13:34
5/5/2011

LastPass, czyli popularny dodatek do przeglądarek umożliwiający bezpieczne zarządzanie hasłami (synchronizacja, przechowywanie) a także auto-wypełnianie pól w formularzach do logowania, poinformował o potencjalnym wycieku danych. Jakie dane mogły wyciec? Adresy e-mail i hashe (z saltem) haseł internautów.

LastPass nie działa. Co się stało?

Firma nie podała żadnych szczegółowych informacji co, ile, ani czy w ogóle zostało wykradzione z serwerów. Bazując jednak na dziwnych anomaliach w ruchu sieciowym z i do swoich serwerów, podjęła decyzję o wdrożeniu dodatkowych środków bezpieczeństwa: wymuszenie zmiany hasła głównego (master), weryfikacja adresu e-mail oraz sprawdzenie, czy użytkownik loguje się z wcześniej znanego IP.

LastPass

LastPass

W świetle tak niewielu dowodów na atak, działania firmy mogą wydawać się przesadą — ale jak widać, niektórzy mają dość odwagi by zamiast udawać, że nic się nie stało, założyć najczarniejszy scenariusz i maksymalnie chronić swoich użytkowników. To się chwali …i mam nadzieję, że dziennikarze szczegółowo przeczytają oświadczenie firmy i nie wyciągną pochopnych wniosków o “strasznym ataku hackerów”.

Korzystam z LastPass, co zrobić?

Jeśli korzystacie z LastPassa to zmieńcie swoje hasło główne na coś niesłownikowego i stosunkowo trudnego do złamania w przypadku ataków bruteforce (długie i ze znakami specjalnymi), pamiętając o tym, że to od tego hasła zależy dostęp do reszty waszych haseł. Alternatywnie, możecie spróbować KeePassa — cele takie same jak w przypadku LastPassa, ale wszystkie hasła trzymane są wyłącznie lokalnie na dysku.

Przeczytaj także:

42 komentarzy

Dodaj komentarz
  1. Czy lastpass pozwala na taki trick: zapisuje w jego bazie login i pierwszy fragment hasła (dajmy te 8 standardowych znaków) a brakujące powiedzmy 4 (niech już nawet będzie że takie same dla każdego) dopisuje już ręcznie przy logowaniu? To by mogło rozwiązać (potencjalny) problem.

    • LP posiada funkcje autouzupełniania i autologowania. W przypadku użycia tej pierwszej oczywiście masz szansę na dopisanie do wklejonych przez LP jakiś znaków.

      swoją drogą – ciekawy pomysł :)

  2. Dzięki za info, używam LastPass’a od dawna i sobie chwalę, a jak wiadomo nawet najlepszym zdarzają się wpadki.

  3. Jaka jest szansa, że jeśli faktycznie wypłynęły posolone hashe, to da się ich do czegoś użyć ?
    Zakładam, że sól nie wyciekła…

    • Nawet jeżeli wyciekła sól (na ogół jest trzymana obok hasła) to nie zmienia to jakości zabezpieczenia jaki tworzy zasolony hash. Solenie ma na celu zabezpieczyć hashe przed odczytywaniem ich z tęczowych tabelek. Jeżeli nie ma możliwości wykorzystania mechanizmu, który znacznie zmniejsza długość wyszukiwania słowa z którego może powstać hash to jedynym sposobem na jego odnalezienie jest brutal force. Nawet znając część contentu dla hasha (sól) pozostaje nam nadal znaleźć całe hasło lub wyraz, który generuje taki sam hash. Sól ma na celu tylko wyeliminować możliwość wykorzystania szybszych sposobów generowania słów, które mogą zgadzać się z hashem.

    • No i wydłużyć czas łamania bruteforcem.

  4. Damn it…

  5. po przeczytaniu wpisu próbuję się zalogować do lastpass z poziomu ich strony i mi się nie udaje. odczuwam lekkie zdenerwowanie. u Was tez nie działa?

    • Dziala.

      Po zmianie hasla na nowe musialem odczekac kilka minut – chyba serwer musial “przelknac” zmiane bo nie chcial mnie wpuscic z nowym haslem. Kilka razy probowalem zablokowali konto na 5 minut ale potem juz normalnie z nowym haslem sie wbilem.

      Moj ulubiony generator hasel: https://www.grc.com/passwords.htm

      Srodkowa budka (wygenerowana trzykrotnie – wystarczy reload strony) i przemieszac.

      Pozdrawiam

      Andrzej

    • @AndrzejL 2:
      Nie wiem, jak można korzystać z webowych generatorów haseł o_O toż to proszenie się o kłopoty. Tym bardziej, że jest mnóstwo open-sourcowych, darmowych generatorów pozwalających na dodanie własnego seeda dla zwiększenia bezpieczeństwa.

  6. Trzymać wszystkie swoje hasła w bazie danych firmy trzeciej? Dobry żart :)
    Polecam 1Password lub wspomniany KeePass – dane lokalne, możliwy sync z urządzeniami mobilnymi.

    • Ale chyba też przez serwery “firmy trzeciej” (dropbox)?

    • W 1password można zrobić sync lokalny po WiFi, dropbox jest opcją.

    • Nie zgadzam sie. Lastpass naprawde ma “state of the art” enkrypcje.

      Andrzej

    • Prawda lepsze rozwiązanie niż LastPass.

    • Co to znaczy “ma “state of the art” enkrypcje”? Klucz szyfrowania jest generowany na podstawie hasła użytkownika i jest generowany w taki sobie sposób (szybki), więc jeśli masz proste hasło, to tę całą “state of the art” enkrypcję można sobie w buty wsadzić.

  7. Xmarks także? Bo LastPass wziął ich pod siebie.

    • Wydaje mi sie ze serwery Xmarks sa mimo to osobnymi jednostkami. Generalnie w Xmarks mam tylko bookmarksy. Zadna tajemnica w sumie. Nic nie slychac o Xmarksach jak na razie.

      Andrzej

    • Ale jak ktoś używał xmarksów jak jeszcze miały możliwość synchronizacji haseł to te hasła zostały do tej pory. Wystarczy wejść i do http://my.xmarks.com/ oraz zakładki Tools->Restore Old passwords. Nie ma nigdzie opcji ich wykasowania (kiedyś chyba była).

      O właśnie znalazłem tą opcję. Trzeba kliknąć “Synchronize You passwords with LasPass a następnie kliknąć “Wait! I need to migrate my password data out of Xmarks” w oknie ustawień xmarks w dodatku do firefoxa. Wtedy pokażą się opcje dotyczące haseł.

      A tak na dobrą sprawę to nie wiem czemu w końcu nie stworzyli jednej wtyczki obsługującej i zakładki i hasła.

    • Nie jeśli synchronizowałeś swoje hasła przez wersję nowszą niż 3.9.9, kolejne wersje przesyłały dane już na serwery LP.

  8. Nie da się zmienić hasła : Your settings could not be updated. Please retry later. error

    • Pewnie cos kombinuja w ustawieniach. Moze chca ustawic wymuszenie zmiany Master Password.

      Andrzej

  9. Ja nie dostałem żadnej informacji od LastPass o konieczności zmiany hasła ani potwierdzenia mejla. Rozsyłają to sukcesywnie?

    • Ja również nie dostałem żadnej informacji o konieczności zmiany mojego hasła. Co więcej próbowałem sam zmienić to hasło, jednak podczas próby zmiany dostawałem informację, że serwer jest przeciążony i prośbę o spróbowanie później. Na blogu LastPass widnieje również informacja, aby osoby które nie zostały poinformowane o konieczności zmiany hasła nie panikowały bo ekipa LP robi co może.

      Osobiście mam dosyć skomplikowane hasło główne do LP, więc nie panikuje.

  10. dorzucili UPDATE 1:

    “We’re overloaded handling support and the sheer load of password changes is slowing us down. We’ve implemented a way for you to verify your email and then not be immediately forced to change your password for that IP, access from any other IP would bring you back to email verification. You can now wait a few days if you know you’ll be on the same IP without loss of security, and due to this overloading we think that’s prudent to wait.

    We’re asking if you’re not being asked to change your password then hold off — we’re protecting everyone.

    You can access your data via LastPass in offline mode (pull the cable out of the wall then login) or by downloading LastPass Pocket : https://lastpass.com/misc_download.php (choose your OS)”

  11. Sorry, ale kto normalny korzysta z tego typu “udogodnień”? Nie ważne jaki algorytm jest użyty, po prostu jest to niebezpieczne i mało odpowiedzialne.

    • Bartek: nie powiesz mi, że nie masz skrzynki na GMailu ;)

    • O wiele bezpieczniejsze niż wpisywanie passa z palca. Niewykrywalnych keyloggerow jest od groma. Ja tam na razie hasła nie zmieniam. Poczekam az serwery sie odciążą, blokowane przez panikarzy :)

  12. Mi udało się zmienić hasło za pierwszym razem. Przezorny zawsze itd.

    • Ale zdajesz sobie sprawę, że jeśli korzystałeś ze słabego hasła i jeśli mimo wszystko wyciekły zaszyfrowane bloby przechowywane na serwerach, to Twoja zmiana hasła nie na wiele się zda :)

    • Na szczęście dzięki temu, iż muszę pamiętać tylko około 5 haseł są one zróżnicowane i podobno silne :)

  13. Pod koniec 2. akapitu „…loguje się ze wcześniej znanego IP”, powinno być „z wcześniej znanego”.
    Któryś już raz zauważam błąd tego typu na niebezpieczniku, możliwość przysłużenia się sprawia mi przyjemność jednak świadczy to też o redakcji… widać że wszyscy to komputerowcy.

  14. Z ciekawości zapytam bo nie używam: jaka jest wyższość LastPass nad KeePass? Do samego PK podchodzę jak do jeża (wszystkie hasła w jednym pliku, brrr…), a sam pomysł wysyłania tego w sieć przyprawia o gęsią skórkę :-)

    • Taka, że jak Ci dysk padnie a hasła sobie generowałeś ( żeby Ci nikt włamu nie zrobił) , to dalej będziesz mógł sie cieszyć dostępem do wszystkiego a nie płakać :P

    • hmmm… dlatego używam dropbox+truecrypt+keepass. Bazy mam lokalnie, globalnie, szyfrowalnie i backupowalnie :-). Z tego co czytam LastPass=DropBox+KeePass, mam rację?

    • Jak Ci lacze padnie lub dla uslugodawcy serwer to masz identyczna sytuacje, a ja odtwarzam jedynie plik z backupu i korzystam jak wczesniej ;-)

  15. Osobiście wolę trzymać hasła w KeePass.
    Hasła do różnych for dyskusyjnych generuję sobie za pomocą http://wijjo.com/passhash/ i wystarczy pamiętać jedynie master password.

  16. juz mialem napisac “ciekawe kiedy ludzie sie naucza ze jesli chca miec cos prywatnego wtedy nie mozna tej prywatnosci powierzac osobom trzecim a juz szczegolnie bez oplat :) za taka przysluge”
    a tu patrze i widze gdy za tak swietny serwis pobierana moze byc rowniez oplata .. szkoda gadac wiec

    • Jak płacisz, to wiadomo, żeś frajer więc dopiero dajesz znak do dojenia ;]

  17. Właśnie tego dnia z mojego gmaila został wysłany spam do całej listy adresowej. Tak, wiem, że jestem bardzo mądry zapamiętując hasło do gmaila w lastpass, ale i tak było to moje 2, dodatkowe konto.
    Zauważyłem, że jakieś indonezyjskie ip wysłało ten mail.

  18. Wam też zniknęły wszystkie hasła z LastPass? :/

  19. […] przywołać: Acer, Ashampoo, Citi, Codemasters, Comodo, Barracuda Networks, Fox TV, Honda, IMF, LastPass (?), Lockheed Martin, PBS, Politechnika […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.