Menadżery haseł to użyteczne narzędzia, które w teorii mają chronić użytkowników… co więc w przypadku, gdy jest zupełnie odwrotnie i okazuje się, że zgromadzone przez nie dane padły łupem hakerów? Tak właśnie stało się w przypadku LastPassa – kontrowersyjnego narzędzia, które aktualnie znalazło się pod lupą ekspertów ds. cyberbezpieczeństwa.

LastPass powstał w 2008 roku – i od tego czasu zdążył zaliczyć już całkiem sporo afer związanych z lukami bezpieczeństwa, nieautoryzowanym dostępem do danych swoich użytkowników i nie tylko. Pojedyncze incydenty miały miejsce w 2011, 2015, 2016, 2017, 2019 i 2021 roku, natomiast to 2022 okazał się dla firmy wyjątkowo nieszczęśliwy.

22 grudnia pojawiło się w sieci oświadczenie, z którego wynikało, że zabezpieczenia narzędzia zostały przełamane w sierpniu tego roku, co z kolei doprowadziło do kolejnego ataku hakerów w listopadzie. LastPass starał się przedstawić wynikające z tego zagrożenie jako niewielkie, ale eksperci mają zgoła inne zdanie.

Menedżer twierdzi, że zgromadzone w nim hasła użytkowników są bezpieczne, a oszuści uzyskali dostęp tylko m.in. do danych odnośnie do adresów IP, z których logowali się użytkownicy.

Marne to pocieszenie, biorąc pod uwagę, że, jak wskazuje Wladimir Palant (jeden z twórców AdBlocka), na tej podstawie można stworzyć dokładny profil przemieszczania się danej osoby (czyli np. ustalić jej miejsce zamieszkania).

Swoje pięć groszy dorzucił rywal LastPassa – 1Possword

LastPass uważa, że użytkownicy nie mają powodu do obaw, ponieważ ich hasła są zaszyfrowane, a nawet sama firma nie ma dostępu do tzw. “hasła głównego”, które służy do odblokowania danych. W praktyce wszystko tutaj jednak zależy od poziomu skomplikowania i unikalności rzeczonego hasła.

Menedżer wskazuje, że potrzeba byłoby miliona lat, aby “złamać” główne hasło, ponieważ ilość możliwych kombinacji jest niemal nieskończona. Przyjmuje tutaj jednak niebezpieczne założenie, że główne hasło było odpowiednio długim (12+ znaków), przypadkowym ciągiem znaków, najlepiej zawierającym małe i wielkie litery, cyfry i znaki specjalne.

Rzeczywistość jest jednak taka, że wielu użytkowników LastPassa na pewno miało znacznie prostsze, łatwiejsze do zapamiętania hasła główne, których złamanie zajmie oszustom znacznie krócej. I o ile można powiedzieć, że jest to częściowo wina samych użytkowników, to menadżer nie stara się szczególnie zmusić ich to rozsądniejszych zachowań.

Jak wskazuje Palant, mimo, że teoretycznie od lat LastPass wymaga właśnie co najmniej 12-znakowego hasła, to w praktyce starsze konta bez problemu mogą nadal używać haseł znacznie krótszych. Krytyki nie szczędził także główny architekt bezpieczeństwa menedżera haseł 1Password, rywala LastPassa.

W swoim poście zatytułowanym subtelnie “”Nie za milion lat: złamanie hasła LastPass może zająć znacznie mniej czasu”” Jeffrey Goldberg napisał:

Jeśli weźmiesz pod uwagę wszystkie możliwe 12-znakowe hasła, istnieje około 2 do potęgi 72 możliwości. Wypróbowanie ich wszystkich zajęłoby wiele milionów lat. W rzeczywistości zajęłoby to znacznie więcej czasu. Ale ludzie, którzy łamią hasła stworzone przez ludzi, nie robią tego w ten sposób.

Skonfigurowali swoje systemy, aby najpierw wypróbować najbardziej prawdopodobne hasła. Systemy crackingu wypróbują takie hasła, jak Fido8my2Sx! czy 2b||!2b.titq na długo przed tym, zanim wypróbują coś takiego jak wygenerowane przez maszynę zm-@MvY7*7eL.

Co jeszcze mają LastPassowi do zarzucenia eksperci (i to nie tylko ci stojący za konkurencyjnymi menadżerami haseł)? Chociażby naginanie prawdy przy zachwalaniu rzekomej przewagi wykorzystywanego szyfrowania.

Kontrowersje budzi także fakt, że o ile hasła faktycznie są szyfrowane, tak wiele innych danych firma przechowuje w zwykłych plikach tekstowych. Chociażby adresy URL, z którymi powiązane są hasła – niekiedy dla hakerów tego typu dane również mogą okazać się bardzo cenne.

Dajcie znać, co Wy o tym wszystkim sądzicie (i jaki menadżer haseł polecacie, jeśli korzystacie z tego typu rozwiązań)!



Administrator

Redaktor naczelna TechPolska od 2019 roku. W przerwach między nabijaniem kolejnych setek godzin w Genshin Impact recenzuje każdy kawałek elektroniki, który wpadnie jej w ręce.

Udostępnij

WARTO PRZECZYTAĆ:

Diablo 4 Wiemy, ile Blizzard zarobił na mikrotransakcjach w Diablo 4!
Co prawda Diablo 4 po premierze zostało przyjęte z raczej dosyć mieszanym odbiorem wśród graczy, nie przeszkodziło to w finansowym sukcesie gry. Zaraz po premierze
stray Zwolnienia w Annapurna – wydawcy Stray!
Zła passa zwolnień w branży gier niestety ciągle trwa. Nie tak dawno pisaliśmy o zwolnieniach w Humble Games, a teraz dołączyło do tego 25 pracowników
napęd do ps5 slim Napęd optyczny do PS5 z ogromnym wzrostem zainteresowania. Sprzedaje się lepiej niż konsole Xbox!
Wielu osobom wciąż towarzyszą emocje po wtorkowym ogłoszeniu PS5 Pro. To wydarzenie odbiło się szerokim echem, czego powodem jest brak wbudowanego napędu. Oprócz tego sprzęt

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *