Zła informacja dla wszystkich, którzy wykorzystują usługę LastPass do przechowywania własnych haseł dostępowych oraz innych prywatnych informacji i notatek.

LastPass wczoraj na swoim blogu zamieścił krótką informację, jakoby nieznani sprawcy wykradli z ich serwerów hashe głównych haseł stosowanych jako „klucz główny” do całego sejfu z poufnymi danymi. Uspokajamy więc, że łupem hakerów nie padły WSZYSTKIE dane z sejfu, a jedynie sumy kontrolne haseł głównych.

Według podanych informacji […]:

We want to notify our community that on Friday, our team discovered and blocked suspicious activity on our network. In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, FREAK, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.

We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed.

[…] nie ma powodu do masowej paniki, jednakże cały team LastPass prosi swoich klientów o prewencyjną zmianę hasła głównego do swojego konta.

Wykradzione dane podobno są należycie zabezpieczone – wszystkie zapisywane hashe haseł są generowane poprzez pseudolosową funkcję PBKDF2 stosowaną z  algorytmem SHA256, która wykonuje100 tysięcy rund. Utworzone w ten sposób hashe są bardzo trudne do odszyfrowania, jednak operacja ta jest jak najbardziej możliwa.

Oczywiście wszystkim użytkownikom LastPass'a zalecamy zmianę hasła głównego do swojego konta oraz ewentualną przesiadkę na inny menadżer haseł, np. KeePass, który nie przechowuje żadnych danych na serwerze producenta.

AUTOR:

Adrian Ścibor

Podziel się