2015/06/16

LastPass foi hackado e pede aos utilizadores que mudem as suas passwords


A velha questão de centralizar todas as nossas passwords num único serviço volta a ser posta em causa, com um novo hack ao LastPass que conseguiu obter os emails dos utilizadores e hashes da sua autenticação, entre outros dados.

Antes que entrem em pânico, convém referir que este ataque não significa que os hackers têm acesso a todas as vossas passwords - e na verdade, é muito pouco provável que o venham a ter. Foi o próprio LastPass que noticiou o incidente, dizendo que embora não haja elementos que indiquem que os atacantes tenham acedido aos dados encriptados dos utilizadores, os mesmos conseguiram obter os seus emails, lembretes das passwords, os "salts" de cada utilizados guardados no servidor e o "hash" da sua autenticação (se não estão a par do que que é o hash e salt nós damos uma ajuda.)

O que isto significa é que os atacantes ganharam acesso a ajudas valiosas para os ajudar a crackar as contas dos utilizadores (se entretanto não mudarem de passwords)... mas ainda assim, volta a ser necessário frisar que o risco está bastante minimizado pela forma como o LastPass gere esta questão crítica para a segurança dos dados dos seus clientes.

Já falamos de sistema de "crackanço" de passwords que usam GPUs para acelerar astronomicamente os cálculos, de forma a testarem centenas de milhões de passwords por segundo, e podendo crackar passwords complexas dentro de um prazo de tempo aceitável. Mas o LastPass está consciente disso, e portanto usa uma técnica (altamente recomendada) em que em vez de um único processo de cálculo da hash, o mesmo é feito repetidamente 100 mil vezes(!) a que se acrescem mais algumas milhares de vezes do lado do utilizador (por norma mais 5000 vezes, mas que é configurável pelo utilizador e podem ser mais 50 ou 60 mil).

Isto faz com que mesmo um GPU potente, como uma Nvidia GTX Titant X, consiga calcular menos de 10 tentativas por segundo, o que inviabiliza um ataque "brute-force" numa password segura e com dimensão adequada (se um utilizador se decidiu a usar o LastPass, é de imaginar que terá tido essa preocupação).


O que isto serve para relembrar é que é inevitável que este tipo de situações aconteça, e que por isso importa implementar técnicas que minimizem os riscos quando tal acontece. De qualquer forma, é recomendável que troquem a password do LastPass, e o serviço também activou sistemas de segurança adicional, em que qualquer tentativa de login feita a partir de um IP desconhecido necessitará de um passo adicional verificado através de um email enviado para o utilizador legítimo.

14 comentários:

  1. O mais grave nisto tudo foi os utilizadores apenas tomarem conhecimento disto na 2ª por sites de notícias quando o problema foi detetado na 6ª. A empresa falhou claramente no aviso rápido dos utilizadores para o sucedido.

    ResponderEliminar
  2. Em 2012 fiz isto:

    Your LastPass account has been permanently deleted and all of your data has been purged from our systems.


    Thank God.

    ResponderEliminar
  3. Mudo apenas a password do Lastpass? Mudo todas as minhas passwords? Apago a conta do Lastpass e mantenho as minhas passwords?

    Aguardo a vossa opinião

    ResponderEliminar
  4. Mudo apenas a password do Lastpass? Mudo todas as minhas passwords? Apago a conta do Lastpass e mantenho as minhas passwords?

    Aguardo a vossa opinião

    ResponderEliminar
  5. Mudo apenas a password do Lastpass? Mudo todas as minhas passwords? Apago a conta do Lastpass e mantenho as minhas passwords?

    Aguardo a vossa opinião

    ResponderEliminar
  6. Que sistema de crackanço é esse para testar centenas de milhões de pass por segundo? É que eu tenho um rar antigo com docs e nunca mais me lembrei da password. Já tentei tudo o que me lembrava e a seguir tentei dar-lhe com um programa ou outro mas o máximo que consigo era praí 10mil-20mil passes por segundo, o que para testar passes com 7 e 8 já é impraticável.

    ResponderEliminar
  7. Que sistema de crackanço é esse para testar centenas de milhões de pass por segundo? É que eu tenho um rar antigo com docs e nunca mais me lembrei da password. Já tentei tudo o que me lembrava e a seguir tentei dar-lhe com um programa ou outro mas o máximo que consigo era praí 10mil-20mil passes por segundo, o que para testar passes com 7 e 8 já é impraticável.

    ResponderEliminar
    Respostas
    1. Experimenta começar por aqui e ir explorando. :)
      http://abertoatedemadrugada.com/2013/03/missao-crackar-passwords-em-24h.html

      Eliminar
  8. Qual o mal?
    É que quem anda à chuva molha-se. O primeiro erro é logo por conceito: meter as tuas passwords e cartões de crédito na CLOUD.

    Segundo erro: confiar na implementação de segurança que foi feita, seja ela qual for.

    Terceiro erro: LastPass ser moda e cool. todos os bloggers adoram.

    KeePass: o único local, opensource e igualmente sincronizável!

    ResponderEliminar
    Respostas
    1. Como é que sincronizas o KeePass sem utilizar a Cloud?

      Eliminar
    2. podes usar a cloud, mas tens uma implementação de segurança que TU conheces. não confias cegamente. E o keepass suporta nativamente sincronização por FTP/HTTP e afins.

      Para mim usar keepass (encriptação e implementação opensource) e dropbox chega-me. se para ti nao chega podes ir mais além. No LastPass sabes lá como está. ou como foi feito, ou se foi bem feito...

      Eliminar
    3. http://hn.premii.com/#/comments/9727297

      Eliminar
  9. Em tempos usei o LastPass, mas depois descobri o KeePass e desde então que não quero outra coisa

    ResponderEliminar
  10. A mim parecia-me uma questão de tempo até dar asneira, e nunca confiei neste tipo de serviços.

    Uso o browser para as coisas não importantes (foruns e outras coisas). Tudo o resto, vai de cabeça. Quando não me lembro, reponho a pass num instante.

    ResponderEliminar