Password-huskeren Lastpass advarer om tyveri af brugernes kodeord

5. maj 2011 kl. 15:308
Browser-plugin'et Lastpass kan huske alle dine adgangskoder for dig ved hjælp af et enkelt master password. Nu advarer firmaet om, at filen med kodeordene kan være stjålet.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

Det kan være en træls opgave at skulle huske en unik adgangskode til alle de websteder, der kræver login. Derfor kan et browser-plugin som Lastpass lyde som en god idé, fordi det gør det muligt at logge på de mange websteder med blot ét enkelt kodeord.

Men man lægger også alle sine æg i samme kurv, som brugerne af Lastpass nu må sande. Firmaet bag nemlig måttet udsende en advarsel om, at hackere muligvis er sluppet af sted med de hash-krypterede master passwords. Det oplyser Lastpass på dets blog.

Ifølge Lastpass opdagede firmaet en mistænkelig trafik på netværket tirsdag morgen, som ikke kunne spores til en medarbejder eller kørende proces. Samtidig opdagede Lastpass en udgående trafik fra en af firmaets databaser.

Datamængden er stor nok til, at hvem der end har været inde i systemet, kan have downloadet brugernes e-mailadresser og deres master passwords i hash-form.

Artiklen fortsætter efter annoncen

En hash-kryptering er en metode til at repræsentere eksempelvis en klartekst med en unik værdi, som ikke umiddelbart er reversibel i modsætning til decideret kryptering. Hashværdien bruges til at verificere, at brugeren indtaster det korrekte kodeord.

Da der ikke er tale om et kodeord i klar tekst, så vil hackerne først skulle lave et brute force-angreb, hvor de tager en liste af kodeord samt et tilfældigt tal, kaldet et salt, og kører det gennem hash-algoritmen, hvorefter værdierne kan sammenlignes med de stjålne hash-værdier.

Det er en metode, der er meget krævende, hvis brugerne har anvendt unikke, sikre kodeord. Hvis brugerne derimod anvender et simpelt kodeord, så kan processen klares på forholdsvis kort tid, alt efter hvilken algoritme der er tale om.

Det er det samme problem, som brugerne af Sonys onlinetjenester Playstation Network og Sony Online Entertainment står over for, efter det omfattende indbrud i Sonys systemer, som kan have berørt mere end 100 millioner brugere.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Da Lastpass giver brugerne adgang til mange tjenester ved hjælp af ét login, så vil et knækket kodeord til Lastpass også give adgang til alle de tjenester, hvor brugeren benytter Lastpass.

Lastpass tvinger derfor nu alle brugerne til at ændre deres kodeord, og skifter samtidig til en nyere hash-algoritme. Lastpass vil nu bruge SHA-256-algoritmen med et 256-bit salt med 100.000 gennemløb. Selskabet understreger også, at det ikke har konkrete beviser for, at kodeordslisten er blevet stjålet, men at selskabet vælger at antage det værste.

add
8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
Jesper Lund
5. maj 2011 kl. 15:58

Jeg har nogle gange følt mig fristet til at udskifte Password Safe med en løsning som LastPass, fordi jeg bruger flere computere og der går lidt tid med at sync'e pwsafe databasen mellem mine forskellige computere.

Jeg er glad for at jeg ikke gjorde det.

Denne sag må være R.I.P. LastPass. Sony kan overleve PSN skandalen, fordi PSN er en mindre del af det produkt som Sony tilbyder. Men LastPass' eneste opgave og eksistensberettigelse var at passe på brugernes passwords.

  • more_vert
    • insert_linkKopier link
3
Anders Bruun Olsen
5. maj 2011 kl. 16:25

Nu er det jo ikke værre end at man jo under alle omstændigheder skal vælge et sikkert hovedkodeord. Da alle de kodeord du ellers opbevarer i LastPass er krypterede med dit hovedkodeord som nøgle skal hackerne nå at bryde dit hovedkodeord før du får det skiftet hvis de skal have adgang til resten af dine kodeord. Det øjeblik du skifter dit hovedkodeord genkrypteres hele din database af kodeord og lægges op istedet for den gamle. Derfor er sandsynligheden for at hackerne får noget ud af de oplysninger de (kun måske) har fået meget lille hvis man har benyttet et stærkt hovedkodeord samt sørger for at skifte det så snart man hører om dette problem. At LastPass ikke har gjort mere ud af at få oplyst sine brugere om problemet kan man muligvis tillade sig at kritisere, men da deres blog-indlæg om problemet er fra i dag kan man nok forvente at de udsender mail om det meget snart. Derudover har de taget det ekstra skridt at hvis der kommer nogle forespørgsler efter din (krypterede) database fra IP-adresser du ikke har benyttet inden for de sidste par uger, så vil du, selv med det rette kodeord, blive nægtet adgang indtil dit hovedkodeord er blevet skiftet. Personligt synes jeg at LastPass indtil videre har håndteret sagen ret kompetent (pånær at de skal tage og få sendt mail ud med det samme). Desuden kan man slet ikke sammenligne dette problem med indbruddet hos Sony. Her er der ikke engang tale om et verificeret indbrud og alligevel igangsætter de det store sikkerhedsapparat. Jeg føler mig tryg ved at bruge LastPass.

  • more_vert
    • insert_linkKopier link
4
Niels Wind
5. maj 2011 kl. 21:57

Tja, jeg er også mægtig glad for LastPass - men er da glad for at jeg har valgt 2-faktor auth med en yubikey. Den er ikke dyr og meget nem at bruge.

  • more_vert
    • insert_linkKopier link
5
Per Erik Rønne
6. maj 2011 kl. 12:01

Personligt bruger jeg nu 1Password til sådanne ting på Mac og iOS (jeg aner ikke om det findes til Win og Linux), og her kan oplysningerne ikke stjæles på samme måde som det er sket med LastPass.

Her ligger de tydeligvis på en central server. Med 1Password ligger de kun på den enkelte maskine, selv om man nu med DropBox kan sørge for at synkronisere databasen.

  • more_vert
    • insert_linkKopier link
6
Jesper S. Møller
6. maj 2011 kl. 12:08

Hvis du synkroniserer dem via DropBox ligger de da også på en central server, bare en anden - fnis.

I øvrigt kan der vel være en god idé I ikke at sende en mail ud da det jo reelt afslører noget over for den evt. indbryder hvis han har mulighed for at sniffe trafikken, nemlig hvem brugerne er, hvilket kan give nye angrebsvektorer.

  • more_vert
    • insert_linkKopier link
7
Per Erik Rønne
6. maj 2011 kl. 13:18

@Jesper S. Møller,

Naturligvis ligger den på en central server (bare en anden) hvis man vælger at synkronisere med DropBox.

Jeg aner så ikke hvilke sikkerhedssystemer DropBox bruger - og man behøver med 1Password altså ikke at synkronisere ved hjælp af DropBox. Andre muligheder foreligger.

  • more_vert
    • insert_linkKopier link
8
Jesper Lund
6. maj 2011 kl. 15:02

Jeg aner så ikke hvilke sikkerhedssystemer DropBox bruger...

Speaking of the devil..http://www.techdirt.com/articles/20110425/15541514030/dropbox-tries-to-kill-off-open-source-project-with-dmca-takedown.shtml

Jeg bliver altid lidt bekymret når sikkerhedsmodellen er (delvist) baseret på advokater og DMCA takedowns.

Jeg tror at jeg holder mig til sshfs på min home server til dækning af mine cloud behov, i kombination med rsync.net

  • more_vert
    • insert_linkKopier link
2
Jesper Lund
5. maj 2011 kl. 16:12

I betragtning af situations alvor havde jeg forventet at LassPass ville rydde forsiden på www.lastpass.com, men her ser man bare de fine reklamer for at LastPass er det sidste password som du skal huske (sammen med hackerne, måske?).

  • more_vert
    • insert_linkKopier link