تم اختراق LastPass: إليك ما عليك القيام به

صانع تخزين كلمة المرور أعلن لاست باس أسوأ خبر محتمل لشركة في أعمالها يوم الإثنين: تم اختراق قاعدة بيانات كلمة المرور الخاصة به وسرقة معلومات حساب المستخدم. لأن LastPass يسمح بالتخزين والمزامنة المركزيين لمخزن البيانات - "قبو" كلمات المرور والمعلومات الأخرى تستخدمه مع تطبيقه وموقعه على الويب - يبدو أن شخصًا ما قادرًا على اكتشاف كلمة مرورك الرئيسية يمكنه الوصول إلى كل ما لديك أسرار.

لحسن الحظ ، يبدو أن LastPass قد استخدم طبقات أمان كافية بالطريقة الصحيحة بحيث حتى مقياس الفشل هذا لا يجب أن ينتعش عليك. دعنا نراجع المخاطر التي تتعرض لها إذا كنت من مستخدمي LastPass ، وما هي الخطوات التي يجب عليك اتخاذها لتقليلها.

ندور حول نفسنا

تم إعاقة برنامج تخزين كلمة المرور في وقت مبكر على أجهزة الكمبيوتر المكتبية والهواتف الذكية بسبب الطاقة الحاسوبية المنخفضة المتاحة ومشكلات التنفيذ. في تقرير عام 2012 ، وجدت شركة برمجيات الطب الشرعي الرقمي Elcomsoft عيوبًا في 17 تطبيقًا لإدارة كلمات المرور للهواتف الذكية ، بعضها شديد. (تم عكس بعض هذه المشاكل في إصدارات سطح المكتب أيضًا.) حفز هذا التقرير الإصلاحات والتطوير ، وأصبحت الشركات أكثر ذكاءً أو شمولاً. التي أثمرت في هذا الخرق.

يجب تخزين كلمات المرور بطريقة لا يمكن استعادتها بسهولة ، سواء في نظام التشغيل أو موقع الويب أو حماية تخزين بيانات التطبيق. يستخدم كل نوع من النظام الذي يستخدم كلمة مرور للمصادقة أو الوصول عملية أحادية الاتجاه - ما لم تكن الزي الذي يقوم بتشغيلها مهملاً.

من شبه المؤكد أن العديد من مواقع الويب لا تزال تستخدم طريقة بسيطة. يأخذون كلمة المرور الخاصة بك ، ويقومون بتشغيلها من خلال ما يسمى خوارزمية التجزئة التي تؤدي رياضيات مكثفة عمليات عليه ، وينتج نتيجة ("التجزئة") لا يمكن عكسها: معرفة التجزئة لا تكشف عن الأصل كلمه السر.

عندما تقوم بتسجيل الدخول ، لا يتم التحقق من كلمة المرور الخاصة بك مقابل كلمة المرور المخزنة. بدلاً من ذلك ، يقوم الموقع أو الخدمة بتشغيل كل ما قمت بإدخاله من خلال عملية التجزئة نفسها واختبار النتيجة مقابل المخزنة. إذا كان النص الذي أدخلته حديثًا عند تجزئة يتطابق مع النص المحسوب سابقًا ، فأنت شرعي.

وضع LastPass طبقات أمان كافية على قبو كلمة المرور الخاصة بك بحيث لا يمثل هذا الانتهاك نهاية العالم. (ولكن لا يزال يتعين عليك تغيير كلمة مرورك الرئيسية.)

عندما يسرق neerer-do-wells ملفات كلمات المرور ، لا يمكنهم الوصول إلى كلمات المرور على الفور. يحتاجون إلى إجراء عمليات تكسير ، والعمل في طريقهم من خلال كلمات المرور الشائعة (بناءً على العديد من السرقات العامة الكبيرة السابقة) وفي الكلمات والمجموعات الشائعة. البسكويت لا يمر بكل تركيبة ممكنة ؛ يختارون الأكثر احتمالاً أولاً. على سبيل المثال ، إذا طُلب منك إدخال كلمة ذات حالة مختلطة ورقم وعلامات ترقيم ، فمن المرجح أن يدخل الأشخاص التفاح 1! من ec7 * JH43 (ك; تتبع المفرقعات الآن هذه الأنواع من المسارات لجني المزيد من النتائج.

يمكن لجهاز كمبيوتر مكتبي مجهز جيدًا مزود ببطاقة رسوميات متطورة (أو عدة بطاقات) إجراء مليارات اختبارات كلمة المرور في الثانية - نعم في الثانية. تبني شركات مثل LastPass طبقات من الحماية لإبطائها.

أولاً ، يستخدم LastPass "ملح" ، وهو نص يتم دمجه مع كلمة مرور بحيث أنه عند تجزئته ، يكون لكل كلمات المرور المتطابقة لحسابات المستخدمين تجزئات مختلفة. "aa" + "Apple1!" يختلف تمامًا عند تجزئته حتى عن "aA" + "Apple1!".

ثانيًا ، تستخدم الشركة خوارزمية لا تجزئ مرة واحدة فقط ، بل عدة مرات. الإعداد الافتراضي لـ LastPass من جانب العميل - في تطبيق أصلي أو تطبيق ويب - هو 5000 طلقة.

ثالثًا ، عند تسجيل الدخول إلى LastPass على موقع الويب أو عبر عميل مزامنة ، كلمة المرور ما يزال لم يتم إرسالها. بدلاً من ذلك ، يتم إرسال كلمة المرور المجزأة محليًا في هذا النموذج إلى الخادم ، حيث يتم تشغيلها آخر 100000 طلقة.

هذا ليس للعرض فقط. التقدير الذي يمكن أن أتوصل إليه لكل ذلك التصدع المشترك مع حوالي 10000 دولار من وحدات المعالج الرسومية (GPUs) حوالي 30 كلمة مرور في الثانية بدلاً من المليارات. خبير آرس تكنيكا يعتقد أنه أقل: حوالي 10 كلمات مرور في الثانية.

الآن ، علينا أن نأخذ في الاعتبار حقيقة أن بعض تلميحات كلمة مرور بعض الأشخاص قد تسمح باستهداف حسابات معينة ("كلمة المرور هي اسمي الأول بالإضافة إلى واحد ") ، وهذا يمكن أن المفرقعات المحددة قد تحصل على أو اشترت (أو سرقت) 1000 مرة من قوة المنصة التي أستخدمها للخام تقدير.

لكن احتمالات فك التشفير الجماعي منخفضة جدًا ، وإذا كنت من مستخدمي LastPass ، فيمكنك جعلها أقل.

ما تستطيع فعله

يقول LastPass في إدخال مدونته ، "لم يتم اختراق خزائن المستخدم المشفرة." هذا أمر بالغ الأهمية حقيقة لأن تغيير كلمة المرور الرئيسية الخاصة بك سيجعل معلومات كلمة المرور المسروقة على الفور بدون فائدة. إذا كانت المفرقعات قد سرقت خزائن ، فستتمكن من تشغيلها إلى الأبد أو العودة إليها في المستقبل وتكسيرها بتكنولوجيا أكثر تقدمًا أو قوة. نظرًا لأن الأشخاص غالبًا لا يغيرون كلمات المرور لسنوات في كل مرة أو إلى الأبد ، فقد يكون ذلك لا يزال يمثل خطرًا.

لاست باس لساعة آبل

ينصح LastPass أيضًا بتغيير كلمة المرور الخاصة بك في أي حساب آخر تستخدم له كلمة المرور المتطابقة. نظرًا لسرقة عناوين البريد الإلكتروني وتلميحات كلمة المرور ، فإن المخبرين الذين يقومون باختراق حساب واحد سيحاولون حسابات الآخرين. ومع ذلك ، من غير المحتمل ، من الجيد إجراء هذه التغييرات. (أيضًا ، إذا كنت تستخدم LastPass أو برنامج مشابه ، يمكنك بسهولة تجنب استخدام نفس كلمة المرور مرتين أو أكثر.)

كما تظل ميزة المصادقة باستخدام العامل الثاني سارية المفعول. لا تسمح المعلومات المسروقة من LastPass للمفرقع الذي استعاد كلمة المرور الخاصة بك بالوصول دون الرمز المميز الذي تحتاج إلى إنشائه على جهاز أو في تطبيق يمكنك الوصول إليه. (من المحتمل أن يكون LastPass قد حافظ على أمان معلومات البذر المستخدمة للعوامل الثانية.)

عند تعيين كلمة مرور رئيسية جديدة ، يمكنك تجنب النصيحة السيئة غالبًا بشأن التحديد التي تنصح بشيء يصعب تذكره وكتابته. الفكرة هي أن الخروج بشيء قصير ومعقد أفضل من شيء طويل وبسيط. هذا غير صحيح.

تعد مجموعة من ثلاث كلمات أو أكثر غير معتادة معًا أكثر أمانًا من كلمة المرور المعقدة القصيرة التي اخترعتها بنفسك. نظرًا لأنه لا يمكنك تخزين كلمة المرور الرئيسية لـ LastPass في LastPass ، يجب أن تفكر في طريقة لتحقيق نتيجة لا تنسى. يقترح بعض الخبراء عبارات أو حالات اقتران غير متوقعة: كنت تركض في الغابة وتضغط على أصابع قدمك عندما ترى أن يونيكورن يصبح "يركض بطرس يونيكورن". سيستغرق الأمر ترتيبًا لفحص كلمة مرور quintillion للوصول إلى هذه النتيجة.

لم يكن LastPass محظوظًا فحسب. استعداداتهم أثمرت. أتطلع إلى معرفة المزيد حول كيفية اختراق أنظمتهم ، وآمل في تحقيق الشفافية ، أن تقدم الشركة المزيد من التفاصيل. لكن من الجميل أن نرى مرة واحدة أن أونصة الوقاية تساوي مليون طن من العلاج.

ملاحظة: عندما تشتري شيئًا بعد النقر على الروابط في مقالاتنا ، فقد نربح عمولة صغيرة. اقرأ سياسة الارتباط بالعمولة لمزيد من التفاصيل.
  • Aug 04, 2021
  • 68
  • 0
instagram story viewer