Разработчики менеджера паролей LastPass просят некоторых пользователей придумывать более длинные мастер-пароли. В LastPass утверждают, что это необходимо, чтобы улучшить защищенность клиентов. Однако критики заявляют, что это лишь пиар-ход, который никак не поможет пользователям, чьи парольные хранилища пострадали во время взлома LastPass в 2022 году.
Как рассказывает в своем блоге известный ИБ-журналист Брайан Кребс (Brian Krebs), на прошлой неделе разработчики LastPass сообщили клиентам, что им придется обновить мастер-пароль, если тот короче 12 символов. Хотя это правило появилось еще в 2018 году, раньше клиентам компании не требовалось увеличивать длину своих мастер-паролей.
Журналист отмечает, что, скорее всего, это связано с атакой на LastPass, произошедшей в конце 2022 года. Напомним, что тогда злоумышленники скомпрометировали домашний компьютер одного из сотрудников компании и воровали данные из облачного хранилища LastPass в Amazon AWS в течение двух месяцев. В итоге оказались похищены пользовательские хранилища паролей, содержащие как зашифрованные, так и открытые данные более чем 25 миллионов человек.
С тех пор, по информации Кребса, хакерам удалось взломать некоторые их украденных хранилищ, что привело к краже криптовалют на миллионы долларов.
Ранее Кребс уже цитировал слова создателя Adblock Plus Владимира Паланта (Wladimir Palant), который критиковал LastPass и заявлял, что компания не сумела перевести своих старых, изначальных клиентов на более надежное шифрование, которое предлагалось новым клиентам на протяжении многих лет.
Дело в том, что важной настройкой в LastPass по умолчанию является количество «итераций», отвечающее за то, сколько раз мастер-пароль пользователя проходит процедуру шифрования. Чем больше итераций, тем больше времени понадобится злоумышленнику, чтобы взломать такой мастер-пароль.
Палант объяснял, что для многих старых пользователей LastPass количество итераций по умолчанию составляло от 1 до 500. К 2013 году новым клиентам LastPass по умолчанию предлагалось уже 5000 итераций. В феврале 2018 года LastPass изменил значение по умолчанию на 100 100 итераций, а совсем недавно количество итераций увеличилось до 600 000. Однако Палант и другие, пострадавшие от взлома LastPass в 2022 году, заявляли, что настройки безопасности их учетных записей никогда не обновлялись принудительно.
Точку зрения Паланта поддержал и Николас Уивер (Nicholas Weaver), исследователь из Международного института компьютерных наук Калифорнийского университета в Беркли и преподаватель Калифорнийского университета в Дэвисе, который считает, что LastPass совершила огромную ошибку несколько лет назад, не обновив счетчик итераций принудительно для существующих пользователей.
«Теперь во всем обвиняют пользователей ("надо было использовать более длинную парольную фразу"), а не компанию со слабыми настройками по умолчанию, которые так и не были обновлены для существующих пользователей. LastPass в моем понимании — находится в одном шаге от шарлатанства. Раньше я говорил: "Выбирайте любой менеджер паролей, какой хотите", а теперь говорю: "Выбирайте любой менеджер паролей, кроме LastPass"», — заявлял Уивер.
Дело в том, что хакеры могут проводить так называемые офлайн-атаки, если заполучат сами зашифрованные данные хранилищ (что и произошло во время взлома компании), и не будут взаимодействовать с LastPass через официальный сайт. Такие атаки позволяют совершать неограниченный и беспрепятственный буртфорс паролей, причем в распоряжении хакеров могут находиться мощные компьютеры, каждый из которых может пытаться подобрать миллионы паролей в секунду.
Проблему хорошо иллюстрирует таблица из блога Паланта, показывающая, как увеличение количества итераций резко увеличивает затраты и время, необходимые для взлома чьего-либо мастер-пароля.
В связи с этим теперь Палант называет новые требования LastPass к длине мастер-паролей обычной пиар-акцией.
«Они разослали это сообщение всем [пользователям], независимо от того, слабый у них мастер-пароль или нет. Таким образом они снова смогут обвинить пользователей в том, что те не соблюдают их политики, — пишет Палант. — Но я только что вошел в систему со своим слабым паролем, и никто не заставлял меня его поменять. Рассылка электронных писем — это дешево, но они снова не предприняли никаких технических мер для соблюдения этих изменений политики».
Также, по словам Паланта, изменения никак не помогут людям, пострадавшим от атаки 2022 года.
«Этим людям необходимо сменить все свои пароли, чего LastPass по-прежнему делать не рекомендует, — говорит эксперт. — Но это в некоторой степени поможет справиться с грядущими взломами».
В ответ на это глава LastPass Карим Тубба (Karim Toubba) заявил, что изменение длины мастер-пароля (или самого мастер-пароля) направлено не на борьбу с уже украденными хранилищами, находящимися в автономном режиме.
«Это сделано для того, чтобы лучше защитить онлайн-хранилища клиентов и побудить их привести свои учетные записи в соответствие со стандартом LastPass от 2018 года, по умолчанию устанавливающим минимальную длину пароля в 12 символов (но от этого можно отказаться), — объяснил Тубба в письме. — Мы знаем, что некоторые пользователи могли предпочесть удобство безопасности и использовать менее сложные мастер-пароли, несмотря на призывы использовать наш (или другие) генератор паролей».
На вопрос о том, почему LastPass по-прежнему не рекомендует пользователям менять все пароли, защищенные зашифрованным мастер-паролем, Тубба ответил, что «данные показывают, что большинство клиентов следуют нашим рекомендациям (и даже их превосходят), и вероятность успешного взлома шифрования хранилища значительно снижается».
«С декабря 2022 года мы советуем клиентам следовать нашим рекомендациям, — продолжает Тубба. — А если они не следуют им, мы советуем им сменить пароли».
