Менеджер проектов ТМ
0,0
рейтинг
5 мая 2011 в 20:55

Разработка → Возможно, был взломан LastPass перевод

image

В LastPass, мультиплатформенном онлайн-менеджере паролей, был зафиксирован аномальный сетевой трафик, возможно, это стало следствием хакерской атаки. Так что, лучше бы пользователям сервиса сменить свои пароли.

LastPass, позиционирующий себя как «единственный пароль, который Вам нужно запомнить», является расширением для всех популярных браузеров. Он автоматически заполняет формы сохранёнными ранее данными и одним нажатием кнопки синхронизирует личные данные на разных компьютерах, которые Вы используете.

В блоге компании говорится, что аномальный трафик был зафиксирован на некритическом сервере. Сотрудники исследовали эту аномалию, но так и не смогли установить её причину. Затем был замечен поток исходящего трафика от одной из закрытых баз данных. «Так как мы не можем объяснить причину произошедшего, можете считать нас параноиками, но мы предполагаем худшее — к данным, хранящимся в этой базе, кто-то сумел получить доступ»

Известно, что объём похищенных данных был достаточно велик, и вполне может содержать и e-mail адреса клиентов, и хэшированные пароли. Вместе с тем сообщается, что этот объём был не настолько большим, чтобы повредить всем пользователям, пострадала лишь часть.

Команда LastPass настоятельно рекомендует сменить мастер-пароль. Кроме этого, они будут проводить верификацию путем проверки IP, или с помощью проверки подлинности почтового ящика.

Хотя масштабы потерь ещё неизвестны, для LastPass (названной одной из лучших программ 2009 по версии PCWorld) эта ситуация может стать возможностью проверить в деле свой новый механизм защиты: PBKDF2 (Password-Based Key Derivation Function), использующий SHA-256 на сервере с 256-битным шифрованием (100 000 циклов).

На фоне последних событий, связанных с кражей личных данных (самый видный пример — это Sony и примерно 77 миллионов пострадавших пользователей PlayStation Network), это даже хорошо, что LastPass подходит к делу с такой «параноидальностью».

UPD, спасибо alesot

Сейчас сервис испытывает чрезвычайные нагрузки, поэтому мы намеренно подключаем Вас в оффлайн режиме.

Update 2, 2:15pm EST:

Рекордный уровень трафика плюс огромное количество людей, пытающихся сменить свой пароль, превысили нашу скорость обработки запросов.

Мы меняем тактику — если Вы уже успели сменить пароль, Ваш запрос будет обработан в обычном режиме.

Если Вы еще не сменили пароль, Ваш запрос будет обработан в оффлайновом режиме, таким образом, Вы все еще можете использовать LastPass как обычно. Пострадает только синхронизация паролей + Вы будете видеть предупреждающую панель.

Как только нагрузка уменьшится, мы увеличим посылаемый в обработку процент заявок на изменение пароля/проверку e-mail.

Для тех, у кого возникли какие-либо проблемы — напишите нам на support@lastpass.com
Мы видели несколько сообщений о неудачных изменениях паролей, мы думаем, что это происходит из-за загрузки старой версии.

Нажмите на иконку LastPass-> Clear Local Cache и попробуйте ещё раз, должно сработать.
Перевод: Brennon Slattery, PCWorld
Алексей @Sterhel
карма
96,0
рейтинг 0,0
Менеджер проектов ТМ
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (106)

  • +2
    PS Если перевод части про механизм защиты покажется странным, вот оригинал
    PBKDF2 (Password-Based Key Derivation Function) using SHA-256 on the server with a 256-bit salt utilizing 100,000 rounds.
    Не уверен, что в полной мере владею терминологией, так что, если поправите — внесу в пост.
    • +2
      C 256 битами соли и 100 000 раундов.
      • +4
        Блин, я так и знал.
        • 0
          Ну так внесите в пост?
  • НЛО прилетело и опубликовало эту надпись здесь
    • +2
      Видимо, решили перестраховаться. На всякий случай.
      • 0
        LassPass владеет сервисом xmarks, может и пароли хранящиеся в xmarks тоже скомпрометированы.
        • 0
          Черт, LastPass не юзаю, а вот XMarks…

          Я попал =)
    • 0
      Но всё же возможно.
  • +4
    Сегодня он мне постоянно выдает красное сообщение «При попытке связаться с сервером произошла ошибка. Пожалуйста, проверьте ваше интернет подключение» Обычно это появляется если связи нет, но я залогинен, а ошибка все равно периодически появляется. Перелогивание не помогает, надоело уже, отключил LP. У кого-то еще есть такое?
    • 0
      Что-то похожее + редирект на страницу с резетом пароля. Сменил пароль и всё ок.
      В принципе, бояться нечего, если был адекватный пароль.
      • +3
        Решил сменить пароль, у меня не получается залогиниться на сайте в хранилище! Пароль точно подходить должен, страница восстановления пароля не грузиться, ОМГ
        • +3
          Может, у них перебои из-за большого количества желающих сменить пароль, не паникуйте.
          • +2
            все пишут что без проблем сменили пароль, а я десятки раз пробовал это сделать и не выходит, думаю дело в чем-то другом.
            • 0
              Надеюсь, что это всё же техническая проблема, которую они решат, и у Вас все будет ОК.
          • 0
            Такая же беда =(
        • +1
          Такая же проблема. Ждём.
        • 0
          При входе в хранилище раньше была надпись об ошибке что не правильный пароль или логин, теперь пишет «Произошла ошибка при обращении к серверу LastPass. Пожалуйста, повторите попытку позже.»
          Видимо поправили описание, теперь более корректно написано.
    • 0
      В апдейте к посту в официальном блоге указано временное решение проблемы. Вы можете использовать LastPass в offline режиме (для этого советуют отсоединить кабель интернета во время логина) или использовать LastPass Pocket
  • +12
    да нормально, это гуглбот был
    • +32
      Проиндексировал таблицу с паролями?
      • НЛО прилетело и опубликовало эту надпись здесь
        • +1
          С нетерпением ждем продолжения истории.
          • НЛО прилетело и опубликовало эту надпись здесь
            • +1
              cool story bro :D
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    С утра он зачем-то заставил меня поменять мастер-пароль. Теперь понятно почему.
  • –5
    Пароль? А может пора менять все пароли в хранилище? Это же ппц… Я паникую.
    Использую его год. Сотни паролей криптостойких — только через него. удобство, кроссплатформенность… что делать?
    • 0
      использовать KeePass (+ криптостойкий пароль) + DropBox, ну и для особо параноидальных людей завернуть KeePass в шифроконтейнер
      • 0
        KeePass уже является криптоконтейнером. Хотя глубина матрешки ограничена действительно лишь степенью паранойи :/
  • +1
    У них что-то происходит. Ласт пасс не может соединиться… и переодически выдает ошибку.
    Где мастер пароль кстати сменить, друзья? lastpass.com/index.php?ac=1 тут не входит по данным реквизитам((((
    • 0
      За что минусуем господа? :)
      На данный момент плагин к хрому выдает
      «При попытке связаться с сервером произошла ошибка. Пожалуйста, проверьте ваше интернет подключение.».
      Я параноик.
      • НЛО прилетело и опубликовало эту надпись здесь
        • НЛО прилетело и опубликовало эту надпись здесь
          • 0
            Да. невнимателен :( ( по поводу способов шифрования внутри базы ).
            спасибо :)
            • НЛО прилетело и опубликовало эту надпись здесь
              • +3
                Настоящие параноики нигде не хранят пароли. Кроме своей головы.
                • 0
                  Покажите мне человека, который сможет запомнить хотя бы 40 пар логин: пароль вида
                  loginname:!&OB7k6$CBGq0oQi!9V6
                • +1
                  Настоящие параноики хранят пароли в зашифрованном виде даже в голове.
  • –1
    Находятся идиоты которые хранят пароли в онлайн-менеджере паролей?
    • –5
      Я думал комментарий подобный Вашему будет первый, ан нет, маразм крепчает и среди пользователей хабра.
      • –3
        Я тоже не доверяю онлайн хранилищам. Храню пароли в 1пассворд и синхронизирую его с телефоном через вай-фай или шнур.
        • +18
          ай-яй-яй, через вай-фай то вы напрасно, прекращайте эту порочную практику, впредь только шнур!
          • +1
            А лучше — через волокно :)
            • +5
              лучше вручную вбивать наощупь в темной комнате
              • 0
                С выключенным монитором. Чтобы враг не подсмотрел (:
              • 0
                На клавиатуре Оптимус Максимус со случайно перепутанными буквами
          • НЛО прилетело и опубликовало эту надпись здесь
    • –4
      конечно! наплевать на безопасность! зато это очень удобно и вебдванольно! а если контора вдруг просрёт данные — не страшно, восстановим все пароли и зарегаемся в новом стартапе!
    • +8
      А что такого? Хотя я, конечно, не в ЛастПасс'е храню, а в обычной синхронизации от Хрома.
    • 0
      некритичные — конечно. а по-вашему лучше иметь один-два пароля на все сайты «зато его никто не знает»? (кроме этих всех сайтов). Гораздо больше вероятность что ломанут один из тех трекеров на котором ты вчера зарегался скачать… хм пособие по анатомии. И если пароль на himari@gmail.com окажется вдруг таким-же…

      А хранить в голове десятки паролей мало кто в состоянии. А так все просто. Траф по https. Пароли хешированы мастер-паролем. В голове хранятся пароли к основным e-mail аккаунтоам да мастер-пароль.
      • 0
        p.s. ну и сразу хочу заметить что ни полька-бабочка с менеджером паролей, который надо синкать туда-сюда эври дэй после еды и молиться, чтобы не потерять ту самую флешку/телефон, которую я в прошлый раз нешёл через полтора года (кот сука) и наконец достал свои 300 баксов с еголда, ни листочек в комоде, который лежал прямо вот тут, то есть как ты наводила порядок и думала он был ненужный — все такие варианты идут лесом
        • +3
          KeepAss (пароль+keyfile) + Dropbox. Не теряется, всегда синхронизирован.
          Если дропбокс сломают — база keepass бесполезна без keyfile и пароля.
          • +2
            Во-первых интерфейс этой программы оставляет желать лучшего и сильно отличается между МакОсью (дома) и Виндой (на работе).
            Во-вторых — где держать keyfile? Снова флешка? Или снова валяется под диску? Сильно много компонентов.

            Хешированые данные ластпасса тоже бесполезны без мастер-пароля. Так что по-сути получается то же самое, только без унылого кейфайла и надежно интегрировано в браузер.
            • 0
              Ну, весёлость или унылость интерфейса — как фломастеры: дело вкуса.

              Что касается key-файла, он один раз копируется на каждый комьютер (флешкой, да), и про него можно забыть. Keepass запоминает путь к базе и key-файлу, так что ручками вводить нужно только пароль.

              Как бы то ни было, онлайновые и офлайновые менеджеры паролей имеют ряд концептуальных различий. (Сравнение на примере lastpass и keepass, но многие пункты применимы и к другим подобным программам).

              Keepass может заполнять login/password не только в браузере, но и в других программах (например, FTP клиентах).

              Keepass не просит денег за отсутствие рекламы и доступ с мобильника (LastPass — $1/месяц).

              Далее, смотрим в LastPass' terms of service:

              LastPass has the right [...] to terminate or deny access to and use of the Website to any individual or entity for any reason, in LastPass' sole discretion.
              LastPass may terminate your access to all or any part of the Website at any time, with or without cause, with or without notice, effective immediately.
              Keepass не оставит вас безо всех паролей просто потому что кому-то так захотелось.

              LastPass Standard (free edition) is intended for personal, non-commercial use only.
              Keepass бесплатен для любого использования.

              Наконец, самое главное: Keepass никогда не скажет вам «Sorry! We are a bit overloaded right now. Try again in a few hours.»
              • 0
                Хранить key-файл на всех машинах, а не в криптоконтейнере — это конечно молодцом. Получилась такая классическая псевдобезопасность.

                Складывается впечатления что к сожалению непользовались этим сервисом, lastpass хранит криптоконтейнер с паролями в облаке и локально у вас.

                Его так же можно с чуть меньшим функционалом использовать для локальных приложения. Lastpass сделан для web-паролей в отличии от keepassx (который проигрывает в это, но лучше смотрится для локальных приложений)

                Keepassx — это GPL, что есть не бесплатно.

                Наконец, я заплатил 3$ хорошим по парням (посмотри как они классно отработали этот инцидент с низкой вероятностью взлома, даже ценой ухода клиентов) за мобильность на android и двухфакторную аунтентификацию с yubikey (его кстати и с keepassx можно использовать в режиме «статического пароля»), которая в отличии от вашего key-файла действтельно повышает безопасность.
    • +11
      Данные конкретные идиоты хранят в онлайне симметрично зашифрованные логинные данные.
      Все пароли расшифровываются только на стороне клиента, у сервера их нет.

      Поэтому прогорят только те, у кого пароль 12345.
      А таких там, наверное, не так уж и много.
  • +1
    В хранилище не подошел пароль. Пару часов назад нормально залогинился… Посмотрим что будет, единственный критически-важный пароль — от почты — храню в мозге.
    • 0
      Такая же беда. Не пускает даже на сайт, хотя в хроме пока авторизация не пропадает.
  • +3
    LastPass — единственный пароль, который вам нужно знать… чужой…
  • +31
    специально пошёл проверил: аномального исходящего трафика из ящика комода, где лежит листочек с паролями не зафиксировано.
    • +2
      И даже мастер-пароль от ящика комода сегодня никто не просил сменить?
      • 0
        у него закрытый ключ
  • +2
    Днем не было времени разбираться, а сейчас мне lastpass просто не дает залогиниться, сообщая что мыло/пасс не верные. По ссылке восстановить отдает ошибку. Приплыле)
    • +1
      Попробуйте свой однократный пароль. Меня пустило.
      • 0
        Да вот не уверен, что они где-то сохранились
    • +1
      Меняйте пароли на всех сервисах, где использовались хранимые в ластпассе пароли :)
      • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Достаточно смены мастер пароля.
        • 0
          в том-то и дело, что люди не могут залогиниться на сайт, дабы его сменить.
          • 0
            Логин проходит… а вот при попытке настроек —

            Sorry! We are a bit overloaded right now. Try again in a few hours.
  • 0
    blog.lastpass.com/2011/05/lastpass-security-notification.html
    UPDATE 1: We're overloaded handling support and the sheer load of password changes is slowing us down. We've implemented a way for you to verify your email and then not be immediately forced to change your password for that IP, access from any other IP would bring you back to email verification. You can now wait a few days if you know you'll be on the same IP without loss of security, and due to this overloading we think that's prudent to wait.

    We're asking if you're not being asked to change your password then hold off — we're protecting everyone.

    You can access your data via LastPass in offline mode (pull the cable out of the wall then login) or by downloading LastPass Pocket: lastpass.com/misc_download.php (choose your OS)

    Залогиниться в хранилище на сате тоже не дает, хотя в браузере еще утром зашел. Теперь вот боюсь выходить :)
  • 0
    вот блин… ведь и блокнот специальный завел, но решил, блин, чтоб удобно было вопсользоваться достижениями народного хозяйства…

    несколько десятков сайтов, 12 страниц блокнота… вечер удался короче :(
    • +2
      а что такие причитания. уже что-то потерялось?
  • +1
    У меня не открылась страница с восстановлением пароля. Однако докопался вот до этого:
    lastpass.com/recover.php
    Может, кому-то полезно будет…
    • 0
      был я там, вот что по итогу получается
  • +1
    На сайте не залогиниться, правда расширение для хрома работает. Ну ничего страшного, починят, а своруют пароли и хрен бы с ними, надеюсь никто не хранит у них ничего важного? :)
    • +2
      А вы остряк. Нет, конечно не храню ничего важного. Так, пишу в секурных заметках личные приветные блогпосты только для себя, и все.
    • 0
      ну, разве что данные банковских карт… ммм
      • 0
        :) не оригинальная шутка, хотя уверен такие и есть и не мало
  • 0
    Сейчас:

    We are experiecing extremely high load. We're intentionally logging you in using offline mode.

    Подозреваю, что эта фраза как-то объясняет невозможность войти и поменять мастер-пароль :)

    В пост.
    • 0
      В частности, некоторых чересчур панически настроенных пользователей они утешают.

  • 0
    LaatPass в нокауте, но chromeplus авторизуется с разных апи. мазилла, опера и сафарик нет(
    говорила мне мама, ой говорила)
  • 0
    Update 2, 2:15pm EST:

    Рекордный уровень трафика плюс огромное количество людей, пытающихся сменить свой пароль, превысили нашу скорость обработки запросов.

    Мы меняем тактику — если Вы уже успели сменить пароль, Ваш запрос будет обработан в обычном режиме.

    Если Вы еще не сменили пароль, Ваш запрос будет обработан в оффлайновом режиме, таким образом, Вы все еще можете использовать LastPass как обычно. Пострадает только синхронизация паролей + Вы будете видеть предупреждающую панель.

    Как только нагрузка уменьшится, мы увеличим посылаемый в обработку процент заявок на изменение пароля/проверку e-mail.

    Для тех, у кого возникли какие-либо проблемы — напишите нам на support@lastpass.com
    Мы видели несколько сообщений о неудачных изменениях паролей, мы думаем, что это происходит из-за загрузки старой версии.

    Нажмите на иконку LastPass-> Clear Local Cache и попробуйте ещё раз, должно сработать.
  • +1
    В общем, мастер-пароль 20 символьный, keepass говорит, что 119 бит. Сейчас уж что-то менять и смысла нет же.
  • +1
    Не думаю что мой 50-и символьный мастер пароль будет подобран. У ластпасса все зашифровано. Даже если зашифрованные данные утекли пусть попробую подобрать мастер пароль ).
  • 0
    У ластпасса есть ещё замечательная функция — бэкап. Регулярно бакаплю базу паролей на шифрованный диск, на случай вот такого вот песца, когда ластпасс в дауне.
  • 0
    Попросил сменить пароль, что я и сделал. Система написала, что всё ок
    После этого залогинится ни с новым ни со старым, Я уже не смог, страничка восстановления пароля не работает. Особой паники нет, но бекапа Я точно не сделал, а значит если после окончания атаки восстановить доступ не выйдет, придется вручную менять пароли к минимум полусотне сайтов, а это не есть очень хорошо.
    Удачно, что рабочий фаерфокс не перевел на Lastpass, там пока царит FyrefoxSync с 50-символьным ключом шифрования и FEBE 7.0b в качестве оперативного переноса всех настроек с одного ПК на другой.
  • –5
    1Password > LastPassword ^_^
  • 0
    А еще с ростом вычислительных мощностей пароли будут подбираться в облаке очень быстро…

    Вспомнилось даже хранение пароля на бумажке… Основного пароля, производными от которого пользовался на разных сайтах…
  • +1
    Вот статья в помощь тому, кто решит что надо менять все пароли, которые хранились в ластпассе http://www.ghacks.net/2011/05/05/the-lastpass-security-incident-what-i-did/

    Статья на английском, но с картинками :)
  • –1
    Настройка -> Инструменты -> Расширения -> LastPass -> Удалить :)
  • 0
    Ну отлично. У меня даже в оффлайн режиме не входит.
    Я ж на все нужные мне сайты паролей не знаю. Сюда зашел только по куке )
    • 0
      Ахренеть… восстановил аккаунт.
      image
      Внутри нет ни паролей, ни логинов…
      • +2
        У меня так ночью было.
        Там где то еще сообщение высвечивалось о том что приносим свои извинения но у нас перезагрузка, или что то вроде того.
        Сейчас все нормально.
        Видимо восстанавливают сервера потихоньку.
  • +9
    Надо их переименовать в LostPass
  • +3
    Спасибо за PR сервиса. Пойду зарегистрируюсь. А то KeePass неудобно на чужих компах и мобильных устройствах юзать (даже с Dropbox).

    А то, что их могли взломать — нестрашно, ведь все данные в БД зашифрованы мастер-паролем, который есть только у вас :)
  • 0
    А если выбирать офлайновые альтернативы, то что можно использовать под Оперу? Это первый вопрос.
    Второй — что кто знает об www.stickypassword.com/?
    • 0
      Топик почитайте с самого начала, под Windows: KeePass + Dropbox.
      Сам пользуюсь KeePass и LastPass одновременно. LastPass альтернатив нет, как приложение под Opera точно.
      • 0
        Опера мне нужна однозначно. Под нее KeePas экстеншена не имеет. Поэтому он отметается. Мне именно хотелось что-то локальное, но с поддержкой Оперы. Ибо для платежных данных я использую passwordsafe.sourceforge.net/ И очень им доволен.
        • 0
          C поддержкой Opera вы ничего не найдете, я был подписан по RSS на все новые приложения для Opera, ничего подобного там не увидел.
    • 0
      KeePassX по идее умеет интеграцию с любым браузером. Правда только под линь
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    А кто-нибудь может что-то сказать о paranotic.com
    Вроде как просто и удобно. И по-моему они были платные (когда я около полугода назад тестил триал версию)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.