LastPass утверждает, что для взлома мастер-пароля пользователя потребуются миллионы лет, но конкурирующая компания утверждает, что процесс не займет много времени и может быть сделан всего за 100 долларов.
LastPass, популярная компания по управлению паролями, недавно подверглась критике, когда в августе в результате атаки были получены хранилища данных клиентов.
Теперь конкурент компании, 1Password, утверждает, что LastPass недостаточно защищает данные клиентов.
Сообщение в блоге главного архитектора безопасности 1Password Джеффри Голдберга объясняет важность использования паролей, сгенерированных машиной, а не паролей, сгенерированных пользователями.
«Если рассмотреть все возможные 12-символьные пароли, то получается что-то около 272 вариантов. Чтобы перепробовать их все, потребовались бы многие миллионы лет. Действительно, это заняло бы гораздо больше времени», — пишет он. «Но люди, которые взламывают созданные людьми пароли, делают это не так. Они настраивают свои системы так, чтобы сначала пробовать наиболее вероятные пароли».
Голдберг отмечает, что большинство паролей, созданных пользователями, можно взломать менее чем за 10 миллиардов попыток, а процесс стоит всего около 100 долларов США.
Это плохая новость для среднего пользователя, который обычно создает более короткий и менее сложный пароль, чем пароль, сгенерированный машиной.
Он отмечает, что 1Password добавляет дополнительный уровень защиты — секретный ключ. Секретный ключ клиента создается на устройстве, никогда не отправляется в 1Password и требуется для расшифровки пользовательских данных.
Таким образом, хотя хакер теоретически может получить мастер-пароль пользователя 1Password, без секретного ключа он бесполезен.
Блог заканчивается заверением пользователей в том, что 1Password сделал все возможное для защиты их данных, даже если пользователи не следуют передовым методам и не используют пароли, сгенерированные машиной.
«Нас не взломали, и мы не собираемся этого делать. Но мы понимаем, что должны планировать взлом», — пишет Голдберг. «Секретный ключ 1Password может быть не самым удобным для пользователя аспектом нашего ориентированного на человека дизайна, но это означает, что мы можем с полной уверенностью сказать, что ваши секреты останутся в безопасности в случае взлома».
В прошлом LastPass подвергался критике за сомнительные методы обеспечения безопасности.
В декабре 2021 года участники LastPass сообщили о нескольких попытках входа в систему с использованием правильных мастер-паролей из разных мест. Компания заверила клиентов, что атаки были результатом утечки паролей в результате несанкционированного доступа третьих лиц.
