Разработчики менеджера паролей LastPass просят некоторых пользователей придумывать более длинные мастер-пароли. В LastPass утверждают, что это необходимо, чтобы улучшить защищенность клиентов. Однако критики заявляют, что это лишь пиар-ход, который никак не поможет пользователям, чьи парольные хранилища пострадали во время взлома LastPass в 2022 году.
Как рассказывает в своем блоге известный ИБ-журналист Брайан Кребс (Brian Krebs), на прошлой неделе разработчики LastPass сообщили клиентам, что им придется обновить мастер-пароль, если тот короче 12 символов. Хотя это правило появилось еще в 2018 году, раньше клиентам компании не требовалось увеличивать длину своих мастер-паролей.
Журналист отмечает, что, скорее всего, это связано с атакой на LastPass, произошедшей в конце 2022 года. Напомним, что тогда злоумышленники скомпрометировали домашний компьютер одного из сотрудников компании и воровали данные из облачного хранилища LastPass в Amazon AWS в течение двух месяцев. В итоге оказались похищены пользовательские хранилища паролей, содержащие как зашифрованные, так и открытые данные более чем 25 миллионов человек.
С тех пор, по информации Кребса, хакерам удалось взломать некоторые их украденных хранилищ, что привело к краже криптовалют на миллионы долларов.
Ранее Кребс уже цитировал слова создателя Adblock Plus Владимира Паланта (Wladimir Palant), который критиковал LastPass и заявлял, что компания не сумела перевести своих старых, изначальных клиентов на более надежное шифрование, которое предлагалось новым клиентам на протяжении многих лет.
Дело в том, что важной настройкой в LastPass по умолчанию является количество «итераций», отвечающее за то, сколько раз мастер-пароль пользователя проходит процедуру шифрования. Чем больше итераций, тем больше времени понадобится злоумышленнику, чтобы взломать такой мастер-пароль.
Палант объяснял, что для многих старых пользователей LastPass количество итераций по умолчанию составляло от 1 до 500. К 2013 году новым клиентам LastPass по умолчанию предлагалось уже 5000 итераций. В феврале 2018 года LastPass изменил значение по умолчанию на 100 100 итераций, а совсем недавно количество итераций увеличилось до 600 000. Однако Палант и другие, пострадавшие от взлома LastPass в 2022 году, заявляли, что настройки безопасности их учетных записей никогда не обновлялись принудительно.
Точку зрения Паланта поддержал и Николас Уивер (Nicholas Weaver), исследователь из Международного института компьютерных наук Калифорнийского университета в Беркли и преподаватель Калифорнийского университета в Дэвисе, который считает, что LastPass совершила огромную ошибку несколько лет назад, не обновив счетчик итераций принудительно для существующих пользователей.
Дело в том, что хакеры могут проводить так называемые офлайн-атаки, если заполучат сами зашифрованные данные хранилищ (что и произошло во время взлома компании), и не будут взаимодействовать с LastPass через официальный сайт. Такие атаки позволяют совершать неограниченный и беспрепятственный буртфорс паролей, причем в распоряжении хакеров могут находиться мощные компьютеры, каждый из которых может пытаться подобрать миллионы паролей в секунду.
Проблему хорошо иллюстрирует таблица из блога Паланта, показывающая, как увеличение количества итераций резко увеличивает затраты и время, необходимые для взлома чьего-либо мастер-пароля.
В связи с этим теперь Палант называет новые требования LastPass к длине мастер-паролей обычной пиар-акцией.
Также, по словам Паланта, изменения никак не помогут людям, пострадавшим от атаки 2022 года.
В ответ на это глава LastPass Карим Тубба (Karim Toubba) заявил, что изменение длины мастер-пароля (или самого мастер-пароля) направлено не на борьбу с уже украденными хранилищами, находящимися в автономном режиме.
На вопрос о том, почему LastPass по-прежнему не рекомендует пользователям менять все пароли, защищенные зашифрованным мастер-паролем, Тубба ответил, что «данные показывают, что большинство клиентов следуют нашим рекомендациям (и даже их превосходят), и вероятность успешного взлома шифрования хранилища значительно снижается».
Как рассказывает в своем блоге известный ИБ-журналист Брайан Кребс (Brian Krebs), на прошлой неделе разработчики LastPass сообщили клиентам, что им придется обновить мастер-пароль, если тот короче 12 символов. Хотя это правило появилось еще в 2018 году, раньше клиентам компании не требовалось увеличивать длину своих мастер-паролей.
Журналист отмечает, что, скорее всего, это связано с атакой на LastPass, произошедшей в конце 2022 года. Напомним, что тогда злоумышленники скомпрометировали домашний компьютер одного из сотрудников компании и воровали данные из облачного хранилища LastPass в Amazon AWS в течение двух месяцев. В итоге оказались похищены пользовательские хранилища паролей, содержащие как зашифрованные, так и открытые данные более чем 25 миллионов человек.
С тех пор, по информации Кребса, хакерам удалось взломать некоторые их украденных хранилищ, что привело к краже криптовалют на миллионы долларов.
Ранее Кребс уже цитировал слова создателя Adblock Plus Владимира Паланта (Wladimir Palant), который критиковал LastPass и заявлял, что компания не сумела перевести своих старых, изначальных клиентов на более надежное шифрование, которое предлагалось новым клиентам на протяжении многих лет.
Дело в том, что важной настройкой в LastPass по умолчанию является количество «итераций», отвечающее за то, сколько раз мастер-пароль пользователя проходит процедуру шифрования. Чем больше итераций, тем больше времени понадобится злоумышленнику, чтобы взломать такой мастер-пароль.
Палант объяснял, что для многих старых пользователей LastPass количество итераций по умолчанию составляло от 1 до 500. К 2013 году новым клиентам LastPass по умолчанию предлагалось уже 5000 итераций. В феврале 2018 года LastPass изменил значение по умолчанию на 100 100 итераций, а совсем недавно количество итераций увеличилось до 600 000. Однако Палант и другие, пострадавшие от взлома LastPass в 2022 году, заявляли, что настройки безопасности их учетных записей никогда не обновлялись принудительно.
Точку зрения Паланта поддержал и Николас Уивер (Nicholas Weaver), исследователь из Международного института компьютерных наук Калифорнийского университета в Беркли и преподаватель Калифорнийского университета в Дэвисе, который считает, что LastPass совершила огромную ошибку несколько лет назад, не обновив счетчик итераций принудительно для существующих пользователей.
Дело в том, что хакеры могут проводить так называемые офлайн-атаки, если заполучат сами зашифрованные данные хранилищ (что и произошло во время взлома компании), и не будут взаимодействовать с LastPass через официальный сайт. Такие атаки позволяют совершать неограниченный и беспрепятственный буртфорс паролей, причем в распоряжении хакеров могут находиться мощные компьютеры, каждый из которых может пытаться подобрать миллионы паролей в секунду.
Проблему хорошо иллюстрирует таблица из блога Паланта, показывающая, как увеличение количества итераций резко увеличивает затраты и время, необходимые для взлома чьего-либо мастер-пароля.
В связи с этим теперь Палант называет новые требования LastPass к длине мастер-паролей обычной пиар-акцией.
Также, по словам Паланта, изменения никак не помогут людям, пострадавшим от атаки 2022 года.
В ответ на это глава LastPass Карим Тубба (Karim Toubba) заявил, что изменение длины мастер-пароля (или самого мастер-пароля) направлено не на борьбу с уже украденными хранилищами, находящимися в автономном режиме.
На вопрос о том, почему LastPass по-прежнему не рекомендует пользователям менять все пароли, защищенные зашифрованным мастер-паролем, Тубба ответил, что «данные показывают, что большинство клиентов следуют нашим рекомендациям (и даже их превосходят), и вероятность успешного взлома шифрования хранилища значительно снижается».
