Сегодня ночью по Сети разошлась новость о том, что сервис хранения паролей LastPass взломан. Сама компания рекомендует поменять мастер-пароль всем пользователям, чтобы избежать возможных негативных последствий взлома. При этом хорошей новостью является то, что сохраненные в облаке пароли все же находятся в безопасности, поскольку вся эта информация зашифрована.

Тем не менее, злоумышленникам, по всей видимости, удалось получить базу e-mail пользователей, напоминалки паролей, аутентификационные хеши. Последнее — именно то, что используется для входа пользователей в свои аккаунты. Но здесь переживать особо не приходится — руководство компании заявляет, что хеши защищены от взлома в достаточной степени.

Сейчас каждый пользователь при входе в сервис видит предложение сменить свой мастер-пароль. Если вы используете этот сервис, стоит сменить мастер-пароль немедленно. Ну, а если этот пароль используется и для входа на другие сервисы, сменить нужно все и всюду (да и вообще, кто-то до сих пор использует одинаковые логины и пароли для доступа к важной информации?).

Стоит отметить, что этот взлом LastPass — не первый, сервис уже взламывали в 2011 году. Тогда руководство, так же, как и сейчас, немедленно предупредило пользователей о проблеме, заставив всех сменить мастер-пароль, при попытке доступа к аккаунту с новой машины. Тогда же пользователей попросили обратить внимание на двухфакторную аутентификацию, которая позволяет обеспечить значительно более высокий уровень безопасности, чем вход в аккаунт по обычной связке логин-пароль.

Сейчас компания принимает меры предосторожности, помогающие избежать негативных моментов взлома. Так, для всех пользователей, которые заходят на сервис с новых IP-адресов и устройств, вводится верификация по email.

Все пользователи сервиса получили сообщение от администрации с соответствующим предупреждением. Тем не менее, администрация считает, что менять пароли к сайтам, которые хранятся на сервере, нет необходимости.

Кроме всего прочего, для защиты стоит использовать пароль, который вы сами не можете запомнить. Пароль, который пользователь в состоянии запомнить (при условии, что этот пользователь — не человек с фотографической памятью), ненадежный пароль, в подавляющем числе случаев.

В общем, сейчас стоит воспользоваться двухфакторной аутентификацией, если вы этого еще не сделали. Кроме того, нужно поменять свой мастер-пароль, и успокоиться.

Ну, а если данные в облаке больше хранить не хочется, стоит обратить внимание на KeePass, менеджер паролей для ПК и мобильных устройств. Одна из лучших программ своего рода.

Комментарии (60)


  1. Color
    16.06.2015 11:43
    +3

    Никто не совершенен. Ничто не в безопасности. Запоминать новый мастер-пароль


    1. igordata
      16.06.2015 12:27
      -2

      И что вам даст новый мастер пароль? Надо не только мастер менять, а ещё обязательно и все пароли, что там были.


      1. ploop
        16.06.2015 12:35

        Так вроде заявляют, что возможен был доступ к аккаунтам, но не к самим паролям, которые шифрованы-перешифрованы 100500 раз.


        1. igordata
          16.06.2015 16:10
          +3

          Может да, а может нет. Может не получили. А может получили, но никто не заметил, может подчистили следы где-то, а где-то не смогли. Может слили пароли раньше, а сейчас получили доступ к хешам и подбирают кого-то, а потом выложат, или не выложат. Или у них упрут. Или кто-то из их тусовки разругается с кем-то и продаст то, что слили.

          Если была атака, и она была успешной, стоит считать скомпрометированным всё, что с этим связано.

          Допустим у вас есть там важный-преважный пароль. Но вы решили, что в принципе хватит сменить мастера. Сменили. Через пол года всплыло, что всё же что-то кто-то недоговорил или не знал, и пароли увели, и у вас что-то ценное упёрли. Какие будут варианты ваших реакций на такую ситуацию:

          1. Я сменил мастера, и этого было достаточно. Значит я не буду переживать о потере этого моего ценного.
          2. Я сменил мастера, а другие пароли не сменил, и просрал моё нечто ценное. Наверное надо было потратить пять минут, и сменить остальные хотя бы ключевые пароли.

          Возможно, кто-то нашел дырку, и слил базу. А возможно, кто-то нашел дырку и сделал нечто большее. Т.к. нет стопроцентной уверенности, то стоит менять пароли, какие не лень.

          В принципе никогда нет стопроцентной уверенности в надёжности. Поэтому пароли в принципе стоит переодически менять, не важно была утечка или нет.

          Такое моё мнение.


          1. ploop
            16.06.2015 16:15
            +1

            В принципе вы правы, «не утекло, взломать нельзя» — это всё слова. Им можно верить, можно нет, но "… сало лучше перепрятать"


          1. KOLANICH
            16.06.2015 23:04
            -1

            А возможно у каждого пользователя проприетарных ОС в компе троян, сливающий все пароли. А возможно, все пароли известны АНБ, которое заимело кучу квантовых компьютеров, поставила их на свои точки перехвата траффика, и ломает ассимитричные криптосистемы на основе np-полных задач, а тем, кто их ставил, стёрло память (для этого нужно принять препараты, блокирующие на время запись в долговременную память). А возможно всё это глобальный заговор, и все эти интернет сервисы созданы анб, так что пароли нужны только чтобы пользователи ничего не заподозрили, а «взломы» — для того же. Дальше допридумывайте «а возможно» сами.


  1. ploop
    16.06.2015 12:02
    +1

    Пароль, который пользователь в состоянии запомнить (при условии, что этот пользователь — не человек с фотографической памятью), ненадежный пароль, в подавляющем числе случаев

    В этом случае смысл пароля теряется, можно смело переходить на файлы-ключи, и безопасность выше, и удобство такое же (за редкими исключениями, когда пароль печатается и хранится на мониторе под подушкой)


    1. quozd
      16.06.2015 13:58

      К сожалению файлы-ключи не так удобно. Как, например, пользоваться ими на телефоне? Постоянно хранить не безопасно, флешку не подключишь.


      1. isden
        16.06.2015 14:03

        На NFC-метке может быть? А флэшку можно и по OTG подключить, кстати.


        1. quozd
          16.06.2015 14:06

          Если бы еще это поддерживал софт… А OTG вообще не везде есть.


          1. isden
            16.06.2015 14:10

            Вроде бы почти на всех более-менее современных андроид-дивайсах OTG есть? Про Эппл-дивайсы не в курсе, но вроде бы что-то слышал про третьесторонние переходники для подключения флэшек.


            1. quozd
              16.06.2015 14:12

              Беглый гуглинг говорит, что кроме андроида OTG нигде особо нет. Всякие третьесортные девайсы и прееходники выглядят костылем, запомнить 20 символов проще и удобнее :)


              1. isden
                16.06.2015 14:17

                Еще пришла мысль про такую киллер-фичу :)
                Ключ хранить в виде большого QR и сканить камерой. Хранить его на особом отдельном дивайсе, который будет показывать его на экране когда нужно. Можно даже несколько ключей, выводить тот, который нужно.


                1. quozd
                  16.06.2015 14:18

                  В чем принципиальная разница с паролем на стикере на мониторе? :)

                  ЗЫ, а вы, я посмотрю, знаете толк… :)


                  1. isden
                    16.06.2015 14:22

                    Принципиальная разница — не нужно запоминать и вводить (а это особое развлечение на мобильных дивайсах) эти «20 символов», и их можно сделать «128 символов», например.
                    Плюс к этому, можно сделать несколько разных ключей.


                    1. quozd
                      16.06.2015 14:25

                      Честно сказать, своей памяти я доверяю больше. Секьюрно что-то хранить при себе — это в трусах, наверное, и то, мало ли как вечер обернется :) Любой физический носитель может быть довольно просто украден, потерян, испорчен. В случае же с памятью все безопасно, если, конечно, к вам с паяльником не пришли.


                      1. isden
                        16.06.2015 14:28

                        Память иногда играет в странные игры. Недельку не пользовались сложным паролем, и уже путаетесь — а вон та буква прописная или строчная? А вот тут буква l или I? И т.п.


              1. Chamie
                16.06.2015 19:47

                Есть официальный Lightning to USB Camera Adapter

                Скрытый текст


      1. ploop
        16.06.2015 14:19

        Как, например, пользоваться ими на телефоне?

        А как паролем, если его нельзя помнить? Где-то хранить.


        1. quozd
          16.06.2015 14:21
          -1

          Почему нельзя? Неужели трудно запомнить 20-25 символов? В школе прозу страницами запоминали слово в слово, а тут 20 символов.


          1. isden
            16.06.2015 14:23
            -2

            Фразу из слов запомнить не сложно, но она не будет криптостойкой. А вот 20 _случайных_ символов в разном регистре — уже сильно сложнее.


            1. quozd
              16.06.2015 14:27

              Не вижу препятствий запомнить 20 случайных символов в разном регистре, их же надо вводить добрый десяток раз в день. Если с этим есть проблемы — хороший повод заняться о тренировкой памяти, имхо.


              1. isden
                16.06.2015 14:29

                > их же надо вводить добрый десяток раз в день

                Подозреваю, что 98% людей надоест вводить 20 случайных символов на мобильном дивайсе после 2 или 3 раза.
                Тут же вопрос не только безопасности, но и удобства для пользователей.


                1. quozd
                  16.06.2015 14:34

                  Вы правы, но тут нужно понять, что пользователю важнее: безопасность или удобство. Два в одном я, увы, пока не видел. Свою жену (основной ее девайс — ipad) успешно пересадил на KeePass с неплохим паролем и ничего, пользуется. Довольна, что не надо помнить пароли от 100500 сервисов и сайтов. Достаточно было правильным образом обьяснить почему это важно.


                  1. isden
                    16.06.2015 14:42

                    Далеко не всем реально будет это объяснить в такой степени, чтобы прониклись и осознали.
                    Тут может быть разумным компромиссом использование либо NFC/BT дивайса, либо каких-то поведенческих/биометрических паттернов как второго фактора (первым — например пин-код из 5-6 цифр).


            1. Darth_Biomech
              16.06.2015 15:06
              +5

              Я тут скорее соглашусь с xkcd.

              image

              Да и потом, если подумать, очень много аккаунтов взламывается не из-за пароля, а из-за того что хакеры получают доступ к базе данных сайта. А здесь уже не важно, 28 у вас символов в пароле, или 128.


              1. ayakovlev
                16.06.2015 15:27
                +3

                Из раза в раз в этой картинке неправильно считается энтропия второго варианта.
                4 слова из словаря — вот его энтропия. Дальше мы имеем словари мощностью 1000 слов, 10000 и 100 000.
                Большинство паролей будет вскрыто перебором первого словаря: 10^12 При заявленной скорости 1000 Gueses/sec, это займет 11 дней. Немного больше, чем первый вариант, но не на порядок.


                1. WarP
                  16.06.2015 20:35
                  -1

                  А если я фразу correct horse battery staple заменю на coRR3cthorze_batteriSTAPLE… Запоминание не сильно усложнится, а сложность? =)


                  1. ayakovlev
                    16.06.2015 20:42
                    +4

                    Сложность станет потрясающей! Особенно если попытаться через месяц неиспользования вспомнить, какие же там две буквы были большими…


                    1. WarP
                      16.06.2015 21:00

                      Ну, возможно я несколько переусложнил, но суть та же.
                      Пусть будет correcThorze_batteristaple

                      4 буквы изменилось… мм?


                      1. ploop
                        16.06.2015 21:03

                        Да обычно так пароли и придумывают, не секрет вроде. Ну плюс то же самое, но по русски в латинской раскладке (правда для мобильных девайсов не подходит).


                        1. stamir
                          17.06.2015 11:34

                          Для андроида вполне подходит. Есть Key2Lay, есть «Клавиатура для паролей» и ещё много аналогов.


                  1. batyrmastyr
                    16.06.2015 21:33

                    Сложность для запоминания и использования: безумная, т.к. это 4 слова из первого варианта. Был у меня такой пароль, на 27 символов с чередованием регистра и из-за регистра каждый раз сперва набирал в блокноте, потом копировал в поле ввода.


                    1. WarP
                      16.06.2015 21:48

                      Я использовал когда-то пароль из 3 длинных слов с разным регистром. Ошибался иногда, но в целом почти всегда попадал :)


                  1. Darth_Biomech
                    16.06.2015 23:47

                    Если я правильно понимаю механику работы по словарям, убить пробелы должно быть по идее достаточно, не думаю что в каком-то словаре найдется слово «correcthorsebatterystaple»


                    1. ploop
                      16.06.2015 23:57

                      Не совсем правильно. Работа по словарю не подразумевает точное совпадение пароля со словарным словом (это уже совсем банально), после прогона 1:1 слова начинают комбинироваться, при чём в разных регистрах и количествах.


                    1. ploop
                      17.06.2015 00:00

                      И ещё момент: «словарь» не значит орфографический словарь какого-то языка, вместе с ним отрабатывается список наиболее используемых паролей. К примеру «123456» тоже словарный пароль. Как и «qWeRtY»


          1. ploop
            16.06.2015 14:42

            Почему нельзя? Неужели трудно запомнить 20-25 символов?

            Я процитировал автора поста, что для защиты стоит использовать пароль, который вы сами не можете запомнить.
            Смысл в том, что сие уже не будет паролем в его стандартном понимании, так как пароль предполагает именно запоминание. А если не надо помнить — так хоть гигабайтной длины ключи можно использовать вместо парольной фразы, так как сложности (точнее неудобства) одинаковы.


        1. KOLANICH
          17.06.2015 00:09

          Пароль, который «нельзя помнить» давно был разработан. Вот только проверяющая часть его всё равно помнит в явном виде. www.usenix.org/system/files/conference/usenixsecurity12/sec12-final25.pdf


  1. AlexanderS
    16.06.2015 13:36
    +2

    Я когда понял, что мне надоело пароли переносить из вордовской бумажки в формы ввода, рассматривал LastPass. Но побоялся облака. Пользую портабельный KeePass.
    Я облака и сейчас-то побаиваюсь для хранения персональной информации. Разве что контейнер truecrypt туда заливать, который по ключам и паролю открывается.


    1. ploop
      16.06.2015 13:53
      +4

      KeePassX уже много лет использую, синхронизация через dropbox. Во-первых база всегда оффлайн доступна (иногда надо), во-вторых сам по себе очень удобный, ну и в-третьих — безопасность в своих руках.


      1. Vorchun
        17.06.2015 09:41

        Я не очень понял как его использовать в FF. Сейчас у меня lastpass. Есть рабочий комп на вин, есть ноут дома на ubuntu. Везде FF. Все синхронизуруется. Я даже внимания не обращаю.

        За последний день очень нахвалилии KeePass. Но, как я понял, это софт для вин, который ставится на один комп. А как быть с браузерами и несколькими компами?


        1. ploop
          17.06.2015 10:08
          +1

          KeePass только для вин, KeePassX кросплатформенный. Это разные приложения, хотя поддержвают импорт/экспорт баз друг друга. Приложения самостоятельные, с браузерами не работают, но обладают массой других достоинств.

          В FF есть самостоятельный менеджер паролей, и 90% потребностей он покрывает. Потому KeePassX используется 1) для создания пароля (есть генератор), 2) для долговременного его хранения. То есть сгенерировал пароль при регистрации где-нибудь, далее сохранил в стандартном хранилище браузера и пользуешься спокойно, а в случае переезда на другой браузер к примеру пароль всегда под рукой.
          НО: есть некоторые вещи, которые я брайзерному хранилищу не доверю. Например пароли онлайн-банка. Для захода туда открывается KeePassX и каждый раз пароль копируется. Это не сложно на самом деле.

          Второй момент — хранение оффлайн-информации: пин-коды карт, кодовые слова, шифры замков, файлы-ключи, сертификаты (KeePassX поддерживает прикрепление файлов), где онлайн-сервисы и браузерные хранилища не совсем подходят.


          1. ploop
            17.06.2015 10:27

            Приложения самостоятельные, с браузерами не работают...

            тут небольшое уточнение: есть настраиваемый автоввод в любое окно.


          1. c0yc
            17.06.2015 10:41
            +2

            Использую KeePass + dropbox + FF + KeeFox (плагин для FF). Обычным менеджером паролей на FF пользоваться страшно, тк пароли легко от туда уходят, да и использую несколько ПК (дома и на работе).

            База KeePass храниться в облаке и синхронизируется при помощи dropbox.
            KeeFox рекомендую. «Прямо из коробки» автоматическая авторизация на сайтах, выбор учетной записи для сайта (если несколько учеток), генератор паролей итд. Все работает через 1 кнопку в браузере.


            1. ploop
              17.06.2015 10:49

              KeeFox для KeePass, а для KeePassX есть что-то подобное?


  1. amuralex
    16.06.2015 16:27

    Можно придумать простую систему для создания паролей, при этом пароль зависит от названия сервиса или другого ключевого слова. Также запомнить случаюную длинную строку одинаковую для всех паролей.
    Берете какую нибудь секьюрную хеш функцую прогоняете через неё ваш пароль плюс строка (типа соли), потом с этим конечным хэшем что-нибудь сделать, например увеличить последний символ на 1, и использовать его как пароль.
    Пример password = hash(«habr»+salt)+'"#!?"

    Плюсы:
    Мало запоминать, всего лишь одну вашу систему генерации пароля
    Длинный пароль

    Минусы:
    Нужно везде иметь приложение хеширования строки



  1. Darth_Biomech
    17.06.2015 00:01

    Кроме всего прочего, для защиты стоит использовать пароль, который вы сами не можете запомнить. Пароль, который пользователь в состоянии запомнить (при условии, что этот пользователь — не человек с фотографической памятью), ненадежный пароль, в подавляющем числе случаев.

    Человек может запомнить и использовать в качестве пароля стихотворение. Всё стихотворение. Или длинную бессмысленную строку рандомных символов, например число пи до 128 знака (мировой рекорд исчисляется десятками тысяч знаков, кстати говоря)… Это чисто вопрос терпения и упорности, а не принципиальной возможности. Т.е. получается, что фактически не существует «надежных» паролей? Какой вообще смысл в пароле который ты не можешь запомнить? Хранить его в облачном сервисе? Случится такое как в топике, рано или поздно. Хранить его локально в файле или специальной программе? А если жесткий диск посыпется? А если программы не будет под рукой?


    1. ploop
      17.06.2015 00:06
      +1

      Проблема со сложными паролями не в том, что их сложно запомнить, а в том, что их много. Не проблема, если их 1-3-5, а если 50? При том некоторые требуются чуть ли не раз в год, хотя могут быть от важных сервисов (например, на госуслуги не заходил месяцев 6 точно, но не ставить же туда «123» какой-нибудь)


      1. Darth_Biomech
        17.06.2015 10:53

        Что мешает придумать какое-нибудь просто запоминаемое правило, по которому пароль можно менять от сайта к сайту? Тогда все ещё требуется запомнить, по сути, один пароль, но на всех сайтах он все равно будет разным.


        1. ploop
          17.06.2015 11:16

          Да ничего не мешает, но на практике — хрен вспомнишь потом. Во всяком случае у меня так.


  1. corvus
    17.06.2015 02:00
    +1

    KeePass + синхронизация ключа через дропбокс.


    1. anmipo
      17.06.2015 02:06
      +2

      Класть ключ от базы в дропбокс выглядит несколько недальновидно…


      1. TheShestov
        17.06.2015 10:14

        С одной стороны да, с другой стороны — ключ в KeePass может-быть каким угодно файлом. Например картинки, которые идут по умолчанию с аккаунтом, при регистрации. Их редко кто удаляет и они болтаются все время. Или любая mp3 любимой песни. Или Word документ, в котором написан реферат за 7й класс. Чье внимание привлекут эти файлы? (а копии можете держать где угодно).
        Я тоже за KeePass и уже на протяжении нескольких лет.
        p.s. где -то выше писали о возможности работать с браузером… KeePass умеет и автозаполнение и линки сайтов хранит и многое другое. короче мастхЭв.


        1. anmipo
          17.06.2015 10:29
          +1

          Чье внимание привлекут эти файлы?
          Звучит как security by obscurity… Нехорошему скрипту будет всё равно что в файлах, он переберёт их все.

          Я уже писал вчера: если ключевой файл хранится в сухом тёмном месте — это полный перебор 2^256 вариантов (~10^77). А если это один из 100 тыс файлов валяющихся в дропбоксе — то всего лишь ~10^5…


          1. ploop
            17.06.2015 10:35

            Можно просто использовать один сложный пароль


          1. TheShestov
            17.06.2015 10:37

            Дак ведь к файлу ключу — еще необходимо и мастер-пароль иметь. А это совсем другие цифры. м?


            1. anmipo
              17.06.2015 10:44

              Да, конечные цифры другие. Но если уж заморачиваться с составным мастер-ключом, то наверное лучше не урезать сложность его подбора.


              1. TheShestov
                17.06.2015 11:40

                Совершенства нет, если это конечно не сгущенка с печенькой :) Но мы с Вами выбираем наиболее оптимальное по удобству и с повышенной гарантией защиты. А «комплекс предусмотренных мер» у KeePass вполне выглядит комфортным :)