Если вы являетесь одним из тысяч пользователей LastPass, считавших себя находящимися в безопасности благодаря несокрушимой защите, обещанной разработчиками данной программы, возможно, вы немного обеспокоитесь, узнав, что 15 июня компания сообщила о взломе ее серверов.
LastPass сразу же разослали пользователям электронные сообщения о подозрительной активности, обнаруженной на их серверах и о том, что пользовательские адреса электронной почты и пароли были скомпрометированы.
Компания заверила пользователей в том, что данные зашифрованных хранилищ не были скомпрометированы, но, так как к хешированным паролям доступ все же был получен, LastPass предложила пользователям заменить свои основные пароли исходя из соображений безопасности.
Разъяснения по взлому LastPass
Это не первый раз, когда серверы LastPass заинтересовали хакеров. В прошлом году гендиректор LastPass Джо Сигрист уже успокаивал пользователей после угрозы Heartbleed.
Последняя попытка взлома была произведена за неделю до оглашения. К тому времени, как она была обнаружена и распознана как нарушение безопасности, хакеры уже получили список адресов электронной почты пользователей, вопросы/ответы для напоминания паролей и криптографическую соль.
Хорошей новостью является то, что система LastPass была разработана так, чтобы устоять против таких атак. Единственным способом для хакеров получить полнотекстовые пароли пользователей является получение хорошо защищенных основных паролей.
Благодаря механизму, используемому для шифровки основного пароля, расшифровка его требует огромных ресурсов — таких, к которым мелкие и средней руки хакеры просто не имеют доступа.
Механизм, который делает пароль таким сложным для взлома, называется «медленное хеширование» или «хеширование с солью (модификатором)».
Как работает хеширование
LastPass использует одну из наиболее безопасных шифровальных техник в мире, называемую «хеширование с солью».
«Соль» — это код, сгенерированный криптографическим инструментом — разновидностью продвинутого генератора случайных чисел, созданным специально для безопасности. Такие инструменты создают полностью непредсказуемые коды при формировании пользователем основного пароля.
При создании аккаунта пароль «хешируется» с использованием одного из случайно сгенерированных (и очень длинных) чисел — «соли». Они никогда не используются повторно и уникальны для каждого пользователя и пароля. И, наконец, все, что вы найдете в данных пользователя — это только соль и хеш.
Актуальная текстовая версия вашего основного пароля никогда не хранится на серверах LastPass, так что хакеры не имеют к нему доступа. Все, что они получат — это вся эта случайная «соль» и кодированный хеш.
Таким образом, единственным способом, которым LastPass (или кто-либо другой) может проверить ваш пароль, является следующая последовательность действий:
- Получение хеша и соли из данных пользователя;
- Применение соли к паролю, набираемому пользователем, хешируя его той же функцией хеширования, которая использовалась при генерации пароля;
- Сравнение полученного хеша с хешем, хранящимся на сервере.
На данный момент хакеры способны генерировать миллиарды хешей в секунду, почему же они не могут в лоб взломать эти пароли? Благодаря медленному хешированию.
Как вас защищает медленное хеширование
Во время атак типа этой медленное хеширование LastPass — как раз то, что на самом деле защищает ваши данные.
LastPass заставляет функцию хеширования подтверждения пароля (или его создания) работать очень медленно. Это накладывает существенные ограничения на любые попытки грубых высокоскоростных операций, для проведения которых требуется скорость, чтобы прогнать миллиарды возможных хешей.
Неважно, насколько мощной является техника, которую использует хакерская система, процесс взлома все равно будет длиться вечность, и, как следствие, будет абсолютно бесполезным.
И, наконец, LastPass запускает механизм хеширования не один раз, а тысячи раз на компьютере пользователя, а затем на своем сервере.
Что, если мой пароль оказался ненадежным?
Многие пользователи обеспокоены тем, что придумали недостаточно надежный пароль, и что хакеры могут раскрыть его без особого труда.
Существует небольшая вероятность того, что ваш аккаунт — один из тех, которые хакеры долгое время безуспешно пытаются взломать, также существует небольшая возможность того, что они наконец-то взломали ваш основной пароль. Что тогда?
Прекрасная новость в том, что при попытке доступа к аккаунту с другого устройства, для подтверждения возможности доступа LastPass запрашивает подтверждение по электронной почте (вашей).
Так что, если только хакеры не взломали ваш электронный почтовый ящик вдобавок к расшифровке практически невзламываемого алгоритма, вам действительно не о чем беспокоиться.
Должен ли я изменить свой основной пароль?
Необходимость поменять основной пароль на самом деле зависит только от степени вашей обеспокоенности этим вопросом. Вы считаете, что можете быть тем несчастным, чей пароль взломали талантливые хакеры, чудесным образом умудрившиеся прорваться сквозь 100000 кругов хеширования и уникального модификатора кода, созданного лично для вас в LastPass?
Конечно, если вы обеспокоены этим, поменяйте пароль хотя бы для того, чтобы обрести спокойствие. Это будет означать, что как минимум ваши соль и хеш станут абсолютно бесполезными в руках хакеров.
Единственным фактом, который должен обеспокоить вас — это то, что сейчас в руках хакеров находится адрес вашего электронного почтового ящика, который они могут использовать для проведения одной из своих массовых фишинговых операций в целях заставить людей выдать свои пароли от различных аккаунтов. Либо, что более прозаично, они просто продадут все эти адреса спамерам на черном рынке.
Риск от этой попытки взлома минимизирован благодаря безопасности системы LastPass. Но здравый смысл подсказывает, что каждый раз, когда хакеры получают доступ к данным вашего аккаунта — даже защищенного тысячами продвинутых криптографических итераций — стоит сменить свой основной пароль, хотя бы для собственного спокойствия.