Page d'accueil Sécurité LastPass is Breached Avez-vous besoin de changer votre mot de passe principal?

LastPass is Breached Avez-vous besoin de changer votre mot de passe principal?

  • Gabriel Brooks
  • 0
  • 4395
  • 1160
Publicité

Si vous êtes l'un des milliers d'utilisateurs de LastPass qui se sont sentis très en sécurité grâce à Internet grâce aux promesses d'une sécurité presque incassable, vous vous sentirez peut-être un peu moins en sécurité sachant que le 15 juin, la société a annoncé la détection d'une intrusion dans leurs serveurs.

LastPass a initialement envoyé un message électronique aux utilisateurs pour les informer que la société avait détecté “activité suspecte” sur les serveurs LastPass et que les adresses électroniques des utilisateurs et les rappels de mots de passe ont été compromis.

La société a assuré aux utilisateurs qu'aucune donnée de coffre-fort chiffrée n'avait été compromise, mais depuis les mots de passe hachés de l'utilisateur Ce que tout ce contenu en hachage MD5 signifie en réalité [La technologie expliquée] Ce que tout ce contenu du hachage en MD5 signifie réellement [La technologie expliquée] Voici un aperçu complet de MD5, hachage et petit aperçu des ordinateurs et de la cryptographie. obtenu, la société a conseillé aux utilisateurs de mettre à jour leurs mots de passe maîtres, par sécurité.

Le LastPass Hack Expliqué

Ce n'est pas la première fois que les utilisateurs de LastPass s'inquiètent des pirates. L'année dernière, nous avons interviewé Joe Siegrist, PDG de LastPass, Joe Siegrist de LastPass: La vérité sur la sécurité de votre mot de passe Joe Siegrist de LastPass: La vérité sur votre mot de passe La sécurité après la menace de Heartbleed, où ses assurances rassurent les utilisateurs.

Cette dernière violation a eu lieu tard dans la semaine précédant l’annonce. Au moment où il a été détecté et identifié comme une intrusion dans la sécurité, les attaquants s’étaient échappés avec les adresses e-mail des utilisateurs, des questions / réponses de rappel de mot de passe, des mots de passe hachés et des sels cryptographiques. Cacher et crypter vos fichiers .

La bonne nouvelle est que la sécurité du système LastPass a été conçue pour résister à de telles attaques. La seule façon d’accéder à vos mots de passe en texte brut serait que les pirates informatiques déchiffrent les mots de passe maîtres bien sécurisés. Utilisez une stratégie de gestion des mots de passe pour vous simplifier la vie. Utilisez une stratégie de gestion des mots de passe pour vous simplifier la vie. La plupart des conseils concernant les mots de passe sont proches. -impossible à suivre: utilisez un mot de passe fort contenant des chiffres, des lettres et des caractères spéciaux; changez-le régulièrement; proposer un mot de passe complètement unique pour chaque compte, etc. .

En raison du mécanisme utilisé pour chiffrer votre mot de passe principal, il faudrait beaucoup de ressources informatiques pour le déchiffrer, ressources auxquelles la plupart des pirates informatiques de taille moyenne ou moyenne n'ont pas accès..

La raison pour laquelle vous êtes si protégé lorsque vous utilisez LastPass est que ce mécanisme qui rend le mot de passe principal difficile à obtenir s'appelle “hachage lente” ou “hachage avec du sel.”

Comment fonctionne le hachage

LastPass utilise l'une des techniques de chiffrement les plus sécurisées au monde, appelée hachage avec sel..

le “sel” est un code généré à l'aide d'un outil de cryptographie - une sorte de générateur de nombres aléatoires avancé Les 5 meilleurs générateurs de mots de passe en ligne pour mots de passe aléatoires forts Les 5 meilleurs générateurs de mots de passe en ligne pour mots de passe aléatoires forts Vous recherchez un moyen de créer rapidement un mot de passe indestructible? Essayez l'un de ces générateurs de mots de passe en ligne. créé spécifiquement pour la sécurité, si vous voulez. Ces outils créent des codes complètement imprévisibles lorsque vous créez votre mot de passe principal.

Que se passe-t-il lorsque vous créez votre compte si le mot de passe est “haché” en utilisant l'un de ces générés aléatoirement (et très long) “sel” Nombres. Ceux-ci ne sont jamais réutilisés - ils sont uniques pour chaque utilisateur et chaque mot de passe. Enfin, dans la table des comptes utilisateurs, vous ne trouverez que le sel et le hachage.

La version texte de votre mot de passe principal n’est jamais stockée sur les serveurs LastPass; les pirates informatiques n’y ont donc pas accès. Tout ce qu’ils ont pu obtenir dans cette intrusion sont ces sels aléatoires et les hashs codés..

Ainsi, la seule façon dont LastPass (ou quiconque) peut valider votre mot de passe est:

  1. Récupérer le hachage et le sel de la table utilisateur.
  2. Utilisez le sel sur le mot de passe saisi par l'utilisateur, en le hachant à l'aide de la même fonction de hachage que celle utilisée lors de la génération du mot de passe..
  3. Le hachage résultant est comparé au hachage stocké pour voir si c'est une correspondance.

De nos jours, les pirates sont capables de générer des milliards de hachages par seconde, alors pourquoi un pirate informatique ne peut-il pas simplement utiliser la force brutale pour déchiffrer ces mots de passe? Ophcrack - Un outil de piratage de mot de passe pour craquer presque n'importe quel mot de passe Windows Presque tous les mots de passe Windows Il y a beaucoup de raisons pour lesquelles on souhaite utiliser un nombre quelconque d'outils de piratage de mots de passe pour pirater un mot de passe Windows. ? Cette sécurité supplémentaire est due au hachage lent.

Pourquoi le hachage lent vous protège

Dans une telle attaque, la partie la plus lente de la sécurité LastPass vous protège réellement.

LastPass rend la fonction de hachage utilisée pour vérifier le mot de passe (ou le créer) très lentement. Cela met essentiellement les pauses dans toute opération à grande vitesse et à force brute nécessitant de la vitesse afin de pomper à travers des milliards de hash possibles. Peu importe la puissance de calcul La dernière technologie informatique qu'il faut voir pour croire La dernière technologie informatique pour qu'il soit capable de croire Découvrez certaines des dernières technologies informatiques qui transformeront le monde de l'électronique et des PC au cours des prochaines années. . le système de piratage a, le processus pour casser le cryptage prendra toujours pour toujours, rendant essentiellement les attaques par force brute inutiles.

En plus de cela, LastPass n'exécute pas simplement l'algorithme de hachage, il l'exécute des milliers de fois sur votre ordinateur, puis de nouveau sur le serveur..

Voici comment LastPass a expliqué son propre processus aux utilisateurs dans un article de blog suite à cette dernière attaque:

“Nous divisons le nom d'utilisateur et le mot de passe principal sur l'ordinateur de l'utilisateur avec 5 000 tours de PBKDF2-SHA256, un algorithme de renforcement du mot de passe. Cela crée une clé, sur laquelle nous effectuons une autre série de hachages, pour générer le hachage d'authentification par mot de passe principal.”

Le support technique de LastPass contient une publication décrivant comment LastPass utilise le hachage lent:

LastPass a choisi d’utiliser SHA-256, un algorithme de hachage plus lent qui offre davantage de protection contre les attaques par force brute. LastPass utilise la fonction PBKDF2 mise en œuvre avec SHA-256 pour transformer votre mot de passe principal en clé de chiffrement..

En d'autres termes, malgré cette récente faille de sécurité, vos mots de passe sont encore très sécurisés, même si votre adresse électronique n'est pas.

Et si mon mot de passe est faible?

Il existe un excellent point soulevé sur le blog LastPass concernant les mots de passe faibles. De nombreux utilisateurs craignent de ne pas avoir imaginé un mot de passe assez unique et que ces pirates puissent le deviner sans trop d'effort..

Il existe également le risque à distance que votre compte soit l'un de ceux que les pirates informatiques perdent leur temps à essayer de déchiffrer, et il est toujours possible qu'ils puissent obtenir votre mot de passe principal. Quoi alors?

L'essentiel, c'est que tout cet effort serait gaspillé, car la connexion à partir d'un autre appareil nécessite une vérification par courrier électronique - votre courrier électronique - avant que l'accès ne soit accordé. Du blog LastPass:

“Si l'attaquant tentait d'accéder à vos données en utilisant ces informations d'identification pour se connecter à votre compte LastPass, il serait arrêté par une notification lui demandant de vérifier d'abord son adresse électronique..”

Donc, à moins qu'ils ne puissent en quelque sorte pirater votre compte de messagerie en plus de En déchiffrant un algorithme presque infranchissable, vous n'avez vraiment rien à craindre.

Devrais-je changer mon mot de passe principal?

Que vous souhaitiez changer votre mot de passe principal ou non, cela dépend vraiment de votre paranoïa ou de votre malchance. Si vous pensez que vous êtes peut-être la seule personne malchanceuse dont le mot de passe est déchiffré par des pirates talentueux qui sont en mesure de déchiffrer en quelque sorte grâce à la routine de hachage de 100 000 tours de LastPass et à un code sel unique à vous?

Évidemment, si vous vous inquiétez de ce genre de chose, changez votre mot de passe pour avoir l'esprit tranquille. Cela veut dire qu'au moins votre sel et votre hasch, entre les mains de pirates informatiques, deviennent inutiles.

Cependant, il existe des experts en sécurité qui ne sont pas du tout concernés, tels que l'expert en sécurité Jeremi Gosney du groupe Structure qui a déclaré aux journalistes:

“La valeur par défaut est 5 000 itérations. Nous prévoyons donc au minimum 105 000 itérations. La mienne est fixée à 65 000 itérations, ce qui représente un total de 165 000 itérations pour protéger ma phrase secrète Diceware. Donc non, je ne suis certainement pas en train de suer cette brèche. Je ne me sens même pas obligé de changer mon mot de passe principal.”

La seule préoccupation réelle que vous devriez avoir au sujet de cette violation de données est que les pirates informatiques ont maintenant votre adresse e-mail, qu'ils pourraient utiliser pour organiser des expéditions de phishing en masse afin d'inciter les utilisateurs à renoncer à leurs différents mots de passe, ou peut-être qu'ils pourraient faire quelque chose d'aussi banal. en vendant tous ces e-mails d'utilisateurs aux spammeurs sur le marché noir.

L'essentiel est que le risque de cette intrusion de sécurité reste minime, grâce à la sécurité écrasante du système LastPass. Mais le bon sens dit que, chaque fois que les pirates informatiques obtiennent les détails de votre compte, même protégés par des milliers d'itérations cryptographiques avancées, il est toujours bon de changer votre mot de passe principal, même pour des raisons de tranquillité d'esprit..

L'atteinte à la sécurité de LastPass vous a-t-elle vraiment inquiété pour la sécurité de LastPass ou avez-vous confiance en la sécurité de votre compte là-bas? Partagez vos opinions et préoccupations dans la section commentaires ci-dessous.

Crédits image: serrure de sécurité pénétrée via Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock




Personne n'a encore commenté ce post.

Google Home Now vous aide à cuisiner 5 millions de recettes
Nouvelles techniques
Nintendo lance un nouvel ordinateur de poche cet été
Nouvelles techniques
Microsoft n’installez pas la mise à jour de Windows 10 Creators!
Nouvelles techniques
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.