Názory k článku
Z LastPass unikla data uživatelů včetně šifrovaných hesel

Podle toho co zde píšete tak by se člověk používající LastPass měl bát, ale po přečtení informací na blogu lastpasu si myslím že pokud jste dodržovali jejich rady tak se nic zas až tak neděje. Jen mají kůpu dat, která jsou jim k ničemu.

Nespoléhal bych se na to: https://infosec.exchange/@epixoip/109570449317277575

Ano.

Ale nejdůležitější hesla bych stejně měnil. 200% jistoty

A už je to tady...

Hned bych si k nim něco uložil. Fakt jim někdo věří? :)

Chlubi se 33+ miliony uzivatelu, takze "nekdo" zjevne ano :-) Aneb kazde zbozi ma sveho kupce.

Něco jako AVG a Avast.... nejhorší antiviry všech dob, co značně k tomu žerou výkon.... a přece se vždy najde člověk co to koupí a k tomu nainstaluje...
CCleaner je tím samím úkazem..

Ano, ja mam u nich 2 biznis ucty + osobny ucet ktory je ako "benefit" k tym biznis uctom. Uvidime, co povie Infosec na tento incident. Odhadujem, ze to bude iba warning, kedze federated login je implementovany.

Ukladat citlive data ako je databaza hesiel na cloud bol priserny napad odkedy to niekto vymyslel.
Ostanem pri mojom KeepassXC/Nextcloud combe.

A proč přesně to je podle tebe problém?

Lepší otázka samozřejmě je, proč to podle tebe problém není. Víme, že se to při nejmenším v budoucnu bude dát rozšifrovat. Ač to mohu se svou sokromou databází udělat, nechystám ji teď šifrovanou hodit na uloz.to.

To, že ta data byla uložená na cloudu, ani že odsud unikla, nijak nesouvisí s tím, že bude možné data v budoucnosti rozšifrovat. Uniknout mohou i data uložená lokálně a také je bude možné v budoucnosti rozšifrovat.

Má lokální data neunikla, unikla data z cloudu. Jedna má pojistka je, že mám svou databázi šifrovanou. Pečlivě si ji chráním a šifruji pomocí Ubikey. Druhá má pojistka je, že se neválí na uloz.to. Data z Lastpass se teď už na uloz.to možná válí.

Že mi data neunikla z domácí storage mi můžete a nemusíte věřit, ale vzhledem k tomu, pod jakým článkem si píšeme se asi shodneme na tom, že z cloudu unikla určitě. :)

To už z hlediska použitelnosti raději Vaultwarden.

LastPass = the last option. ;o)

Uf, mam tam takisto ulozenych mnoho pristupov...
Kolko by mohlo trvat utocnikom cracknutie 20+ znakoveho hesla, ktore obsahuje male/velke pismena, cisla a aj spec. znaky?
S brute-forceom sa hadam az do tejto zlozitosti nedostanu..

Momentálně neprolomitelný bruteforcem. Spíš bych se bál pokud jste to samé heslo jako je master password (což je absolutně špatně) použil někde jinde nebo to z vás vymámily sociálním inženýrstvím nebo tak.
Do budoucna se ale může objevit nějaká slabost v AES, takže bych určitě hesla co tam byly uložený změnil.

Presne ako píšete.. Rátam s týmto, že heslo mám silné a unikátne. A samozrejme asi nikto, kto číta články na tomto portály, nepodľahne sociálnemu inžinierstvu.
S tým AES máte pravdu. Toto ale asi nárazovo riešiť nebudem, skôr tak plynulo, bežne zvyknem aktualizovať heslá tak 2 - 3 krát do roka. Spolieham sa aj na 2FA, bez ktorej si už dnes asi ani nevieme autentifikáciu predstaviť.

Z odkazovaného článku: PBKDF2 100k iterací. Takže docela OK ale ne nejlepší jak by to šlo udělat. Nepíšou jaká je podkladová funkce toho PBKDF2 (dá se asi použít SHA-1, SHA-2 a další), ale podle benchmarku počítejte hádání řádově 50 kkey/s na high-end desktopové kartě.

Z tohoto hlediska bych tomu tedy pořád celkem věřil pokud máte rozumné master heslo, ale problém s touto firmou je, že by pomalu měl člověk počítat s tím, že útočník vydá backdoornutý update.

23. 12. 2022, 16:09 editováno autorem komentáře

Na podkladu pouzivaji SHA256. A pocet iteraci je vzdy o kompromisu mezi rychlosti a bezpecnosti. A moznosti jsou dnes nejake, ale za dva-tri roky budou urcite lepsi. Proste spolehat se na to, ze to (klidne za cas) nikdo neprolomi nelze, ty data jsou venku. A nekomu to za tu snahu (a obetovany vypocetni vykon) stat muze... a ten, kdo to pouziva by mel zacit i ty ulozena hesla postupne menit, pocinaje master heslem... a ne se konejsit tim, ze ma silne master heslo v kombinaci s 100k PBKDF2 iteracemi, kde dnesni grafiky daji 50kkeys/s.

Ono kdyz se clovek zacte do detailu a zjisti, ze ne vse LastPass sifroval (mj. URL nesifruji asi v ramci "zjednoduseni" pry vubec), tak by bylo na miste zvazit spise pouziti neceho, co sifruje skutecne celou databazi :-) A ne jen vybrane policka v ni... protoze i URL muze obsahovat citlive informace - treba o vnitni korporatni infrastrukture. K tem se utocnici dostali uz dnes i bez znalosti master hesel.

> A pocet iteraci je vzdy o kompromisu mezi rychlosti a bezpecnosti.

Myslel jsem algoritmy, které jdou špatně počítat na GPU, myslím že teď frčí argon2.

Frci, ale ne u LastPass, tam o tom jen posledni dva roky jen debatuji :-) Navic u PBKDF2-HMAC-SHA256 napr. OWASP dnes doporucuje nejmene 310k iteraci (doporuceni z roku 2021, LastPass tech 100k mel uz v roce 2011... to jen pro srovnani). Dle OWASP metrik by tech 100k iteraci nestacilo ani u PBKDF2-HMAC-SHA512 (kde je doporucovane minimum 120k).

“100k PBKDF2 iteracemi, kde dnesni grafiky daji 50kkeys/s” nejaky odkaz by nebyl, zajimaji me detaily. Dekuji!

Dával jsem odkaz na benchmark grafické karty v hashcatu, kde je to změřené…

Hashmode: 10000 - Django (PBKDF2-SHA256) (Iterations: 9999)

Speed.#1.........: 375.0 kH/s (89.32ms) @ Accel:4 Loops:1024 Thr:1024 Vec:1

Pokud se nepletu tak tady je benchmark na 10k iteraci zatimco lastpass ma 100100 iteraci.

Nasel jsem par benchmarku, nejnovejsi nekdy z poloviny 2022 a u 100k iteraci na nejlepsi nvidia grafice u aws dosahuji ~6400 hash/s. Dekuji za info, potesilo.

pozor na papírová čísla, implementace PBKDF2 v lastpass je nešťastná, změna počtu interací znamená změnu master hesla, k tomu tě lastpass nijak nezavazuje.

V roce 2018 jsem analyzoval jejich klientskou část a zjistil jsem, že počet interací je 10k (a ECB AES-256) a ne 100k a samozřejmě, že šifrovaná jsou jen hesla. Heslo jsem měl z roku 2013. To jsem jim nahlásil v rámci jejich začínajícího bounty programu, odpověď žádná. Ještě v roce 2021 mělo moje heslo pořád jen 10k interakcí a pořád ECB, tj. lze snadno zjistit reuse hesel.

Takže současný únik je kardinální problém, u starých účtů neplatí jejich proklamace a hesla jsou “snadno” napadnutelná.

Podle diskuze z 2012 tady: https://arstechnica.com/information-technology/2015/06/hack-of-cloud-based-lastpass-exposes-encrypted-master-passwords/

Tehdy kombinovali client-side a server-side iterace. 100k bylo uz tehdy, ale vetsina z toho az na serveru. Navic v konentarich se mluvi o 5k, takze v 2013 uz to asi zvedli u client side na 10k a nakonec to cele presunuli do ni.

Podle obrázku, co má LastPass na webu u popisu architektury, to vypadá, že se na úložiště šifrované přes AES žádné další server-side iterace PBKDF2 neprovádějí:
https://www.lastpass.com/security/zero-knowledge-security

Když mám heslo o 32 znacich, ktere nejde vyslovníkovat (nahodne vlozene zvlastni znaky a chybejici pismena ve slovech, nahodne velke/male pismena, kdy i ty slova samotna jsou relativne dost uncommon), rekneme ze i kdyby to obsahovalo jen velka pismena, mala pismena, cislice a tri zvlastni znaky, tak to je [(26*2) + 10 + 3]^32 kombinaci... to je i pri pouziti celych siti kryptomen s radove EH/s porad absolutne nemozny brutefrocnout za miliardy celych veku vesmiru... No... jako chapu, jsem asi vyjimka ze pouzivam takove heslo, ale na druhou stranu je to jediny heslo co si musim pamatovat... Dal sem si tu praci se ho naucit a z tehle uniku si ted nic nedelam a to ani do vzdaleny budoucnosti... Sance ze nekdo zvoli muj soubor a venuje tomu vykony celych kryptomenovych siti, ktere i do vzdaleny budoucnosti stejne nebudou stacit, je nulova...

24. 12. 2022, 15:27 editováno autorem komentáře

Za par let ty moznosti muzou byt jinde. Treba jen co se grafik tyce, tak za poslednich sest let vzrostl jejich vykon (co se "lamani" tyce) tak 14x... a lamani PBKDF2 jde krasne paralelizovat.

Popsal jste výpočet pro náhodně vytvořené heslo, přitom ale podle vašeho popisu máte heslo odvozené z nějakých slov. Tj. vaše heslo je řádově slabší, než náhodné heslo. Pořád je dost silné, aby dnes odolalo útokům, ale není to náhodný 32znakový text z 65znakové abecedy.

Vzhledem k tomu ze jsem vysvetlil co jsem s temi slovy udelal bych si dovolil odhadnout, ze je nemozne na to heslo pouzit jakoukoliv formu slovnikoveho utoku, ktera by davala jakykoliv smysl a dokazala zasadne urychlit cracknuti, kliden me ale vyvedte z omylu. V anglictine je asi 100+ tisic slov, ja z toho vybral 6 a obfuscoval je jak uz jsem vysvetlil v prvnim prispevku, to je ve skutecnosti mnohem vic kombinaci nez 65 na 32 jako kdyby to proste zkousel s nahodnymi znaky... protoze nemuze v zadnem pripade vedet jak jsem obfuscoval, jak kombinoval velka mala pismena a kde vynechaval/nah­razoval sepcialnimi znaky... good luck with that :D

Moc bych v klidu nebyl.
Po pádu BTC je na světě spousta farem, které se lámání hesel můžou věnovat. Protože nemají nic lepšího na práci.

Isteze a ziskom je heslo do korporatnej aplikacie ktora bez VPN aj tak nefunguje. Heslo ako JEDINY opravnujuci prostriedok k skutocne dolezitym udajom je snad uz za nami.