LastPass est violé: devez-vous modifier votre mot de passe principal?

Publicité

Si vous êtes l'un des milliers d'utilisateurs de LastPass qui se sentent très en sécurité sur Internet grâce aux promesses de presque incassables sécurité, vous vous sentirez peut-être un peu moins en sécurité sachant que le 15 juin, la société a annoncé avoir détecté une intrusion dans leur les serveurs.

LastPass a initialement envoyé un avis par courrier électronique aux utilisateurs les informant que la société avait détecté sur les serveurs LastPass, et que les adresses e-mail des utilisateurs et les rappels de mot de passe avaient été compromis.

La société a assuré aux utilisateurs qu'aucune donnée chiffrée du coffre-fort n'avait été compromise, mais depuis la mots de passe utilisateur hachés Qu'est-ce que tout ce truc MD5 Hash signifie réellement [Explication de la technologie]Voici un aperçu complet de MD5, du hachage et un petit aperçu des ordinateurs et de la cryptographie. Lire la suite avait été obtenu, la société a conseillé aux utilisateurs de mettre à jour leurs mots de passe principaux, par souci de sécurité.

Le dernier piratage expliqué

Ce n'est pas la première fois que les utilisateurs de LastPass se préoccupent des pirates. L'année dernière, nous interviewé le PDG de LastPass, Joe Siegrist Joe Siegrist de LastPass: la vérité sur la sécurité de votre mot de passe Lire la suite suite à la menace Heartbleed, où ses assurances rassurent les utilisateurs.

Cette dernière violation a eu lieu à la fin de la semaine précédant l'annonce. Au moment où il a été détecté et identifié comme une intrusion dans la sécurité, les attaquants s'étaient enfuis avec les adresses e-mail des utilisateurs, les questions / réponses de rappel de mot de passe, les mots de passe utilisateur hachés et sels cryptographiques Devenez un stéganographe secret: cachez et cryptez vos fichiers Lire la suite .

La bonne nouvelle est que la sécurité du système LastPass a été conçue pour résister à de telles attaques. La seule façon d'accéder à vos mots de passe en texte brut serait que les pirates décryptent mots de passe principaux bien sécurisés Utilisez une stratégie de gestion des mots de passe pour vous simplifier la vieLa plupart des conseils concernant les mots de passe sont presque impossibles à suivre: utilisez un mot de passe fort contenant des chiffres, des lettres et des caractères spéciaux; changez-le régulièrement; trouver un mot de passe complètement unique pour chaque compte etc ... Lire la suite .

En raison du mécanisme utilisé pour crypter votre mot de passe principal, il faudrait énormément de ressources informatiques pour le décrypter - des ressources auxquelles la plupart des pirates informatiques de petite ou moyenne taille n'ont pas accès.

La raison pour laquelle vous êtes si protégé lorsque vous utilisez LastPass est que ce mécanisme qui rend le mot de passe maître si difficile à obtenir est appelé «hachage lent» ou «hachage avec du sel».

Fonctionnement du hachage

LastPass utilise l'une des techniques de cryptage les plus sécurisées au monde, appelée hachage au sel.

Le «sel» est un code généré à l'aide d'un outil de cryptographie - une sorte de générateur de nombres aléatoires Les 5 meilleurs générateurs de mots de passe en ligne pour des mots de passe aléatoires fortsVous cherchez un moyen de créer rapidement un mot de passe incassable? Essayez l'un de ces générateurs de mots de passe en ligne. Lire la suite créé spécifiquement pour la sécurité, si vous voulez. Ces outils créent des codes complètement imprévisibles lorsque vous créez votre mot de passe principal.

Ce qui se passe lorsque vous créez votre compte, c'est que le mot de passe est «haché» en utilisant l'un de ces numéros «sel» générés aléatoirement (et très longtemps). Ils ne sont jamais réutilisés - ils sont uniques pour chaque utilisateur et chaque mot de passe. Enfin, dans le tableau des comptes d'utilisateurs, vous ne trouverez que le sel et le hachage.

La version textuelle réelle de votre mot de passe principal n'est jamais stockée sur les serveurs LastPass, donc les pirates informatiques n'y ont pas accès. Tout ce qu'ils ont pu obtenir dans cette intrusion sont ces sels aléatoires et les hachages codés.

Ainsi, la seule façon dont LastPass (ou n'importe qui) peut valider votre mot de passe est:

1. Récupérez le hachage et le sel de la table utilisateur.
2. Utilisez le sel sur le mot de passe saisi par l'utilisateur, en le hachant en utilisant la même fonction de hachage que celle utilisée lors de la génération du mot de passe.
3. Le hachage résultant est comparé au hachage stocké pour voir s'il s'agit d'une correspondance.

De nos jours, les pirates sont capables de générer des milliards de hachages par seconde, alors pourquoi un pirate ne peut-il pas simplement utiliser la force brute pour casser ces mots de passe Ophcrack - Un outil de piratage de mot de passe pour casser presque tous les mots de passe WindowsIl y a beaucoup de raisons différentes pour lesquelles on voudrait utiliser un certain nombre d'outils de piratage de mot de passe pour pirater un mot de passe Windows. Lire la suite ? Cette sécurité supplémentaire est due au hachage lent.

Pourquoi le hachage lent vous protège

Dans une attaque comme celle-ci, c'est vraiment la partie à hachage lent de la sécurité LastPass qui vous protège vraiment.

LastPass fait que la fonction de hachage utilisée pour vérifier le mot de passe (ou le créer) fonctionne très lentement. Cela met essentiellement les pauses sur toute opération à grande vitesse et à force brute qui nécessite de la vitesse afin de pomper à travers des milliards de hachages possibles. Peu importe quelle puissance de calcul La dernière technologie informatique que vous devez voir pour croireDécouvrez quelques-unes des dernières technologies informatiques qui devraient transformer le monde de l'électronique et des PC au cours des prochaines années. Lire la suite le système du pirate informatique a, le processus pour briser le cryptage prendra toujours une éternité, rendant essentiellement les attaques par force brute inutiles.

En plus de cela, LastPass ne se contente pas d'exécuter l'algorithme de hachage une fois, il l'exécute des milliers de fois sur votre ordinateur, puis à nouveau sur le serveur.

Voici comment LastPass a expliqué son propre processus aux utilisateurs dans un article de blog suite à cette dernière attaque:

«Nous hachons à la fois le nom d'utilisateur et le mot de passe principal sur l'ordinateur de l'utilisateur avec 5 000 tours de PBKDF2-SHA256, un algorithme de renforcement des mots de passe. Cela crée une clé, sur laquelle nous effectuons un autre tour de hachage, pour générer le hachage d'authentification du mot de passe principal. »

le Centre d'assistance LastPass a un article qui décrit comment LastPass utilise le hachage lent:

LastPass a choisi d'utiliser SHA-256, un algorithme de hachage plus lent qui offre plus de protection contre les attaques par force brute. LastPass utilise la fonction PBKDF2 implémentée avec SHA-256 pour transformer votre mot de passe principal en votre clé de chiffrement.

Cela signifie que malgré cette récente faille de sécurité, vos mots de passe sont à peu près toujours très sécurisés, même si votre adresse e-mail ne l'est pas.

Et si mon mot de passe est faible?

Il y a un excellent point soulevé sur le blog LastPass concernant les mots de passe faibles. De nombreux utilisateurs craignent de ne pas avoir imaginé un mot de passe suffisamment unique et que ces pirates puissent le deviner sans trop d'effort.

Il y a aussi le risque à distance que votre compte soit l'un de ceux que les pirates perdent leur temps à essayer pour décrypter, et il y a toujours la possibilité à distance qu'ils puissent réussir à obtenir votre maître mot de passe. Et alors?

L'essentiel est que tout cet effort serait gaspillé, car la connexion à partir d'un autre appareil nécessite une vérification par e-mail - votre e-mail - avant que l'accès ne soit accordé. Depuis le blog LastPass:

"Si l'attaquant a tenté d'accéder à vos données en utilisant ces informations d'identification pour se connecter à votre Compte LastPass, ils seraient arrêtés par une notification leur demandant de vérifier d'abord leur e-mail adresse."

Donc, à moins qu'ils ne puissent en quelque sorte pirater votre compte de messagerie en plus de décrypter un algorithme presque non craquable, vous n'avez vraiment rien à craindre.

Dois-je changer mon mot de passe principal?

Que vous souhaitiez ou non changer votre mot de passe principal se résume vraiment à la façon dont vous vous sentez paranoïaque ou malchanceux. Si vous pensez que vous êtes peut-être la seule personne malchanceuse dont le mot de passe a été piraté par des pirates informatiques talentueux capables pour décrypter en quelque sorte la routine de hachage de 100 000 tours de LastPass et un code de sel qui vous est propre?

Par tous les moyens, si vous vous inquiétez de ces choses, changez votre mot de passe juste pour la tranquillité d'esprit. Cela signifie qu'au moins votre sel et votre haschich, entre les mains des pirates, deviennent inutiles.

Cependant, il existe des experts en sécurité qui ne sont pas du tout concernés, comme l'expert en sécurité Jeremi Gosney chez Structure Group qui a dit aux journalistes:

"La valeur par défaut est de 5 000 itérations. Par conséquent, nous envisageons au moins 105 000 itérations. En fait, le mien est défini sur 65 000 itérations, ce qui représente un total de 165 000 itérations protégeant ma phrase secrète Diceware. Alors non, je ne transpire définitivement pas cette brèche. Je ne me sens même pas obligé de changer mon mot de passe principal. "

La seule véritable préoccupation que vous devriez avoir à propos de cette violation de données est que les pirates disposent désormais de votre adresse e-mail, qu'ils pourraient utiliser pour mener des expéditions de phishing de masse pour essayer et inciter les gens à abandonner leurs différents mots de passe de compte - ou peut-être qu'ils peuvent faire quelque chose d'aussi banal que de vendre tous ces e-mails d'utilisateurs à des spammeurs sur le noir marché.

L'essentiel est que le risque de cette intrusion de sécurité reste minime, grâce à la sécurité écrasante du système LastPass. Mais le bon sens dit que chaque fois que les pirates ont obtenu les détails de votre compte - même protégés par des milliers de itérations cryptographiques avancées - il est toujours bon de changer votre mot de passe principal, même si c'est pour votre tranquillité d'esprit.

La violation de la sécurité de LastPass vous a-t-elle inquiété de la sécurité de LastPass, ou êtes-vous sûr de la sécurité de votre compte là-bas? Partagez vos pensées et vos préoccupations dans la section des commentaires ci-dessous.

Crédits image: verrou de sécurité pénétré via Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock