Ana Sayfa Güvenlik LastPass İhlal Edildi Master Şifrenizi Değiştirmeniz Gerekiyor mu?

LastPass İhlal Edildi Master Şifrenizi Değiştirmeniz Gerekiyor mu?

  • Harry James
  • 0
  • 2662
  • 168
reklâm

Neredeyse kırılmaz güvenlik sözleri sayesinde interneti kullanırken kendini güvende hisseden binlerce LastPass kullanıcısından biriyseniz, 15 Haziran'da şirkete bir izinsiz giriş tespit ettiklerini bildiğini biraz daha az güvende hissedebilirsiniz. sunucuları.

LastPass başlangıçta, şirketin algıladığını bildiren kullanıcılara bir e-posta bildirimi gönderdi “şüpheli aktivite” LastPass sunucularında ve bu kullanıcı e-posta adresleri ve şifre hatırlatıcıları tehlikeye atıldı.

Şirket, kullanıcılarına şifreli hiçbir kasa verisinin tehlikeye atılmadığına dair güvence verdi, ancak karma kullanıcı parolalarından bu yana Tüm Bu MD5 Karma Öğeleri Gerçekten Ne İfade Ediyor? [Açıklanan Teknoloji] Tüm Bu MD5 Karma Öğeleri Aslında Ne İfade Ediyor [Teknoloji Açıklaması] MD5, karma ve bilgisayarlara ve kriptografiye genel bir bakış. elde edildiğinde, şirket kullanıcılara ana şifrelerini güncellemelerini ve güvende olmalarını tavsiye etti..

LastPass Hack'i Açıkladı

Bu, LastPass kullanıcılarının bilgisayar korsanları hakkında ilk endişe duydukları bir şey değil. Geçen yıl, LastPass CEO'su Joe Siegrist ile röportaj yaptık. LastPass'tan Joe Siegrist: Şifrenizin Güvenliği Hakkındaki Gerçek:.

Bu son ihlal duyurudan bir hafta önce gerçekleşti. Bir güvenlik ihbarı olarak tespit edilip tanımlandığı zaman, saldırganlar kullanıcı e-posta adresleri, şifre hatırlatma soruları / cevapları, kullanıcı şifreleri ve şifreleme tuzları ile kaçtılar. Gizli Steganograf Olun: Dosyalarınızı Gizleyin ve Şifreleyin Gizli Steganograf Olun: Dosyalarınızı Gizleyin ve Şifreleyin .

İyi haber şu ki, LastPass sisteminin güvenliği bu tür saldırılara dayanacak şekilde tasarlandı. Düz metinli şifrelerinize erişmenin tek yolu bilgisayar korsanlarının iyi korunan ana şifrelerin şifresini çözmesi olacaktır. Yaşamınızı Basitleştirmek için Bir Şifre Yönetimi Stratejisi Kullanın Hayatınızı Basitleştirmek için Bir Şifre Yönetimi Stratejisi Kullanın takip etmek imkansız: sayılar, harfler ve özel karakterler içeren güçlü bir şifre kullanın; düzenli olarak değiştirin; Her hesap vb için tamamen benzersiz bir şifre ile gelip… .

Ana şifrenizi şifrelemek için kullanılan mekanizma nedeniyle şifresini çözmek için büyük miktarda bilgisayar kaynağı gerekir - çoğu küçük veya orta seviye korsanların erişemediği kaynaklar.

LastPass kullanırken bu kadar korunmanızın nedeni, ana parolayı edinmeyi zorlaştıran mekanizmaların adlandırılmasıdır. “yavaş karma” veya “tuzla karıştırmak.”

Hashing Nasıl Çalışır?

LastPass, dünyanın en güvenli şifreleme tekniklerinden birini kullanır; tuzla karıştırmak.

“tuz” bir şifreleme aracı kullanılarak oluşturulan bir koddur - bir tür gelişmiş rasgele sayı üreteci Güçlü Rastgele Şifreler için En İyi 5 Online Şifre Üreticisi Güçlü Rastgele Şifreler için En İyi 5 Online Şifre Üreticisi Kolayca kırılmaz bir şifre oluşturmanın bir yolunu mu arıyorsunuz? Bu çevrimiçi şifre üreticilerinden birini deneyin. özellikle güvenlik için yarattıysanız. Bu araçlar, ana şifrenizi oluşturduğunuzda tamamen öngörülemeyen kodlar oluşturur.

Hesabınızı oluşturduğunuzda ne olduğu şifre “karma” rastgele oluşturulmuş bunlardan birini kullanarak (ve çok uzun) “tuz” sayılar. Bunlar asla tekrar kullanılmaz - her kullanıcı ve her şifre için benzersizdir. Son olarak, kullanıcı hesabı tablosunda sadece tuz ve özeti bulabilirsiniz..

Ana şifrenizin gerçek metin sürümü hiçbir zaman LastPass sunucularında depolanmaz, bu nedenle bilgisayar korsanlarının erişimine izin vermez. Bu izinsiz girişlerde elde edebildikleri tek şey bu rastgele tuzlar ve kodlanmış karmalardır..

Yani, LastPass'ın (veya herhangi birinin) şifrenizi doğrulayabilmesinin tek yolu şudur:

  1. Kullanıcı tablosundan karma ve tuzu alın.
  2. Kullanıcının girdiği paroladaki tuzu kullanın, parola oluşturulduğunda kullanılan hash işlevini kullanarak kesin..
  3. Ortaya çıkan karma, eşleşip eşleşmediğini görmek için depolanan karma değerine kıyasla alır.

Bu günlerde, bilgisayar korsanları saniyede milyarlarca hash üretebiliyor, bu nedenle neden bir bilgisayar korsanı bu şifreleri kırmak için sadece kaba kuvvet kullanamıyor? Ophcrack - Neredeyse Herhangi Bir Windows Parolasını Kırmak için Parola Hack Aracı Neredeyse Herhangi Bir Windows Şifresi Bir kişinin Windows şifresini kırmak için herhangi bir sayıda şifre kırma aracı kullanmak istemesinin birçok nedeni vardır. ? Bu ekstra güvenlik, yavaş karmaşa sayesinde.

Yavaş Yavaş Sizi Neden Korur?

Böyle bir saldırıda, gerçekten sizi koruyan, LastPass güvenliğinin yavaşça kalan kısmı.

LastPass, parolayı doğrulamak (veya oluşturmak) için çok kullanılan karma işlevini yapar. Bu, temel olarak, milyarlarca olası karmaşayı pompalamak için hız gerektiren yüksek hızlı, kaba kuvvet işlemlerinde kırılmalara neden olur. Ne kadar hesaplama gücü olursanız olun, İnanmanız Gereken En Son Bilgisayar Teknolojisine İnanmak İçin Görmeniz Gereken En Son Bilgisayar Teknolojisi Gelecek birkaç yıl boyunca elektronik ve PC dünyasını dönüştürmek için ayarlanan en son bilgisayar teknolojilerinin bazılarına göz atın . Hacker'ın sistemi var, şifrelemeyi kırma süreci sonsuza kadar sürecek, temel olarak kaba kuvvet saldırılarını işe yaramaz hale getirecek.

Bunun da ötesinde, LastPass yalnızca bir kez karma algoritmayı çalıştırmaz, bilgisayarınızda binlerce kez çalıştırır ve ardından sunucuda tekrar çalıştırır..

İşte LastPass, bu son saldırıyı takip eden bir blog postasındaki kullanıcılara kendi işlemlerini nasıl açıkladı:

“Kullanıcı bilgisayarında hem kullanıcı adı hem de ana şifre parolayı güçlendirme algoritması olan 5.000 tur PBKDF2-SHA256 kullanıyoruz. Bu, ana şifre doğrulama karmasını oluşturmak için, başka bir karma tur gerçekleştirdiğimiz bir anahtar yaratır..”

LastPass Yardım Masasında, LastPass'ın yavaş karma kullanımından nasıl faydalandığını açıklayan bir gönderi bulunmaktadır:

LastPass, kaba kuvvet saldırılarına karşı daha fazla koruma sağlayan daha yavaş bir karma algoritması olan SHA-256'yı kullanmayı seçti. LastPass, ana şifrenizi şifreleme anahtarınıza dönüştürmek için SHA-256 ile uygulanan PBKDF2 işlevini kullanır.

Bunun anlamı, bu son güvenlik ihlaline rağmen, e-posta adresiniz olmasa bile şifrelerinizin hala oldukça güvenli olduğu..

Şifrem Zayıfsa Ne Olur??

LastPass blogunda zayıf şifrelerle ilgili mükemmel bir nokta var. Birçok kullanıcı, yeteri kadar benzersiz bir şifre hayal etmedikleri ve bu bilgisayar korsanlarının çok fazla çaba harcamadan tahmin edebileceklerinden endişe duyuyorlar..

Ayrıca, hesabınızın, bilgisayar korsanlarının şifresini çözmek için zamanlarını boşa harcayanlardan biri olma riski de vardır ve ana şifrenizi başarılı bir şekilde elde edebilmeleri için her zaman bir olasılık vardır. Sonra ne?

Sonuç olarak, başka bir cihazdan oturum açmak için e-postayla - e-postanızla - erişim izni vermeden önce doğrulama yapılması gerekiyor. LastPass blogundan:

“Saldırgan, LastPass hesabınıza giriş yapmak için bu kimlik bilgilerini kullanarak verilerinize erişmeye çalıştığında, önce e-posta adreslerini doğrulamalarını isteyen bir bildirim durdurulur..”

Yani, bir şekilde e-posta hesabınıza giremezlerse ek olarak neredeyse parçalanamayan bir algoritmanın şifresini çözmek, gerçekten endişelenecek bir şeyiniz yok.

Ana Şifremi Değiştirmeliyim?

Ana şifrenizi değiştirmek isteyip istemediğiniz, paranoyak ya da şanssız hissettiğinizden kaynaklanmaktadır. LastPass'ın 100.000 turluk karma rutini ve sadece sizin için benzersiz olan bir tuz kodunu kullanarak bir şekilde deşifre edebilen yetenekli bilgisayar korsanları tarafından şifrelerini kırmış şanssız bir kişi olduğunuzu düşünüyorsanız?

Elbette, böyle şeyler için endişeleniyorsanız, şifrenizi sadece huzur için değiştirin. En azından tuz ve karmaşanın, bilgisayar korsanlarının elindeki işe yaramaz hale geleceği anlamına gelir..

Bununla birlikte, orada gazetecilere söyleyen Yapı Grubu'ndaki güvenlik uzmanı Jeremi Gosney gibi hiç endişelenmeyen güvenlik uzmanları var:

“Varsayılan değer 5.000 iterasyondur, bu yüzden en azından 105.000 iterasyona bakıyoruz. Aslında benim 65.000 yineleme ayarlamıştım, bu yüzden Diceware şifremi koruyan toplam 165.000 yineleme. Yani hayır, kesinlikle bu ihlali terlemiyorum. Ana şifremi değiştirmek zorunda bile hissetmiyorum.”

Bu veri ihlali hakkında sahip olmanız gereken tek gerçek endişe, bilgisayar korsanlarının, insanların çeşitli hesap şifrelerini bırakmalarını denemek ve kandırmak için toplu kimlik avı keşifleri yapmak için kullanabilecekleri e-posta adresinize sahip olmalarıdır - veya belki sıradan bir şeyler yapabilirler. tüm bu e-postaları karaborsadaki spam gönderenlere satmak gibi.

Sonuç olarak, LastPass sisteminin ezici güvenliği sayesinde bu güvenlik saldırı riskinin asgari düzeyde kalması. Ancak sağduyu, bilgisayar korsanlarının hesap bilgilerinizi edindiği her zaman - binlerce gelişmiş kriptografik yineleme ile korunmuş olsa bile - ana şifrenizi değiştirmek için bile olsa, huzur içinde olsa bile her zaman iyidir.

LastPass güvenlik ihlali, sizi LastPass'ın güvenliği konusunda çok endişelendirdi mi, yoksa oradaki hesabınızın güvenliğinden emin misiniz? Düşüncelerinizi ve endişelerinizi aşağıdaki yorumlar bölümünde paylaşın.

Resim kredisi: Shutterstock, Csehak Szabolcs, Shutterstock, Butterstock, Bastian Weltjen, Shutterstock, McIek, Shutterstock, GlebStock, Shutterstock, üzerinden Shutterstock aracılığıyla güvenlik kilidi




Henüz no comments

Windows 10'un Çoklu Sürümleri, İnsanlar AOL Internet İçin Hala Ödüyorlar, & Dahası… [Tech News Digest]
Teknoloji Haberleri
Verizon AOL'u Satın Aldı, Facebook Anında Yazılar Başlattı, & Dahası… [Tech News Digest]
Teknoloji Haberleri
Google’ın Kendi Kendini Süren Otomobilleri Kazası, CHIP 9 Dolarlık Bir Bilgisayar ve Daha Fazlası… [Tech News Digest]
Teknoloji Haberleri
Modern teknoloji hakkında basit ve uygun fiyatlı.
Modern teknoloji dünyasında rehberiniz. Her gün bizi çevreleyen teknolojileri ve araçları nasıl kullanacağınızı ve Internet'te ilginç şeyleri nasıl keşfedeceğinizi öğrenin.