LastPass, возможно, хакнули — поменяйте мастер-пароль!

Май 6th, 2011 по Perlover Оставить ответ »

Итак, свершилось! LastPass сообщил, что возможно, утянули его базу пользователей вместе с email логинами и криптованной базой пользовательских паролей. Для тех, что плохо понимает в криптозащите, поясняю: сами данные, если и попали в руки хакеров — они криптованные вашим мастер-паролем. Но мастер-пароль — самое слабое звено. Если он легкий и простой, особенно, несколько цифр, например, то подобрать его на компьютере — дело нескольких минут. Если он состоит из какого либо слова, то и еще проще — хакеры перебирут его по словарю. Также, навярняка, с базой утянули и «подсказки» — текст, который сам задает пользователь, чтобы — если забудет пароль — прочитав текст, вспомнить его.

LastPass не сообщил напрямую, что его 100% хакнули, но они сообщили, что наблюдают аномальный трафик на одном из своих серверов — то есть попросту говоря — они видят, что кто-то тянет от них большой объем данных. Они не могут объяснить пока причину этого (видимо пытались найти почему, но не могут), поэтому для подстраховки оповестили всех своих клиентов просьбой сменить мастер-пароль. Также, они сейчас включили режим стимуляции пользователей сменить пароль — LastPass включается в оффлайн режиме — все новые пароли не криптуются и не сохраняются у них, а хранятся локально на компьютерах пользователей. Все начинает работать нормально только тогда, когда пользователь сменит пароль, то есть когда компьютер пользователя локально перекриптует кучу паролей и отправит их обратно в LastPass. Из-за этого пока сервер LastPass работает частично некорректно — пишет о перегрузках. Лично я рекомендую сохранить файлик паролей (вашей базы всех паролей LastPass), что хранится у вас локально (Папка «C:\Documents and Settings\ВАШЕ_ИМЯ_В_WINDOWS\Local Settings\Application Data\LastPass\» — файл с расширением sxml). В случае чего, вы всегда можете работать с этим файликом напрямую, без сайта LastPass (приложение Pocket с их сайта — выбрать тип системы и затем найти LastPass Pocket). Но честно говоря, раз пошла такая редиска, я бы не стал скачивать прямо сейчас LastPass Pocket — если у них аномальные трафики и они не могут понять причину — нет гарантии, что хакеры не заменили LastPass Pocket и что после этого как только вы введете мастер пароль для доступа к своей локальной базе — пароль не «утечет» к хакерам с вашим логином…

Последние новости — лично я пробовал сменить мастер-пароль, но в данный момент (6 мая 2011) это невозможно сделать. Все дело в том, что пароль меняется через настройки на сайте (разумеется, сайт выдает только JavaScript код, и смена пароля реально перекриптовывает локально на компьютере базу и отправляет ее криптованную на LastPass). Но вся проблема в том, что сейчас сайт пишет, что он перегружен и настройки не открываются. Об этом пишут и сам LastPass. Я так и не понял, как можно иначе сменить пароль, кроме как только ждать (возможно несколько дней), пока сайт у них не разгрузится. Лично я снова решил вернуться на RoboForm и хранить базу локально на диске. Тем более, 4-ая версия RoboForm не глючит с Firefox 4.* (с 3.6.* по прежнему баг есть)

Отается посочувствовать только тем, кто имел слабый LastPass мастер-пароль (несколько цифр или популярные слова) — шанс, что хакеры вскроют их хранилище весьма велик, и не важно, что они сменят мастер-пароль — все равно у хакеров есть сами криптованные данные. Подобрав к ним пароль, если им удастся, они сразу получат все хранимые данные. Для надежности придется менять все пароли на всех сайтах, если ваш LastPass пароль был очень слабым. Вот так вот…

Более подробно оригинал здесь: Exclusive: LastPass CEO Explains Possible Hack и LastPass, Online Password Manager, May Have Been Hacked

И кто не хочет читать на английском, можно с переводом здесь: Возможно, был взломан LastPass (перевод Sterhel)

Вообщем, не одно (я про RoboForm), так другое…

P.S. И почему такой счастливый на фотке CEO LastPass-а? 🙂

QR-Code этой страницы:

4 комментария

  1. go:

    преинтересно) я как раз сегодня демонстрировал какой ластпасс крутой на компе где установлен клавиатурный шпион….

  2. Роман:

    От клавиатурных шпионов включите грид — таблицу уникальных знаков, 4 случайных запрашиваются при авторизации

  3. Perlover:

    Да, так оно и есть. Эта дополнительная защита только на Premium Account-ах ($11 в год за аккаунт)
    Но и она не совсем защищает — grid (кодовая сетка) не работает на мобильных устройствах, из-за этого приходиться в настройках LastPass включать возможность захода с мобильных устройств без контроля gird. При этом, как я понимаю, это становится тем самым «слабым звеном» защиты — если узнают пароль, то злоумышленник просто зайдет на аккаунт с iPhone или Android, и LastPass не спросит его кодовую сетку. Ну, либо использовать сетку, но не позволять заходить себе с мобильников. Но вряд ли это кому то понравится, кто использует Premium Account — обычно именно мобильная версия подталкивает покупку LastPass (компьютерная версия даёт очень мало преимуществ платной)