Как стать автором
Обновить

Эксперты по безопасности раскритиковали системы защиты LastPass

Время на прочтение 3 мин
Количество просмотров 1.9K

Эксперты по безопасности раскритиковали системы защиты менеджера паролей LastPass и отмечают, что не стоит доверять заявлениям компании о надёжном хранении данных пользователей.

Ранее в LastPass признали, что злоумышленники смогли взломать платформу дважды за четыре месяца. Представители менеджера паролей позднее рассказали о подробностях взлома, в ходе которого хакеры получили доступ к стороннему облачному хранилищу с архивными резервными копиями данных компании. По данным расследования, злоумышленник получил доступ к облачной среде хранения, используя информацию, полученную в результате инцидента в августе 2022 года. Тогда были украдены код и техническая информация среды разработки, которую хакер использовал для фишинговой атаки на сотрудника LastPass. В итоге он добыл учётные данных и ключи, используемые для доступа и расшифровки некоторых томов хранилища в облачной службе хранения.

Заявление LastPass от 22 декабря было «полно упущений, полуправды и откровенной лжи», отмечает исследователь Владимир Палант. Некоторые из его критических замечаний касаются того, как компания описала инцидент. Эксперт считает, что нынешний и августовский инциденты на самом деле связаны.

По мнению Паланта, признание LastPass в том, что утёкшие данные включали «IP-адреса, с которых клиенты обращались к службе», говорит о том, что злоумышленник мог «создать полный профиль перемещений» клиентов.

Другой исследователь безопасности, Джереми Госни, написал длинный пост на Mastodon, объясняя, почему нужно перейти на другой менеджер паролей. Он называет утверждение LastPass о «нулевом разглашении» «наглой ложью». Компания утверждает, что архитектура с «нулевым разглашением» обеспечивает безопасность пользователей, поскольку у неё никогда не будет доступа к мастер-паролю, который необходим хакерам для разблокировки украденных хранилищ. Хотя Госни не оспаривает этот момент, он говорит, что данная фраза вводит в заблуждение: «Я думаю, что большинство людей представляют хранилище как своего рода зашифрованную базу данных, в которой защищён весь файл, но нет — с LastPass ваше хранилище представляет собой файл с открытым текстом, и только несколько выбранных полей зашифрованы».

Палант также отмечает, что шифрование приносит пользу только в том случае, если хакеры не могут взломать мастер-пароль, а для этого нужно усилить его и не использовать повторно на других сайтах. «Это готовит почву для обвинения клиентов», — пишет он. Палант говорит: «Я могу войти в систему с восьмизначным паролем без каких-либо предупреждений или запросов на его изменение».

Сообщение LastPass вызвало отклик даже у конкурента, 1Password, — в среду главный архитектор безопасности компании Джеффри Голдберг опубликовал сообщение под названием «Не через миллион лет: на взлом пароля LastPass может потребоваться гораздо меньше». Эксперт называет утверждение компании о том, что для взлома мастер-пароля нужно долгое время, «вводящим в заблуждение». «Пароли, созданные людьми, даже близко не соответствуют этому требованию», — пишет он, говоря, что злоумышленники смогут расставлять приоритеты, основываясь на том, как пользователи придумывают пароли.

Палант повторяет аналогичную мысль в своём посте — он утверждает, что вирусный метод XKCD для создания паролей займет около 25 минут с помощью одного графического процессора.

Между тем Госни обвинил компанию в том, как реализовано шифрование и как она управляет данными после того, как они были загружены на устройство.

Тем временем Палант критикует сообщение компании за то, что её алгоритм усиления пароля PBKDF2 «сильнее обычного». Идея, лежащая в основе стандарта, заключается в том, что он усложняет подбор паролей методом перебора. В менеджере паролей Bitwarden используется 100 001 итерация и добавляется ещё 100 000 итераций, когда пароль хранится на сервере. В 1Password использует 100 000 итераций, но схема шифрования предполагает как наличие секретного ключа, так мастер-пароля.

Палант также отмечает, что LastPass не всегда имел такой уровень безопасности и что старые учётные записи могут получать только 5000 итераций или даже меньше. 

Ещё одним камнем преткновения является тот факт, что LastPass в течение многих лет игнорировал просьбы о шифровании данных, таких как URL-адреса. Это позволяет хакерам создавать адресные фишинговые электронные письма.

При этом и Госни, и Палант не считают ошибки LastPass доказательством того, что облачные менеджеры паролей — менее безопасная альтернатива, чем полностью автономные менеджеры.

Оба эксперта рекомендуют хотя бы подумать о переходе на другой менеджер паролей.

LastPass заявил, что большинству пользователей не придётся предпринимать никаких действий, чтобы обезопасить себя после взлома. Палант не согласен, называя рекомендацию «грубой небрежностью». Он говорит, что любой, у кого был простой мастер-пароль, небольшое количество итераций или являлся «важной целью», должен рассмотреть возможность немедленной смены всех своих паролей.

Теги:
Хабы:
+4
Комментарии 1
Комментарии Комментарии 1

Другие новости

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн