當然還有聖誕快樂!上週,就在除夕夜之前,我們了解到LastPass,非常受歡迎的密碼管理器,不僅在去年八月遭到駭客攻擊,而且攻擊者還竊取了用戶儲存資料和密碼的保險箱。然而,LastPass 想要讓人放心。
在遺漏、半真半假和無恥謊言之間
從那時起,在火雞和甜點之間,安全分析師開始研究LastPass 的聲明及其公告,並且變得越來越批評,特別表明這家被駭客攻擊的公司正試圖讓其用戶相信「他們比他們更安全」真的是。他們也批評 LastPass 的不一致之處,以及其平靜的溝通只是一系列事件中的一個新步驟。
所以,在他的部落格上有一篇很長的文章,安全專家 Wladimir Palant 斷言 LastPass 的聲明「 東方充滿了遺漏、半真半假和徹頭徹尾的謊言”。安全分析師首先拆解了 LastPass 的企圖,讓其看起來 2022 年 8 月的攻擊和資料竊取是兩件不同的事情,但實際上它們是同一次攻擊,而且只是同一次攻擊。“橫向移動”,當攻擊者找到入口點,然後在目標網路中移動以查找資訊。這項澄清對於 Wladimir Palant 來說更為重要,因為據他稱,當 LastPass 在 9 月表示一切正常時,資料恢復就已經進行了。密碼管理員只是不明白這個問題。
Wladimir Palant 也指出 LastPass 承認已在其伺服器上儲存了全部或部分使用者的 IP 位址。足以為駭客製造出真正的小規模殺傷性武器。
這位安全專家甚至更進一步,據他稱,LastPass 的通訊是一種準備方式,以便能夠將責任歸咎於用戶自己。它表明 LastPass 用戶是否遵循其建議“使用現有技術破解密碼需要數百萬年才能猜出主密碼”。基本上,如果密碼最終被破解,那不是 LastPass 及其不穩定的加密技術的錯,而是其用戶的錯。簡而言之,弗拉基米爾·帕蘭特 (Wladimir Palant) 顯然對 LastPass 有很多批評。而且他不是唯一一個。
“垃圾加密”、“垃圾擴充”
在實例中乳齒像上的 infosec.exchange,Jeremi Gosney密碼破解領域公認的專家的評論與弗拉基米爾·帕蘭特類似。“LastPass 聲稱‘不知情’[駭客入侵後產生的風險,編者註]“是一個公然的謊言”,他在第一點中解釋道,然後再進行一次恰到好處的打擊:“LastPass 使用蹩腳的加密技術”。專家隨後解釋說,安全密鑰確實使用了AES256技術,但是“它僅源自 128 位元熵”,並進一步添加一點,“簡單來說,他們犯下了所有可以想像到的加密貨幣罪”。
更糟糕的是,據傑里米·戈斯尼 (Jeremi Gosney) 稱,這些錯誤「任何對密碼學稍有了解的人都可以輕鬆識別(並修復!)。坦白說,一家聲稱要發展的公司令人難以置信s安全性以及依賴密碼學的產品會犯下這樣的錯誤”。
接下來是一長串問題和缺陷,“值得扔進垃圾桶的瀏覽器擴充功能”,“忽視安全研究人員和漏洞報告的習慣”, ETC。無論如何,我們清楚了解 LastPass 目前還沒有達到標準。此外,專家表示,在長期推薦使用 LastPass 後,他於 2017 年停止使用,並於 2019 年退出該服務。或1Password。
對他來說,Bitwarden有一個明顯的優勢,解決方案是100%開源的,這使得加密社群的專家可以審核程式碼以確保其有效性和安全性。他推薦 1Password 是因為他認識那些創建其架構的人,並且他了解他們“有能力而且非常有才華”。更好的是,他們“非常熱衷於密碼破解社群”,他解釋道。最後,“他們的密鑰功能確保如果有人獲得了您的保管庫副本,他們根本無法僅使用主密碼來訪問它,從而使其難以破解。”。
我以前從未在比賽中點名批評過競爭對手@1密碼部落格.
這是一個例外。https://t.co/E2K1pdUIXj
— 傑弗瑞‧戈德堡🌻 (@jpgoldberg)2022 年 12 月 28 日
1無聲密碼排序
1Password 正是在這一點上做出了特別的反應。 LastPass 的競爭對手昨天也走出沉默,譴責 LastPass 的立場和聲明。在連結到的推文中他署名的長文,1Password 首席安全架構師 Jeffrey Goldberg 寫道:「我過去從未在 1Password 部落格上批評過競爭對手的名字。這是一個例外 »。
他在文章中解釋了為什麼 LastPass 的說法是“極具誤導性”以及為什麼甚至“如果 1Password 同樣被洩露,攻擊者將無法破解帳戶密碼和密鑰的組合,即使他們讓地球上的每台計算機都工作並讓它們旋轉數百萬倍的年齡宇宙”。自從上周宇宙達到 137 億年以來,已經過了相當長的一段時間了…
對於破解 LastPass 用戶的 12 個字元的密碼需要數百萬年的說法,Jeffrey Goldberg 解釋說,如果密碼是完全隨機創建的,情況就會是這樣。金子,「人類創造的密碼遠遠達不到這項要求。[…]除非您的密碼是由優秀的密碼產生器創建的,否則它是可以破解的 »。問題是,LastPass 在其文件中沒有建議使用這樣的工具...
然後安全專家繼續解釋為什麼談論“百萬年”,對 LastPass 來說,是“密碼被猜出的速度的錯誤假設”。他回憶說,在一次密碼破解比賽中,結果表明,這種做法的成本約為 2 人 6 美元。32嘗試,並再次使用 100,000 輪 PBKDF2-H256 雜湊密碼,大致上是最好的網路加密。「由於兩個人的力量發揮作用的方式,實現這一目標的成本233嘗試次數為 12 美元,進行 2 次的成本34試用費為24美元。一百億次嘗試將花費約 100 美元”,在得出結論之前,先對傑弗裡·戈德堡進行透視:「假設攻擊者首先從最有可能的人為生成的密碼開始,那麼這 100 美元的努力很可能會成功,除非密碼是由機器生成的 »。
與LastPass 所說的相反,您的保險箱並不是那麼不可侵犯,特別是因為每個帳戶的投資不應為100 美元,如果黑客能夠訪問您的銀行帳戶和其他有價值的信息,從而獲得更多收益,惡意駭客。
1Password 並不聲稱您的帳號密碼牢不可破。另一方面,其安全架構凸顯了該平台的優勢:秘密鑰匙。一個……關鍵元素(無雙關語),1Password 並不知道這一點。要解密儲存的資料(您的個人資訊和密碼),“攻擊者必須擁有或猜測你的密鑰”,但由於加密使用的高熵(128 位元),這是不可能的。
最後,傑弗裡·戈爾伯格以清晰而雄心勃勃的聲明結束了他的長篇文章:「我們沒有被駭客攻擊,我們也不打算被駭客攻擊。但我們明白,我們必須表現得好像我們將要那樣。我們也了解到,許多 1Password 使用者不會遵循我們的建議使用隨機產生的帳戶密碼。這可能是很難遵循的建議。他承認。“因此,我們有責任找到方法來保護 1Password 用戶,防止其加密資料遭到駭客攻擊”。
顯然 LastPass 不了解其中的利害關係……也不了解其責任。
來源 : 邊緣
