Официальный блог популярного менеджера паролей LastPass сообщает, что компания стала жертвой атаки. В пятницу LastPass обнаружила подозрительную активность в своей сети, и проведенное за выходные расследование показало, что компания подверглась атаке. Хотя нет никаких улик, указывающих на то, что хакеры забрали какие-либо данные о пользователях LastPass, сервера компании все-таки были скомпрометированы. Хакерам удалось получить доступ к email-адресам пользователей, зашифрованным мастер-паролям, а также секретным словам и фразам, которые сервис запрашивает при восстановлении этих самых паролей.
Компания LastPass старается держать лицо в неприятной ситуации и заявляет, что данные пользователей в безопасности, так как шифрования должно хватить, невзирая на то, что хакеры сумели заполучить доступ к соли и хешам мастер-паролей. «Мы убеждены, что нашего шифрования достаточно, чтобы защитить большинство пользователей. LastPass усилила хэши аутентификации случайным значением соли и 100 000 итерациями PBKDF2-SHA256 на стороне сервера, в дополнении к итерациям на стороне клиента. Эти меры значительно затруднят атаку на украденные хеши», — сообщается в блоге.
Помимо вышеперечисленного LastPass извинилась и приняла также более классические, для подобной ситуации, меры. Всем пользователям предлагается сменить мастер-пароль, особенно тем, кто использует тот же самый пароль на других сайтах. Если вход осуществляется с нового устройства или IP, придется подтвердить данные учетной записи (если не включена двухфакторная аутентификация). Менять пароли, которые хранились внутри сервиса, по словами представителей LastPass, не требуется.
Фото: GottaBeMobile
16.06.2015 в 10:12
украшенные хеши
16.06.2015 в 10:21
ну да, полученные в результате краша
фраза «сервер надежно украшен» давно уже не удивляет 😉
Jeffrey Davis
16.06.2015 в 10:24
Да, Пупкин, в IT много чего украшают. А Вы не знали?
16.06.2015 в 13:55
Жидовские пидорасы!
16.06.2015 в 18:59
менеджер паролей? вы издеваетесь?
16.06.2015 в 20:09
ути -пути! а нефик заоблачной дряни доверять! сами виноваты.
https://www.fsf.org
17.06.2015 в 00:21
Храните пароли в надёжном месте не в электронном виде. Тогда их хотя бы нельзя украсть удалённо. Нельзя доверять облачным сервисам важную информацию. Вообще нельзя доверять несвободному ПО и программам как сервисам (SaaS)
17.06.2015 в 19:52
Правильно! А когда регестрируетесь на различных сервисах для связи со знакомыми, поиска знакомств, облачных дисков, git серверах, почтах, онлайн банкинге, wiki проектах, мессенджерах, магазнах, тематических форумах, хостингах. Когда у вас записей переваливает за 500-1000. Вы просто ОБЯЗАНЫ помнить все 30-ти значные пароли с 10-ти значными именами к ним! А ещё адреса всех почтовых ящиков привязанных к этим аккаунтам для восстановления паролей, служебных сообщений, технических работ.
19.06.2015 в 00:28
На кой черт 30-значные пароли, когда 12+ уже с головой хватает?
17.06.2015 в 19:53
Достаточно KeePass базы паролей и open source программы для работы с ней (KeePassX например). А саму базу хранить в облаке и перебрасывать между устройствами вручную.
17.06.2015 в 10:43
Блин, какой тогда смысл во всех этих шифрованиях, если нужно волноваться об утечках шифрованных данных.