Najpopularniejsze

    Jak sformatować/przywrócić Windows 10?

    Wybierz imię dla ludka-ninja! Wiosenny konkurs AVG!

    Pomóż nam tworzyć Encyklopedię Bezpieczeństwa i wygrywaj nagrody

    Facebook YouTube
    TrybAwaryjny.pl – pierwsza pomoc dla Twojego komputeraTrybAwaryjny.pl – pierwsza pomoc dla Twojego komputera
    • Strona główna
    • Tu zacznij
    • Porady
      • Dla domu
      • Dla firmy
      • Android
      • Windows
      • Przydatne programy
        • Komputer
        • Mobilne
    • Ciekawostki
    • AVG
      • Strona AVG w Polsce
      • AVG krok po kroku
      • Blog AVG
      • Informacje prasowe
      • Napisali o AVG
      • Promocje
      • Programy
        • Dla domu
        • Dla małej firmy
        • Dla biznesu
      • Forum
    • AVAST
    • Kontakt i współpraca
    Facebook YouTube
    TrybAwaryjny.pl – pierwsza pomoc dla Twojego komputeraTrybAwaryjny.pl – pierwsza pomoc dla Twojego komputera
    Strona główna»AVG»Blog AVG»Wykradziono hashe głównych haseł Lastpass
    Blog AVG

    Wykradziono hashe głównych haseł Lastpass

    Arkadiusz ZakrzewskiPrzez Arkadiusz Zakrzewski2 komentarzePrzeczytasz w 3 minuty
    Facebook Twitter Pinterest LinkedIn Tumblr Email
    Kluczem do poznania wartości haseł jest znajomość odpowiedniej struktury.
    Hakerzy potrzebuj znać strukturę, która jest kluczem do poznania haseł.
    Udostępnij
    Facebook Twitter LinkedIn Pinterest Email

    Jak informuje producent popularnego oprogramowania do przechowywania haseł  – Lastpass, wykradziono hashe ( czyli losowy ciąg znaków, jaki powstał w wyniku wielokrotnego przebiegu algorytmu szyfrującego dodatkowo wymieszanego z tzw.  saltem ) głównych haseł użytkowników.

    Wyciek haseł Lastpass!!!

    Jeżeli używasz programu – koniecznie zmień hasło!

    Spis Treści
    Zwiń
    Rozwiń

    1. Co się stało?

    Jak dowiadujemy się z powiadomienia mailowego od ekipy Last Pass wykryli oni w swojej sieci podejrzaną aktywność, której rezultatem był wyciek listy adresów mailowych oraz hashe (skróty powstałe w wyniku zaszyfrowania hasła) haseł głównych użytkowników:

    Wzór e-maila wysłanego do uzytokwników
    Taki e-mail otrzymali użytkownicy Last Pass

    2. Czy moje hasła są bezpieczne?

    Według ekipy LastPass ich algorytm szyfrowania głównego hasła jest bardzo silny, 100 tysięcy rund PBKDF2-SHA256 oraz dodatkowe zabezpieczenia po stronie użytkownika czyli konieczność weryfikacji mailem w przypadku logowania do serwisu z nowego urządzenia lub adresu email są wystarczającym zabezpieczeniem.

    Oznacza to, że złamanie tak zaszyfrowanych haseł głównych jest praktycznie niemożliwe w normalnym (czyli krótszym niż kilkaset lat) czasie. Nawet mając ogromną moc obliczeniową próby odszyfrowania jednego ze skrótów mogą trwać wiele lat.

    3. Co zrobić w tej sytuacji (czy zmienić hasła)?

    Oczywiście, jak radzi ekipa serwisu sami będą tego wymagać od swoich użytkowników. Mimo, że odszyfrowanie naszego hasła jest praktycznie niemożliwe, to lepiej dmuchać na zimne i zmienić go na nowe.

    4. Czym spowodowany był wyciek?

    Ciężko na to pytanie odpowiedzieć bo ekipa LP nie podała żadnych szczegółów zajścia i nie wiadomo jak do wycieku danych doszło. Na pewno część winy w tym, że usługa była rozwiązaniem w chmurze i była dostępna online.

    Z drugiej strony należy się jednak pochwała ekipie serwisu, która o problemie szybko informuje i co ważniejsze była technicznie doskonale przygotowana, a nasze dane i przede wszystkim hasło główne są przechowywane z pomocą bardzo silnego szyfrowania.

    5. Używam LastPass – co zrobić, by uniknąć takich sytuacji w przyszłości?

    Najprostszy sposób, aby uniknąć takich problemów to oczywiście zmiana systemu przechowywania haseł z chmury na rozwiązanie plikowe np. Keepass. Cyberprzestępcy nic nie wskórają bez dostępu do naszego źródłowego pliku bazy KeePass.

    Zmiana ta odbywa się kosztem komfortu użytkowania. LastPass daje dostęp do naszych haseł wszędzie gdzie możemy skorzystać z internetu i pamiętamy swoje hasło.

    Jeśli nie mamy akurat przy sobie bazy KeePass to nic nie zdziałamy. Ponadto do KeePassa, w każdy miejscu, w kórym chcemy go używać musimy mieć zainstalowaną lub skopiowaną (wersja tzw. portable) kopię programu.

    6. Czy jeżeli chcę dalej używać Lastpass, muszę zmienić wszystkie hasła czy tylko hasło główne?

    Tak jak pisałem wcześniej, możesz zmienić tylko hasło główne. Tylko hash tego hasła został wykradziony, więc zmiana go na nowe, silne hasło zgodnie z popularnymi zasadami tworzenia haseł jest wystarczającym zabiegiem, który powinieneś przeprowadzić.

    O rekomendacji zmiany tylko hasła głównego wspomina również mail informacyjny LastPass, w najbliższych dniach podczas logowania wszyscy użytkownicy będą poproszeni o przeprowadzenie procesu zmiany hasła głównego.

    O wycieku dowiedzieliśmy się od użytkownika AVG – Rafała.

    Pozdrawiamy!

    PS: Jeżeli chcielibyście zmienić (lub zacząć przechowywać) hasła w programie KeePass (darmowym) – tutaj znajdziecie instrukcję instalacji. 

    ___

    Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. AVG Ultimate to najlepszy antywirus dla Ciebie i reszty domowników. Zapewnia pełną ochronę przed zagrożeniami typu ransomware, ochrona kamery i wiele innych przydatnych funkcji.

    antywirus avg logo

     

     

    Oceń artykuł
    [Głosów: 0 Średnia: 0]

    Podobał Ci się ten artykuł?

    Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

    Prowadzisz małą lub średnią firmę?

    Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

    Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

    Pobierz e-book teraz!

    hasło KeePass last pass wyciek
    Udostępnij. Facebook Twitter Pinterest LinkedIn Tumblr Email
    Arkadiusz Zakrzewski

    Specjalista pomocy technicznej AVG, IT Wizard, zapalony gracz, fan komiksu, literatury fantasy i muzyki metalowej.

    Subscribe
    Powiadom o
    guest
    guest
    2 komentarzy
    najstarszy
    najnowszy oceniany
    Inline Feedbacks
    View all comments
    andrzejjajko
    andrzejjajko
    7 lat temu

    Ja czytałem że jak ktoś miał podwójną weryfikacje włączoną to jego dane nie zostały wykradzione. Czy to prawda

    0
    Odpowiedz
    Arkadiusz Zakrzewski
    Autor
    Arkadiusz Zakrzewski
    7 lat temu
    Reply to  andrzejjajko

    Dwuskładnikowe uwierzytelnianie nie ma tu nic do rzeczy. Hashe były przechowywane na serwerze, dwuskładnikowe uwierzytelnianie utrudnia dostęp do nich z zewnątrz, podczas próby logowania, a w tym przypadku hashe zdobyto od strony serwera, a nie z zewnątrz.

    0
    Odpowiedz
    andrzejjajko
    andrzejjajko
    3 lat temu

    Ja czytałem że jak ktoś miał podwójną weryfikacje włączoną to jego dane nie zostały wykradzione. Czy to prawda

    0
    Odpowiedz
    Arkadiusz Zakrzewski
    Arkadiusz Zakrzewski
    3 lat temu

    Dwuskładnikowe uwierzytelnianie nie ma tu nic do rzeczy. Hashe były przechowywane na serwerze, dwuskładnikowe uwierzytelnianie utrudnia dostęp do nich z zewnątrz, podczas próby logowania, a w tym przypadku hashe zdobyto od strony serwera, a nie z zewnątrz.

    0
    Odpowiedz
    Skuteczny Antywirus
    Encyklopedia Bezpieczeństwa
    Odbierz darmowe porady od AVG
    Najpopularniejsze
    Jak sformatować/przywrócić Windows 10?
    Wybierz imię dla ludka-ninja! Wiosenny konkurs AVG!
    Pomóż nam tworzyć Encyklopedię Bezpieczeństwa i wygrywaj nagrody
    Najnowsze komentarze
    • Klawiatura Ekranowa Logowanie - DanLogowanie - Klawiatury elektroniczne w bankowości online – dlaczego warto z nich korzystać?
    • kozak - Najważniejsze informacje o pamięci RAM – co warto wiedzieć?
    • Arkadiusz Zakrzewski - 45 skrótów klawiszowych, które ułatwią Ci życie – część 1
    • Dana - 45 skrótów klawiszowych, które ułatwią Ci życie – część 1
    • Dana - 45 skrótów klawiszowych, które ułatwią Ci życie – część 1
    O nas

    TrybAwaryjny.pl to strona stworzona specjalnie dla użytkowników antywirusa AVG. Oprócz szeregu porad i artykułów dotyczących bezpieczeństwa, znajdziecie tutaj wszystko to co jest związane z programami AVG w Polsce. Możecie również zadać pytania dotyczące bezpieczeństwa komputerów ekspertom pomocy technicznej AVG.

    Najnowsze artykuły

    Rosyjska dezinformacja rozprzestrzenia się po całym świecie

    27 czerwca 2022

    Poznaj najpopularniejsze modele smartfonów iPhone!

    24 czerwca 2022

    Cyberbezpieczeństwo w pigułce

    17 czerwca 2022
    Znajdź nas na FB
    Facebook YouTube
    • Polityka prywatności
    • Regulamin
    © 2022 Trybawaryjny.pl

    Wypełnił powyższe pole i naciśnij Enter żeby wyszukać. Naciśnij Esc żeby anulować.

    wpDiscuz