Hlavní navigace

LastPass byl podruhé napaden, unikly hashe hesel

Roman Bořánek

Populární služba pro správu hesel LastPass byla napadena, což nám opět připomíná, že pohodlí cloudu ne vždy znamená i bezpečí. I přes únik uživatelských informací, včetně hashů hesel, však reálné ohrožení uživatelům nehrozí. Nejde o první škraloup na pověsti LastPass. Problém měla už v roce 2011.

Správce hesel LastPass informoval své uživatele, že v pátek se neznámému útočníkovi podařilo proniknout do sítě a získat uživatelská data. „Během vyšetřování jsme nenašli žádné známky toho, že by byla odcizena šifrovaná data uživatelů (uložená hesla, pozn. red), ani že by bylo neoprávněně přistupováno k účtům,“ ujišťuje předem LastPass.

Útočníkovi se však podařilo zjistit e-mailové adresy, nápovědy k heslům a zejména samotná hlavní hesla ve formě hashe. Není zřejmé, zda byla odcizena kompletní databáze. Prakticky největší problém dnes představuje únik e-mailových adres, jejichž majitelé se mohou stát obětí phishingu. Hesla vzhledem k použitému hashovacímu algoritmu dnes prakticky zjistitelná nejsou.

Jsme si jisti, že naše šifrovací opatření jsou dostatečná pro ochranu drtivé většiny hesel. LastPass pro zesílení autentizačního hashe používá solení ve sta tisících kolech na straně serveru prostřednictvím PBKDF2-SHA256, další kola jsou navíc prováděna u klienta. S tímto dodatečným zesílením je velmi obtížné prolomit ukradené hashe i při významné rychlosti.

Přesto služba nechce nic podcenit a uživatele vyzývá, aby podnikli preventivní bezpečnostní opatření. Tedy zejména změnili své hlavní heslo na LastPass a přestali ho používat i na jiných místech. „Také vyžadujeme, aby všichni uživatelé přihlašující se z nového zařízení nebo nové IP adresy ověřili účet e-mailem, jestliže nemají aktivovanou dvoufaktorovou autentizaci.“

LastPass a rozšíření pro Chrome

LastPass spuštěný v roce 2008 je pravděpodobně nejpopulárnějším cloudovým správcem hesel na světě, nepočítáme-li nástroje integrované ve webových prohlížečích. Databáze uživatelských hesel je šifrována a dešifrována na straně klienta, což značně omezuje možnosti kompromitování dat ve větším měřítku. Bezpečnost také významně zvýší použití dvoufaktorové autentizace, kterou LastPass důrazně doporučuje.

Podobnou nepříjemnost už služba zažila před čtyřmi roky, kdy útočník rovněž získal hashe hlavních hesel. Tehdy ještě hashování nebylo tak silné, takže teoreticky bylo možné úspěšně bruteforcovat slovníková hesla. Možnost zjištění poctivého hesla z hashe ale byla nereálná i tehdy. Dodnes nebyl zaznamenán jediný případ prolomení a zneužití hesla z tohoto úniku.

Nutno dodat, že tentokrát LastPass situaci zvládl mnohem lépe. Tehdy služba o úniku informovala poměrně zmatečně a zveřejňovala kusovité informace. Také došlo k problémům při změně hesel, když servery v návalu požadavků zkolabovaly. Dnes se problémy tohoto typu nevyskytly a zdá se, že aplikace dodatečných opatření probíhá podle plánu.

Našli jste v článku chybu?