LastPass byl podruhé napaden, unikly hashe hesel

Roman Bořánek 16. 6. 2015

Populární služba pro správu hesel LastPass byla napadena, což nám opět připomíná, že pohodlí cloudu ne vždy znamená i bezpečí. I přes únik uživatelských informací, včetně hashů hesel, však reálné ohrožení uživatelům nehrozí. Nejde o první škraloup na pověsti LastPass. Problém měla už v roce 2011.

Správce hesel LastPass informoval své uživatele, že v pátek se neznámému útočníkovi podařilo proniknout do sítě a získat uživatelská data. „Během vyšetřování jsme nenašli žádné známky toho, že by byla odcizena šifrovaná data uživatelů (uložená hesla, pozn. red), ani že by bylo neoprávněně přistupováno k účtům,“ ujišťuje předem LastPass.

Útočníkovi se však podařilo zjistit e-mailové adresy, nápovědy k heslům a zejména samotná hlavní hesla ve formě hashe. Není zřejmé, zda byla odcizena kompletní databáze. Prakticky největší problém dnes představuje únik e-mailových adres, jejichž majitelé se mohou stát obětí phishingu. Hesla vzhledem k použitému hashovacímu algoritmu dnes prakticky zjistitelná nejsou.

Jsme si jisti, že naše šifrovací opatření jsou dostatečná pro ochranu drtivé většiny hesel. LastPass pro zesílení autentizačního hashe používá solení ve sta tisících kolech na straně serveru prostřednictvím PBKDF2-SHA256, další kola jsou navíc prováděna u klienta. S tímto dodatečným zesílením je velmi obtížné prolomit ukradené hashe i při významné rychlosti.

Přesto služba nechce nic podcenit a uživatele vyzývá, aby podnikli preventivní bezpečnostní opatření. Tedy zejména změnili své hlavní heslo na LastPass a přestali ho používat i na jiných místech. „Také vyžadujeme, aby všichni uživatelé přihlašující se z nového zařízení nebo nové IP adresy ověřili účet e-mailem, jestliže nemají aktivovanou dvoufaktorovou autentizaci.“

LastPass a rozšíření pro Chrome

LastPass spuštěný v roce 2008 je pravděpodobně nejpopulárnějším cloudovým správcem hesel na světě, nepočítáme-li nástroje integrované ve webových prohlížečích. Databáze uživatelských hesel je šifrována a dešifrována na straně klienta, což značně omezuje možnosti kompromitování dat ve větším měřítku. Bezpečnost také významně zvýší použití dvoufaktorové autentizace, kterou LastPass důrazně doporučuje.

widgety

Podobnou nepříjemnost už služba zažila před čtyřmi roky, kdy útočník rovněž získal hashe hlavních hesel. Tehdy ještě hashování nebylo tak silné, takže teoreticky bylo možné úspěšně bruteforcovat slovníková hesla. Možnost zjištění poctivého hesla z hashe ale byla nereálná i tehdy. Dodnes nebyl zaznamenán jediný případ prolomení a zneužití hesla z tohoto úniku.

Nutno dodat, že tentokrát LastPass situaci zvládl mnohem lépe. Tehdy služba o úniku informovala poměrně zmatečně a zveřejňovala kusovité informace. Také došlo k problémům při změně hesel, když servery v návalu požadavků zkolabovaly. Dnes se problémy tohoto typu nevyskytly a zdá se, že aplikace dodatečných opatření probíhá podle plánu.

Našli jste v článku chybu?
Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

120na80.cz: Pálení žáhy: která jídla ne a co nás uzdraví?

Pálení žáhy: která jídla ne a co nás uzdraví?

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Pryč se zastaralým stravováním ve školách

Pryč se zastaralým stravováním ve školách

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: Světový pohár v přímém přenosu na ČT

Světový pohár v přímém přenosu na ČT

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Podnikatel.cz: Instalatér, malíř a elektrikář. "Vymřou"?

Instalatér, malíř a elektrikář. "Vymřou"?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

DigiZone.cz: Numan Two: rozhlasový přijímač s CD

Numan Two: rozhlasový přijímač s CD

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...