Lastpass est violé: avez-vous besoin de changer votre mot de passe maître?

Si vous êtes l`un des milliers d`utilisateurs LastPass qui ont très sécurisé à l`aide ressenti Internet grâce à des promesses de sécurité presque indestructible, vous pouvez vous sentir un peu moins en sécurité, sachant que le 15 Juin, la société a annoncé avoir détecté une intrusion dans leurs serveurs.

LastPass d`abord envoyé un avis par courriel aux utilisateurs les informant que la compagnie avait détecté « activité suspecte » sur les serveurs LastPass, et que les adresses e-mail de l`utilisateur et les rappels de mot de passe a été compromis.

La société a assuré aux utilisateurs qu`aucune donnée de voûte cryptées ont été compromis, mais depuis le les mots de passe de l`utilisateur hachés avait été obtenu, la société a conseillé aux utilisateurs de mettre à jour leur mot de passe maître, juste pour être sûr.Tout cela MD5 Hash Stuff signifie en fait [Technologie Explained]Tout cela MD5 Hash Stuff signifie en fait [Technologie Explained]Voici une course vers le bas plein de MD5, hachant et un petit aperçu des ordinateurs et la cryptographie.Lire la suite

Le LastPass Hack Explained

Ce n`est pas la première fois que les utilisateurs LastPass ont été préoccupés par les pirates. L`an dernier, interviewé le PDG LastPass Joe Siegrist suite à la menace heartbleed, où ses craintes rassurants mis des utilisateurs à l`aise.

Cette dernière infraction a eu lieu la fin de la semaine avant l`annonce. Au moment où il a été détecté et identifié comme une intrusion de sécurité, les assaillants avaient pris la fuite avec les adresses e-mail de l`utilisateur, mot de passe des questions de rappel / réponses, les mots de passe de l`utilisateur et hachurées sels cryptographiques.Devenir un secret stéganographie: Cacher et crypter vos fichiersDevenir un secret stéganographie: Cacher et crypter vos fichiersLire la suite

LastPass-breach1

Les bonnes nouvelles sont que la sécurité du système LastPass a été conçu pour résister à de telles attaques. La seule façon d`accéder à vos mots de passe en texte clair serait pour les pirates informatiques pour décrypter les les mots de passe maître bien sécurisés.Utiliser une stratégie de gestion de mot de passe Pour vous simplifier la vieUtiliser une stratégie de gestion de mot de passe Pour vous simplifier la vieLa plupart des conseils autour des mots de passe a été presque impossible à suivre: utiliser un mot de passe contenant des chiffres, des lettres et spéciaux PERSONNAGE- changer regularly- venir avec un mot de passe complètement unique pour chaque compte, etc ....Lire la suite

En raison du mécanisme utilisé pour chiffrer votre mot de passe principal, il faudrait d`énormes quantités de ressources informatiques pour le déchiffrer - les ressources que la plupart des petits ou des pirates de niveau intermédiaire n`ont pas accès.

LastPass-breach2

La raison pour laquelle vous êtes tellement protégé lorsque vous utilisez LastPass est parce que ce mécanisme qui rend le mot de passe maître si difficile à obtenir est appelé « hachage lent » ou « hachage avec du sel. »

Comment fonctionne Hashcoding

LastPass utilise l`une des techniques de cryptage les plus sûrs au monde, appelé hachant avec du sel.

LastPass-breach3

Le « sel » est un code qui est généré à l`aide d`un outil de cryptographie - une sorte de pointe Générateur de nombres aléatoires créé spécifiquement pour la sécurité, si vous voulez. Ces outils permettent de créer des codes complètement imprévisibles lorsque vous créez votre mot de passe maître.5 générateurs de mot de passe gratuits pour les mots de passe presque unhackable5 générateurs de mot de passe gratuits pour les mots de passe presque unhackableLire la suite

Qu`est-ce qui se passe lorsque vous créez votre compte est le mot de passe est « hachée » en utilisant un de ces générés au hasard (et très longs) le nombre « de sel ». Ceux-ci ne sont jamais réutilisés - ils sont uniques pour chaque utilisateur et chaque mot de passe. Enfin, dans le tableau de compte utilisateur, vous trouverez que le sel et le hachage.

La version texte de votre mot de passe principal ne sont jamais stockées sur des serveurs LastPass, afin que les pirates n`ont pas accès. Tout ce qu`ils ont pu obtenir dans cette intrusion sont ces sels aléatoires, et les hash codées.

Video: Comment SÉCURISER ses mots de passe

Ainsi, la seule façon LastPass (ou quelqu`un) peut valider votre mot de passe est:

  1. Récupérer le hachage et le sel de la table utilisateur.
  2. Utilisation du sel sur le mot de passe que l`utilisateur tape dans, le hachage en utilisant la même fonction de hachage qui a été utilisé lorsque le mot de passe a été généré.
  3. Le hachage résultant est donc comparé au hachage stocké pour voir si elle est un match.

Ces jours-ci, les pirates sont en mesure de générer des milliards de hash par seconde, alors pourquoi ne pas un hacker il suffit d`utiliser la force brute pour fissurer ces mots de passe? Cette sécurité supplémentaire est grâce à hashing lent.Ophcrack - Un mot de passe Hack Outil pour Crack presque ne importe quel mot de passe WindowsOphcrack - Un mot de passe Hack Outil pour Crack presque ne importe quel mot de passe WindowsIl y a beaucoup de raisons différentes pour lesquelles on voudrait utiliser un certain nombre d`outils de piratage de mot de passe pour pirater un mot de passe Windows.Lire la suite

Pourquoi Slow-Hashage vous protège

Dans une attaque comme ça, il est vraiment la partie lente hachant de la sécurité LastPass qui vous protège vraiment.

LastPass-breach4

LastPass rend la fonction de hachage utilisée pour vérifier le mot de passe (ou créer) travailler très lentement. Cela met essentiellement les pauses sur une grande vitesse, le fonctionnement de la force brute qui exige de la vitesse afin de pomper des milliards de hash possibles. Peu importe combien la puissance de calcul le système de pirate a, le processus de briser le cryptage prendra encore pour toujours, ce qui rend essentiellement les attaques par force brute inutile.La dernière technologie de l`ordinateur que vous avez à voir pour le croireLa dernière technologie de l`ordinateur que vous avez à voir pour le croireDécouvrez quelques-unes des dernières technologies informatiques qui sont définies pour transformer le monde de l`électronique et des ordinateurs au cours des prochaines années.Lire la suite

En plus de cela, LastPass ne fonctionne pas simplement l`algorithme de hachage une fois, ils courent des milliers de fois sur votre ordinateur, puis à nouveau sur le serveur.

Voici comment LastPass a expliqué son propre processus pour les utilisateurs dans un message de blog suivant cette dernière attaque:

« Nous Hash à la fois le nom d`utilisateur et mot de passe maître sur l`ordinateur de l`utilisateur avec 5000 tours de PBKDF2-SHA256, un mot de passe renforcement de l`algorithme. Cela crée une clé, sur laquelle nous effectuons une autre série de hachage, pour générer le hachage d`authentification par mot de passe maître « .

Le LastPass Help Desk a un message qui décrit comment LastPass utilise-hachage lent:

LastPass a choisi d`utiliser l`algorithme SHA-256, un algorithme de hachage plus lente qui fournit une protection contre les attaques de force brute. LastPass utilise la fonction PBKDF2 mis en œuvre avec SHA-256 pour transformer votre mot de passe maître dans votre clé de chiffrement.

Ce que cela signifie est que, malgré cette récente violation de la sécurité, vos mots de passe sont à peu près toujours très sûr, même si votre adresse e-mail n`est pas.

Que faire si mon mot de passe est faible?

Il y a un excellent point élevé sur le blog LastPass concernant les mots de passe faibles. De nombreux utilisateurs craignent qu`ils ne songeaient pas à un mot de passe assez unique, et que ces pirates seront en mesure de le deviner sans effort beaucoup.

Il y a aussi le risque que votre compte à distance est l`un de ceux que les pirates perdent leur temps à essayer de déchiffrer, et il y a toujours la possibilité à distance qu`ils pourraient obtenir avec succès votre mot de passe maître. Qu`est-ce donc?

LastPass-breach5

L`essentiel est que tous ces efforts seraient vains, car la connexion d`un autre appareil nécessite une vérification par email - votre email - avant l`accès. Du blog LastPass:

« Si l`attaquant a tenté d`obtenir l`accès à vos données en utilisant ces informations d`identification pour vous connecter à votre compte LastPass, ils seraient arrêtés par une notification leur demandant d`abord vérifier leur adresse e-mail. »

Donc, à moins qu`ils ne peuvent en quelque sorte pirater votre compte e-mail en plus de un algorithme de décryptage avez presque uncrackable, vous avez vraiment rien à craindre.

Dois-je changer mon mot de passe maître?

Si oui ou non vous voulez changer votre mot de passe principal se résume vraiment à la façon paranoïaque ou malheureux que vous ressentez. Si vous pensez que vous pouvez être une personne qui a la malchance leur mot de passe craqué par des pirates talentueux qui sont capables de déchiffrer en quelque sorte à travers 100 000 routine de hachage ronde LastPass et un code de sel qui est unique juste pour vous?

Par tous les moyens, si vous vous inquiétez de telles choses, changer votre mot de passe juste pour la tranquillité d`esprit. Il va dire qu`au moins votre sel et hachage, dans les mains des pirates, devient inutile.

Cependant, il y a des experts en sécurité là-bas qui ne sont pas du tout concernés, comme expert en matière de sécurité Jeremi Gosney plus au groupe de la structure qui a déclaré aux journalistes:

« La valeur par défaut est 5000 itérations, donc au moins nous cherchons à 105.000 itérations. J`ai effectivement mis le mien à 65.000 itérations, c`est donc un total de 165.000 itérations protégeant mon mot de passe Diceware. Donc non, je ne suis certainement pas transpirer cette violation. Je ne me sens même pas obligé de changer mon mot de passe maître « .

La seule préoccupation réelle que vous devriez avoir au sujet de cette violation de données est que les pirates ont maintenant votre adresse e-mail, qu`ils pourraient utiliser pour mener des expéditions de phishing masse pour tenter de tromper les gens à renoncer à leurs différents mots de passe de compte - ou peut-être qu`ils peuvent faire quelque chose d`aussi banal comme la vente de tous les e-mails des utilisateurs aux spammeurs sur le marché noir.

L`essentiel est que le risque de cette intrusion de sécurité reste minime, grâce à la sécurité écrasante du système LastPass. Mais le bon sens dit que les pirates de temps ont obtenu les détails de votre compte - même protégé par des milliers d`itérations cryptographiques avancées - il est toujours bon de changer votre mot de passe maître, même si elle est pour la tranquillité d`esprit.

Est-ce que la brèche de sécurité LastPass vous obtenez très préoccupé par la sécurité des LastPass, ou êtes-vous confiant quant à la sécurité de votre compte là-bas? Partagez vos pensées et préoccupations dans la section commentaires ci-dessous.

Articles connexes