Wykradziono hashe głównych haseł Lastpass

2

Jak informuje producent popularnego oprogramowania do przechowywania haseł  – Lastpass, wykradziono hashe ( czyli losowy ciąg znaków, jaki powstał w wyniku wielokrotnego przebiegu algorytmu szyfrującego dodatkowo wymieszanego z tzw.  saltem ) głównych haseł użytkowników.

Wyciek haseł Lastpass!!!

Jeżeli używasz programu – koniecznie zmień hasło!

Spis Treści
Zwiń
Rozwiń

1. Co się stało?

Jak dowiadujemy się z powiadomienia mailowego od ekipy Last Pass wykryli oni w swojej sieci podejrzaną aktywność, której rezultatem był wyciek listy adresów mailowych oraz hashe (skróty powstałe w wyniku zaszyfrowania hasła) haseł głównych użytkowników:

Wzór e-maila wysłanego do uzytokwników

Taki e-mail otrzymali użytkownicy Last Pass

2. Czy moje hasła są bezpieczne?

Według ekipy LastPass ich algorytm szyfrowania głównego hasła jest bardzo silny, 100 tysięcy rund PBKDF2-SHA256 oraz dodatkowe zabezpieczenia po stronie użytkownika czyli konieczność weryfikacji mailem w przypadku logowania do serwisu z nowego urządzenia lub adresu email są wystarczającym zabezpieczeniem.

Oznacza to, że złamanie tak zaszyfrowanych haseł głównych jest praktycznie niemożliwe w normalnym (czyli krótszym niż kilkaset lat) czasie. Nawet mając ogromną moc obliczeniową próby odszyfrowania jednego ze skrótów mogą trwać wiele lat.

3. Co zrobić w tej sytuacji (czy zmienić hasła)?

Oczywiście, jak radzi ekipa serwisu sami będą tego wymagać od swoich użytkowników. Mimo, że odszyfrowanie naszego hasła jest praktycznie niemożliwe, to lepiej dmuchać na zimne i zmienić go na nowe.

4. Czym spowodowany był wyciek?

Ciężko na to pytanie odpowiedzieć bo ekipa LP nie podała żadnych szczegółów zajścia i nie wiadomo jak do wycieku danych doszło. Na pewno część winy w tym, że usługa była rozwiązaniem w chmurze i była dostępna online.

Z drugiej strony należy się jednak pochwała ekipie serwisu, która o problemie szybko informuje i co ważniejsze była technicznie doskonale przygotowana, a nasze dane i przede wszystkim hasło główne są przechowywane z pomocą bardzo silnego szyfrowania.

5. Używam LastPass – co zrobić, by uniknąć takich sytuacji w przyszłości?

Najprostszy sposób, aby uniknąć takich problemów to oczywiście zmiana systemu przechowywania haseł z chmury na rozwiązanie plikowe np. Keepass. Cyberprzestępcy nic nie wskórają bez dostępu do naszego źródłowego pliku bazy KeePass.

Zmiana ta odbywa się kosztem komfortu użytkowania. LastPass daje dostęp do naszych haseł wszędzie gdzie możemy skorzystać z internetu i pamiętamy swoje hasło.

Jeśli nie mamy akurat przy sobie bazy KeePass to nic nie zdziałamy. Ponadto do KeePassa, w każdy miejscu, w kórym chcemy go używać musimy mieć zainstalowaną lub skopiowaną (wersja tzw. portable) kopię programu.

6. Czy jeżeli chcę dalej używać Lastpass, muszę zmienić wszystkie hasła czy tylko hasło główne?

Tak jak pisałem wcześniej, możesz zmienić tylko hasło główne. Tylko hash tego hasła został wykradziony, więc zmiana go na nowe, silne hasło zgodnie z popularnymi zasadami tworzenia haseł jest wystarczającym zabiegiem, który powinieneś przeprowadzić.

O rekomendacji zmiany tylko hasła głównego wspomina również mail informacyjny LastPass, w najbliższych dniach podczas logowania wszyscy użytkownicy będą poproszeni o przeprowadzenie procesu zmiany hasła głównego.

O wycieku dowiedzieliśmy się od użytkownika AVG – Rafała.

Pozdrawiamy!

PS: Jeżeli chcielibyście zmienić (lub zacząć przechowywać) hasła w programie KeePass (darmowym) – tutaj znajdziecie instrukcję instalacji. 

___

Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. AVG Ultimate to najlepszy antywirus dla Ciebie i reszty domowników. Zapewnia pełną ochronę przed zagrożeniami typu ransomware, ochrona kamery i wiele innych przydatnych funkcji.

antywirus avg logo

 

 

Oceń artykuł
[Głosów: 0 Średnia: 0]

Podobał Ci się ten artykuł?

Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

Potrzebjesz pomocy z komputerem?

Skorzystaj z wiedzy ekspertów i zadaj pytanie.

Prowadzisz małą lub średnią firmę?

Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

Pobierz e-book teraz!

O Autorze

Avatar

Specjalista pomocy technicznej AVG, IT Wizard, zapalony gracz, fan komiksu, literatury fantasy i muzyki metalowej.

Subscribe
Powiadom o
guest
2 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
andrzejjajko
andrzejjajko
5 lat temu

Ja czytałem że jak ktoś miał podwójną weryfikacje włączoną to jego dane nie zostały wykradzione. Czy to prawda

andrzejjajko
andrzejjajko
1 rok temu

Ja czytałem że jak ktoś miał podwójną weryfikacje włączoną to jego dane nie zostały wykradzione. Czy to prawda

Arkadiusz Zakrzewski
Arkadiusz Zakrzewski
1 rok temu

Dwuskładnikowe uwierzytelnianie nie ma tu nic do rzeczy. Hashe były przechowywane na serwerze, dwuskładnikowe uwierzytelnianie utrudnia dostęp do nich z zewnątrz, podczas próby logowania, a w tym przypadku hashe zdobyto od strony serwera, a nie z zewnątrz.

Podobał Ci się ten tekst? Dołącz do nas na Facebooku i nie przegap NOWYCH artykułów!
Polub AVG na Facebooku