Geçen hafta, Noel’den hemen önce, LastPass bomba gibi bir duyuru yaptı: Ağustos ayındaki bir ihlalin sonucu olarak, Kasım ayında başka bir ihlale yol açtı, bilgisayar korsanları kullanıcıların parola kasalarını ele geçirdi. Şirket, giriş bilgilerinizin hala güvende olduğu konusunda ısrar ederken, bazı siber güvenlik uzmanları da ağır eleştirilerde bulunuyor. gönderisiinsanları gerçekte olduğundan daha güvende hissettirebileceğini söyleyerek ve bunun şifre yöneticisine güvenmeyi zorlaştıran bir dizi olayın en sonuncusu olduğuna işaret ediyor.
LastPass’ın 22 Aralık tarihli açıklaması “eksiklikler, yarı gerçekler ve düpedüz yalanlarla dolu” idi. Wladimir Palant’tan bir blog yazısı, diğer şeylerin yanı sıra orijinal olarak AdBlock Pro’nun geliştirilmesine yardımcı olmasıyla tanınan bir güvenlik araştırmacısı. Eleştirilerinden bazıları, şirketin olayı nasıl çerçevelendirdiği ve olayın ne kadar şeffaf olduğuyla ilgili; şirketi, LastPass’ın “bazı kaynak kodları ve teknik bilgilerin çalındığını” söylediği Ağustos olayını gerçekte şirketin ihlali “kontrol edemediğini” söylediğinde ayrı bir ihlal olarak göstermeye çalışmakla suçluyor.
“LastPass’ın ‘sıfır bilgi’ iddiası küstahça bir yalandır.”
Ayrıca, LastPass’ın sızdırılan verilerin “müşterilerin LastPass hizmetine eriştiği IP adreslerini” içerdiğini kabul ettiğini vurgulayarak, LastPass’in kullandığınız her IP adresini günlüğe kaydetmesi durumunda tehdit aktörünün müşterilerin “tam bir hareket profilini oluşturmasına” olanak tanıyabileceğini söylüyor. hizmetiyle.
Başka bir güvenlik araştırmacısı olan Jeremi Gosney şöyle yazdı: Mastodon’da uzun bir yazı başka bir parola yöneticisine geçme önerisini açıklıyor. “LastPass’ın ‘sıfır bilgi’ iddiası küstahça bir yalandır” diyor ve şirketin “bir şifre yöneticisinin paçayı sıyırabileceği kadar bilgiye sahip olduğunu” iddia ediyor.
LastPass, “sıfır bilgi” mimarisinin kullanıcıları güvende tuttuğunu iddia ediyor çünkü şirket, bilgisayar korsanlarının çalınan kasaların kilidini açmak için ihtiyaç duyacağı ana parolanıza asla erişemez. Gosney bu noktaya itiraz etmese de, ifadenin yanıltıcı olduğunu söylüyor. “Çoğu kişinin kasasını, tüm dosyanın korunduğu bir tür şifreli veritabanı olarak tasavvur ettiğini düşünüyorum, ancak hayır – LastPass ile kasanız bir düz metin dosyasıdır ve yalnızca birkaç seçili alan şifrelenir.”
Palant ayrıca, şifrelemenin yalnızca bilgisayar korsanları, LastPass’ın gönderisindeki ana savunması olan ana parolanızı kıramadığında işe yaradığını belirtiyor: parola uzunluğu ve güçlendirme için varsayılanlarını kullanırsanız ve başka bir parolada yeniden kullanmadıysanız Şirketin CEO’su Karim Toubba, “genelde bulunan parola kırma teknolojisini kullanarak ana parolanızı tahmin etmek milyonlarca yıl alır” diye yazmıştı.
Palant, “Bu durum müşterilerin suçlanmasına zemin hazırlıyor” diyerek, “LastPass’ın şifreleri bilmesi gerekiyor. irade müşterilerinin en azından bir kısmı için şifresi çözülebilir. Ve zaten uygun bir açıklamaları var: Bu müşteriler açıkça en iyi uygulamalarını takip etmediler. Ancak, LastPass’ın bu standartları zorunlu olarak uygulamadığına da dikkat çekiyor. Palant, 2018’de 12 karakterlik şifreleri varsayılan yapmasına rağmen, “Sekiz karakterli şifremle herhangi bir uyarı veya değiştirme istemi olmadan giriş yapabilirim” diyor.
“Aslında her ‘kripto 101’ günahını işliyorlar”
Hem Gosney hem de Palant, farklı nedenlerle de olsa LastPass’ın gerçek kriptografisine karşı çıkıyor. Gosney, şirketi, şifrelemenin nasıl uygulandığı ve cihazınızın belleğine yüklendikten sonra verileri nasıl yönettiği ile temelde “her ‘kripto 101’ günahını” işlemekle suçluyor.
Bu arada Palant, şirketin gönderisini, PBKDF2 olarak bilinen parola güçlendirme algoritmasını “tipikten daha güçlü” olarak resmetmekle eleştiriyor. Standardın arkasındaki fikir, her tahminde belirli sayıda hesaplama yapmanız gerekeceğinden, parolalarınızı kaba kuvvetle tahmin etmeyi zorlaştırmasıdır. Palant, “100.000 PBKDF2 yinelemesinin mevcut herhangi bir parola yöneticisinde gördüğüm en düşük sayı olduğu göz önüne alındığında, LastPass’ın neyi tipik olarak değerlendirdiğini cidden merak ediyorum” diye yazıyor.
Bir başka popüler şifre yöneticisi olan Bitwarden, uygulamasının 100.001 yineleme kullandığını söylüyorve parolanız sunucuda toplam 200.001 kez depolandığında 100.000 yineleme daha ekler. 1Şifre diyor 100.000 yineleme kullanır, ancak şifreleme şeması, verilerinizin kilidini açmak için hem gizli bir anahtarınız hem de ana parolanız olması gerektiği anlamına gelir. Gosney’e göre bu özellik, “birisi kasanızın bir kopyasını alırsa, yalnızca ana parolayla ona erişememesini sağlar, bu da kasayı kırılmaz hale getirir”.
Palant ayrıca, LastPass’in her zaman bu düzeyde bir güvenlik düzeyine sahip olmadığına ve eski hesapların yalnızca 5.000 veya daha az yinelemeye sahip olabileceğine dikkat çekiyor. Sınır geçen hafta onaylandı. Bu, yine de sekiz karakterlik bir parolaya sahip olmanıza izin vermesi gerçeğiyle birlikte, LastPass’ın bir ana parolayı kırmanın milyonlarca yıl sürdüğü yönündeki iddialarını ciddiye almayı zorlaştırıyor. Bu, yeni bir hesap oluşturan biri için doğru olsa bile, yazılımı yıllarca kullanan kişiler için ne söylenebilir? LastPass, bu daha iyi ayarlar hakkında bir uyarı yayınlamadıysa veya bu daha iyi ayarlara yükseltme yapmaya zorlamadıysa (Palant, bunun onun için olmadığını söylüyor), o zaman “varsayılanları”, kullanıcılarının ne kadar endişelenmesi gerektiğinin bir göstergesi olarak mutlaka yararlı değildir.
Bir başka anlaşmazlık noktası da, LastPass’ın sahip olduğu gerçektir. yıllarca, URL’ler gibi verileri şifreleme istekleri göz ardı edildi. Palant, insanların hesaplarının nerede olduğunu bilmenin bilgisayar korsanlarının özellikle bireyleri hedef almasına yardımcı olabileceğine dikkat çekiyor. “Tehdit aktörleri aşk neye erişiminiz olduğunu bilmek için. O zaman sadece çabalarına değen insanlar için iyi hedeflenmiş kimlik avı e-postaları üretebilirler” diye yazdı. Ayrıca, LastPass’ta kaydedilen URL’lerin, süresi doğru şekilde dolmamış bir parola sıfırlama bağlantısı örneğini kullanarak, bazen insanlara amaçlanandan daha fazla erişim sağlayabileceğine dikkat çekiyor.
Bir de mahremiyet açısı var; söyleyebilirsin pay hangi web sitelerini kullandıklarına bağlı olarak bir kişi hakkında. Hesap bilgilerinizi niş bir porno sitesi için depolamak için LastPass kullandıysanız ne olur? Birisi, hizmet sağlayıcı hesaplarınıza dayanarak hangi bölgede yaşadığınızı anlayabilir mi? Eşcinsel flört uygulaması kullandığınız bilgisi özgürlüğünüzü veya hayatınızı tehlikeye atar mı?
Gosney ve Palant dahil olmak üzere birçok güvenlik uzmanının hemfikir olduğu bir şey, bu ihlalin bulut tabanlı parola yöneticilerinin kötü bir fikir olduğunun kanıtı olmadığı gerçeğidir. Bu, tamamen çevrimdışı şifre yöneticilerinin faydalarını müjdeleyen (veya hatta bir yorumcunun önerdiği gibi, rastgele oluşturulmuş şifreleri bir not defterine yazan) kişilere yanıt gibi görünüyor. Elbette bu yaklaşımın bariz faydaları vardır – bir şirket milyonlarca kişinin şifresini saklar bilgisayar korsanlarından, bir bireyin bilgisayarından daha fazla ilgi görür ve bulutta olmayan bir şeye ulaşmak çok daha zordur.
Ancak, kriptonun kendi bankanız olmanıza izin verme vaatleri gibi, kendi şifre yöneticinizi çalıştırmak, insanların düşündüğünden daha fazla zorlukla gelebilir. Kasanızı bir sabit sürücü çökmesi veya başka bir olay nedeniyle kaybetmek felaketle sonuçlanabilir, ancak kasanızı yedeklemek kasanızı hırsızlığa karşı daha savunmasız hale getirme riskini beraberinde getirir. (Ve otomatik bulut yedekleme yazılımınıza şifrelerinizi yüklememesini söylemeyi de hatırladınız, değil mi?) Ayrıca, çevrimdışı bir kasayı cihazlar arasında senkronize etmek, en hafif tabirle, biraz acı vericidir.
İnsanların tüm bunlarla ilgili olarak ne yapması gerektiğine gelince, hem Palant hem de Gosney, kısmen LastPass’ın bu ihlali nasıl ele aldığı ve bu şirketin yedinci güvenlik olayı on yıldan biraz fazla bir süre içinde. Gosney, “Kendi güvenliklerini ve sizin güvenliğinizi hiç umursamadıkları çok açık,” diye yazarken Palant, LastPass’in bilgisayar korsanlarının kasaları üçüncü taraf bulut deposundan kopyaladığını neden algılamadığını sorguluyor. olay. (Şirketin gönderisi, “başka herhangi bir yetkisiz etkinliği tespit etmeye yardımcı olmak için ek günlük kaydı ve uyarı yetenekleri eklendiğini” söylüyor.)
LastPass, çoğu kullanıcının bu ihlalden sonra kendilerini güvence altına almak için herhangi bir işlem yapması gerekmeyeceğini söyledi. Palant, tavsiyeyi “ağır ihmal” olarak nitelendirerek aynı fikirde değil. Bunun yerine, basit bir ana şifreye sahip olan herkesin, düşük sayıda yineleme (işte nasıl kontrol edebileceğiniz) veya potansiyel olarak “yüksek değerli bir hedef” olan kişiler tüm parolalarını hemen değiştirmeyi düşünmelidir.
Tatillerde yapılacak en eğlenceli şey bu mu? Hayır. Ancak birisi hesaplarınıza çalıntı bir parolayla eriştikten sonra da temizlik yapılmaz.
