लास्टपास अंत में स्वीकार करता है: वे बदमाश जो अंदर आ गए? उन्होंने आपका पासवर्ड वॉल्ट चुरा लिया, आखिरकार…

पॉपुलर पासवर्ड मैनेजमेंट कंपनी LastPass रही है पंप के नीचे इस वर्ष, अगस्त 2022 में एक नेटवर्क घुसपैठ के बाद।

लास्टपास की पहली आधिकारिक टिप्पणी में सावधानी से कहा गया है कि हमलावर पहले कैसे पहुंचे, इसका विवरण अभी भी दुर्लभ है:

[ए] एन अनधिकृत पार्टी ने एक एकल समझौता किए गए डेवलपर खाते के माध्यम से लास्टपास विकास पर्यावरण के कुछ हिस्सों तक पहुंच प्राप्त की।

लगभग एक महीने बाद अनुवर्ती घोषणा इसी तरह अनिर्णायक थी:

[टी] वह खतरा अभिनेता एक डेवलपर के समझौता किए गए समापन बिंदु का उपयोग करके विकास के वातावरण तक पहुंच प्राप्त करता है। जबकि प्रारंभिक समापन बिंदु समझौते के लिए उपयोग की जाने वाली विधि अनिर्णायक है, एक बार जब डेवलपर बहु-कारक प्रमाणीकरण का उपयोग करके सफलतापूर्वक प्रमाणित हो जाता है, तो खतरे के अभिनेता ने डेवलपर को प्रतिरूपित करने के लिए अपनी लगातार पहुंच का उपयोग किया।

यदि आप शब्दजाल को हटा दें तो इस पैराग्राफ में बहुत कुछ नहीं बचा है, लेकिन प्रमुख वाक्यांश "समझौता समापन बिंदु" प्रतीत होते हैं (सादे अंग्रेजी में, इसका शायद मतलब है: मैलवेयर से संक्रमित कंप्यूटर), और "लगातार पहुंच" (अर्थ: बदमाश बाद में फुरसत में वापस आ सकते थे).

2FA हमेशा मदद नहीं करता है

दुर्भाग्य से, जैसा कि आप ऊपर पढ़ सकते हैं, टू-फैक्टर ऑथेंटिकेशन (2FA) ने इस विशेष हमले में मदद नहीं की।

हम अनुमान लगा रहे हैं कि लास्टपास, ज्यादातर कंपनियों और ऑनलाइन सेवाओं के साथ आम तौर पर, प्रमाणीकरण की आवश्यकता वाले हर कनेक्शन के लिए शाब्दिक रूप से 2FA की आवश्यकता नहीं होती है, लेकिन केवल जिसे आप प्राथमिक प्रमाणीकरण कह सकते हैं।

निष्पक्ष होने के लिए, आपके द्वारा उपयोग की जाने वाली कई या अधिकांश सेवाएँ, संभवतः आपके स्वयं के नियोक्ता सहित, आमतौर पर कुछ ऐसा ही करती हैं।

विशिष्ट 2FA छूट, जिसका उद्देश्य असुविधा के लिए बहुत अधिक कीमत चुकाए बिना इसके अधिकांश लाभों को प्राप्त करना है, इसमें शामिल हैं:

• कभी-कभार ही पूर्ण 2FA प्रमाणीकरण करना, जैसे कि हर कुछ दिनों या हफ्तों में नए एक बार कोड का अनुरोध करना। उदाहरण के लिए, कुछ 2FA सिस्टम आपको "X दिनों के लिए मुझे याद रखें" विकल्प प्रदान कर सकते हैं।
• प्रारंभिक लॉगिन के लिए केवल 2FA प्रमाणीकरण की आवश्यकता होती है, फिर आंतरिक सेवाओं की एक विस्तृत श्रृंखला के लिए आपको स्वचालित रूप से प्रमाणित करने के लिए किसी प्रकार की "एकल साइन-ऑन" प्रणाली की अनुमति देना। कई कंपनियों में, अक्सर ईमेल पर लॉग इन करने से आपको अन्य सेवाओं जैसे कि ज़ूम, गिटहब या अन्य सिस्टम जो आप बहुत अधिक उपयोग करते हैं, तक पहुंच प्रदान करता है।
• स्वचालित सॉफ़्टवेयर टूल के लिए "बियरर एक्सेस टोकन" जारी करना, डेवलपर्स, परीक्षकों और इंजीनियरिंग कर्मचारियों द्वारा सामयिक 2FA प्रमाणीकरण के आधार पर। यदि आपके पास एक स्वचालित बिल्ड-एंड-टेस्ट स्क्रिप्ट है जिसे प्रक्रिया में विभिन्न बिंदुओं पर विभिन्न सर्वरों और डेटाबेस तक पहुंचने की आवश्यकता है, तो आप नहीं चाहते कि स्क्रिप्ट लगातार आपके लिए एक और 2FA कोड टाइप करने के लिए प्रतीक्षा करे।

हमने कोई सबूत नहीं देखा है …

कंपनी ने शुरू में अगस्त 2022 में कहा था कि हमें विश्वास है कि लास्टपास अब पछता रहा है, इस भरोसे के साथ:

हमने कोई सबूत नहीं देखा है कि इस घटना में ग्राहक डेटा या एन्क्रिप्टेड पासवर्ड वॉल्ट तक कोई पहुंच शामिल है।

बेशक, "हमने कोई सबूत नहीं देखा है" एक बहुत मजबूत बयान नहीं है (कम से कम इसलिए नहीं कि जिद्दी कंपनियां पहली बार में सबूत देखने में जानबूझकर असफल होने या किसी और को सबूत इकट्ठा करने की अनुमति देकर इसे सच कर सकती हैं और फिर जानबूझकर इसे देखने से इंकार कर रहा है), भले ही यह अक्सर होता है कि कोई भी कंपनी उल्लंघन के तत्काल बाद सच्चाई से कह सकती है।

हालाँकि, लास्टपास ने जांच की, और सितंबर 2022 तक एक निश्चित दावा करने में सक्षम महसूस किया:

यद्यपि थ्रेट ऐक्टर विकास परिवेश तक पहुँचने में सक्षम था, हमारे सिस्टम डिज़ाइन और नियंत्रणों ने थ्रेट ऐक्टर को किसी भी ग्राहक डेटा या एन्क्रिप्टेड पासवर्ड वॉल्ट तक पहुँचने से रोका।

अफसोस की बात है कि यह दावा कुछ ज्यादा ही साहसिक निकला।

वह हमला जिसके कारण हमला हुआ

लास्टपास ने जल्दी स्वीकार किया कि बदमाशों ने "स्रोत कोड के कुछ हिस्से और कुछ मालिकाना लास्टपास तकनीकी जानकारी ले ली" ...

... और अब ऐसा लगता है कि चोरी की गई "तकनीकी जानकारी" में से कुछ नवंबर 2022 में खुलासा किए गए अनुवर्ती हमले को सुविधाजनक बनाने के लिए पर्याप्त थी:

हमने निर्धारित किया है कि अगस्त 2022 की घटना में प्राप्त जानकारी का उपयोग करके एक अनधिकृत पक्ष हमारे ग्राहकों की जानकारी के कुछ तत्वों तक पहुंच प्राप्त करने में सक्षम था।

लास्टपास के प्रति निष्पक्ष होने के लिए, कंपनी ने अपने मूल दावे को नहीं दोहराया कि कोई पासवर्ड वॉल्ट चोरी नहीं किया गया था, केवल "ग्राहकों की जानकारी" को चुराया जा रहा था।

लेकिन अपने पिछले ब्रीच नोटिफिकेशन में कंपनी ने इस बारे में सावधानी से बात की थी ग्राहक डेटा (जिससे हममें से अधिकांश जानकारी जैसे पता, फोन नंबर, भुगतान कार्ड विवरण आदि के बारे में सोचते हैं) और एन्क्रिप्टेड पासवर्ड वाल्ट दो अलग-अलग श्रेणियों के रूप में।

हालांकि, इस बार, "ग्राहकों की जानकारी" में उपरोक्त अर्थ में ग्राहक डेटा और पासवर्ड डेटाबेस दोनों शामिल हैं।

सचमुच क्रिसमस से पहले की रात नहीं, लेकिन खतरनाक रूप से इसके करीब, लास्टपास ने स्वीकार किया है कि:

थ्रेट एक्टर ने बैकअप से जानकारी की नकल की जिसमें बुनियादी ग्राहक खाता जानकारी और कंपनी के नाम, अंतिम-उपयोगकर्ता नाम, बिलिंग पते, ईमेल पते, टेलीफोन नंबर और आईपी पते शामिल हैं, जिनसे ग्राहक लास्टपास सेवा तक पहुंच बना रहे थे।

धीरे-धीरे, बदमाश अब जानते हैं कि आप कौन हैं, आप कहां रहते हैं, इंटरनेट पर कौन से कंप्यूटर आपके हैं, और आपसे इलेक्ट्रॉनिक रूप से कैसे संपर्क किया जाए।

प्रवेश जारी है:

धमकी देने वाला अभिनेता ग्राहक वॉल्ट डेटा का बैकअप कॉपी करने में भी सक्षम था।

तो, बदमाशों ने आखिरकार उन पासवर्ड वॉल्ट को चुरा ही लिया।

आश्चर्यजनक रूप से, लास्टपास ने अब यह भी स्वीकार किया है कि यह "पासवर्ड वॉल्ट" के रूप में जो वर्णन करता है वह वास्तव में एक तले हुए BLOB नहीं है (एक मनोरंजक शब्दजाल शब्द जिसका अर्थ है बाइनरी बड़ी वस्तु) केवल और पूरी तरह से एन्क्रिप्टेड, और इसलिए अस्पष्ट, डेटा से मिलकर बनता है।

उन "वॉल्ट्स" में अनएन्क्रिप्टेड डेटा शामिल है, जिसमें स्पष्ट रूप से उन वेबसाइटों के URL शामिल हैं जो प्रत्येक एन्क्रिप्टेड उपयोगकर्ता नाम और पासवर्ड के साथ जाते हैं।

बदमाश अब न केवल यह जानते हैं कि आप और आपका कंप्यूटर कहां रहते हैं, ऊपर बताए गए लीक बिलिंग और आईपी एड्रेस डेटा के लिए धन्यवाद, लेकिन जब आप ऑनलाइन होते हैं तो आपके पास एक विस्तृत नक्शा भी होता है:

[सी] ग्राहक वॉल्ट डेटा […] को एक मालिकाना बाइनरी प्रारूप में संग्रहीत किया जाता है जिसमें अनएन्क्रिप्टेड डेटा, जैसे वेबसाइट यूआरएल, साथ ही पूरी तरह से एन्क्रिप्टेड संवेदनशील फ़ील्ड जैसे वेबसाइट उपयोगकर्ता नाम और पासवर्ड, सुरक्षित नोट और फॉर्म-भरे डेटा शामिल हैं। .

LastPass ने उन "वॉल्ट" फ़ाइलों में संग्रहीत अनएन्क्रिप्टेड डेटा के बारे में कोई अन्य विवरण नहीं दिया है, लेकिन "वेबसाइट URL जैसे" शब्द निश्चित रूप से इंगित करते हैं कि URL एकमात्र ऐसी जानकारी नहीं है जिसे बदमाशों ने हासिल किया है।

अच्छी खबर

अच्छी खबर, LastPass जोर देना जारी रखता है, यह है कि आपकी वॉल्ट फ़ाइल में आपके बैक-अप पासवर्ड की सुरक्षा किसी अन्य क्लाउड बैकअप की सुरक्षा से अलग नहीं होनी चाहिए जिसे आपने अपलोड करने से पहले अपने कंप्यूटर पर एन्क्रिप्ट किया था।

लास्टपास के अनुसार, यह आपके लिए बैक अप लेने वाला गुप्त डेटा कभी भी लास्टपास के अपने सर्वर पर अनएन्क्रिप्टेड रूप में मौजूद नहीं होता है, और लास्टपास कभी भी आपके मास्टर पासवर्ड को स्टोर या देखता नहीं है।

इसलिए, लास्टपास कहता है, आपका बैक-अप पासवर्ड डेटा हमेशा एन्क्रिप्टेड रूप में अपलोड, संग्रहीत, एक्सेस और डाउनलोड किया जाता है, ताकि बदमाशों को अभी भी आपके मास्टर पासवर्ड को क्रैक करने की आवश्यकता हो, भले ही उनके पास अब आपका स्क्रैम्बल पासवर्ड डेटा हो।

जहाँ तक हम बता सकते हैं, लास्टपास में हाल के वर्षों में जोड़े गए पासवर्ड नमक-हैश-एंड-स्ट्रेच स्टोरेज सिस्टम का उपयोग करते हैं जो हमारे करीब है खुद की सिफारिशें, यादृच्छिक लवण के साथ PBKDF2 एल्गोरिथ्म का उपयोग करते हुए, SHA-256 आंतरिक हैशिंग सिस्टम के रूप में, और 100,100 पुनरावृत्तियों।

---

---

लास्टपास ने अपने नवंबर 2022 के अपडेट में यह नहीं कहा या नहीं कह सकता कि अगस्त 2002 में इसके विकास प्रणाली पर पहले हमले के बाद बदमाशों की दूसरी लहर को इसके क्लाउड सर्वर में आने में कितना समय लगा।

लेकिन भले ही हम यह मान लें कि दूसरा हमला तुरंत हुआ, लेकिन बाद में उस पर ध्यान नहीं दिया गया, अपराधियों के पास किसी की चोरी की गई तिजोरी के मास्टर पासवर्ड को तोड़ने की कोशिश करने के लिए अधिकतम चार महीने का समय था।

इसलिए यह अनुमान लगाना उचित है कि केवल वे उपयोगकर्ता जिन्होंने जानबूझकर अनुमान लगाने में आसान या जल्दी से क्रैक होने वाले पासवर्ड चुने थे, जोखिम में हैं, और यह कि जिस किसी ने भी उल्लंघन की घोषणा के बाद से अपना पासवर्ड बदलने की परेशानी उठाई है, वह लगभग निश्चित रूप से आगे रहा है बदमाश।

यह न भूलें कि एक अच्छा पासवर्ड सुनिश्चित करने के लिए केवल लंबाई ही पर्याप्त नहीं है। वास्तव में, उपाख्यानात्मक सबूत बताते हैं कि 123456, 12345678 और 123456789 की तुलना में इन सभी का अधिक सामान्यतः उपयोग किया जाता है 1234, शायद आज की लॉगिन स्क्रीन द्वारा लगाए गए लंबाई प्रतिबंधों के कारण। और याद रखें कि पासवर्ड क्रैकिंग टूल केवल शुरू नहीं होते हैं AAAA और अल्फ़ान्यूमेरिक ओडोमीटर की तरह आगे बढ़ें ZZZZ...ZZZZ. वे पासवर्ड को इस आधार पर रैंक करने का प्रयास करते हैं कि उनके चुने जाने की कितनी संभावना है, इसलिए आपको लगता है कि वे लंबे-लेकिन-मानव-अनुकूल पासवर्ड जैसे "अनुमान" लगाएंगे BlueJays28RedSox5! (18 वर्ण) पहुँचने से बहुत पहले MAdv3aUQlHxL (12 वर्ण), या यहाँ तक कि ISM/RMXR3 (9 वर्ण)।

क्या करना है?

अगस्त 2022 में वापस, हम यह कहा: “यदि आप अपने कुछ या सभी पासवर्ड बदलना चाहते हैं, तो हम आपसे इसके बारे में बात नहीं करने जा रहे हैं। [... लेकिन] हमें नहीं लगता कि आपको अपना पासवर्ड बदलने की जरूरत है। (इसके लायक क्या है, न ही लास्टपास।)

यह लास्टपास के दावे पर आधारित था, न केवल बैक-अप पासवर्ड वाल्ट को केवल आपके लिए ज्ञात पासवर्ड से एन्क्रिप्ट किया गया था, बल्कि यह भी कि उन पासवर्ड वाल्ट को वैसे भी एक्सेस नहीं किया गया था।

लास्टपास की कहानी में तब से जो खोज की गई है, उसके आधार पर बदलाव को देखते हुए, हम अब सुझाव देते हैं कि आप करते हैं यदि आप उचित रूप से कर सकते हैं तो अपना पासवर्ड बदलें.

ध्यान दें कि आपको अपने वॉल्ट के अंदर संग्रहीत पासवर्ड बदलने की आवश्यकता है, साथ ही वॉल्ट के लिए मास्टर पासवर्ड भी।

ऐसा इसलिए है कि भले ही बदमाश भविष्य में आपके पुराने मास्टर पासवर्ड को क्रैक कर लें, लेकिन पासवर्ड डेटा का वह हिस्सा जो वे उजागर करेंगे, वे बासी होंगे और इसलिए बेकार होंगे - जैसे बैंक नोटों से भरे एक छिपे हुए समुद्री डाकू की छाती जो अब कानूनी निविदा नहीं है।

जब आप इसके बारे में हैं, तो यह सुनिश्चित करने का अवसर क्यों न लें कि आप एक ही समय में अपनी सूची में किसी भी कमजोर या पुन: उपयोग किए गए पासवर्ड को सुधारें, यह देखते हुए कि आप उन्हें वैसे भी बदल रहे हैं।

एक और बात ...

ओह, और एक और बात: हर जगह X-Ops टीमों, IT कर्मचारियों, sysadmins और तकनीकी लेखकों के लिए एक अपील।

जब आप यह कहना चाहते हैं कि आपने अपना पासवर्ड बदल लिया है, या दूसरों को अपना पासवर्ड बदलने की सलाह देना चाहते हैं, तो क्या आप भ्रामक शब्द का उपयोग करना बंद कर सकते हैं घुमाएँ, और बस अधिक स्पष्ट शब्द का उपयोग करें परिवर्तन बजाय?

"रोटेटिंग क्रेडेंशियल्स" या "पासवर्ड रोटेशन" के बारे में बात न करें, क्योंकि शब्द घुमाएँ, विशेष रूप से कंप्यूटर विज्ञान में, एक संरचित प्रक्रिया का तात्पर्य है जिसमें अंततः पुनरावृत्ति शामिल है।

उदाहरण के लिए, एक घूर्णन अध्यक्ष के साथ एक समिति में, हर किसी को एक पूर्व निर्धारित चक्र में अग्रणी बैठकें मिलती हैं, उदाहरण के लिए ऐलिस, बॉब, क्रैकर, डोंगल, मैलोरी, सुसान ... और फिर ऐलिस एक बार फिर।

और मशीन कोड में, ROTATE निर्देश एक रजिस्टर में बिट्स को स्पष्ट रूप से परिचालित करता है।

अगर तुम ROL or ROR (जिसका अर्थ है बाईं ओर जाओ or सही जाओ इंटेल नोटेशन में) पर्याप्त रूप से कई बार, वे बिट अपने मूल मूल्य पर वापस आ जाएंगे।

जब आप अपना पासवर्ड बदलना चाहते हैं तो यह बिल्कुल नहीं है!

---

अगर मेरा पासवर्ड मैनेजर हैक हो जाए तो क्या होगा?

आप लास्टपास यूजर हैं या नहीं, यहां एक है वीडियो हमने बनाया यदि आप या आपका पासवर्ड मैनेजर हैक हो जाते हैं तो आपदा के जोखिम को कैसे कम किया जाए, इस पर कुछ युक्तियों के साथ। (उपशीर्षक चालू करने या प्लेबैक को गति देने के लिए खेलते समय कॉग पर क्लिक करें)।

[एम्बेडेड सामग्री]

---

क्यों 'रोटेट' 'चेंज' के लिए अच्छा पर्यायवाची नहीं है

यहाँ है ROTATE (अधिक सटीक, ROL) 64-बिट विंडोज पर वास्तविक जीवन में निर्देश।

यदि आप नीचे दिए गए कोड को इकट्ठा करते हैं और चलाते हैं (हमने आसान, न्यूनतर, मुफ्त असेंबलर और लिंकर का उपयोग किया है गोटूल्स) ...

…तो आपको नीचे आउटपुट प्राप्त करना चाहिए:

0 बिट्स द्वारा घुमाया गया = C001D00DC0DEF11E 4 बिट्स द्वारा घुमाया गया = 001D00DC0DEF11EC 8 बिट्स द्वारा घुमाया गया = 01D00DC0DEF11EC0 12 बिट्स द्वारा घुमाया गया = 1D00DC0DEF11EC00 16 बिट्स द्वारा घुमाया गया = D00DC0DEF11EC001 20 बिट्स द्वारा घुमाया गया s = 00DC0DEF11EC001D 24 बिट्स द्वारा घुमाया गया = 0DC0DEF11EC001D0 28 बिट्स द्वारा घुमाया गया = DC0DEF11EC001D00 द्वारा घुमाया गया 32 बिट्स = C0DEF11EC001D00D 36 बिट्स द्वारा घुमाया गया = 0DEF11EC001D00DC 40 बिट्स द्वारा घुमाया गया = DEF11EC001D00DC0 44 बिट्स द्वारा घुमाया गया = EF11EC001D00DC0D 48 बिट्स द्वारा घुमाया गया = F11EC001D00DC0DE 52 बिट्स द्वारा घुमाया गया = 11EC001D00DC0DEF 56 बिट्स द्वारा घुमाया गया = 1EC001D00DC0DEF1 60 बिट्स द्वारा घुमाया गया = EC001D00DC0DEF11 64 बिट्स द्वारा घुमाया गया = C001D00DC0DEF11E

आप रोटेशन की दिशा और राशि को बदलकर बदल सकते हैं ROL सेवा मेरे ROR, और संख्या को समायोजित करना 4 उस लाइन पर और निम्नलिखित एक।

---