Cамая серьезная брешь в истории менеджера паролей LastPass
В августе хакеры украли зашифрованные копии пользовательских паролей и прочие важные штуки, включая платёжные адреса, телефонные номера и IP-адреса пользователей. Они получили доступ к хранилищам клиентов, которые хранятся в совершенно отдельной базе данных.
Бывший инженер LastPass написал об утечке подробнее. Вкратце: мастер-пароль пользователя используется для создания мастер-ключа к базе записей в контейнере и шифрования записей.
При этом ключ генерируется как pbkdf2, но количество раундов (чем больше итераций тем сложнее подобрать ключ) было разным. У новых пользователей по умолчанию это 100100 итераций, но у старых всего 5000. При этом часть записей вообще зашифрована AES-256 в режиме замены, а URL вообще не зашифрованы.
Все это позволяет:
— использовать старые записи, быстро их расшифровав
— быстро подбирать записи и мастер-пароль, учитывая, что одни и те же пароли в разных местах — явление распространенное
Правда, в LastPass заявляют, что у злоумышленников уйдут «миллионы лет» на то, чтобы угадать пароль с помощью общедоступных технологий взлома.
#security #news #lastpass
@DevOpsKaz
В августе хакеры украли зашифрованные копии пользовательских паролей и прочие важные штуки, включая платёжные адреса, телефонные номера и IP-адреса пользователей. Они получили доступ к хранилищам клиентов, которые хранятся в совершенно отдельной базе данных.
Бывший инженер LastPass написал об утечке подробнее. Вкратце: мастер-пароль пользователя используется для создания мастер-ключа к базе записей в контейнере и шифрования записей.
При этом ключ генерируется как pbkdf2, но количество раундов (чем больше итераций тем сложнее подобрать ключ) было разным. У новых пользователей по умолчанию это 100100 итераций, но у старых всего 5000. При этом часть записей вообще зашифрована AES-256 в режиме замены, а URL вообще не зашифрованы.
Все это позволяет:
— использовать старые записи, быстро их расшифровав
— быстро подбирать записи и мастер-пароль, учитывая, что одни и те же пароли в разных местах — явление распространенное
Правда, в LastPass заявляют, что у злоумышленников уйдут «миллионы лет» на то, чтобы угадать пароль с помощью общедоступных технологий взлома.
#security #news #lastpass
@DevOpsKaz