如果您是成千上万的LastPass用户中的一员,这些用户由于承诺几乎牢不可破的安全性而使用互联网感到非常安全,那么您可能会感到不太安全,因为该公司在6月15日宣布他们已检测到
LastPass最初向用户发送了一封电子邮件通知,通知他们该公司已在LastPass服务器上检测到“可疑活动",并且用户电子邮件地址和密码提醒已受到破坏。
p>
该公司向用户保证不会破坏任何加密的保管库数据,但是由于已获取散列的用户密码,因此该公司建议用户更新其主密码,以确保安全。
LastPass黑客的解释
这不是LastPass用户第一次关注黑客。去年,在发生Heartbleed威胁后,我们采访了LastPass首席执行官Joe Siegrist,他的放心让用户放心了。
最近一次泄密发生在公告发布的前一周。到检测到并确认为安全入侵时,攻击者已经摆脱了用户电子邮件地址,密码提醒问题/答案,哈希用户密码和加密盐。
好消息是, LastPass系统的安全性旨在抵御此类攻击。访问纯文本密码的唯一方法是让黑客解密安全性很高的主密码。
由于使用了用于加密主密码的机制,因此会占用大量计算机资源解密它-大多数中小型黑客无法访问的资源。
使用LastPass时受到如此保护的原因是,这种机制使主密码变得如此困难获得的称为“慢散列"或“加盐散列"。
散列的工作方式
LastPass使用世界上最安全的加密技术之一,即加盐散列。
“盐"是使用加密工具生成的代码-如果可以的话,这是一种专门为安全性而创建的高级随机数生成器。当您创建主密码时,这些工具会创建完全无法预测的代码。
在创建帐户时会发生的情况是,使用这些随机生成的(且非常长的)“盐"数字之一对密码进行“哈希处理"。它们永远不会重复使用-每个用户和每个密码都是唯一的。最后,在用户帐户表中,您只会找到盐和哈希。
您的主密码的实际文本版本永远不会存储在LastPass服务器上,因此黑客无法访问它。他们在这次入侵中只能获得这些随机盐以及编码的哈希值。
因此,LastPass(或任何人)可以验证密码的唯一方法是:
这些天来,黑客能够每秒生成数十亿个哈希值,因此,为什么黑客不能仅使用蛮力攻击就可以将哈希值与存储的哈希值进行比较?
破解这些密码?
为什么慢速散列可以保护您
在这种攻击中,LastPass安全性的慢速散列部分确实可以保护您
LastPass使用于验证密码(或创建密码)的哈希函数的运行非常缓慢。从本质上讲,这需要任何高速,强力操作才能打破常规,因为这些操作需要速度才能泵入数十亿个可能的哈希值。无论黑客系统具有多少计算能力,破解加密的过程仍将永远花费,本质上使蛮力攻击毫无用处。
最重要的是,LastPass不仅会运行哈希算法一次,它们在您的计算机上运行了数千次,然后在服务器上再次运行。
以下是最近一次攻击后,LastPass在博客中向用户解释了自己的过程:
“我们使用5,000轮PBKDF2-SHA256(一种密码增强算法)在用户计算机上对用户名和主密码进行哈希处理。这样会创建一个密钥,我们将在该密钥上执行另一轮哈希操作,以生成主密码身份验证哈希值。"
LastPass帮助台有一篇文章介绍了LastPass如何利用慢速哈希处理:
LastPass已选择使用SHA-256,这是一种较慢的哈希算法,可为暴力攻击提供更多保护。 LastPass利用SHA-256实现的PBKDF2功能将您的主密码转换为您的加密密钥。
这意味着,尽管最近有安全漏洞,即使您的密码仍然非常安全。电子邮件地址不是。
如果我的密码弱怎么办?
LastPass博客针对弱密码提出了一个很好的观点。许多用户担心他们梦dream以求的密码不够独特,并且这些黑客将能够毫不费力地猜测密码。
您的帐户是其中一个帐户,这也存在远程风险。那些黑客正在浪费时间尝试解密,并且总是极有可能成功获得您的主密码。
最重要的是,所有这些工作都将被浪费掉,因为从另一台设备登录需要通过电子邮件(您的电子邮件)进行验证,然后才能授予访问权限。来自LastPass博客:
“如果攻击者试图通过使用这些凭据登录您的LastPass帐户来访问您的数据,则会被通知阻止,要求他们首先验证其电子邮件地址
因此,除非他们能以某种方式侵入您的电子邮件帐户,除了解密几乎不可破解的算法之外,否则您真的没有什么好担心的。
我应该更改我的主密码吗?
您是否要更改主密码确实归结为您感觉偏执或不幸。如果您认为自己可能是一个不幸的人,但其密码被才华横溢的黑客破解,他们能够以某种方式通过LastPass的100,000轮散列例程和唯一对您唯一的Salt代码进行解密?
,如果您担心这种事情,请更改密码以使您安心。这意味着至少在黑客手中您的盐和哈希变得毫无用处。
但是,那里确实有一些无关紧要的安全专家,例如安全专家Jeremi Gosney Structure Group的负责人告诉记者:
“默认值为5,000次迭代,因此至少我们要查看105,000次迭代。我实际上将我的设置为65,000次迭代,因此总共有165,000次迭代可以保护我的Diceware密码。所以不,我绝对不会冒这个漏洞。我什至没有被迫更改我的主密码。"
您应该对此担心的唯一真正担忧是,黑客现在拥有您的电子邮件地址,他们可以使用该电子邮件地址进行大规模的网络钓鱼活动。试图诱骗人们放弃各种帐户密码-也许他们可能会像在黑市上将所有这些用户电子邮件卖给垃圾邮件发送者一样平凡。
最重要的是,来自由于LastPass系统具有压倒性的安全性,因此这种安全性入侵保持最小。但是常识说,只要黑客获得了您的帐户详细信息,甚至可以通过数千次高级加密迭代加以保护,那么更改主密码始终是一件好事,即使这是为了省心。
LastPass安全漏洞使您非常担心LastPass的安全性,还是对那里的帐户安全性充满信心?在下面的评论部分中分享您的想法和疑虑。
图片来源:通过Shutterstock渗透的安全锁,通过Shutterstock的Csehak Szabolcs,通过Shutterstock的Bastian Weltjen,通过Shutterstock的McIek,通过Shutterstock的GlebStock,Benoit Daoust通过Shutterstock
