LastPass is Breached Avez-vous besoin de changer votre mot de passe principal?
Si vous êtes l'un des milliers d'utilisateurs de LastPass qui se sont sentis très en sécurité grâce à Internet grâce aux promesses d'une sécurité presque incassable, vous vous sentirez peut-être un peu moins en sécurité sachant que le 15 juin, la société a annoncé avoir détecté une intrusion dans leurs serveurs.
LastPass a initialement envoyé un courrier électronique aux utilisateurs les informant que la société avait détecté “activité suspecte” sur les serveurs LastPass et que les adresses électroniques des utilisateurs et les rappels de mots de passe ont été compromis.
La société a assuré aux utilisateurs qu'aucune donnée de coffre-fort chiffrée n'avait été compromise, mais depuis les mots de passe hachés de l'utilisateur Ce que tout ce truc MD5 signifie en réalité [Technologie expliquée] Ce que tout ce truc du hachage MD5 signifie réellement [Technologie expliquée] Voici un aperçu complet de MD5, hachage et petit aperçu des ordinateurs et de la cryptographie. Pour en savoir plus, la société a conseillé aux utilisateurs de mettre à jour leur mot de passe principal, par sécurité.
Le LastPass Hack Expliqué
Ce n'est pas la première fois que les utilisateurs de LastPass s'inquiètent des pirates. L'année dernière, nous avons interviewé Joe Siegrist, PDG de LastPass, Joe Siegrist de LastPass: La vérité sur la sécurité de votre mot de passe Joe Siegrist de LastPass: La vérité sur la sécurité de votre mot de passe Suite à la menace Heartbleed, où ses assurances rassurent les utilisateurs.
Cette dernière violation a eu lieu tard dans la semaine précédant l’annonce. Au moment où il a été détecté et identifié comme une intrusion de sécurité, les attaquants s’étaient échappés avec des adresses e-mail, des questions / réponses de rappel de mot de passe, des mots de passe hachés et des sels cryptographiques. Devenez un stéganographe secret: cachez et cryptez vos fichiers Devenez un stéganographe secret: Cacher et crypter vos fichiers En savoir plus .
La bonne nouvelle est que la sécurité du système LastPass a été conçue pour résister à de telles attaques. La seule façon d’accéder à vos mots de passe en texte brut serait que les pirates informatiques déchiffrent les mots de passe maîtres bien sécurisés. Utilisez une stratégie de gestion des mots de passe pour simplifier votre vie. Utilisez une stratégie de gestion des mots de passe pour vous simplifier la vie. -impossible à suivre: utilisez un mot de passe fort contenant des chiffres, des lettres et des caractères spéciaux; changez-le régulièrement; proposer un mot de passe complètement unique pour chaque compte, etc… En savoir plus .
En raison du mécanisme utilisé pour chiffrer votre mot de passe principal, il faudrait beaucoup de ressources informatiques pour le déchiffrer, ressources auxquelles la plupart des pirates informatiques de taille moyenne ou moyenne n'ont pas accès..
La raison pour laquelle vous êtes si protégé lorsque vous utilisez LastPass est que ce mécanisme qui rend le mot de passe principal difficile à obtenir s'appelle “hachage lente” ou “hachage avec du sel.”
Comment fonctionne le hachage
LastPass utilise l'une des techniques de cryptage les plus sécurisées au monde, appelée hachage avec sel..
le “sel” est un code généré à l'aide d'un outil de cryptographie - une sorte de générateur de nombres aléatoires avancé. 5 Générateurs de mots de passe gratuits pour mots de passe quasi inchables 5 Générateurs de mots de passe gratuits pour mots de passe presque inchangeables Lire plus spécialement créés pour la sécurité, si vous le souhaitez. Ces outils créent des codes complètement imprévisibles lorsque vous créez votre mot de passe principal.
Que se passe-t-il lorsque vous créez votre compte si le mot de passe est “haché” en utilisant l'un de ces types générés aléatoirement (et très longtemps) “sel” Nombres. Ceux-ci ne sont jamais réutilisés - ils sont uniques pour chaque utilisateur et chaque mot de passe. Enfin, dans la table des comptes utilisateurs, vous ne trouverez que le sel et le hachage.
La version texte de votre mot de passe principal n’est jamais stockée sur les serveurs LastPass. Par conséquent, les pirates informatiques n’y ont pas accès. Tout ce qu’ils ont pu obtenir dans cette intrusion sont ces sels aléatoires et les hashs codés..
Ainsi, la seule façon dont LastPass (ou quiconque) peut valider votre mot de passe est:
- Récupérer le hachage et le sel de la table utilisateur.
- Utilisez le sel sur le mot de passe saisi par l'utilisateur, en le hachant à l'aide de la même fonction de hachage que celle utilisée lors de la génération du mot de passe..
- Le hachage résultant est comparé au hachage stocké pour voir si c'est une correspondance.
De nos jours, les pirates informatiques sont capables de générer des milliards de hachages par seconde, alors pourquoi un pirate informatique ne peut-il pas simplement utiliser la force brutale pour déchiffrer ces mots de passe? Ophcrack - Un outil de piratage de mots de passe pour pirater presque tout mot de passe Windows Ophcrack - Un outil de piratage de mots de passe pour craquer Presque tous les mots de passe Windows Il y a beaucoup de raisons pour lesquelles on souhaite utiliser un nombre quelconque d'outils de piratage de mots de passe pour pirater un mot de passe Windows. Lire la suite ? Cette sécurité supplémentaire est due au hachage lent.
Pourquoi le hachage lent vous protège
Dans une telle attaque, la partie la plus lente de la sécurité LastPass vous protège réellement.
LastPass permet à la fonction de hachage utilisée pour vérifier le mot de passe (ou le créer) de fonctionner très lentement. Cela met essentiellement le frein à toute opération à grande vitesse et à force brute nécessitant de la vitesse afin de pomper à travers des milliards de hachages possibles. Peu importe la puissance de calcul La dernière technologie informatique qu'il faut voir pour croire La dernière technologie informatique pour qu'il soit capable de croire Découvrez certaines des dernières technologies informatiques qui transformeront le monde de l'électronique et des PC au cours des prochaines années. . En savoir plus sur le système du pirate informatique, le processus pour casser le cryptage prendra encore une éternité, rendant essentiellement inutiles les attaques par force brute.
En plus de cela, LastPass n'exécute pas une seule fois l'algorithme de hachage, il l'exécute des milliers de fois sur votre ordinateur, puis de nouveau sur le serveur..
Voici comment LastPass a expliqué son propre processus aux utilisateurs dans un article de blog suite à cette dernière attaque:
“Nous divisons le nom d'utilisateur et le mot de passe principal sur l'ordinateur de l'utilisateur avec 5 000 tours de PBKDF2-SHA256, un algorithme de renforcement du mot de passe. Cela crée une clé, sur laquelle nous effectuons un autre tour de hachage, pour générer le hachage d'authentification par mot de passe principal.”
Le service d'assistance de LastPass contient un article décrivant comment LastPass utilise le hachage lent:
LastPass a choisi d'utiliser SHA-256, un algorithme de hachage plus lent qui offre davantage de protection contre les attaques par force brute. LastPass utilise la fonction PBKDF2 mise en œuvre avec SHA-256 pour transformer votre mot de passe principal en clé de chiffrement..
Cela signifie que, malgré cette récente faille de sécurité, vos mots de passe sont encore très sécurisés, même si votre adresse électronique n'est pas.
Que faire si mon mot de passe est faible?
Il existe un excellent point soulevé sur le blog LastPass concernant les mots de passe faibles. De nombreux utilisateurs craignent de ne pas avoir créé un mot de passe assez unique et que ces pirates puissent le deviner sans trop d'effort..
Il existe également le risque à distance que votre compte soit l'un de ceux que les pirates informatiques perdent leur temps à essayer de déchiffrer, et il est toujours possible qu'ils puissent obtenir votre mot de passe principal. Quoi alors?
L'essentiel est que tout cet effort serait gaspillé, car la connexion à partir d'un autre appareil nécessite une vérification par courrier électronique - votre courrier électronique - avant que l'accès ne soit accordé. Du blog LastPass:
“Si l'attaquant tentait d'accéder à vos données en utilisant ces informations d'identification pour se connecter à votre compte LastPass, il serait arrêté par une notification lui demandant de vérifier d'abord son adresse électronique..”
Donc, à moins qu'ils ne puissent en quelque sorte pirater votre compte de messagerie en plus de en déchiffrant un algorithme presque infranchissable, vous n'avez vraiment rien à craindre.
Devrais-je changer mon mot de passe principal?
Que vous souhaitiez changer votre mot de passe principal ou non, cela dépend vraiment de votre paranoïa ou de votre malchance. Si vous pensez que vous êtes peut-être la seule personne malchanceuse dont le mot de passe est déchiffré par des pirates talentueux qui sont en mesure de déchiffrer grâce à la routine de hachage de 100 000 passes de LastPass et à un code sel unique à vous?
Évidemment, si vous vous inquiétez de ce genre de chose, changez votre mot de passe pour avoir l'esprit tranquille. Cela veut dire qu'au moins votre sel et votre hasch, entre les mains de pirates informatiques, deviennent inutiles.
Cependant, il existe des experts en sécurité qui ne sont pas du tout concernés, tels que l'expert en sécurité Jeremi Gosney du groupe Structure qui a déclaré aux journalistes:
“La valeur par défaut est 5 000 itérations. Nous prévoyons donc au minimum 105 000 itérations. La mienne est fixée à 65 000 itérations, ce qui représente un total de 165 000 itérations pour protéger ma phrase secrète Diceware. Donc non, je ne suis certainement pas en train de suer cette brèche. Je ne me sens même pas obligé de changer mon mot de passe principal.”
La seule préoccupation réelle que vous devriez avoir au sujet de cette violation de données est que les pirates informatiques ont maintenant votre adresse e-mail, qu'ils pourraient utiliser pour organiser des expéditions de phishing en masse afin d'inciter les utilisateurs à renoncer à leurs différents mots de passe, ou peut-être qu'ils pourraient faire quelque chose d'aussi banal. en vendant tous ces e-mails d'utilisateurs aux spammeurs sur le marché noir.
L'essentiel est que le risque de cette intrusion de sécurité reste minime, grâce à la sécurité écrasante du système LastPass. Mais le bon sens dit que, chaque fois que les pirates informatiques obtiennent les détails de votre compte - même protégés par des milliers d'itérations cryptographiques avancées - il est toujours bon de changer votre mot de passe principal, même pour des raisons de tranquillité d'esprit..
L'atteinte à la sécurité de LastPass vous a-t-elle vraiment inquiété pour la sécurité de LastPass ou avez-vous confiance en la sécurité de votre compte là-bas? Partagez vos pensées et préoccupations dans la section commentaires ci-dessous.
Crédits image: verrou de sécurité pénétré via Shutterstock, Csehak Szabolcs via Shutterstock, Bastian Weltjen via Shutterstock, McIek via Shutterstock, GlebStock via Shutterstock, Benoit Daoust via Shutterstock
Explorez plus au sujet de: LastPass, sécurité en ligne, gestionnaire de mots de passe.