“คำโกหกที่ไร้ยางอาย”, “การเข้ารหัสเส็งเคร็ง”: LastPass ถูกวิพากษ์วิจารณ์อย่างรุนแรงถึงคำกล่าวและความปลอดภัยของมัน

และสุขสันต์วันคริสต์มาสแน่นอน! เมื่อสัปดาห์ที่แล้ว ก่อนวันส่งท้ายปีเก่า เราได้เรียนรู้เรื่องนั้นLastPass ผู้จัดการรหัสผ่านยอดนิยมไม่เพียงแต่ถูกแฮ็กเมื่อเดือนสิงหาคมปีที่แล้วเท่านั้น แต่ผู้โจมตียังได้เข้าถึงตู้นิรภัยของผู้ใช้ ซึ่งเป็นที่จัดเก็บข้อมูลและรหัสผ่านของพวกเขา อย่างไรก็ตาม LastPass ต้องการความมั่นใจ

ระหว่างการละเว้น ความจริงเพียงครึ่งเดียว และการโกหกที่ไร้ยางอาย

ตั้งแต่นั้นมา ระหว่างไก่งวงกับของหวาน นักวิเคราะห์ความปลอดภัยได้พิจารณาคำแถลงของ LastPass และประกาศต่างๆ และมีความสำคัญมากขึ้นเรื่อยๆ โดยเสนอว่าบริษัทที่ถูกแฮ็กกำลังพยายามทำให้ผู้ใช้เชื่อว่า 'พวกเขาปลอดภัยกว่าพวกเขา' เป็นอย่างนั้นจริงๆ พวกเขายังวิพากษ์วิจารณ์ LastPass ถึงความไม่สอดคล้องกันและความจริงที่ว่าการสื่อสารที่สงบเงียบเป็นเพียงก้าวใหม่ในเหตุการณ์ที่เกิดขึ้นต่อเนื่องยาวนาน

ดังนั้นในโพสต์ยาวๆ ในบล็อกของเขาผู้เชี่ยวชาญด้านความปลอดภัย Wladimir Palant ยืนยันว่าคำสั่งของ LastPass" ทิศตะวันออกเต็มไปด้วยการละเว้น ความจริงเพียงครึ่งเดียว และการโกหกโดยสิ้นเชิง”- นักวิเคราะห์ความปลอดภัยเริ่มต้นด้วยการรื้อความพยายามของ LastPass เพื่อทำให้ดูเหมือนว่าการโจมตีในเดือนสิงหาคม 2022 และการขโมยข้อมูลเป็นสองสิ่งที่แยกจากกัน ซึ่งในความเป็นจริงแล้วมันเป็นการโจมตีแบบเดียวกันและเป็นเพียงแค่“การเคลื่อนไหวด้านข้าง”เมื่อผู้โจมตีพบจุดเริ่มต้นแล้วเคลื่อนผ่านเครือข่ายของเป้าหมายเพื่อค้นหาข้อมูล การชี้แจงนี้มีความสำคัญมากขึ้นสำหรับ Wladimir Palant เพราะตามที่เขาพูด การกู้คืนข้อมูลนี้เกิดขึ้นแล้วเมื่อ LastPass ระบุไว้ในเดือนกันยายนว่าทุกอย่างเรียบร้อยดี ผู้จัดการรหัสผ่านไม่เข้าใจปัญหา

Wladimir Palant ยังชี้ให้เห็นความจริงที่ว่า LastPass รับทราบว่าได้จัดเก็บที่อยู่ IP ของผู้ใช้ทั้งหมดหรือบางส่วนไว้บนเซิร์ฟเวอร์ เพียงพอที่จะสร้างอาวุธทำลายล้างสูงสำหรับแฮกเกอร์ได้

และผู้เชี่ยวชาญด้านความปลอดภัยยังก้าวไปอีกขั้นอีกเล็กน้อย ตามที่เขาพูด การสื่อสารของ LastPass เป็นวิธีการเตรียมพื้นที่เพื่อให้สามารถโยนความผิดให้กับผู้ใช้เองได้ บ่งชี้ว่าหากผู้ใช้ LastPass ปฏิบัติตามคำแนะนำ“ต้องใช้เวลาหลายล้านปีในการเดารหัสผ่านหลักโดยใช้เทคโนโลยีที่มีอยู่เพื่อถอดรหัสรหัสผ่าน”- โดยพื้นฐานแล้ว หากรหัสผ่านถูกทำลาย มันจะไม่ใช่ความผิดของ LastPass และการเข้ารหัสที่สั่นคลอน แต่เป็นความผิดของผู้ใช้ กล่าวโดยสรุป Wladimir Palant มีคำวิจารณ์มากมายเกี่ยวกับ LastPass และเขาไม่ใช่คนเดียว

“การเข้ารหัสอึ”, “ส่วนขยายที่ดีสำหรับขยะ”

ในกรณีinfosec.exchange บน Mastodon, Jeremi Gosneyซึ่งเป็นผู้เชี่ยวชาญที่ได้รับการยอมรับในด้านการถอดรหัสรหัสผ่าน แสดงความคิดเห็นคล้ายกับความคิดเห็นของ Wladimir Palant“การกล่าวอ้างของ LastPass ว่ามี “ไม่มีความรู้”[ความเสี่ยงที่เกิดขึ้นหลังจากการแฮ็ก หมายเหตุจากบรรณาธิการ]“เป็นการโกหกที่โจ่งแจ้ง”เขาอธิบายในประเด็นแรกก่อนจะโจมตีในตำแหน่งที่ดีอีกครั้ง:“LastPass ใช้การเข้ารหัสเส็งเคร็ง”- ผู้เชี่ยวชาญอธิบายว่ารหัสปลอดภัยนั้นใช้เทคโนโลยี AES256 จริงๆ แต่“มันได้มาจากเอนโทรปีเพียง 128 บิต”และเพิ่มเติมอีกเล็กน้อยว่า“พูดง่ายๆ ก็คือ พวกเขาได้กระทำบาป crypto ทุกประการเท่าที่จะจินตนาการได้”-
ที่แย่กว่านั้นตามข้อมูลของ Jeremi Gosney ข้อผิดพลาดเหล่านี้“ง่ายต่อการระบุ (และแก้ไข!) โดยใครก็ตามที่คุ้นเคยกับการเข้ารหัสอย่างคลุมเครือ เป็นเรื่องเหลือเชื่อจริงๆ ที่บริษัทที่อ้างว่ามีวิวัฒนาการมาสการรักษาความปลอดภัยและผลิตภัณฑ์ที่ใช้การเข้ารหัสทำให้เกิดข้อผิดพลาดดังกล่าว”-

รายการปัญหาและข้อบกพร่องมากมายมีดังนี้“ส่วนขยายเบราว์เซอร์ที่คุ้มค่าที่จะทิ้งลงถังขยะ”-“นิสัยในการเพิกเฉยต่อนักวิจัยด้านความปลอดภัยและรายงานช่องโหว่”ฯลฯ ไม่ว่าในกรณีใด เราเข้าใจอย่างชัดเจนว่า LastPass ไม่ใช่และยังไม่ถึงมาตรฐาน นอกจากนี้ ผู้เชี่ยวชาญยังระบุว่าหลังจากแนะนำให้ใช้ LastPass มาเป็นเวลานาน เขาก็หยุดทำเช่นนั้นในปี 2560 ก่อนที่จะออกจากบริการในปี 2562 เป็นเรื่องน่าเสียดายที่ผู้ใช้ไม่ทราบเรื่องนี้เร็วกว่านี้... ตอนนี้ Jeremi Gosney แนะนำให้เปลี่ยน ไปยัง Bitwarden หรือ 1Password โดยเร็วที่สุด

สำหรับเขา Bitwarden มีข้อได้เปรียบที่ชัดเจน โซลูชันนี้เป็นโอเพ่นซอร์ส 100% ซึ่งช่วยให้ผู้เชี่ยวชาญจากชุมชนการเข้ารหัสสามารถตรวจสอบโค้ดเพื่อให้มั่นใจถึงความถูกต้องและความปลอดภัย คำแนะนำของเขาสำหรับ 1Password คือเพราะเขารู้จักผู้ที่สร้างสถาปัตยกรรมและรู้จักพวกเขา“เก่งและมีความสามารถมาก”- ยังดีกว่าพวกเขา“มีส่วนร่วมอย่างมากในชุมชนการถอดรหัสรหัสผ่าน”เขาอธิบาย ในที่สุด,“ฟีเจอร์รหัสลับช่วยให้แน่ใจว่าหากมีคนได้รับสำเนาห้องนิรภัยของคุณ พวกเขาไม่สามารถเข้าถึงได้ด้วยรหัสผ่านหลักเพียงอย่างเดียว ทำให้ไม่สามารถเข้าถึงได้”-

ฉันไม่เคยวิพากษ์วิจารณ์คู่แข่งด้วยชื่อมาก่อน@1รหัสผ่านบล็อก

นี่เป็นข้อยกเว้นhttps://t.co/E2K1pdUIXj

— เจฟฟรีย์ โกลด์เบิร์ก 🌻 (@jpgoldberg)28 ธันวาคม 2022

1 รหัสผ่านเรียงลำดับเงียบๆ

และโดยเฉพาะอย่างยิ่งในจุดนี้เองที่ 1Password ตอบสนอง คู่แข่งของ LastPass ก็ออกมาเงียบ ๆ เมื่อวานนี้เพื่อประณามตำแหน่งและแถลงการณ์ของ LastPass ในทวีตที่ลิงก์ไปยังบทความยาวๆ ที่ลงนามโดยเขา, Jeffrey Goldberg หัวหน้าสถาปนิกด้านความปลอดภัยของ 1Password เขียนว่า:“ฉันไม่เคยวิพากษ์วิจารณ์คู่แข่งด้วยชื่อมาก่อนในบล็อก 1Password นี่เป็นข้อยกเว้น »-

ในบทความของเขา เขาอธิบายว่าทำไมข้อความของ LastPass ถึงเป็นเช่นนั้น“ทำให้เข้าใจผิดอย่างมาก”และทำไมถึงเป็นเช่นนั้น“หาก 1Password รั่วไหลในทำนองเดียวกัน ผู้โจมตีจะไม่สามารถถอดรหัสรหัสผ่านบัญชีและรหัสลับรวมกันได้ แม้ว่าพวกเขาจะให้คอมพิวเตอร์ทุกเครื่องบนโลกทำงานและทำให้มันหมุนไปหลายล้านเท่าอายุของ จักรวาล"- ซึ่งเริ่มเป็นเวลานานพอสมควรแล้วที่จักรวาลจะมีอายุถึง 13.7 พันล้านปีเมื่อสัปดาห์ที่แล้ว...

ตอบสนองต่อการยืนยันว่าต้องใช้เวลาหลายล้านปีในการถอดรหัสรหัสผ่าน 12 ตัวอักษรของผู้ใช้ LastPass เจฟฟรีย์ โกลด์เบิร์ก อธิบายว่าจะเป็นกรณีนี้หากรหัสผ่านถูกสร้างขึ้นแบบสุ่มโดยสมบูรณ์ ทอง,“รหัสผ่านที่มนุษย์สร้างขึ้นนั้นยังขาดข้อกำหนดนี้มาก-ยกเว้นในกรณีที่รหัสผ่านของคุณถูกสร้างขึ้นโดยเครื่องมือสร้างรหัสผ่านที่ดี รหัสผ่านนั้นสามารถแตกหักได้ »- ปัญหาคือ LastPass ไม่แนะนำทุกที่ในเอกสารให้ใช้เครื่องมือดังกล่าว...

ผู้เชี่ยวชาญด้านความปลอดภัยยังคงอธิบายต่อไปว่าทำไมถึงพูดถึงเรื่องนี้"ล้านปี"ในกรณีของ LastPass คือ“ข้อสันนิษฐานที่ไม่ถูกต้องว่าสามารถเดารหัสผ่านได้เร็วแค่ไหน”- ในระหว่างการแข่งขันถอดรหัสรหัสผ่าน เขาจำได้ว่าค่าใช้จ่ายของการฝึกปฏิบัติดังกล่าวอยู่ที่ประมาณ 6 ดอลลาร์ต่อ 2 เหรียญ³²ความพยายามและอีกครั้งสำหรับรหัสผ่านที่แฮชด้วย PBKDF2-H256 จำนวน 100,000 รอบ ซึ่งเป็นการเข้ารหัสเว็บที่ดีที่สุดโดยประมาณ“เนื่องจากพลังของสองงาน ต้นทุนในการบรรลุผล2³³ความพยายามจะเป็น 12 ดอลลาร์ ค่าใช้จ่ายในการทำ 2³⁴การทดลองจะเป็น 24 ดอลลาร์ ความพยายามหนึ่งหมื่นล้านครั้งจะมีค่าใช้จ่ายประมาณ 100 เหรียญสหรัฐ”ทำให้เจฟฟรีย์ โกลด์เบิร์กมีมุมมองก่อนที่จะสรุป:"สมมติว่าผู้โจมตีเริ่มต้นด้วยรหัสผ่านที่น่าจะสร้างขึ้นโดยมนุษย์มากที่สุดก่อน ความพยายามมูลค่า 100 ดอลลาร์นี้มีแนวโน้มที่จะประสบความสำเร็จ เว้นแต่ว่ารหัสผ่านจะถูกสร้างขึ้นโดยเครื่อง »-

ตรงกันข้ามกับสิ่งที่ LastPass กล่าวไว้ ตู้เซฟของคุณไม่ได้ละเมิดไม่ได้ โดยเฉพาะอย่างยิ่งเนื่องจากการลงทุนซึ่งไม่ควรมีมูลค่า 100 ดอลลาร์ต่อบัญชี อาจนำเงินมาสู่แฮกเกอร์ได้มากกว่าหากสามารถเข้าถึงบัญชีธนาคารของคุณและข้อมูลที่มีค่าอื่น ๆ เพื่อ แฮกเกอร์ที่เป็นอันตราย

1Password ไม่ได้อ้างว่ารหัสผ่านบัญชีของคุณไม่สามารถถอดรหัสได้ ในทางกลับกัน สถาปัตยกรรมความปลอดภัยเน้นย้ำถึงข้อดีของแพลตฟอร์มนี้: มันรหัสลับ- A... องค์ประกอบหลัก ไม่มีเจตนาเล่นสำนวน ซึ่ง 1Password ไม่รู้จัก เพื่อถอดรหัสข้อมูลที่เก็บไว้ (ข้อมูลส่วนบุคคลและรหัสผ่านของคุณ)“ผู้โจมตีจะต้องครอบครองหรือเดารหัสลับของคุณ”แต่เป็นไปไม่ได้เนื่องจากมีเอนโทรปีสูงที่ใช้โดยการเข้ารหัส (128 บิต)

ในที่สุด Jeffrey Golberg ปิดท้ายโพสต์อันยาวนานของเขาด้วยคำพูดที่ชัดเจนและทะเยอทะยาน:“เราไม่ได้ถูกแฮ็ก และเราไม่ได้วางแผนที่จะเป็นเช่นนั้น แต่เราเข้าใจว่าเราต้องทำตัวราวกับว่าเรากำลังจะเป็น เรายังเข้าใจด้วยว่าผู้ใช้ 1Password จำนวนมากจะไม่ปฏิบัติตามคำแนะนำของเราในการใช้รหัสผ่านบัญชีที่สร้างขึ้นแบบสุ่ม นี่อาจเป็นคำแนะนำที่ยากที่จะปฏิบัติตาม”เขายอมรับ“ด้วยเหตุนี้ เราจึงมีหน้าที่รับผิดชอบในการหาวิธีปกป้องผู้ใช้ 1Password ในกรณีที่แฮ็กข้อมูลถูกเปิดเผย”-
เห็นได้ชัดว่า LastPass ไม่เข้าใจการเดิมพัน... หรือความรับผิดชอบของมัน

🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-

แหล่งที่มา : หมิ่น