LastPass fik stjålet krypterede master-passwords

Ubudne gæster slap fredag i sidste uge afsted med brugernes master-passwords fra tjenesten LastPass. Krypteringen er dog så stærk, at en sikkerhedsekspert end ikke finder det nødvendigt at ændre det overordnede kodeord.

Tjenesten LastPass, der bagved et enkelt master-password passer på samtlige af brugernes øvrige kodeord, har været udsat for et angreb, men selvom det kan lyde alvorligt, er der ingen grund til at gå i panik, lyder det fra en sikkerhedsekspert.

Firmaet bag skriver selv i en pressemeddelelse, at hackerne slap afsted med de stærkt krypterede master-passwords samt brugernes individuelle ‘salts’, e-mail-adresser og deres kodeords-påmindelser.

Læs også: Password-huskeren Lastpass advarer om tyveri af brugernes kodeord

LastPass understreger dog, at hackerne ikke har haft adgang til selve ‘bankboksen’, hvor hver bruger lagrer de kodeord, vedkommende bruger rundt om på nettet. Samtidig er master-passwordet så stærkt krypteret, at selv svage kodeord vil tage lang tid at brute-force, lyder det fra en sikkerhedsekspert, som Ars Technica har talt med.

LastPass nøjes nemlig ikke med at løbe brugernes valgte master-password igennem hashing-algoritmerne de 5.000 gange lokalt på brugeren maskine, som er minimum som default i firmaets system, det hashede password bliver kørt igennem maskinen endnu 100.000 gange, når det ankommer til tjenestens servere, inden det lagres i databasen.

Læs også: Forældre fandt banale sikkerhedshuller i udbredt it-system til børnehaver

Sammen med det bruger-individuelle salts betyder det, at hackerne vil være meget lang tid om at gætte et password, og Jeremi Gosney, som Ars’ ekspert hedder, skriver, at han end ikke overvejer at skifte sit masterpassword.

I en opdateret melding skriver LastPass dog, at firmaet opfordrer de brugere, der ikke ønsker at ændre det magtfulde kodeord, til at aktivere flerfaktor autentifikation. Selv hvis det lykkes hackerne at knække en brugers master-password har firmaet nu sat en ekstra barriere op i form af e-mail verifikation, hvis en bruger logger ind fra en fremmed ip-adresse.

Læs også: To rivaliserende firmaer lancerer automatisk kodeordshjælp

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Benny Haastrup

Jeg er altid skeptisk, når "nogen" påstår at det er et helt sikkert system.

Da Titanic sejlede ud på verdenshavene i 1912 kunne det IKKE synke. Alligevel sank skibet og mange omkom.

Håber at "vi" lige tænker over det!

  • 1
  • 0
Jakob H. Heidelberg

Der findes formentlig ikke en virksomhed, der ikke kan hackes. Heller ikke selvom de har "styr på sikkerheden". Det der er interessant, er, hvordan de har beskyttet deres (brugeres) data - og i dette tilfælde er det (ud fra de data vi har nu) med gennemtænkt brug af kryptering. Alle systemer bør bygges på den måde - under antagelse af, at ondsindede angriber "kommer ind". En anden ting der er positiv, er, at de offentligt oplyser om angrebet - det er der mange firmaer, der ikke gør.

Egentlig ser jeg det som en positiv historie om korrekt anvendt kryptering - indtil det modsatte er bevist :)

  • 6
  • 0
Steffen Postas

Præcis. Og det værste man kan gøre når ens kodeord, uanset hvor godt sikret de end måtte være, bliver stjålet, er ingenting.
Alt kan brydes, det er ialt fald blot et spørgsmål om tid. Det bør altid anbefales at folk fornyer deres kodeord, hvis noget er lækket, uanset om det er sikret godt eller ej.

  • 2
  • 0
Jakob H. Heidelberg

Præcis. Og det værste man kan gøre når ens kodeord, uanset hvor godt sikret de end måtte være, bliver stjålet, er ingenting.
Alt kan brydes, det er ialt fald blot et spørgsmål om tid. Det bør altid anbefales at folk fornyer deres kodeord, hvis noget er lækket, uanset om det er sikret godt eller ej.

Jeg er sådan set enig - men her skal man dog lige tænke på, at vi ikke taler om en standard MD5, SHA1 eller lignende, ligesom det står i relation til hvor stærkt det enkelte password er. De kører med random salt og 100.000 runder PBKDF2-SHA256 - oveni de 5.000 runder der er kørt på brugerens PC.

Jeg siger bare: det her er ikke amatør kryptering som f.eks. NTLM eller LM hashes.

  • 4
  • 0
Peter Christiansen

Derfor melder man ikke noget ud før man er sikker på, at hackerne ude af systemerne igen og sårbarhederne de har udnyttet er lukket.

Måske er skaden allerede sket,
jeg køber ikke at de 100% ved hvad der er blevet taget og hvad
der ikke er.

Det er et godt eksempel på brandslukning, dog skal de have applaus
for i det hele taget at melde ud.

Krypteringen er fin men der er altså mere end det på spil, hvis
man har haft adgang til hele systemet, servere, kildekode mv.

  • 1
  • 1
Bent Jensen

Krypteringen er fin men der er altså mere end det på spil, hvis
man har haft adgang til hele systemet, servere, kildekode mv.


Det synes jeg ikke, som frihedshelten Edward Snowden fortalte, kryptering virker.

Som jeg forstår det, hvis den basale sikkerhed er i orden med kryptering, så kan hele programkoden, og data være frit tilgængeligt uden problemer.

Når man mener at sikkerhed bare består i ikke at fortælle hvad man har gjort, og holde koden hemmelig, så slår man sig.

Nu får vi så en test i det åbne :-)

  • 2
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize