LastPass 소스 코드 위반 – 여전히 암호 관리자를 권장합니까?

플라톤에 의해 재발행

팔로워 : 0

이미 알고 계시겠지만, 이 이야기는 최근 뉴스와 소셜 미디어 전체에 퍼졌기 때문에 널리 알려지고 널리 사용되는 비밀번호 관리자 LastPass는 지난 주에 다음과 같이 보고했습니다. 보안 위반.

회사는 침해 자체가 실제로 그보다 XNUMX주 전에 발생했으며 공격자가 LastPass가 소프트웨어의 소스 코드를 보관하는 시스템에 침입했다고 말했습니다.

거기에서 LastPass 보고에 따르면, 공격자들은 "소스 코드의 일부와 일부 독점 LastPass 기술 정보를 가져왔습니다."

우리는 지난 주에 이 사건을 기록하지 않았습니다. 왜냐하면 우리가 LastPass 사건 보고서에 추가할 수 있는 것이 많지 않았기 때문입니다. 사기꾼들은 그들의 독점 소스 코드와 지적 재산을 훔쳐갔지만 분명히 얻지 못했습니다. 모든 고객 또는 직원 데이터.

즉, 우리는 이것을 다음과 같이 보았습니다. LastPass 자체에 대한 매우 당혹스러운 PR 문제, 회사 자체 제품의 전체 목적이 고객이 온라인 계정을 스스로 유지하도록 돕는 것이라는 점을 감안할 때, 고객의 온라인 계정을 직접적으로 위험에 빠뜨리는 사건이 아닌.

그러나 지난 주말에 독자들로부터 몇 가지 걱정스러운 질문이 있었고(소셜 미디어에서 오해의 소지가 있는 조언을 보았습니다) 지금까지 받은 주요 질문을 살펴보기로 했습니다.

결국, 우리는 정기적으로 독자를 추천하고 팟 캐스트 청취자 암호 관리자 사용을 고려하기 위해 다수의 보안 실책 비밀번호로 매니저 도구 년.

따라서 디지털 생활에서 암호 관리자의 미래에 대해 정보에 입각한 결정을 내리는 데 도움이 되도록 아래 XNUMX가지 질문과 답변을 정리했습니다.

Q1. 내 비밀번호 관리자가 해킹당하면 어떻게 됩니까?

A1. 그것은 완벽하게 합리적인 질문입니다. 모든 비밀번호 달걀을 한 바구니에 넣으면 그 바구니가 단일 실패 지점이 되지 않습니까?

사실, 그것은 우리가 너무 자주 묻는 질문입니다. 비디오를 가지고 구체적으로 대답하려면(재생하는 동안 톱니바퀴를 클릭하여 자막을 켜거나 재생 속도를 높이세요):

[포함 된 콘텐츠]

Q2. LastPass를 사용하는 경우 모든 비밀번호를 변경해야 합니까?

A2. 귀하가 귀하의 비밀번호의 일부 또는 전체를 변경하고자 하는 경우, 당사는 귀하에게 이에 대해 이야기하지 않을 것입니다.

(위의 비디오에서 설명한 것처럼 암호 관리자에 대한 한 가지 편리한 점은 암호를 변경하는 것이 훨씬 빠르고 쉽고 안전하다는 것입니다. 서둘러.)

그러나 모든 계정에서 이 보안 사건은 사기꾼이 사용자의 개인 데이터, 최소한 모든 비밀번호를 도용하는 것과 아무 관련이 없습니다. 이 정보는 어쨌든 사용 가능한 형식으로 LastPass의 서버에 저장되지 않습니다. (Q5 참조.)

이 공격은 사기꾼이 비밀번호 보관소의 암호화된 비밀번호를 공격할 수 있는 LastPass 소프트웨어의 취약점이나 익스플로잇을 포함하지 않는 것으로 보입니다. .

또한 공격자가 소셜 엔지니어링 트릭을 사용하여 온라인 서비스에서 비밀번호를 재설정하도록 설득하는 데 도움이 될 수 있는 전화번호, 우편번호 또는 개별 ID 번호와 같은 개인 식별이 가능한 "실생활" 고객 정보의 도용을 포함하지 않습니다.

따라서 비밀번호를 변경할 필요가 없다고 생각합니다. (가치가 있는 만큼 LastPass도 마찬가지입니다.)

Q3. LastPass를 포기하고 경쟁사로 전환해야 합니까?

A3. 그것은 당신이 스스로 대답해야 할 질문입니다.

위에서 말했듯이 이 사건이 LastPass에 대한 것인 만큼 당혹스러운 일이지만 개인 데이터는 침해되지 않았고 비밀번호 관련 데이터(암호화되었거나 다른 방식으로)도 도난당하지 않았고 회사 자체 소스 코드와 독점 정보만 있었던 것으로 보입니다.

Google이 최근 출시했을 때 Chrome을 버렸습니까? 야생의 제로 데이 익스플로잇이 발표되었나요? 또는 최신 Apple 제품 이후 제로데이 더블 플레이? 또는 Windows 후 화요일 업데이트 패치 어떤 제로데이 버그가 수정되었습니까?

그렇지 않은 경우, 특히 회사의 실수가 직접적이고 즉각적으로 귀하를 위험에 빠뜨리지 않은 경우, 마지막으로 버그 또는 위반이 발생했을 때 회사가 어떻게 대응했는지에 따라 회사의 미래 사이버 보안 신뢰성을 판단할 의향이 있다고 가정합니다.

LastPass를 읽을 것을 제안합니다. 사고 보고서 및 FAQ 자신을 위해, 그리고 당신이 여전히 회사를 신뢰하는 경향이 있는지 여부를 기반으로 결정합니다.

Q4. 소스 코드를 훔쳤다는 것은 해킹과 악용이 따라야 한다는 것을 의미하지 않습니까?

A4. 그것은 합리적인 질문이며 대답은 간단하지 않습니다.

일반적으로 소스 코드는 컴파일된 "바이너리"와 동등하다는 것을 훨씬 더 쉽게 읽고 이해할 수 있습니다. 특히 주석이 잘 되어 있고 소프트웨어 내부의 변수 및 함수와 같은 것에 의미 있는 이름을 사용하는 경우에 그렇습니다.

다소 종합적이지만 따르기 쉬운 예로서 아래 왼쪽의 Lua 소스 코드를 오른쪽의 컴파일된 바이트코드(예: Java, Lua는 가상 머신에서 실행)와 비교하십시오.

왼쪽 : 읽을 수 있고 주석이 달린 소스 코드.
오른쪽 : 런타임에 실행되는 컴파일된 Lua 바이트코드.

따라서 이론적으로 소스 코드는 프로그래밍 실수나 사이버 보안 실수를 발견하는 것을 포함하여 소프트웨어 작동 방식을 더 빠르고 쉽게 결정할 수 있어야 하므로 취약성을 더 쉽게 찾고 악용을 더 빨리 고안해야 합니다.

실제로 리버스 엔지니어링하려는 컴파일된 바이너리와 함께 사용할 소스 코드를 획득하는 것이 작업을 더 어렵게 만드는 경우는 거의 없고 종종 더 쉽게 만드는 것은 사실입니다.

그렇긴 해도, Microsoft Windows는 폐쇄 소스 운영 체제라는 것을 기억해야 합니다. 그러나 대부분은 아닐지라도 매월 패치 화요일에 수정된 많은 보안 허점은 미리 컴파일된 바이너리에서 직접 리버스 엔지니어링되었습니다.

다시 말해, 소스 코드를 비밀로 유지하는 것이 사이버 보안 프로세스의 중요한 부분으로 간주되어서는 안 됩니다.

또한 많은 프로젝트가 소스 코드를 공개하는 것에 명시적으로 의존한다는 점을 기억해야 합니다. 이는 누구나 자세히 조사할 수 있을 뿐만 아니라 원하는 모든 사람이 사용하고 수정하고 모두의 더 큰 이익을 위해 기여할 수 있도록 하기 위함입니다.

그러나 자유 사용 라이선스가 있는 주류 오픈 소스 프로젝트와 잠재적으로 수년간 해당 소스 코드에 대한 많은 관심을 갖고 있는 경우에도 여러 번 발견할 수 있었지만 발견되지 않은 버그에 대한 중요한 보안 패치가 필요했습니다.

마지막으로, 오늘날 많은 독점 소프트웨어 프로젝트(예: Google의 Chrome 브라우저, Apple의 iOS 운영 체제, Sophos XG 방화벽, 더 널리 사용되는 수천 개의 하드웨어 및 소프트웨어 도구 포함)는 그럼에도 불구하고 수많은 오픈 소스 구성 요소를 광범위하게 사용합니다.

간단히 말해서, 대부분의 최신 폐쇄 소스 프로젝트에는 소스 코드를 어쨌든 다운로드할 수 있거나(라이선스에서 요구하기 때문에) 유추할 수 있는 중요한 부분이 포함되어 있습니다. 만들어졌다).

다시 말해, 이 소스 코드 누출은 잠재적인 공격자에게 약간의 도움이 될 수 있지만 [a] 처음에 생각하는 것만큼은 아니며 [b] 결코 알아낼 수 없었던 새로운 익스플로잇이 가능해질 정도는 아닙니다. 소스 코드 없이.

Q5. 암호 관리자를 완전히 포기해야 합니까?

A5. 여기서 주장은 개인 및 기업 비밀을 더 안전하게 잠그는 도구를 제공하는 데 자부심을 느끼는 회사라도 자체 지적 재산을 안전하게 잠글 수 없다면 암호 관리자가 "바보의 심부름"이라는 경고라는 것입니다.

결국, 도둑이 다시 침입하여 다음에 그들이 보유하고 있는 소스 코드가 아니라 모든 개별 사용자가 저장한 모든 개별 비밀번호가 있다면 어떻게 될까요?

그것은 걱정거리입니다. 거의 밈이라고 부를 수 있습니다. 소셜 미디어에서, 특히 이러한 종류의 위반 이후에 정기적으로 볼 수 있습니다. “도둑들이 내 비밀번호를 모두 다운로드했다면? 내가 무슨 생각을 하고 있었던 건데, 어쨌든 내 모든 비밀번호를 공유하고 있었던 거죠?”

암호 관리자가 모든 암호의 정확한 복사본을 공격자에 의해 추출되거나 법 집행 기관에서 요구할 수 있는 자체 서버에 보관하는 방식으로 작업했다면 이는 진정한 우려가 될 것입니다.

그러나 제대로 작동하는 클라우드 기반 암호 관리자는 없습니다.

대신 서버에 저장되는 것은 암호화된 데이터베이스 또는 "blob"(줄임말)입니다. 바이너리 대형 객체) 이는 장치로 전송된 후와 로컬 손상의 위험을 줄이기 위해 일종의 이중 인증을 사용하여 마스터 암호를 로컬로 제공한 후에만 해독됩니다.

비밀번호 보관소의 비밀번호는 비밀번호 관리자의 서버에 직접 사용 가능한 형식으로 저장되지 않으며 마스터 비밀번호는 이상적으로는 소금에 절인 암호 해시가 아닌 전혀 저장되지 않습니다.

즉, 신뢰할 수 있는 암호 관리 회사는 데이터베이스가 해킹된 경우 암호가 누출되지 않거나 법 집행 기관의 영장이 있는 경우 공개를 거부한다고 신뢰할 필요가 없습니다.

… 당신의 동의와 협력 없이 그것을 추출할 수 있는 데이터베이스에 당신의 마스터 암호나 다른 암호의 기록을 보관하지 않는다는 점을 감안할 때, 원하더라도 공개할 수 없었기 때문입니다.

(LastPass 웹사이트에는 설명과 다이어그램이 있습니다. 암호가 보호됩니다 직접 제어하는 자신의 장치를 제외하고는 해독되지 않음으로써 서버 측 손상으로부터 보호합니다.)

Q6. 다시 알림 – 암호 관리자를 사용하는 이유는 무엇입니까?

A6. 이점을 요약하자면 다음과 같습니다.

좋은 암호 관리자는 좋은 암호 사용을 단순화합니다. 수십 또는 수백 개의 암호를 선택하고 기억하는 문제를 2FA로 선택적으로 강화된 정말 강력한 하나의 암호를 선택하는 문제로 바꿉니다. 중요하지 않다고 느끼는 계정을 포함하여 모든 계정에 "쉽게" 또는 추측할 수 있는 암호를 사용하여 더 이상 모서리를 잘라낼 필요가 없습니다.
좋은 암호 관리자는 같은 암호를 두 번 사용하지 못하게 합니다. 사기꾼이 귀하가 사용하는 단일 웹사이트의 손상으로 인해 귀하의 비밀번호 중 하나를 복구하는 경우 그들이 생각할 수 있는 다른 모든 계정에서 즉시 동일한(또는 유사한) 비밀번호를 시도할 것임을 기억하십시오. 이렇게 하면 포함된 암호 손상으로 인한 피해가 크게 확대될 수 있습니다.
훌륭한 암호 관리자는 수백, 심지어 수천 개의 길고, 유사하고, 복잡하고, 완전히 다른 암호를 선택하고 기억할 수 있습니다. 실제로 자신의 이름을 기억하는 것처럼 쉽게 이 작업을 수행할 수 있습니다. 정말 열심히 노력하더라도 정말로 무작위적이고 추측할 수 없는 암호를 스스로 선택하는 것은 어렵습니다. 특히 급한 경우에는 항상 예측 가능한 패턴(예: 왼손 다음 오른손, 자음 다음 자음)을 따르고 싶은 유혹이 항상 있기 때문입니다. 모음, 위-중간-아래 행 또는 끝에 -99가 있는 고양이 이름.
좋은 비밀번호 관리자는 잘못된 사이트에 올바른 비밀번호를 입력하도록 허용하지 않습니다. 암호 관리자는 웹 사이트가 "올바르게 보이고" 올바른 모양의 로고와 배경 이미지가 있다는 이유로 웹 사이트를 "인식"하지 않습니다. 이렇게 하면 URL이 정확하지 않다는 것을 알아채지 못하고 비밀번호(및 2FA 코드도) 대신 가짜 사이트로 이동합니다.