Hlavní navigace

LastPass byl podruhé napaden, unikly hashe hesel

Roman Bořánek 16. 6. 2015

Populární služba pro správu hesel LastPass byla napadena, což nám opět připomíná, že pohodlí cloudu ne vždy znamená i bezpečí. I přes únik uživatelských informací, včetně hashů hesel, však reálné ohrožení uživatelům nehrozí. Nejde o první škraloup na pověsti LastPass. Problém měla už v roce 2011.

Správce hesel LastPass informoval své uživatele, že v pátek se neznámému útočníkovi podařilo proniknout do sítě a získat uživatelská data. „Během vyšetřování jsme nenašli žádné známky toho, že by byla odcizena šifrovaná data uživatelů (uložená hesla, pozn. red), ani že by bylo neoprávněně přistupováno k účtům,“ ujišťuje předem LastPass.

Útočníkovi se však podařilo zjistit e-mailové adresy, nápovědy k heslům a zejména samotná hlavní hesla ve formě hashe. Není zřejmé, zda byla odcizena kompletní databáze. Prakticky největší problém dnes představuje únik e-mailových adres, jejichž majitelé se mohou stát obětí phishingu. Hesla vzhledem k použitému hashovacímu algoritmu dnes prakticky zjistitelná nejsou.

Jsme si jisti, že naše šifrovací opatření jsou dostatečná pro ochranu drtivé většiny hesel. LastPass pro zesílení autentizačního hashe používá solení ve sta tisících kolech na straně serveru prostřednictvím PBKDF2-SHA256, další kola jsou navíc prováděna u klienta. S tímto dodatečným zesílením je velmi obtížné prolomit ukradené hashe i při významné rychlosti.

Přesto služba nechce nic podcenit a uživatele vyzývá, aby podnikli preventivní bezpečnostní opatření. Tedy zejména změnili své hlavní heslo na LastPass a přestali ho používat i na jiných místech. „Také vyžadujeme, aby všichni uživatelé přihlašující se z nového zařízení nebo nové IP adresy ověřili účet e-mailem, jestliže nemají aktivovanou dvoufaktorovou autentizaci.“

LastPass a rozšíření pro Chrome

LastPass spuštěný v roce 2008 je pravděpodobně nejpopulárnějším cloudovým správcem hesel na světě, nepočítáme-li nástroje integrované ve webových prohlížečích. Databáze uživatelských hesel je šifrována a dešifrována na straně klienta, což značně omezuje možnosti kompromitování dat ve větším měřítku. Bezpečnost také významně zvýší použití dvoufaktorové autentizace, kterou LastPass důrazně doporučuje.

Podobnou nepříjemnost už služba zažila před čtyřmi roky, kdy útočník rovněž získal hashe hlavních hesel. Tehdy ještě hashování nebylo tak silné, takže teoreticky bylo možné úspěšně bruteforcovat slovníková hesla. Možnost zjištění poctivého hesla z hashe ale byla nereálná i tehdy. Dodnes nebyl zaznamenán jediný případ prolomení a zneužití hesla z tohoto úniku.

Nutno dodat, že tentokrát LastPass situaci zvládl mnohem lépe. Tehdy služba o úniku informovala poměrně zmatečně a zveřejňovala kusovité informace. Také došlo k problémům při změně hesel, když servery v návalu požadavků zkolabovaly. Dnes se problémy tohoto typu nevyskytly a zdá se, že aplikace dodatečných opatření probíhá podle plánu.

Našli jste v článku chybu?

18. 6. 2015 21:43

Resp. 1-2^256, ať učiníme chytání za slovíčka za dost :)

18. 6. 2015 21:41

Ano, ano, to je pravda. Udělal jsem chybu v tom slově "je stejný". Měl jsem napsat něco v tom stylu, že nevíme, jak je ten prostor pokrytý, takže je (za předpokladu téhle neznalosti) stejně pravděpodobné, že heslem pro AES bude cokoli z prostoru 0-2^256, čili jestli heslo proženu SHAčkem jednou nebo stotisíckrát, tak se tím nijak nezmění moje znalost o tom, co je heslem - pořád to (pro mě jako útočníka) může být cokoli z prostoru 0-2^256. Ve skutečnosti to některé z těch hodnot být nemůžou, čili…

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Měšec.cz: Jak vymáhat výživné zadarmo?

Jak vymáhat výživné zadarmo?

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Lupa.cz: Není sleva jako sleva. Jak obchodům nenaletět?

Není sleva jako sleva. Jak obchodům nenaletět?

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí