Сегодня ночью по Сети разошлась новость о том, что сервис хранения паролей LastPass взломан. Сама компания рекомендует поменять мастер-пароль всем пользователям, чтобы избежать возможных негативных последствий взлома. При этом хорошей новостью является то, что сохраненные в облаке пароли все же находятся в безопасности, поскольку вся эта информация зашифрована.
Тем не менее, злоумышленникам, по всей видимости, удалось получить базу e-mail пользователей, напоминалки паролей, аутентификационные хеши. Последнее — именно то, что используется для входа пользователей в свои аккаунты. Но здесь переживать особо не приходится — руководство компании заявляет, что хеши защищены от взлома в достаточной степени.
Сейчас каждый пользователь при входе в сервис видит предложение сменить свой мастер-пароль. Если вы используете этот сервис, стоит сменить мастер-пароль немедленно. Ну, а если этот пароль используется и для входа на другие сервисы, сменить нужно все и всюду (да и вообще, кто-то до сих пор использует одинаковые логины и пароли для доступа к важной информации?).
Стоит отметить, что этот взлом LastPass — не первый, сервис уже взламывали в 2011 году. Тогда руководство, так же, как и сейчас, немедленно предупредило пользователей о проблеме, заставив всех сменить мастер-пароль, при попытке доступа к аккаунту с новой машины. Тогда же пользователей попросили обратить внимание на двухфакторную аутентификацию, которая позволяет обеспечить значительно более высокий уровень безопасности, чем вход в аккаунт по обычной связке логин-пароль.
Сейчас компания принимает меры предосторожности, помогающие избежать негативных моментов взлома. Так, для всех пользователей, которые заходят на сервис с новых IP-адресов и устройств, вводится верификация по email.
Все пользователи сервиса получили сообщение от администрации с соответствующим предупреждением. Тем не менее, администрация считает, что менять пароли к сайтам, которые хранятся на сервере, нет необходимости.
Кроме всего прочего, для защиты стоит использовать пароль, который вы сами не можете запомнить. Пароль, который пользователь в состоянии запомнить (при условии, что этот пользователь — не человек с фотографической памятью), ненадежный пароль, в подавляющем числе случаев.
В общем, сейчас стоит воспользоваться двухфакторной аутентификацией, если вы этого еще не сделали. Кроме того, нужно поменять свой мастер-пароль, и успокоиться.
Ну, а если данные в облаке больше хранить не хочется, стоит обратить внимание на KeePass, менеджер паролей для ПК и мобильных устройств. Одна из лучших программ своего рода.
Комментарии (60)
ploop
16.06.2015 12:02+1Пароль, который пользователь в состоянии запомнить (при условии, что этот пользователь — не человек с фотографической памятью), ненадежный пароль, в подавляющем числе случаев
В этом случае смысл пароля теряется, можно смело переходить на файлы-ключи, и безопасность выше, и удобство такое же (за редкими исключениями, когда пароль печатается и хранитсяна мониторепод подушкой)
quozd
16.06.2015 13:58К сожалению файлы-ключи не так удобно. Как, например, пользоваться ими на телефоне? Постоянно хранить не безопасно, флешку не подключишь.
isden
16.06.2015 14:03На NFC-метке может быть? А флэшку можно и по OTG подключить, кстати.
quozd
16.06.2015 14:06Если бы еще это поддерживал софт… А OTG вообще не везде есть.
isden
16.06.2015 14:10Вроде бы почти на всех более-менее современных андроид-дивайсах OTG есть? Про Эппл-дивайсы не в курсе, но вроде бы что-то слышал про третьесторонние переходники для подключения флэшек.
quozd
16.06.2015 14:12Беглый гуглинг говорит, что кроме андроида OTG нигде особо нет. Всякие третьесортные девайсы и прееходники выглядят костылем, запомнить 20 символов проще и удобнее :)
isden
16.06.2015 14:17Еще пришла мысль про такую киллер-фичу :)
Ключ хранить в виде большого QR и сканить камерой. Хранить его на особом отдельном дивайсе, который будет показывать его на экране когда нужно. Можно даже несколько ключей, выводить тот, который нужно.quozd
16.06.2015 14:18В чем принципиальная разница с паролем на стикере на мониторе? :)
ЗЫ, а вы, я посмотрю, знаете толк… :)isden
16.06.2015 14:22Принципиальная разница — не нужно запоминать и вводить (а это особое развлечение на мобильных дивайсах) эти «20 символов», и их можно сделать «128 символов», например.
Плюс к этому, можно сделать несколько разных ключей.quozd
16.06.2015 14:25Честно сказать, своей памяти я доверяю больше. Секьюрно что-то хранить при себе — это в трусах, наверное, и то, мало ли как вечер обернется :) Любой физический носитель может быть довольно просто украден, потерян, испорчен. В случае же с памятью все безопасно, если, конечно, к вам с паяльником не пришли.
isden
16.06.2015 14:28Память иногда играет в странные игры. Недельку не пользовались сложным паролем, и уже путаетесь — а вон та буква прописная или строчная? А вот тут буква l или I? И т.п.
ploop
16.06.2015 14:19Как, например, пользоваться ими на телефоне?
А как паролем, если его нельзя помнить? Где-то хранить.quozd
16.06.2015 14:21-1Почему нельзя? Неужели трудно запомнить 20-25 символов? В школе прозу страницами запоминали слово в слово, а тут 20 символов.
isden
16.06.2015 14:23-2Фразу из слов запомнить не сложно, но она не будет криптостойкой. А вот 20 _случайных_ символов в разном регистре — уже сильно сложнее.
quozd
16.06.2015 14:27Не вижу препятствий запомнить 20 случайных символов в разном регистре, их же надо вводить добрый десяток раз в день. Если с этим есть проблемы — хороший повод заняться о тренировкой памяти, имхо.
isden
16.06.2015 14:29> их же надо вводить добрый десяток раз в день
Подозреваю, что 98% людей надоест вводить 20 случайных символов на мобильном дивайсе после 2 или 3 раза.
Тут же вопрос не только безопасности, но и удобства для пользователей.quozd
16.06.2015 14:34Вы правы, но тут нужно понять, что пользователю важнее: безопасность или удобство. Два в одном я, увы, пока не видел. Свою жену (основной ее девайс — ipad) успешно пересадил на KeePass с неплохим паролем и ничего, пользуется. Довольна, что не надо помнить пароли от 100500 сервисов и сайтов. Достаточно было правильным образом обьяснить почему это важно.
isden
16.06.2015 14:42Далеко не всем реально будет это объяснить в такой степени, чтобы прониклись и осознали.
Тут может быть разумным компромиссом использование либо NFC/BT дивайса, либо каких-то поведенческих/биометрических паттернов как второго фактора (первым — например пин-код из 5-6 цифр).
Darth_Biomech
16.06.2015 15:06+5Я тут скорее соглашусь с xkcd.
Да и потом, если подумать, очень много аккаунтов взламывается не из-за пароля, а из-за того что хакеры получают доступ к базе данных сайта. А здесь уже не важно, 28 у вас символов в пароле, или 128.ayakovlev
16.06.2015 15:27+3Из раза в раз в этой картинке неправильно считается энтропия второго варианта.
4 слова из словаря — вот его энтропия. Дальше мы имеем словари мощностью 1000 слов, 10000 и 100 000.
Большинство паролей будет вскрыто перебором первого словаря: 10^12 При заявленной скорости 1000 Gueses/sec, это займет 11 дней. Немного больше, чем первый вариант, но не на порядок.
WarP
16.06.2015 20:35-1А если я фразу correct horse battery staple заменю на coRR3cthorze_batteriSTAPLE… Запоминание не сильно усложнится, а сложность? =)
batyrmastyr
16.06.2015 21:33Сложность для запоминания и использования: безумная, т.к. это 4 слова из первого варианта. Был у меня такой пароль, на 27 символов с чередованием регистра и из-за регистра каждый раз сперва набирал в блокноте, потом копировал в поле ввода.
WarP
16.06.2015 21:48Я использовал когда-то пароль из 3 длинных слов с разным регистром. Ошибался иногда, но в целом почти всегда попадал :)
Darth_Biomech
16.06.2015 23:47Если я правильно понимаю механику работы по словарям, убить пробелы должно быть по идее достаточно, не думаю что в каком-то словаре найдется слово «correcthorsebatterystaple»
ploop
16.06.2015 23:57Не совсем правильно. Работа по словарю не подразумевает точное совпадение пароля со словарным словом (это уже совсем банально), после прогона 1:1 слова начинают комбинироваться, при чём в разных регистрах и количествах.
ploop
17.06.2015 00:00И ещё момент: «словарь» не значит орфографический словарь какого-то языка, вместе с ним отрабатывается список наиболее используемых паролей. К примеру «123456» тоже словарный пароль. Как и «qWeRtY»
ploop
16.06.2015 14:42Почему нельзя? Неужели трудно запомнить 20-25 символов?
Я процитировал автора поста, что для защиты стоит использовать пароль, который вы сами не можете запомнить.
Смысл в том, что сие уже не будет паролем в его стандартном понимании, так как пароль предполагает именно запоминание. А если не надо помнить — так хоть гигабайтной длины ключи можно использовать вместо парольной фразы, так как сложности (точнее неудобства) одинаковы.
KOLANICH
17.06.2015 00:09Пароль, который «нельзя помнить» давно был разработан. Вот только проверяющая часть его всё равно помнит в явном виде. www.usenix.org/system/files/conference/usenixsecurity12/sec12-final25.pdf
AlexanderS
16.06.2015 13:36+2Я когда понял, что мне надоело пароли переносить из вордовской бумажки в формы ввода, рассматривал LastPass. Но побоялся облака. Пользую портабельный KeePass.
Я облака и сейчас-то побаиваюсь для хранения персональной информации. Разве что контейнер truecrypt туда заливать, который по ключам и паролю открывается.ploop
16.06.2015 13:53+4KeePassX уже много лет использую, синхронизация через dropbox. Во-первых база всегда оффлайн доступна (иногда надо), во-вторых сам по себе очень удобный, ну и в-третьих — безопасность в своих руках.
Vorchun
17.06.2015 09:41Я не очень понял как его использовать в FF. Сейчас у меня lastpass. Есть рабочий комп на вин, есть ноут дома на ubuntu. Везде FF. Все синхронизуруется. Я даже внимания не обращаю.
За последний день очень нахвалилии KeePass. Но, как я понял, это софт для вин, который ставится на один комп. А как быть с браузерами и несколькими компами?ploop
17.06.2015 10:08+1KeePass только для вин, KeePassX кросплатформенный. Это разные приложения, хотя поддержвают импорт/экспорт баз друг друга. Приложения самостоятельные, с браузерами не работают, но обладают массой других достоинств.
В FF есть самостоятельный менеджер паролей, и 90% потребностей он покрывает. Потому KeePassX используется 1) для создания пароля (есть генератор), 2) для долговременного его хранения. То есть сгенерировал пароль при регистрации где-нибудь, далее сохранил в стандартном хранилище браузера и пользуешься спокойно, а в случае переезда на другой браузер к примеру пароль всегда под рукой.
НО: есть некоторые вещи, которые я брайзерному хранилищу не доверю. Например пароли онлайн-банка. Для захода туда открывается KeePassX и каждый раз пароль копируется. Это не сложно на самом деле.
Второй момент — хранение оффлайн-информации: пин-коды карт, кодовые слова, шифры замков, файлы-ключи, сертификаты (KeePassX поддерживает прикрепление файлов), где онлайн-сервисы и браузерные хранилища не совсем подходят.ploop
17.06.2015 10:27Приложения самостоятельные, с браузерами не работают...
тут небольшое уточнение: есть настраиваемый автоввод в любое окно.
c0yc
17.06.2015 10:41+2Использую KeePass + dropbox + FF + KeeFox (плагин для FF). Обычным менеджером паролей на FF пользоваться страшно, тк пароли легко от туда уходят, да и использую несколько ПК (дома и на работе).
База KeePass храниться в облаке и синхронизируется при помощи dropbox.
KeeFox рекомендую. «Прямо из коробки» автоматическая авторизация на сайтах, выбор учетной записи для сайта (если несколько учеток), генератор паролей итд. Все работает через 1 кнопку в браузере.
amuralex
16.06.2015 16:27Можно придумать простую систему для создания паролей, при этом пароль зависит от названия сервиса или другого ключевого слова. Также запомнить случаюную длинную строку одинаковую для всех паролей.
Берете какую нибудь секьюрную хеш функцую прогоняете через неё ваш пароль плюс строка (типа соли), потом с этим конечным хэшем что-нибудь сделать, например увеличить последний символ на 1, и использовать его как пароль.
Пример password = hash(«habr»+salt)+'"#!?"
Плюсы:
Мало запоминать, всего лишь одну вашу систему генерации пароля
Длинный пароль
Минусы:
Нужно везде иметь приложение хеширования строки
Darth_Biomech
17.06.2015 00:01Кроме всего прочего, для защиты стоит использовать пароль, который вы сами не можете запомнить. Пароль, который пользователь в состоянии запомнить (при условии, что этот пользователь — не человек с фотографической памятью), ненадежный пароль, в подавляющем числе случаев.
Человек может запомнить и использовать в качестве пароля стихотворение. Всё стихотворение. Или длинную бессмысленную строку рандомных символов, например число пи до 128 знака (мировой рекорд исчисляется десятками тысяч знаков, кстати говоря)… Это чисто вопрос терпения и упорности, а не принципиальной возможности. Т.е. получается, что фактически не существует «надежных» паролей? Какой вообще смысл в пароле который ты не можешь запомнить? Хранить его в облачном сервисе? Случится такое как в топике, рано или поздно. Хранить его локально в файле или специальной программе? А если жесткий диск посыпется? А если программы не будет под рукой?ploop
17.06.2015 00:06+1Проблема со сложными паролями не в том, что их сложно запомнить, а в том, что их много. Не проблема, если их 1-3-5, а если 50? При том некоторые требуются чуть ли не раз в год, хотя могут быть от важных сервисов (например, на госуслуги не заходил месяцев 6 точно, но не ставить же туда «123» какой-нибудь)
Darth_Biomech
17.06.2015 10:53Что мешает придумать какое-нибудь просто запоминаемое правило, по которому пароль можно менять от сайта к сайту? Тогда все ещё требуется запомнить, по сути, один пароль, но на всех сайтах он все равно будет разным.
ploop
17.06.2015 11:16Да ничего не мешает, но на практике — хрен вспомнишь потом. Во всяком случае у меня так.
corvus
17.06.2015 02:00+1KeePass + синхронизация ключа через дропбокс.
anmipo
17.06.2015 02:06+2Класть ключ от базы в дропбокс выглядит несколько недальновидно…
TheShestov
17.06.2015 10:14С одной стороны да, с другой стороны — ключ в KeePass может-быть каким угодно файлом. Например картинки, которые идут по умолчанию с аккаунтом, при регистрации. Их редко кто удаляет и они болтаются все время. Или любая mp3 любимой песни. Или Word документ, в котором написан реферат за 7й класс. Чье внимание привлекут эти файлы? (а копии можете держать где угодно).
Я тоже за KeePass и уже на протяжении нескольких лет.
p.s. где -то выше писали о возможности работать с браузером… KeePass умеет и автозаполнение и линки сайтов хранит и многое другое. короче мастхЭв.anmipo
17.06.2015 10:29+1Чье внимание привлекут эти файлы?
Звучит как security by obscurity… Нехорошему скрипту будет всё равно что в файлах, он переберёт их все.
Я уже писал вчера: если ключевой файл хранится в сухом тёмном месте — это полный перебор 2^256 вариантов (~10^77). А если это один из 100 тыс файлов валяющихся в дропбоксе — то всего лишь ~10^5…TheShestov
17.06.2015 10:37Дак ведь к файлу ключу — еще необходимо и мастер-пароль иметь. А это совсем другие цифры. м?
anmipo
17.06.2015 10:44Да, конечные цифры другие. Но если уж заморачиваться с составным мастер-ключом, то наверное лучше не урезать сложность его подбора.
TheShestov
17.06.2015 11:40Совершенства нет, если это конечно не сгущенка с печенькой :) Но мы с Вами выбираем наиболее оптимальное по удобству и с повышенной гарантией защиты. А «комплекс предусмотренных мер» у KeePass вполне выглядит комфортным :)
Color
Никто не совершенен. Ничто не в безопасности. Запоминать новый мастер-пароль
igordata
И что вам даст новый мастер пароль? Надо не только мастер менять, а ещё обязательно и все пароли, что там были.
ploop
Так вроде заявляют, что возможен был доступ к аккаунтам, но не к самим паролям, которые шифрованы-перешифрованы 100500 раз.
igordata
Может да, а может нет. Может не получили. А может получили, но никто не заметил, может подчистили следы где-то, а где-то не смогли. Может слили пароли раньше, а сейчас получили доступ к хешам и подбирают кого-то, а потом выложат, или не выложат. Или у них упрут. Или кто-то из их тусовки разругается с кем-то и продаст то, что слили.
Если была атака, и она была успешной, стоит считать скомпрометированным всё, что с этим связано.
Допустим у вас есть там важный-преважный пароль. Но вы решили, что в принципе хватит сменить мастера. Сменили. Через пол года всплыло, что всё же что-то кто-то недоговорил или не знал, и пароли увели, и у вас что-то ценное упёрли. Какие будут варианты ваших реакций на такую ситуацию:
1. Я сменил мастера, и этого было достаточно. Значит я не буду переживать о потере этого моего ценного.
2. Я сменил мастера, а другие пароли не сменил, и просрал моё нечто ценное. Наверное надо было потратить пять минут, и сменить остальные хотя бы ключевые пароли.
Возможно, кто-то нашел дырку, и слил базу. А возможно, кто-то нашел дырку и сделал нечто большее. Т.к. нет стопроцентной уверенности, то стоит менять пароли, какие не лень.
В принципе никогда нет стопроцентной уверенности в надёжности. Поэтому пароли в принципе стоит переодически менять, не важно была утечка или нет.
Такое моё мнение.
ploop
В принципе вы правы, «не утекло, взломать нельзя» — это всё слова. Им можно верить, можно нет, но "… сало лучше перепрятать"
KOLANICH
А возможно у каждого пользователя проприетарных ОС в компе троян, сливающий все пароли. А возможно, все пароли известны АНБ, которое заимело кучу квантовых компьютеров, поставила их на свои точки перехвата траффика, и ломает ассимитричные криптосистемы на основе np-полных задач, а тем, кто их ставил, стёрло память (для этого нужно принять препараты, блокирующие на время запись в долговременную память). А возможно всё это глобальный заговор, и все эти интернет сервисы созданы анб, так что пароли нужны только чтобы пользователи ничего не заподозрили, а «взломы» — для того же. Дальше допридумывайте «а возможно» сами.