Το LastPass δέχθηκε επίθεση στα συστήματα του, τον Αύγουστο, και του πήρε λίγο χρόνο να εξηγήσει τι και πώς στους χρήστες και το κοινό γενικότερα. Εν τέλει, η εταιρεία είπε ότι παρόλο που χρειάζονται εκατομμύρια χρόνια για να σπάσει κάποιος ένα κλειδί κρυπτογράφησης το οποίο προστατεύει όσα υποκλάπηκαν, καλό θα είναι όλοι να αλλάξουν το master password που χρησιμοποιούν και να ορίσουν ένα νέο, που θα το έχουν μόνο για τον διαχειριστή κωδικών. Φαίνεται ότι το 1Password διαφωνεί με όσα λέει το LastPass.

Σύμφωνα με την ανταγωνιστική εταιρεία, και συγκεκριμένα τον κύριο αρχιτέκτονα ασφαλείας Jeffrey Goldberg, η LastPass υπερέβαλε σε όσα είπε και σημείωσε ότι αν κάποιος θέλει να σπάσει το master password ενός τυπικού πελάτη της LastPass μπορεί να το κάνει πληρώνοντας μόλις 100$. Τόνισε ότι τα περισσότερα master password δεν είναι τυχαία και οι κράκερ το γνωρίζουν πολύ καλά αυτό. Μάλιστα ανέφερε ως παράδειγμα ότι τα συστήματα cracking θα δοκιμάσουν πρώτα κάτι σαν το “Fido8my2Sox!” και το “2b||!2b.titq” και μετά το “zm-@MvY7MvY7MvY7*7eL” που είναι ένας κωδικός των οποίο δημιουργεί μία μηχανή.

Όπως αναφέρει ο Jeffrey Goldberg, οι άνθρωποι δημιουργούν password που μπορούν να σπάσουν, ακόμα και αν πληρούν πολλαπλά κριτήρια ασφαλείας σχετικά με τη δημιουργία κωδικών. Οπότε, αν ένας άνθρωπος δημιουργήσει ένα password με 12 χαρακτήρες, δεν έχει σημασία αν υπάρχουν 272 πιθανοί συνδυασμοί, αυτό που μετράει είναι αν θα βρίσκεται ανάμεσα στα λίγα δισεκατομμύρια που δοκιμάζουν πρώτα οι επιτιθέμενοι. Αυτό σημαίνει ότι τα περισσότερα password μπορούν να σπάσουν μέσα σε λιγότερο από 10 δισ. δοκιμές που οικονομικά μεταφράζεται στα ~100$.

Ο Jeffrey Goldberg λέει ότι το πρόβλημα με το LastPass είναι πως το master password αποτελεί το μόνο πράγμα που χρειάζεται κάποιος για να αποκτήσει πρόσβαση στα δεδομένα που έχει αποθηκεύσει ο χρήστης. Αυτό δεν ισχύει με το 1Password, το οποίο συνδυάζει το master password του χρήστη με ένα επιπλέον κλειδί που προέρχεται από μηχανή και αν κάποιος δεν συνδυάσει αυτά τα δύο δεν μπορεί να έχει πρόσβαση στο περιεχόμενο του χρήστη. Τέλος, τα κλειδιά αυτά δημιουργούνται στη συσκευή του χρήστη και δεν βγαίνουν εκτός αυτής, οπότε δεν μπορούν να διαρρεύσουν, εκτός και αν κάποιος αποκτήσει φυσική ή απομακρυσμένη πρόσβαση στη συσκευή.

Πηγή: 1Password

Tags:

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Διαβάστε επίσης

Οι εταιρείες τεχνολογίας πρέπει να λογοδοτούν για την παραπληροφόρηση

Η επιτροπή RSA, συμπεριλαμβανομένου του πρώην διευθυντή της CISA, Chris Krebs, λέει ότι η αλήθεια συνεχίζει να απειλείται από τη διάδοση παραπληροφόρησης.

Τέλος οι δωρεάν συναλλαγές μέσω IRIS από 1η Ιανουαρίου

Δυστυχώς ούτε μέσω του συστήματος άμεσων πληρωμών IRIS θα βρουν οι επαγγελματίες μια διέξοδο για φθηνές συναλλαγές με τους πελάτες τους.

Το νέο στέλεχος ransomware CACTUS εκμεταλλεύεται ελαττώματα VPN για να διεισδύσει σε δίκτυα

Οι ερευνητές κυβερνοασφάλειας έριξαν φως σε ένα νέο στέλεχος ransomware με την ονομασία CACTUS, το οποίο βρέθηκε να αξιοποιεί γνωστές αδυναμίες σε συσκευές VPN προκειμένου να αποκτήσει αρχική πρόσβαση σε στοχευμένα δίκτυα.