Незадолго до Рождества LastPass выпустила обновление о нарушении безопасности, в том числе новость о том, что хакер получил доступ к хранилищам клиентов. Изучив все технические заявления, один исследователь безопасности говорит, что ситуация намного хуже, чем утверждает компания, и считает, что заявление «полно упущений, полуправды и откровенной лжи».
Владимир Палант написал в своем блоге о безопасности «Почти безопасно» (через TechMeme) 14 различных заявлений в обновлении LastPass о нарушении безопасности.
Охватывая все, от заявлений компании о прозрачности до собственных методов обеспечения безопасности и многого другого, Палант считает, что LastPass преуменьшила риски и виновна в «грубой небрежности».
Одно из спорных утверждений заключается в том, что LastPass сообщает клиентам: «Если вы используете настройки по умолчанию, указанные выше, потребуются миллионы лет, чтобы угадать ваш мастер-пароль с использованием общедоступной технологии взлома паролей».
Палант говорит, что для среднего человека это скорее два месяца, чем «миллионы лет»:
Я переведу: «Если ты все сделал правильно, с тобой ничего не может случиться». Это снова готовит почву для обвинений клиентов. Можно было бы предположить, что люди, которые «испытывают новейшие технологии взлома паролей», знают об этом лучше. Как я подсчитал, даже угадывание действительно случайного пароля, соответствующего их критериям сложности, заняло бы в среднем менее миллиона лет с использованием одной видеокарты.
Но выбранные людьми пароли далеко не случайны. Большинству людей трудно даже вспомнить действительно случайный пароль из двенадцати символов. Более старый опрос показал, что средний пароль имеет 40 бит энтропии. Такие пароли можно было подобрать чуть более чем за два месяца на той же видеокарте. Даже необычайно надежный пароль с 50-битной энтропией займет в среднем 200 лет, что вполне реально для важной цели, для которой кто-то поставит больше оборудования.
Если вы использовали LastPass и еще не сделали этого, самым безопасным шагом будет смена всех ваших паролей.
Ознакомьтесь со всеми проблемами, возникшими в связи с нарушением безопасности LastPass, в полном сообщении в блоге Palant.
У нас также есть пошаговое руководство по настройке хранения ваших паролей с помощью AutoFill/связки ключей iCloud на ваших устройствах Apple: