受欢迎的密码管理公司 LastPass 已经 在泵下 今年,继 2022 年 XNUMX 月的一次网络入侵之后。
关于攻击者如何首先进入的细节仍然很少,LastPass 的第一个官方评论谨慎地指出:
[A]n 未经授权的一方通过一个受损的开发者帐户获得了对 LastPass 开发环境部分的访问权限。
大约一个月后的后续公告同样没有定论:
[T] 威胁参与者使用开发人员的受损端点获得了对开发环境的访问权限。 虽然用于初始端点危害的方法尚无定论,但一旦开发人员使用多因素身份验证成功进行身份验证,威胁参与者就会利用他们的持久访问权限来冒充开发人员。
如果你去掉行话,这段话就剩下很多了,但关键短语似乎是“妥协的端点”(用简单的英语,这可能意味着: 感染恶意软件的计算机) 和“持久访问”(意思是: 骗子可以在闲暇时回来).
2FA 并不总是有帮助
不幸的是,正如您在上面所读到的,双因素身份验证 (2FA) 在这次特定攻击中没有帮助。
我们猜测这是因为 LastPass 与大多数公司和在线服务一样,并不真正要求 2FA 用于需要身份验证的每个连接,而只是用于您可能称为主要身份验证的内容。
公平地说,您使用的许多或大部分服务,可能包括您自己的雇主,通常都做类似的事情。
典型的 2FA 豁免旨在获得其大部分好处,而不会因不便而付出过高的代价,包括:
- 仅偶尔进行完整的 2FA 身份验证, 例如每隔几天或几周才请求新的一次性代码。 例如,某些 2FA 系统可能会为您提供“记住我 X 天”的选项。
- 初始登录只需要 2FA 身份验证, 然后允许某种“单点登录”系统自动对您进行各种内部服务的身份验证。 在许多公司,登录电子邮件通常还可以让您访问其他服务,例如 Zoom、GitHub 或您经常使用的其他系统。
- 为自动化软件工具发行“承载访问令牌”, 基于开发人员、测试人员和工程人员偶尔进行的 2FA 身份验证。 如果您有一个自动化的构建和测试脚本,需要在过程的不同点访问各种服务器和数据库,您不希望脚本不断中断以等待您输入另一个 2FA 代码。
我们没有看到任何证据……
该公司最初在 2022 年 XNUMX 月表示,我们怀疑 LastPass 现在后悔了,我们充满信心:
我们没有看到任何证据表明此事件涉及对客户数据或加密密码库的任何访问。
当然,“我们没有看到任何证据”并不是一个非常有力的声明(尤其是因为顽固的公司可以通过故意不首先寻找证据,或者让其他人收集证据然后故意拒绝查看),尽管这通常是任何公司在数据泄露后立即可以如实说出的所有内容。
然而,LastPass 确实进行了调查,并认为能够在 2022 年 XNUMX 月之前做出明确的声明:
尽管威胁行为者能够访问开发环境,但我们的系统设计和控制阻止了威胁行为者访问任何客户数据或加密密码库。
可悲的是,这种说法有点过于大胆了。
导致攻击的攻击
LastPass 确实很早就承认骗子“获取了部分源代码和一些专有的 LastPass 技术信息”......
......现在看来,其中一些被盗的“技术信息”足以促成 2022 年 XNUMX 月披露的后续攻击:
我们已经确定,未经授权的一方使用在 2022 年 XNUMX 月事件中获得的信息,能够访问我们客户信息的某些元素。
为公平起见,LastPass 并未重复其最初的声明,即没有密码库被盗,仅提及“客户信息”被盗。
但在之前的违规通知中,该公司曾仔细谈论过 客户数据 (这让我们大多数人想到地址、电话号码、支付卡详细信息等信息)和 加密密码库 作为两个不同的类别。
然而,这一次,“客户信息”包括上述意义上的客户数据和密码数据库。
LastPass 承认:
攻击者从备份中复制了包含基本客户帐户信息和相关元数据的信息,包括公司名称、最终用户名称、账单地址、电子邮件地址、电话号码以及客户访问 LastPass 服务的 IP 地址。
粗略地说,骗子现在知道你是谁,住在哪里,互联网上的哪些电脑是你的,以及如何通过电子方式联系你。
录取继续:
威胁行为者还能够复制客户保险库数据的备份。
所以,骗子毕竟窃取了那些密码库。
有趣的是,LastPass 现在也承认它所描述的“密码库”实际上并不是乱码的 BLOB(一个有趣的行话,意思是 二进制大对象) 仅且完全由加密的数据组成,因此无法理解。
这些“保险库”包括未加密的数据,显然包括与每个加密的用户名和密码相关的网站的 URL。
因此,由于上面提到的泄露的账单和 IP 地址数据,骗子现在不仅知道您和您的计算机住在哪里,而且还拥有您上网时去向的详细地图:
[C] 客户保险库数据 […] 以专有的二进制格式存储,其中包含未加密的数据(例如网站 URL)以及完全加密的敏感字段(例如网站用户名和密码、安全注释和填写表格的数据) .
LastPass 没有提供有关存储在这些“保险库”文件中的未加密数据的任何其他详细信息,但“例如网站 URL”一词肯定暗示 URL 并不是骗子获得的唯一信息。
好消息
LastPass 继续坚称,好消息是您在保险库文件中备份密码的安全性应该与您在上传之前在自己的计算机上加密的任何其他云备份的安全性没有什么不同。
据 LastPass 称,它为您备份的秘密数据永远不会以未加密的形式存在于 LastPass 自己的服务器上,并且 LastPass 永远不会存储或查看您的主密码。
因此,LastPass 表示,您的备份密码数据始终以加密形式上传、存储、访问和下载,因此骗子仍然需要破解您的主密码,即使他们现在拥有您的加密密码数据。
据我们所知,近年来添加到 LastPass 中的密码使用了接近我们的 salt-hash-and-stretch 存储系统 自己的建议,使用带有随机盐的 PBKDF2 算法,SHA-256 作为内部哈希系统,以及 100,100 次迭代。
LastPass 在其 2022 年 2002 月的更新中没有或不能说,自 XNUMX 年 XNUMX 月对其开发系统进行第一次攻击后,第二波骗子进入其云服务器需要多长时间。
但是,即使我们假设第二次攻击紧随其后,但直到后来才被发现,犯罪分子最多有四个月的时间来尝试破解任何被盗金库的主密码。
因此可以合理地推断,只有那些故意选择易于猜测或早期破解密码的用户才会面临风险,并且自泄露公告以来不厌其烦地更改密码的任何人几乎肯定会领先于其他人。骗子。
不要忘记,仅靠长度不足以确保一个合适的密码。 事实上,轶事证据表明 123456, 12345678 和 123456789 这些天都比 1234,可能是因为今天的登录屏幕施加了长度限制。 请记住,密码破解工具不仅仅从 AAAA 然后像字母数字里程表一样继续 ZZZZ...ZZZZ. 他们尝试根据选择密码的可能性对密码进行排名,因此您应该假设他们会“猜测”长但对人友好的密码,例如 BlueJays28RedSox5! (18 个字符)在他们到达之前很久 MAdv3aUQlHxL (12 个字符),甚至 ISM/RMXR3 (9 个字符)。
怎么办呢?
早在 2022 年 XNUMX 月,我们 说这: “如果您想更改部分或全部密码,我们不会说服您。 [...但是] 我们认为您不需要更改密码。 (就其价值而言,LastPass 也没有。)”
这是基于 LastPass 的断言,不仅备份的密码保险库是用只有你知道的密码加密的,而且这些密码保险库无论如何都不会被访问。
鉴于 LastPass 的故事基于其自那时以来发现的内容而发生变化,我们现在建议您这样做 在合理的情况下更改您的密码.
请注意,您需要更改存储在保管库中的密码,以及保管库本身的主密码。
这样一来,即使骗子将来确实破解了您的旧主密码,他们将发现的密码数据存储也将变得陈旧,因此毫无用处——就像一个隐藏的海盗的箱子里装满了不再是法定货币的钞票。
当你在做这件事的时候,为什么不借此机会确保你 同时改进列表中的任何弱密码或重复使用的密码,因为你无论如何都要改变它们。
还有一件事...
哦,还有一件事:吸引各地的 X-Ops 团队、IT 人员、系统管理员和技术作家。
当你想说你已经更改了你的密码,或者建议其他人更改他们的密码时,你能不能停止使用误导性的词 轮流,并简单地使用更清晰的词 更改 代替?
不要谈论“轮换凭据”或“密码轮换”,因为这个词 轮流,特别是在计算机科学中,意味着一个最终涉及重复的结构化过程。
例如,在一个有轮值主席的委员会中,每个人都可以按照预定的周期主持会议,例如 Alice、Bob、Cracker、Dongle、Mallory、Susan……然后是 Alice。
在机器代码中, ROTATE 指令显式循环寄存器中的位。
如果你 ROL or ROR (表示 向左走 or 向右走 在 Intel 符号中)足够多次,这些位将返回到它们的原始值。
当您开始更改密码时,这根本不是您想要的!
如果我的密码管理器被黑了怎么办?
无论您是否是 LastPass 用户,这里都有 我们制作的视频 如果您或您的密码管理器遭到黑客攻击,将提供一些有关如何降低灾难风险的提示。 (播放时单击齿轮可打开字幕或加快播放速度)。
为什么“旋转”不是“改变”的好同义词
这是 ROTATE (更确切地说, ROL) 在 64 位 Windows 上的现实生活中的指令。
如果你汇编并运行下面的代码(我们使用了来自 工具)...
…然后你应该得到下面的输出:
循环 0 位 = C001D00DC0DEF11E 循环 4 位 = 001D00DC0DEF11EC 循环 8 位 = 01D00DC0DEF11EC0 循环 12 位 = 1D00DC0DEF11EC00 循环 16 位 = D00DC0DEF11EC001 循环 20 位 = 00DC 0DEF11EC001D 循环 24 位 = 0DC0DEF11EC001D0 循环 28 位 = DC0DEF11EC001D00 循环32 位 = C0DEF11EC001D00D 循环 36 位 = 0DEF11EC001D00DC 循环 40 位 = DEF11EC001D00DC0 循环 44 位 = EF11EC001D00DC0D 循环 48 位 = F11EC001D00DC0DE 循环 52 位 = 11EC001 00D0DC56DEF 循环 1 位 = 001EC00D0DC1DEF60 循环 001 位 = EC00D0DC11DEF64 循环 001 位= C00D0DC11DEFXNUMXE
您可以通过更改来更改旋转方向和数量 ROL 至 ROR, 并调整数量 4 在那条线上和下一条线上。
![S3 Ep124:当所谓的安全应用程序变得流氓时 [音频 + 文本]](https://platoblockchain.com/wp-content/uploads/2023/03/s3-ep124-when-so-called-security-apps-go-rogue-audio-text-300x157.png "S3 Ep124:当所谓的安全应用程序变得流氓时 [音频 + 文本]")
![S3 Ep92:Log4Shell4Ever、旅行小贴士和骗局 [音频 + 文本] PlatoBlockchain 数据智能。 垂直搜索。 哎。](https://platoblockchain.com/wp-content/uploads/2022/07/ns-s3-ep92-1200-300x156.jpg "S3 Ep92:Log4Shell4Ever、旅行小贴士和骗局 [音频 + 文字]")