Όποιος θέλει σπάει master password του LastPass με $100, σύμφωνα με το 1Password

Το LastPass δέχθηκε επίθεση στα συστήματα του, τον Αύγουστο, και του πήρε λίγο χρόνο να εξηγήσει τι και πώς στους χρήστες και το κοινό γενικότερα. Εν τέλει, η εταιρεία είπε ότι παρόλο που χρειάζονται εκατομμύρια χρόνια για να σπάσει κάποιος ένα κλειδί κρυπτογράφησης το οποίο προστατεύει όσα υποκλάπηκαν, καλό θα είναι όλοι να αλλάξουν το master password που χρησιμοποιούν και να ορίσουν ένα νέο, που θα το έχουν μόνο για τον διαχειριστή κωδικών. Φαίνεται ότι το 1Password διαφωνεί με όσα λέει το LastPass.

Σύμφωνα με την ανταγωνιστική εταιρεία, και συγκεκριμένα τον κύριο αρχιτέκτονα ασφαλείας Jeffrey Goldberg, η LastPass υπερέβαλε σε όσα είπε και σημείωσε ότι αν κάποιος θέλει να σπάσει το master password ενός τυπικού πελάτη της LastPass μπορεί να το κάνει πληρώνοντας μόλις 100 δολάρια. Τόνισε ότι τα περισσότερα master password δεν είναι τυχαία και οι κράκερ το γνωρίζουν πολύ καλά αυτό. Μάλιστα ανέφερε ως παράδειγμα ότι τα συστήματα cracking θα δοκιμάσουν πρώτα κάτι σαν το “Fido8my2Sox!” και το “2b||!2b.titq” και μετά το “zm-@MvY7MvY7MvY7*7eL” που είναι ένας κωδικός των οποίο δημιουργεί μία μηχανή.

Όπως αναφέρει ο Jeffrey Goldberg, οι άνθρωποι δημιουργούν password που μπορούν να σπάσουν, ακόμα και αν πληρούν πολλαπλά κριτήρια ασφαλείας σχετικά με τη δημιουργία κωδικών. Οπότε, αν ένας άνθρωπος δημιουργήσει ένα password με 12 χαρακτήρες, δεν έχει σημασία αν υπάρχουν 272 πιθανοί συνδυασμοί, αυτό που μετράει είναι αν θα βρίσκεται ανάμεσα στα λίγα δισεκατομμύρια που δοκιμάζουν πρώτα οι επιτιθέμενοι. Αυτό σημαίνει ότι τα περισσότερα password μπορούν να σπάσουν μέσα σε λιγότερο από 10 δισ. δοκιμές που οικονομικά μεταφράζεται στα ~100 δολάρια.

Ο Jeffrey Goldberg λέει ότι το πρόβλημα με το LastPass είναι πως το master password αποτελεί το μόνο πράγμα που χρειάζεται κάποιος για να αποκτήσει πρόσβαση στα δεδομένα που έχει αποθηκεύσει ο χρήστης. Αυτό δεν ισχύει με το 1Password, το οποίο συνδυάζει το master password του χρήστη με ένα επιπλέον κλειδί που προέρχεται από μηχανή και αν κάποιος δεν συνδυάσει αυτά τα δύο δεν μπορεί να έχει πρόσβαση στο περιεχόμενο του χρήστη. Τέλος, τα κλειδιά αυτά δημιουργούνται στη συσκευή του χρήστη και δεν βγαίνουν εκτός αυτής, οπότε δεν μπορούν να διαρρεύσουν, εκτός και αν κάποιος αποκτήσει φυσική ή απομακρυσμένη πρόσβαση στη συσκευή.

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.