Споры о нарушении безопасности LastPass продолжаются. После того, как независимый аналитик по безопасности назвал заявления LastPass «полуправдой и откровенной ложью», конкурирующая компания по управлению паролями 1Password также высказалась…
LastPass утверждал, что взлом мастер-паролей пользователей займет миллионы лет, но 1Password говорит, что это не так для большинства пользователей. В самом деле, говорится в сообщении, взлом мастер-пароля типичного пользователя LastPass обойдется всего в 100 долларов.
Дополнение
Нарушение безопасности LastPass было обнаружено еще в августе. В то время компания заявила, что к данным клиентов не обращались.
Две недели назад мы обнаружили необычную активность в некоторых частях среды разработки LastPass. После начала немедленного расследования мы не обнаружили доказательств того, что этот инцидент связан с каким-либо доступом к данным клиентов или зашифрованным хранилищам паролей.
Вместо этого, по словам LastPass, злоумышленник забрал часть его исходного кода и «некоторую проприетарную техническую информацию LastPass».
Однако впоследствии выяснилось, что затем злоумышленник использовал эту информацию для получения более широкого доступа к системам LastPass, а затем смог получить доступ к данным клиентов.
Мы установили, что неавторизованная сторона, используя информацию, полученную в ходе инцидента в августе 2022 года, смогла получить доступ к некоторым элементам информации наших клиентов.
На прошлой неделе LastPass раскрыл масштабы этих данных — и они оказались намного хуже, чем предполагалось.
Компания сообщила, что были получены копии хранилищ паролей клиентов, а также имена, адреса электронной почты, платежные адреса, номера телефонов и многое другое.
Компания приложила большие усилия, чтобы указать, что хранилища паролей используют надежное шифрование и не могут быть доступны без мастер-паролей клиентов.
Эти зашифрованные поля остаются защищенными с помощью 256-битного шифрования AES и могут быть расшифрованы только с помощью уникального ключа шифрования, полученного из мастер-пароля каждого пользователя с использованием нашей архитектуры с нулевым разглашением. Напоминаем, что мастер-пароль никогда не известен LastPass, не хранится и не поддерживается LastPass.
Однако независимый аналитик по безопасности Владимир Палант на этой неделе не согласился с не менее чем 14 заявлениями, сделанными LastPass, назвав их «полными упущений, полуправды и откровенной лжи».
В частности, он сказал, что это неправда, что на взлом мастер-паролей и получение доступа ко всем учетным записям клиентов потребуются «миллионы лет». По его оценке, фактическое время, необходимое для целенаправленной атаки, составит около двух месяцев.
Безопасность LastPass атакована 1Password
Главный архитектор безопасности 1Password Джеффри Голдберг говорит в своем блоге, что даже это переоценивает сложность — и говорит, что если кто-то захочет взломать мастер-пароль типичного клиента LastPass, этот процесс будет стоить всего около 100 долларов.
Голдберг рассуждает так же, как и Палант: реальные мастер-пароли для большинства пользователей не случайны, и взломщики паролей знают об этом.
Системы взлома будут пробовать такие вещи, как Fido8my2Sox! и 2b||!2b.titq задолго до того, как они попробуют что-то вроде машины, созданной zm-@MvY7*7eL .
Пароли, созданные людьми, можно взломать, даже если они соответствуют различным требованиям сложности. Поэтому, если вы (или другой человек) создали этот 12-символьный пароль, не имеет значения, существует ли 272 различных возможных 12-символьных пароля. Важно то, будет ли ваш компьютер среди тех нескольких миллиардов, которые атакующие попытаются использовать первыми.
Он говорит, что большинство паролей можно взломать менее чем за 10 миллиардов попыток, и что это можно сделать примерно за 100 долларов.
1Password мастер-пароли не могут быть взломаны методом подбора
Голдберг говорит, что с LastPass мастер-пароль пользователя — это единственное, что нужно для доступа ко всем его логинам, но это не относится к 1Password, который сочетает выбранный пользователем мастер-пароль с секретным ключом, полученным с помощью машины. Оба необходимы для доступа к хранилищу паролей пользователя.
Секретный ключ создается на собственном устройстве пользователя и никогда не покидает его. Пользователь не знает, что это такое. 1Password не знает, что это такое. В предыдущем сообщении в блоге, объясняющем, как это работает, используется пример гипотетического пользователя Molly, который использует слабый мастер-пароль.
128-битный секретный ключ Молли объединяется с ее довольно слабым паролем на ее собственной машине. Это секрет от нас и наших серверов. Напомним, что никакие секреты не передаются с клиента 1Password Молли на наши серверы, когда Молли входит в свою учетную запись. Дело не только в том, что мы никогда не храним ее секретный ключ — у нас даже нет возможности его приобрести.
Это похоже на то, как работает Apple Pay. Ваш iPhone или Apple Watch сообщает платежному терминалу, что он подтвердил вашу личность на устройстве.
The Verge отмечает, что LastPass даже не требовал от давних пользователей обновлять свои пароли с первых дней, когда требования безопасности были намного ниже. Кроме того, незашифрованная текстовая информация, хранящаяся в LastPass, сама по себе может оказаться опасной для пользователей, включая URL-адреса веб-сайтов, которые они посещают.
Что, если бы вы использовали LastPass для хранения информации об учетной записи нишевого порносайта? Может ли кто-нибудь выяснить, в каком районе вы живете, на основе ваших учетных записей поставщика коммунальных услуг? Может ли информация о том, что вы используете приложение для гей-знакомств, поставить под угрозу вашу свободу или жизнь?
Обзор
Ясно, что нарушение безопасности LastPass было не только намного хуже, чем было выявлено изначально, но и что компания прибегает к ряду методов, которые я лично считаю неприемлемыми. К ним относятся хранение большого количества личных данных в виде простого текста и вводящие в заблуждение заявления об их безопасности, например предположение, что 100 000 итераций PBKDF2 «надежнее обычного», хотя на самом деле это абсолютный минимальный стандарт, который можно считать безопасным. .
У 1Password явно есть финансовая заинтересованность в нападении на своего конкурента. Тем не менее, аргументы компании убедительны, особенно когда речь идет о сравнении автономного мастер-пароля и подхода с секретным ключом. Это похоже на то, как iOS никогда на самом деле не знает ваш код доступа или ваши данные Face ID — она просто получает ответ «да» или «нет» от Secure Enclave.
Исходя из того, что мы теперь знаем, я бы не рассматривал LastPass как менеджер паролей. (И да, я использую 1Password, но плачу за него полную цену, как и любой другой пользователь.)
К счастью, пароли как концепция, наконец, уходят в прошлое, заменяясь ключами доступа. Это полностью зависит от аутентификации на устройстве, как мы объясняли ранее.
Веб-сайт или приложение просит вас идентифицировать себя и подтвердить свою личность. Ваш iPhone получает этот запрос и активирует Face ID. Если ваше лицо совпадает, ваш iPhone сообщает веб-сайту, кто вы,
и что он подтвердил вашу личность.
