当然还有圣诞快乐!上周,就在除夕夜之前,我们了解到LastPass,非常流行的密码管理器,不仅在去年八月遭到黑客攻击,而且攻击者还窃取了用户存储数据和密码的保险箱。然而,LastPass 想要让人放心。
在遗漏、半真半假和无耻谎言之间
从那时起,在火鸡和甜点之间,安全分析师开始研究 LastPass 的声明及其公告,并且变得越来越批评,特别表明这家被黑客攻击的公司正试图让其用户相信“他们比他们更安全”真的是。他们还批评 LastPass 的不一致之处,以及其平静的沟通只是一系列事件中的一个新步骤。
所以,在他的博客上有一篇很长的文章,安全专家 Wladimir Palant 断言 LastPass 的声明“ 东方充满了遗漏、半真半假和彻头彻尾的谎言”。安全分析师首先拆解了 LastPass 的企图,让其看起来 2022 年 8 月的攻击和数据盗窃是两件不同的事情,但实际上它们是同一次攻击,而且只是同一次攻击。“横向运动”,当攻击者找到入口点,然后在目标网络中移动以查找信息时。这一澄清对于 Wladimir Palant 来说更为重要,因为据他称,当 LastPass 在 9 月份表示一切正常时,数据恢复就已经进行了。密码管理员只是不明白这个问题。
Wladimir Palant 还指出 LastPass 承认已在其服务器上存储了全部或部分用户的 IP 地址。足以为黑客制造出真正的小规模杀伤性武器。
这位安全专家甚至更进一步,据他称,LastPass 的通信是一种准备方式,以便能够将责任归咎于用户自己。它表明 LastPass 用户是否遵循其建议“使用现有技术破解密码需要数百万年才能猜出主密码”。基本上,如果密码最终被破解,那不是 LastPass 及其不稳定的加密技术的错,而是其用户的错。简而言之,弗拉基米尔·帕兰特 (Wladimir Palant) 显然对 LastPass 有很多批评。而且他不是唯一一个。
“垃圾加密”、“垃圾扩展”
在实例中乳齿象上的 infosec.exchange,Jeremi Gosney密码破解领域公认的专家的评论与弗拉基米尔·帕兰特类似。“LastPass 声称‘不知情’[黑客入侵后产生的风险,编者注]“是一个公然的谎言”,他在第一点中解释道,然后再进行一次恰到好处的打击:“LastPass 使用蹩脚的加密技术”。专家随后解释说,安全密钥确实使用了AES256技术,但是“它仅源自 128 位熵”,并进一步添加一点,“简单来说,他们犯下了所有可以想象到的加密货币罪孽”。
更糟糕的是,据杰里米·戈斯尼 (Jeremi Gosney) 称,这些错误“任何对密码学稍有了解的人都可以轻松识别(并修复!)。坦率地说,一家声称要发展的公司令人难以置信s安全性以及依赖密码学的产品会犯这样的错误”。
接下来是一长串问题和缺陷,“值得扔进垃圾桶的浏览器扩展”,“忽视安全研究人员和漏洞报告的习惯”, ETC。无论如何,我们清楚地了解 LastPass 目前还没有达到标准。此外,专家表示,在长期推荐使用 LastPass 后,他于 2017 年停止使用,并于 2019 年退出该服务。很遗憾用户没有更早知道它......现在,Jeremi Gosney 推荐尽快切换到 Bitwarden 或 1Password。
对他来说,Bitwarden有一个明显的优势,该解决方案是100%开源的,这使得加密社区的专家可以审核代码以确保其有效性和安全性。他推荐 1Password 是因为他认识那些创建其架构的人,并且他了解他们“有能力而且非常有才华”。更好的是,他们“非常热衷于密码破解社区”,他解释道。最后,“他们的密钥功能确保如果有人获得了您的保管库副本,他们根本无法仅使用主密码来访问它,从而使其难以破解。”。
我以前从未在比赛中点名批评过竞争对手@1密码博客。
这是一个例外。https://t.co/E2K1pdUIXj
— 杰弗里·戈德堡🌻 (@jpgoldberg)2022 年 12 月 28 日
1无声密码排序
1Password 正是在这一点上做出了特别的反应。 LastPass 的竞争对手昨天也走出沉默,谴责 LastPass 的立场和声明。在链接到的推文中他署名的长文,1Password 首席安全架构师 Jeffrey Goldberg 写道:“我过去从未在 1Password 博客上批评过竞争对手的名字。这是一个例外 »。
他在文章中解释了为什么 LastPass 的声明是“极具误导性”以及为什么甚至“如果 1Password 同样被泄露,攻击者将无法破解帐户密码和密钥的组合,即使他们让地球上的每台计算机都工作并让它们旋转数百万倍的年龄宇宙”。自从上周宇宙达到 137 亿年以来,已经过去了相当长的一段时间了……
对于破解 LastPass 用户的 12 个字符的密码需要数百万年的说法,Jeffrey Goldberg 解释说,如果密码是完全随机创建的,情况就会是这样。金子,“人类创建的密码远远达不到这一要求。[…]除非您的密码是由优秀的密码生成器创建的,否则它是可以破解的 »。问题是,LastPass 在其文档中没有建议使用这样的工具......
然后安全专家继续解释为什么谈论“百万年”,对于 LastPass 来说,是“对密码被猜出的速度的错误假设”。他回忆说,在一次密码破解比赛中,结果表明,这种做法的成本约为 2 人 6 美元。32尝试,并再次使用 100,000 轮 PBKDF2-H256 散列密码,大致是最好的网络加密。“由于两个人的力量发挥作用的方式,实现这一目标的成本233尝试次数为 12 美元,进行 2 次的成本34试用费为24美元。一百亿次尝试将花费大约 100 美元”,在得出结论之前,先对杰弗里·戈德堡进行透视:“假设攻击者首先从最有可能的人为生成的密码开始,那么这 100 美元的努力很可能会成功,除非密码是由机器生成的 »。
与 LastPass 所说的相反,您的保险箱并不是那么不可侵犯,特别是因为每个账户的投资不应为 100 美元,如果黑客能够访问您的银行账户和其他有价值的信息,从而获得更多收益,恶意黑客。
1Password 并不声称您的帐户密码牢不可破。另一方面,其安全架构凸显了该平台的优势:秘密钥匙。一个……关键元素(无双关语),1Password 并不知道这一点。要解密存储的数据(您的个人信息和密码),“攻击者必须拥有或猜测你的密钥”,但由于加密使用的高熵(128 位),这是不可能的。
最后,杰弗里·戈尔伯格以清晰而雄心勃勃的声明结束了他的长篇文章:“我们没有被黑客攻击,我们也不打算被黑客攻击。但我们明白,我们必须表现得好像我们将要那样。我们还了解到,许多 1Password 用户不会遵循我们的建议使用随机生成的帐户密码。这可能是很难遵循的建议。”他承认。“因此,我们有责任找到方法来保护 1Password 用户,防止其加密数据遭到黑客攻击”。
显然 LastPass 不了解其中的利害关系……也不了解其责任。
来源 : 边缘
