Vlákno názorů k článku LastPass byl podruhé napaden, unikly hashe hesel od František Fuka - Rád bych upozornil, že "hashe hesel" (tedy master...
-
Rád bych upozornil, že "hashe hesel" (tedy master passwordů, kterými se uživatelé dostávají ke své databázi hesel) neunikly a uniknout nemohly, neboť je LastPass na svých serverech nemá a nikdy vžádné podobě neměl (protože by to popíralo princip jeho fungování). Má tam jen vaše zakódované databáze, které se dekódují ve vašem počítači pomocí master hesla, které nikdy váš počítač neopustí. Viz citát z LastPass FAQ: "Our policy of never receiving private data that you haven't already locked down with your LastPass master password (which we never receive and will never ask for) radically reduces attack vectors."
Uniklo toto (cituji): "The investigation has shown, however, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised."
-
j (neregistrovaný)
A to nekdo overil nebo to jen tvrdej?
Mimochodem authentication hashes je hash toho mastrpasswordu. Jinak by nebylo treba nic menit a zaroven by jaksi nebyli schopni rozhodnout, jestli je to ten kterej user.
Nebo snad nekdo chce tvrdit, ze kdyz typnu nejakej username, tak si sosnu zaheslovany data a pak si je muzu klidanko v klidu lokalne lamat? No to potes, to je jeste vetsi pruser.
-
> Nebo snad nekdo chce tvrdit, ze kdyz typnu nejakej username, tak si sosnu zaheslovany data a pak si je muzu klidanko v klidu lokalne lamat? No to potes, to je jeste vetsi pruser.
Ne. Normalne to zjevne nejde a ani ted se to udajne nestalo:
Because encrypted user data was not taken,
Samozrejme v tomhle jim clovek muze jenom verit...
-
Petr M (neregistrovaný)
No, user accounts a user data... Obojí je asi v nějaké databázi. Pokud to běželo v jednom racku, na stejné databází, stejným železe, stejným OS a se stejnýma lidma okolo, je to jako věřit, že se někdo dostal v noci do trezoru, sebral prachy a šperky tam velkoryse nechal. Takže dost těžký.
Pokud se přihlašuju hashem hesla a data dešifruju hashem stejnýho hesla, tak pokud to není posolený, je to jasný. A i ta sůl je limitovaná, kdyby se měnila v čase, nepřihlásí se z několika zařízení.
Navíc je naivní předpokládat, že útočník našel někde v diskusí zmínku o LastPass, řekl si "ok, jdu na to" a ani to nevyzkoušel. Takže má heslo, má login data, má svoje hesla. Pokud to šifrování svých dat rozlomí a je všude stejný algoritmus se stejnou solí, už to jde skoro samo.
