الإعلانات
إذا كنت أحد الآلاف من مستخدمي LastPass الذين شعروا بالأمان الشديد عند استخدام الإنترنت بفضل الوعود التي لا يمكن اختراقها تقريبًا الأمن ، قد تشعر بأنك أقل أمانًا مع العلم أنه في 15 يونيو ، أعلنت الشركة أنها اكتشفت اقتحامًا لها خوادم.
أرسل LastPass في البداية إشعارًا بالبريد الإلكتروني إلى المستخدمين لإبلاغهم أن الشركة قد اكتشفت "مريبة" النشاط "على خوادم LastPass ، وتم اختراق عناوين البريد الإلكتروني للمستخدم وتذكيرات كلمة المرور.
وأكدت الشركة للمستخدمين أنه لم يتم اختراق بيانات قبو مشفرة ، ولكن منذ كلمات مرور المستخدم المجزأة ماذا يعني كل هذا MD5 Hash Stuff في الواقع [تقنية]فيما يلي نسخة كاملة من MD5 ، تجزئة ونظرة عامة صغيرة على أجهزة الكمبيوتر والتشفير. قراءة المزيد ونصحت الشركة المستخدمين بتحديث كلمات المرور الرئيسية الخاصة بهم ، فقط لتكون آمنة.
وأوضح لاست باس هاك
هذه ليست المرة الأولى التي يشعر فيها مستخدمو LastPass بالقلق من المتسللين. في العام الماضي نحن قابل الرئيس التنفيذي لشركة LastPass Joe Siegrist جو Siegrist من LastPass: الحقيقة حول أمان كلمة المرور الخاصة بك قراءة المزيد بعد تهديد Heartbleed ، حيث طمأنت تأكيداته مخاوف المستخدمين.
حدث هذا الاختراق الأخير في وقت متأخر من الأسبوع قبل الإعلان. في الوقت الذي تم اكتشافه وتحديده على أنه اختراق أمني ، كان المهاجمون قد فروا بعناوين البريد الإلكتروني للمستخدم ، وأسئلة / إجابات تذكير بكلمة المرور ، وتجزئة كلمات مرور المستخدم و أملاح التشفير أصبح Steganographer السري: إخفاء وتشفير ملفاتك قراءة المزيد .
الخبر السار هو أن أمن نظام LastPass مصمم لتحمل مثل هذه الهجمات. الطريقة الوحيدة للوصول إلى كلمات مرور النص العادي هي أن يقوم المتسللون بفك تشفير كلمات مرور رئيسية آمنة استخدم استراتيجية إدارة كلمة المرور لتبسيط حياتككان من شبه المستحيل اتباع الكثير من النصائح حول كلمات المرور: استخدم كلمة مرور قوية تحتوي على أرقام وحروف وأحرف خاصة ؛ تغييره بانتظام ؛ اختر كلمة مرور فريدة تمامًا لكل حساب وما إلى ذلك ... قراءة المزيد .
نظرًا للآلية المستخدمة لتشفير كلمة مرورك الرئيسية ، ستستغرق كميات هائلة من موارد الكمبيوتر لفك تشفيرها - وهي الموارد التي لا يستطيع معظم المتسللين من المستوى الصغير أو المتوسط الوصول إليها.
السبب الذي يجعلك محميًا للغاية عند استخدام LastPass هو أن تلك الآلية التي تجعل من الصعب الحصول على كلمة المرور الرئيسية تسمى "التجزئة البطيئة" أو "التجزئة بالملح".
كيف يعمل التجزئة
يستخدم LastPass واحدة من تقنيات التشفير الأكثر أمانًا في العالم ، تسمى التجزئة بالملح.
"الملح" هو رمز يتم إنشاؤه باستخدام أداة تشفير - نوع من المتقدم عشوائي عدد المولدات أفضل 5 مولدات كلمات مرور عبر الإنترنت للحصول على كلمات مرور عشوائية قويةهل تبحث عن طريقة لإنشاء كلمة مرور غير قابلة للكسر بسرعة؟ جرب أحد مولدات كلمة المرور هذه عبر الإنترنت. قراءة المزيد تم إنشاؤها خصيصًا للأمان ، إذا أردت. تنشئ هذه الأدوات رموزًا غير متوقعة تمامًا عند إنشاء كلمة مرورك الرئيسية.
ما يحدث عند إنشاء حسابك هو أن كلمة المرور "مجزأة" باستخدام أحد هذه الأرقام "الملح" التي تم إنشاؤها عشوائيًا (وطويلة جدًا). لا يتم إعادة استخدامها مطلقًا - فهي فريدة لكل مستخدم وكل كلمة مرور. أخيرًا ، في جدول حساب المستخدم ، ستجد فقط الملح والتجزئة.
لا يتم تخزين النسخة النصية الفعلية لكلمة المرور الرئيسية على خوادم LastPass ، لذلك لا يستطيع المتسللون الوصول إليها. كل ما استطاعوا الحصول عليه في هذا التدخل هو هذه الأملاح العشوائية ، والتجزئة المشفرة.
لذا ، فإن الطريقة الوحيدة التي يمكن لـ LastPass (أو أي شخص) التحقق من صحة كلمة المرور الخاصة بك هي:
- استرجاع التجزئة والملح من طاولة المستخدم.
- استخدم الملح على كلمة المرور التي يكتبها المستخدم ، ثم تجزئتها باستخدام نفس وظيفة التجزئة التي تم استخدامها عند إنشاء كلمة المرور.
- تتم مقارنة التجزئة الناتجة بالتجزئة المخزنة لمعرفة ما إذا كانت مطابقة.
في هذه الأيام ، يتمكن المخترقون من إنتاج مليارات التجزئة في الثانية ، فلماذا لا يتمكن المخترق من استخدام القوة الغاشمة فقط كسر كلمات المرور هذه Ophcrack - أداة اختراق كلمة المرور للقضاء على أي كلمة مرور Windows تقريبًاهناك الكثير من الأسباب المختلفة التي تجعل المرء يرغب في استخدام أي عدد من أدوات اختراق كلمات المرور لاختراق كلمة مرور Windows. قراءة المزيد ? هذا الأمان الإضافي بفضل التجزئة البطيئة.
لماذا يحميك التجزئة البطيئة
في هجوم مثل هذا ، فإن الجزء البطيء من أمان LastPass هو الذي يحميك حقًا.
LastPass يجعل وظيفة التجزئة المستخدمة للتحقق من كلمة المرور (أو إنشائها) تعمل ببطء شديد. هذا يضع بشكل أساسي فترات الراحة على أي عملية عالية السرعة ، القوة الغاشمة التي تتطلب السرعة من أجل ضخ المليارات من التجزئة المحتملة. لا يهم كم القوة الحسابية أحدث تكنولوجيا الكمبيوتر التي يجب أن تراها لتصدقاطلع على بعض أحدث تقنيات الكمبيوتر التي تم إعدادها لتغيير عالم الإلكترونيات وأجهزة الكمبيوتر على مدى السنوات القليلة القادمة. قراءة المزيد نظام القراصنة ، فإن عملية كسر التشفير ستستمر إلى الأبد ، مما يجعل هجمات القوة الغاشمة عديمة الفائدة.
علاوة على ذلك ، لا يقوم LastPass بتشغيل خوارزمية التجزئة مرة واحدة فقط ، بل يتم تشغيلها آلاف المرات على جهاز الكمبيوتر ، ثم مرة أخرى على الخادم.
إليك كيف أوضح LastPass عمليته الخاصة للمستخدمين في مشاركة مدونة بعد هذا الهجوم الأخير:
"لقد قمنا بتجزئة كل من اسم المستخدم وكلمة المرور الرئيسية على كمبيوتر المستخدم مع 5000 طلقة من PBKDF2-SHA256 ، خوارزمية تعزيز كلمة المرور. يؤدي ذلك إلى إنشاء مفتاح ، نقوم من خلاله بعملية تجزئة أخرى ، لإنشاء تجزئة مصادقة كلمة المرور الرئيسية. "
ال مكتب مساعدة لاست باس لديه منشور يصف كيفية استخدام LastPass للتجزئة البطيئة:
اختار LastPass استخدام SHA-256 ، خوارزمية تجزئة أبطأ توفر المزيد من الحماية ضد هجمات القوة الغاشمة. يستخدم LastPass وظيفة PBKDF2 التي يتم تنفيذها مع SHA-256 لتحويل كلمة مرورك الرئيسية إلى مفتاح التشفير الخاص بك.
هذا يعني أنه على الرغم من هذا الاختراق الأمني الأخير ، إلا أن كلمات المرور الخاصة بك لا تزال آمنة للغاية ، على الرغم من أن عنوان بريدك الإلكتروني ليس كذلك.
ماذا لو كانت كلمة مروري ضعيفة؟
هناك نقطة واحدة ممتازة أثيرت في مدونة لاست باس بخصوص كلمات المرور الضعيفة. يشعر العديد من المستخدمين بالقلق من أنهم لم يحلموا بكلمة مرور فريدة بما فيه الكفاية ، وأن هؤلاء المتسللين سيكونون قادرين على تخمينها دون بذل الكثير من الجهد.
هناك أيضًا خطر بعيد أن حسابك هو واحد من أولئك الذين يضيع المتسللون وقتهم في المحاولة لفك التشفير ، وهناك دائمًا احتمال بعيد أن يتمكنوا من الحصول على سيدك بنجاح كلمه السر. ماذا بعد؟
خلاصة القول هي أن كل هذا الجهد سيضيع ، لأن تسجيل الدخول من جهاز آخر يتطلب التحقق عبر البريد الإلكتروني - بريدك الإلكتروني - قبل منح الوصول. من مدونة لاست باس:
"إذا حاول المهاجم الوصول إلى بياناتك باستخدام بيانات الاعتماد هذه لتسجيل الدخول إلى حساب LastPass ، سيتم إيقافهم بإشعار يطلب منهم التحقق أولاً من بريدهم الإلكتروني عنوان."
لذا ، ما لم يتمكنوا من اختراق حساب بريدك الإلكتروني بطريقة أو بأخرى بالإضافة إلى فك تشفير خوارزمية غير قابلة للكسر تقريبًا ، ليس لديك ما يدعو للقلق على الإطلاق.
هل يجب علي تغيير كلمة مروري الرئيسية؟
سواء كنت ترغب في تغيير كلمة مرورك الرئيسية أم لا ، فإن ذلك يتلخص في مدى شعورك بجنون العظمة أو غير محظوظ. إذا كنت تعتقد أنك قد تكون الشخص غير المحظوظ الذي تم اختراق كلمة المرور الخاصة به من قبل قراصنة موهوبين قادرين لفك الشفرة بطريقة أو بأخرى من خلال روتين التجزئة الدائري لـ LastPass البالغ عددها 100000 ورمز الملح الفريد لك فقط؟
بكل الوسائل ، إذا كنت قلقًا بشأن هذه الأشياء ، فقم بتغيير كلمة المرور الخاصة بك لمجرد راحة البال. سيعني ذلك أنه على الأقل يصبح الملح والتجزئة ، في أيدي المتسللين ، عديم الفائدة.
ومع ذلك ، هناك خبراء أمنيون غير مهتمين على الإطلاق ، مثل خبير الأمن جيريمي جوسني في مجموعة Structure Group الذي قال للصحفيين:
"القيمة الافتراضية هي 5000 تكرار ، لذا فإننا ننظر كحد أدنى إلى 105000 تكرار. لدي بالفعل مجموعة من التكرارات تصل إلى 65000 تكرار ، أي ما مجموعه 165000 تكرار يحمي عبارة مرور Diceware الخاصة بي. لذلك لا ، أنا بالتأكيد لا أتعرق هذا الانتهاك. لا أشعر حتى أنني مضطر لتغيير كلمة المرور الرئيسية الخاصة بي ".
القلق الحقيقي الوحيد الذي يجب أن يكون لديك بشأن خرق البيانات هذا هو أن المتسللين لديهم الآن عنوان بريدك الإلكتروني ، والذي يمكنهم استخدامه لإجراء حملات تصيد جماعي واسعة النطاق لمحاولة وخداع الناس للتخلي عن كلمات مرور حساباتهم المختلفة - أو ربما يمكنهم القيام بشيء دنيوي مثل بيع جميع رسائل البريد الإلكتروني هذه إلى مرسلي الرسائل غير المرغوب فيها على الأسود سوق.
خلاصة القول هي أن الخطر الناتج عن هذا الاختراق الأمني لا يزال ضئيلاً ، وذلك بفضل الأمان الهائل لنظام LastPass. لكن الفطرة السليمة تقول أنه في أي وقت يحصل المتسللون على تفاصيل حسابك - حتى المحمية من خلال الآلاف تكرارات التشفير المتقدمة - من الجيد دائمًا تغيير كلمة مرورك الرئيسية ، حتى لو كانت لراحة البال.
هل جعلك خرق أمان LastPass قلقًا للغاية بشأن أمان LastPass ، أو هل أنت واثق من أمان حسابك هناك؟ شارك أفكارك ومخاوفك في قسم التعليقات أدناه.
حقوق الصورة: اختراق قفل الأمان عبر Shutterstock, Csehak Szabolcs عبر Shutterstock ، باستيان ويلتجن عبر Shutterstock ، مكيك عبر Shutterstock ، جليبستوك عبر Shutterstock ، بنوا داوست عبر Shutterstock
ريان حاصل على درجة البكالوريوس في الهندسة الكهربائية. لقد عمل 13 عامًا في هندسة الأتمتة ، و 5 سنوات في مجال تكنولوجيا المعلومات ، وهو الآن مهندس تطبيقات. محرر إداري سابق لـ MakeUseOf ، وقد تحدث في المؤتمرات الوطنية حول تصور البيانات وقد ظهر في التلفزيون والإذاعة الوطنية.
