contrasenya és el meu nom més un) i que els crackers determinats podrien accedir o haver comprat (o robat) 1.000 vegades. la potència de la plataforma que estic utilitzant per a una estimació aproximada.
Però les probabilitats de desxifrat massiu són molt baixes i, si sou un usuari de LastPass, podeu reduir-les encara.
El que pots fer
LastPass diu a la seva entrada al bloc, les voltes d'usuari xifrades no es van comprometre. Aquest és un fet crític perquè canviar la contrasenya mestra immediatament farà que la informació de la contrasenya robada sigui inútil. Si els crackers haguessin robat les voltes, serien capaços de batre'ls per sempre o tornar-hi al futur i trencar-los amb una tecnologia més avançada o potent. Com que sovint la gent no canvia les contrasenyes durant anys o per sempre, això podria haver estat un risc.
LastPass per a Apple Watch
LastPass també aconsella canviar la contrasenya a qualsevol altre compte per al qual utilitzeu la mateixa contrasenya. Com que les adreces de correu electrònic i les pistes de contrasenya van ser robades, els crackers que comprometen un compte ho intentaran amb altres. Tanmateix, poc probable, és bo fer aquests canvis. (A més, si utilitzeu LastPass o programari similar, podeu evitar fàcilment utilitzar la mateixa contrasenya dues vegades o més.)
El benefici de l'autenticació de segon factor també continua vigent. La informació robada de LastPass no permet que un cracker que hagi recuperat la vostra contrasenya tingui accés sense el testimoni que necessiteu generar en un dispositiu o en una aplicació a la qual tingueu accés. (Posiblement, LastPass ha mantingut segura la informació de sembra utilitzada per als segons factors.)
Quan configureu una contrasenya mestra nova, podeu evitar els consells sovint dolents sobre la selecció que aconsellen alguna cosa que és difícil de recordar i escriure. La idea és que trobar quelcom curt i complex és millor que quelcom llarg i senzill. Això és incorrecte.
Un conjunt de tres o més paraules inusuals juntes és més segur que una contrasenya curta i complexa que vau inventar vosaltres mateixos. Com que no podeu emmagatzemar la contrasenya mestra de LastPass a LastPass, hauríeu de pensar en una manera de fer un resultat memorable. Alguns experts suggereixen frases o conjuncions poc probables: estaves corrent pel bosc i et vas clavar el dit del peu quan vas veure que un unicorn es converteix en un unicorn enfonsat. Caldria l'ordre d'un quintilió de comprovacions de contrasenya per arribar a aquest resultat.
LastPass no només va tenir sort. Els seus preparatius van donar els seus fruits. Tinc moltes ganes d'aprendre més sobre com es van penetrar els seus sistemes i espero que, en interès de la transparència, l'empresa proporcioni més detalls. Però és bo per una vegada veure que una unça de prevenció valia un milió de tones de cura.
