Jak informuje producent popularnego oprogramowania do przechowywania haseł – Lastpass, wykradziono hashe ( czyli losowy ciąg znaków, jaki powstał w wyniku wielokrotnego przebiegu algorytmu szyfrującego dodatkowo wymieszanego z tzw. saltem ) głównych haseł użytkowników.
Wyciek haseł Lastpass!!!
Jeżeli używasz programu – koniecznie zmień hasło!
Spis treści
- 1. Co się stało?
- 2. Czy moje hasła są bezpieczne?
- 3. Co zrobić w tej sytuacji (czy zmienić hasła)?
- 4. Czym spowodowany był wyciek?
- 5. Używam LastPass – co zrobić, by uniknąć takich sytuacji w przyszłości?
- 6. Czy jeżeli chcę dalej używać Lastpass, muszę zmienić wszystkie hasła czy tylko hasło główne?
1. Co się stało?
Jak dowiadujemy się z powiadomienia mailowego od ekipy Last Pass wykryli oni w swojej sieci podejrzaną aktywność, której rezultatem był wyciek listy adresów mailowych oraz hashe (skróty powstałe w wyniku zaszyfrowania hasła) haseł głównych użytkowników:

2. Czy moje hasła są bezpieczne?
Według ekipy LastPass ich algorytm szyfrowania głównego hasła jest bardzo silny, 100 tysięcy rund PBKDF2-SHA256 oraz dodatkowe zabezpieczenia po stronie użytkownika czyli konieczność weryfikacji mailem w przypadku logowania do serwisu z nowego urządzenia lub adresu email są wystarczającym zabezpieczeniem.
Oznacza to, że złamanie tak zaszyfrowanych haseł głównych jest praktycznie niemożliwe w normalnym (czyli krótszym niż kilkaset lat) czasie. Nawet mając ogromną moc obliczeniową próby odszyfrowania jednego ze skrótów mogą trwać wiele lat.
3. Co zrobić w tej sytuacji (czy zmienić hasła)?
Oczywiście, jak radzi ekipa serwisu sami będą tego wymagać od swoich użytkowników. Mimo, że odszyfrowanie naszego hasła jest praktycznie niemożliwe, to lepiej dmuchać na zimne i zmienić go na nowe.
4. Czym spowodowany był wyciek?
Ciężko na to pytanie odpowiedzieć bo ekipa LP nie podała żadnych szczegółów zajścia i nie wiadomo jak do wycieku danych doszło. Na pewno część winy w tym, że usługa była rozwiązaniem w chmurze i była dostępna online.
Z drugiej strony należy się jednak pochwała ekipie serwisu, która o problemie szybko informuje i co ważniejsze była technicznie doskonale przygotowana, a nasze dane i przede wszystkim hasło główne są przechowywane z pomocą bardzo silnego szyfrowania.
5. Używam LastPass – co zrobić, by uniknąć takich sytuacji w przyszłości?
Najprostszy sposób, aby uniknąć takich problemów to oczywiście zmiana systemu przechowywania haseł z chmury na rozwiązanie plikowe np. Keepass. Cyberprzestępcy nic nie wskórają bez dostępu do naszego źródłowego pliku bazy KeePass.
Zmiana ta odbywa się kosztem komfortu użytkowania. LastPass daje dostęp do naszych haseł wszędzie gdzie możemy skorzystać z internetu i pamiętamy swoje hasło.
Jeśli nie mamy akurat przy sobie bazy KeePass to nic nie zdziałamy. Ponadto do KeePassa, w każdy miejscu, w kórym chcemy go używać musimy mieć zainstalowaną lub skopiowaną (wersja tzw. portable) kopię programu.
6. Czy jeżeli chcę dalej używać Lastpass, muszę zmienić wszystkie hasła czy tylko hasło główne?
Tak jak pisałem wcześniej, możesz zmienić tylko hasło główne. Tylko hash tego hasła został wykradziony, więc zmiana go na nowe, silne hasło zgodnie z popularnymi zasadami tworzenia haseł jest wystarczającym zabiegiem, który powinieneś przeprowadzić.
O rekomendacji zmiany tylko hasła głównego wspomina również mail informacyjny LastPass, w najbliższych dniach podczas logowania wszyscy użytkownicy będą poproszeni o przeprowadzenie procesu zmiany hasła głównego.
O wycieku dowiedzieliśmy się od użytkownika AVG – Rafała.
Pozdrawiamy!
PS: Jeżeli chcielibyście zmienić (lub zacząć przechowywać) hasła w programie KeePass (darmowym) – tutaj znajdziecie instrukcję instalacji.
___
Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. AVG Ultimate to najlepszy antywirus dla Ciebie i reszty domowników. Zapewnia pełną ochronę przed zagrożeniami typu ransomware, ochrona kamery i wiele innych przydatnych funkcji.
Ja czytałem że jak ktoś miał podwójną weryfikacje włączoną to jego dane nie zostały wykradzione. Czy to prawda
Dwuskładnikowe uwierzytelnianie nie ma tu nic do rzeczy. Hashe były przechowywane na serwerze, dwuskładnikowe uwierzytelnianie utrudnia dostęp do nich z zewnątrz, podczas próby logowania, a w tym przypadku hashe zdobyto od strony serwera, a nie z zewnątrz.
Ja czytałem że jak ktoś miał podwójną weryfikacje włączoną to jego dane nie zostały wykradzione. Czy to prawda
Dwuskładnikowe uwierzytelnianie nie ma tu nic do rzeczy. Hashe były przechowywane na serwerze, dwuskładnikowe uwierzytelnianie utrudnia dostęp do nich z zewnątrz, podczas próby logowania, a w tym przypadku hashe zdobyto od strony serwera, a nie z zewnątrz.