Password-huskeren Lastpass advarer om tyveri af brugernes kodeord

Browser-plugin'et Lastpass kan huske alle dine adgangskoder for dig ved hjælp af et enkelt master password. Nu advarer firmaet om, at filen med kodeordene kan være stjålet.

Det kan være en træls opgave at skulle huske en unik adgangskode til alle de websteder, der kræver login. Derfor kan et browser-plugin som Lastpass lyde som en god idé, fordi det gør det muligt at logge på de mange websteder med blot ét enkelt kodeord.

Men man lægger også alle sine æg i samme kurv, som brugerne af Lastpass nu må sande. Firmaet bag nemlig måttet udsende en advarsel om, at hackere muligvis er sluppet af sted med de hash-krypterede master passwords. Det oplyser Lastpass på dets blog.

Ifølge Lastpass opdagede firmaet en mistænkelig trafik på netværket tirsdag morgen, som ikke kunne spores til en medarbejder eller kørende proces. Samtidig opdagede Lastpass en udgående trafik fra en af firmaets databaser.

Datamængden er stor nok til, at hvem der end har været inde i systemet, kan have downloadet brugernes e-mailadresser og deres master passwords i hash-form.

En hash-kryptering er en metode til at repræsentere eksempelvis en klartekst med en unik værdi, som ikke umiddelbart er reversibel i modsætning til decideret kryptering. Hashværdien bruges til at verificere, at brugeren indtaster det korrekte kodeord.

Da der ikke er tale om et kodeord i klar tekst, så vil hackerne først skulle lave et brute force-angreb, hvor de tager en liste af kodeord samt et tilfældigt tal, kaldet et salt, og kører det gennem hash-algoritmen, hvorefter værdierne kan sammenlignes med de stjålne hash-værdier.

Det er en metode, der er meget krævende, hvis brugerne har anvendt unikke, sikre kodeord. Hvis brugerne derimod anvender et simpelt kodeord, så kan processen klares på forholdsvis kort tid, alt efter hvilken algoritme der er tale om.

Det er det samme problem, som brugerne af Sonys onlinetjenester Playstation Network og Sony Online Entertainment står over for, efter det omfattende indbrud i Sonys systemer, som kan have berørt mere end 100 millioner brugere.

Læs også: Sony indrømmer nyt hackerangreb: Yderligere 24,6 millioner brugeres data i fare

Da Lastpass giver brugerne adgang til mange tjenester ved hjælp af ét login, så vil et knækket kodeord til Lastpass også give adgang til alle de tjenester, hvor brugeren benytter Lastpass.

Lastpass tvinger derfor nu alle brugerne til at ændre deres kodeord, og skifter samtidig til en nyere hash-algoritme. Lastpass vil nu bruge SHA-256-algoritmen med et 256-bit salt med 100.000 gennemløb. Selskabet understreger også, at det ikke har konkrete beviser for, at kodeordslisten er blevet stjålet, men at selskabet vælger at antage det værste.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Lund

Jeg har nogle gange følt mig fristet til at udskifte Password Safe med en løsning som LastPass, fordi jeg bruger flere computere og der går lidt tid med at sync'e pwsafe databasen mellem mine forskellige computere.

Jeg er glad for at jeg ikke gjorde det.

Denne sag må være R.I.P. LastPass. Sony kan overleve PSN skandalen, fordi PSN er en mindre del af det produkt som Sony tilbyder. Men LastPass' eneste opgave og eksistensberettigelse var at passe på brugernes passwords.

  • 0
  • 0
Anders Bruun Olsen

Nu er det jo ikke værre end at man jo under alle omstændigheder skal vælge et sikkert hovedkodeord. Da alle de kodeord du ellers opbevarer i LastPass er krypterede med dit hovedkodeord som nøgle skal hackerne nå at bryde dit hovedkodeord før du får det skiftet hvis de skal have adgang til resten af dine kodeord. Det øjeblik du skifter dit hovedkodeord genkrypteres hele din database af kodeord og lægges op istedet for den gamle. Derfor er sandsynligheden for at hackerne får noget ud af de oplysninger de (kun måske) har fået meget lille hvis man har benyttet et stærkt hovedkodeord samt sørger for at skifte det så snart man hører om dette problem. At LastPass ikke har gjort mere ud af at få oplyst sine brugere om problemet kan man muligvis tillade sig at kritisere, men da deres blog-indlæg om problemet er fra i dag kan man nok forvente at de udsender mail om det meget snart. Derudover har de taget det ekstra skridt at hvis der kommer nogle forespørgsler efter din (krypterede) database fra IP-adresser du ikke har benyttet inden for de sidste par uger, så vil du, selv med det rette kodeord, blive nægtet adgang indtil dit hovedkodeord er blevet skiftet. Personligt synes jeg at LastPass indtil videre har håndteret sagen ret kompetent (pånær at de skal tage og få sendt mail ud med det samme). Desuden kan man slet ikke sammenligne dette problem med indbruddet hos Sony. Her er der ikke engang tale om et verificeret indbrud og alligevel igangsætter de det store sikkerhedsapparat. Jeg føler mig tryg ved at bruge LastPass.

  • 0
  • 0
Per Erik Rønne

Personligt bruger jeg nu 1Password til sådanne ting på Mac og iOS (jeg aner ikke om det findes til Win og Linux), og her kan oplysningerne ikke stjæles på samme måde som det er sket med LastPass.

Her ligger de tydeligvis på en central server. Med 1Password ligger de kun på den enkelte maskine, selv om man nu med DropBox kan sørge for at synkronisere databasen.

  • 0
  • 0
Jesper S. Møller

Hvis du synkroniserer dem via DropBox ligger de da også på en central server, bare en anden - fnis.

I øvrigt kan der vel være en god idé I ikke at sende en mail ud da det jo reelt afslører noget over for den evt. indbryder hvis han har mulighed for at sniffe trafikken, nemlig hvem brugerne er, hvilket kan give nye angrebsvektorer.

  • 0
  • 0
Per Erik Rønne

@Jesper S. Møller,

Naturligvis ligger den på en central server (bare en anden) hvis man vælger at synkronisere med DropBox.

Jeg aner så ikke hvilke sikkerhedssystemer DropBox bruger - og man behøver med 1Password altså ikke at synkronisere ved hjælp af DropBox. Andre muligheder foreligger.

  • 0
  • 0
Jesper Lund

Jeg aner så ikke hvilke sikkerhedssystemer DropBox bruger...

Speaking of the devil..
http://www.techdirt.com/articles/20110425/15541514030/dropbox-tries-to-k...

Jeg bliver altid lidt bekymret når sikkerhedsmodellen er (delvist) baseret på advokater og DMCA takedowns.

Jeg tror at jeg holder mig til sshfs på min home server til dækning af mine cloud behov, i kombination med rsync.net

  • 0
  • 0
Log ind eller Opret konto for at kommentere