Z odkazovaného článku: PBKDF2 100k iterací. Takže docela OK ale ne nejlepší jak by to šlo udělat. Nepíšou jaká je podkladová funkce toho PBKDF2 (dá se asi použít SHA-1, SHA-2 a další), ale podle benchmarku počítejte hádání řádově 50 kkey/s na high-end desktopové kartě.
Z tohoto hlediska bych tomu tedy pořád celkem věřil pokud máte rozumné master heslo, ale problém s touto firmou je, že by pomalu měl člověk počítat s tím, že útočník vydá backdoornutý update.
23. 12. 2022, 16:09 editováno autorem komentáře
Na podkladu pouzivaji SHA256. A pocet iteraci je vzdy o kompromisu mezi rychlosti a bezpecnosti. A moznosti jsou dnes nejake, ale za dva-tri roky budou urcite lepsi. Proste spolehat se na to, ze to (klidne za cas) nikdo neprolomi nelze, ty data jsou venku. A nekomu to za tu snahu (a obetovany vypocetni vykon) stat muze... a ten, kdo to pouziva by mel zacit i ty ulozena hesla postupne menit, pocinaje master heslem... a ne se konejsit tim, ze ma silne master heslo v kombinaci s 100k PBKDF2 iteracemi, kde dnesni grafiky daji 50kkeys/s.
Ono kdyz se clovek zacte do detailu a zjisti, ze ne vse LastPass sifroval (mj. URL nesifruji asi v ramci "zjednoduseni" pry vubec), tak by bylo na miste zvazit spise pouziti neceho, co sifruje skutecne celou databazi :-) A ne jen vybrane policka v ni... protoze i URL muze obsahovat citlive informace - treba o vnitni korporatni infrastrukture. K tem se utocnici dostali uz dnes i bez znalosti master hesel.
Frci, ale ne u LastPass, tam o tom jen posledni dva roky jen debatuji :-) Navic u PBKDF2-HMAC-SHA256 napr. OWASP dnes doporucuje nejmene 310k iteraci (doporuceni z roku 2021, LastPass tech 100k mel uz v roce 2011... to jen pro srovnani). Dle OWASP metrik by tech 100k iteraci nestacilo ani u PBKDF2-HMAC-SHA512 (kde je doporucovane minimum 120k).
pozor na papírová čísla, implementace PBKDF2 v lastpass je nešťastná, změna počtu interací znamená změnu master hesla, k tomu tě lastpass nijak nezavazuje.
V roce 2018 jsem analyzoval jejich klientskou část a zjistil jsem, že počet interací je 10k (a ECB AES-256) a ne 100k a samozřejmě, že šifrovaná jsou jen hesla. Heslo jsem měl z roku 2013. To jsem jim nahlásil v rámci jejich začínajícího bounty programu, odpověď žádná. Ještě v roce 2021 mělo moje heslo pořád jen 10k interakcí a pořád ECB, tj. lze snadno zjistit reuse hesel.
Takže současný únik je kardinální problém, u starých účtů neplatí jejich proklamace a hesla jsou “snadno” napadnutelná.
Podle diskuze z 2012 tady: https://arstechnica.com/information-technology/2015/06/hack-of-cloud-based-lastpass-exposes-encrypted-master-passwords/
Tehdy kombinovali client-side a server-side iterace. 100k bylo uz tehdy, ale vetsina z toho az na serveru. Navic v konentarich se mluvi o 5k, takze v 2013 uz to asi zvedli u client side na 10k a nakonec to cele presunuli do ni.
Podle obrázku, co má LastPass na webu u popisu architektury, to vypadá, že se na úložiště šifrované přes AES žádné další server-side iterace PBKDF2 neprovádějí:
https://www.lastpass.com/security/zero-knowledge-security