LastPass fik stjålet krypterede master-passwords

18. juni 2015 kl. 10:0212
Ubudne gæster slap fredag i sidste uge afsted med brugernes master-passwords fra tjenesten LastPass. Krypteringen er dog så stærk, at en sikkerhedsekspert end ikke finder det nødvendigt at ændre det overordnede kodeord.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Tjenesten LastPass, der bagved et enkelt master-password passer på samtlige af brugernes øvrige kodeord, har været udsat for et angreb, men selvom det kan lyde alvorligt, er der ingen grund til at gå i panik, lyder det fra en sikkerhedsekspert.

Firmaet bag skriver selv i en pressemeddelelse, at hackerne slap afsted med de stærkt krypterede master-passwords samt brugernes individuelle ‘salts’, e-mail-adresser og deres kodeords-påmindelser.

LastPass understreger dog, at hackerne ikke har haft adgang til selve ‘bankboksen’, hvor hver bruger lagrer de kodeord, vedkommende bruger rundt om på nettet. Samtidig er master-passwordet så stærkt krypteret, at selv svage kodeord vil tage lang tid at brute-force, lyder det fra en sikkerhedsekspert, som Ars Technica har talt med.

LastPass nøjes nemlig ikke med at løbe brugernes valgte master-password igennem hashing-algoritmerne de 5.000 gange lokalt på brugeren maskine, som er minimum som default i firmaets system, det hashede password bliver kørt igennem maskinen endnu 100.000 gange, når det ankommer til tjenestens servere, inden det lagres i databasen.

Artiklen fortsætter efter annoncen

Sammen med det bruger-individuelle salts betyder det, at hackerne vil være meget lang tid om at gætte et password, og Jeremi Gosney, som Ars’ ekspert hedder, skriver, at han end ikke overvejer at skifte sit masterpassword.

I en opdateret melding skriver LastPass dog, at firmaet opfordrer de brugere, der ikke ønsker at ændre det magtfulde kodeord, til at aktivere flerfaktor autentifikation. Selv hvis det lykkes hackerne at knække en brugers master-password har firmaet nu sat en ekstra barriere op i form af e-mail verifikation, hvis en bruger logger ind fra en fremmed ip-adresse.

12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
19. juni 2015 kl. 11:18

individuelle ‘salts’, e-mail-adresser og deres kodeords-påmindelser

Hvis man har været en lille smule uforsigtig i sin påmindelses-tekst, så er det en kompromittering i sig selv, som gør et kodeordsskift indlysende vigtigt.

7
18. juni 2015 kl. 14:45

Hvis deres lort er kompromiteret, er der vel bare et spørgsmål om tid før hackerne ændrer i kildekoden og ad den vej får adgang til alt, når brugeren logger på.

8
18. juni 2015 kl. 14:52

Derfor melder man ikke noget ud før man er sikker på, at hackerne ude af systemerne igen og sårbarhederne de har udnyttet er lukket.

10
18. juni 2015 kl. 15:21

Derfor melder man ikke noget ud før man er sikker på, at hackerne ude af systemerne igen og sårbarhederne de har udnyttet er lukket.

Måske er skaden allerede sket, jeg køber ikke at de 100% ved hvad der er blevet taget og hvad der ikke er.

Det er et godt eksempel på brandslukning, dog skal de have applaus for i det hele taget at melde ud.

Krypteringen er fin men der er altså mere end det på spil, hvis man har haft adgang til hele systemet, servere, kildekode mv.

11
19. juni 2015 kl. 10:34

Krypteringen er fin men der er altså mere end det på spil, hvis
man har haft adgang til hele systemet, servere, kildekode mv.

Det synes jeg ikke, som frihedshelten Edward Snowden fortalte, kryptering virker.

Som jeg forstår det, hvis den basale sikkerhed er i orden med kryptering, så kan hele programkoden, og data være frit tilgængeligt uden problemer.

Når man mener at sikkerhed bare består i ikke at fortælle hvad man har gjort, og holde koden hemmelig, så slår man sig.

Nu får vi så en test i det åbne :-)

4
18. juni 2015 kl. 14:29

Krypteringen er dog så stærk, at en sikkerhedsekspert end ikke finder det nødvendigt at ændre det overordnede kodeord.

Ja, hvorfor skulle man dog også det. De har jo tydeligvis styr på sikkerheden i det firma.

Hovmod står, som bekendt, for fald.

6
18. juni 2015 kl. 14:41

Præcis. Og det værste man kan gøre når ens kodeord, uanset hvor godt sikret de end måtte være, bliver stjålet, er ingenting. Alt kan brydes, det er ialt fald blot et spørgsmål om tid. Det bør altid anbefales at folk fornyer deres kodeord, hvis noget er lækket, uanset om det er sikret godt eller ej.

9
18. juni 2015 kl. 14:59

Præcis. Og det værste man kan gøre når ens kodeord, uanset hvor godt sikret de end måtte være, bliver stjålet, er ingenting.
Alt kan brydes, det er ialt fald blot et spørgsmål om tid. Det bør altid anbefales at folk fornyer deres kodeord, hvis noget er lækket, uanset om det er sikret godt eller ej.

Jeg er sådan set enig - men her skal man dog lige tænke på, at vi ikke taler om en standard MD5, SHA1 eller lignende, ligesom det står i relation til hvor stærkt det enkelte password er. De kører med random salt og 100.000 runder PBKDF2-SHA256 - oveni de 5.000 runder der er kørt på brugerens PC.

Jeg siger bare: det her er ikke amatør kryptering som f.eks. NTLM eller LM hashes.

5
18. juni 2015 kl. 14:39

Der findes formentlig ikke en virksomhed, der ikke kan hackes. Heller ikke selvom de har "styr på sikkerheden". Det der er interessant, er, hvordan de har beskyttet deres (brugeres) data - og i dette tilfælde er det (ud fra de data vi har nu) med gennemtænkt brug af kryptering. Alle systemer bør bygges på den måde - under antagelse af, at ondsindede angriber "kommer ind". En anden ting der er positiv, er, at de offentligt oplyser om angrebet - det er der mange firmaer, der ikke gør.

Egentlig ser jeg det som en positiv historie om korrekt anvendt kryptering - indtil det modsatte er bevist :)

2
18. juni 2015 kl. 10:58

Jeg er altid skeptisk, når "nogen" påstår at det er et helt sikkert system.

Da Titanic sejlede ud på verdenshavene i 1912 kunne det IKKE synke. Alligevel sank skibet og mange omkom.

Håber at "vi" lige tænker over det!

1
18. juni 2015 kl. 10:49

Der en meningsforstyrrende fejl i teksten. Der mangler et "ikke" i sætningen:

"LastPass understreger dog, at hackerne har haft adgang til selve ‘bankboksen’, hvor hver bruger lagrer de kodeord, vedkommende bruger rundt om på nettet."

3
18. juni 2015 kl. 11:45

Hej Niels,

Tak for opråbet - jeg retter med det samme!

Mvh. Martin, V2