„Horse Gone Barn Bolted“ ist ein starkes Passwort – Krebs in Sicherheit

Passwortverwaltungsdienst LastPass Es zwingt nun einige seiner Benutzer dazu, längere Master-Passwörter zu wählen. Laut LastPass sind die Änderungen notwendig, um sicherzustellen, dass alle Kunden durch die neuesten Sicherheitsverbesserungen geschützt sind. Kritiker sagen jedoch, dass es sich bei dem Schritt kaum um mehr als einen PR-Stunt handelt, der den zahllosen Early Adopters, deren Passwort-Tresore beim LastPass-Hack im Jahr 2022 aufgedeckt wurden, nichts nützt.

LastPass teilte Kunden diese Woche mit, dass sie ihr Master-Passwort aktualisieren müssen, wenn es weniger als 12 Zeichen lang ist. LastPass führte diese Änderung offiziell im Jahr 2018 ein, eine nicht genannte Anzahl der früheren Kunden des Unternehmens wurde jedoch nie aufgefordert, die Länge ihrer Master-Passwörter zu verlängern.

Dies ist wichtig, da LastPass im November 2022 einen Verstoß aufgedeckt hat, bei dem Hacker Passwort-Tresore mit verschlüsselten und Klartextdaten von mehr als 25 Millionen Benutzern gestohlen haben.

Seitdem hat ein stetiger Strom von Kryptowährungsdiebstählen im sechsstelligen Bereich, die sich an sicherheitsbewusste Menschen in der gesamten Technologiebranche richteten, einige Sicherheitsexperten zu dem Schluss geführt, dass Betrüger wahrscheinlich einige der gestohlenen LastPass-Tresore erfolgreich geöffnet haben.

Letzten Monat interviewte KrebsOnSecurity ein Opfer, das kürzlich miterlebte, wie Kryptowährungen im Wert von über 3 Millionen US-Dollar von seinem Konto abgebucht wurden. Dieser Benutzer hat sich vor fast einem Jahrzehnt bei LastPass angemeldet, dort seine Kryptowährungs-Seed-Phrase gespeichert, jedoch nie sein Master-Passwort geändert – das nur acht Zeichen lang war. Er war nie gezwungen, sein Master-Passwort zu verbessern.

In dieser Geschichte wurden Forschungsergebnisse des Erfinders von Adblock Plus zitiert Wladimir BalantDarin hieß es, LastPass habe es versäumt, viele seiner älteren, ursprünglichen Clients auf sicherere Verschlüsselungsschutzmaßnahmen umzustellen, die neuen Clients im Laufe der Jahre angeboten wurden.

Ein weiterer wichtiger Standardwert in LastPass ist beispielsweise die Anzahl der „Vorkommen“ oder die Häufigkeit, mit der Ihr Master-Passwort die Verschlüsselungsverfahren des Unternehmens durchlaufen hat. Je höher die Anzahl der Wiederholungen, desto länger dauert es, bis ein Offline-Angreifer Ihr Master-Passwort knackt.

Für viele ältere LastPass-Benutzer lag der anfängliche Standardwert für Duplikate bei „1“ bis „500“, sagte Pallant. Bis 2013 erhielten neue LastPass-Kunden standardmäßig 5.000 Iterationen. Im Februar 2018 änderte LastPass den Standardwert auf 100100 Iterationen. Kürzlich wurde diese Zahl erneut auf 600.000 erhöht. Palant und andere, die von der LastPass-Verletzung im Jahr 2022 betroffen waren, sagen jedoch, dass die Sicherheitseinstellungen ihres Kontos nie erzwungen wurden.

Palant nannte diese neueste Aktion von LastPass einen PR-Gag.

„Sie haben diese Nachricht an alle gesendet, unabhängig davon, ob sie ein schwaches Master-Passwort hatten oder nicht – auf diese Weise konnten sie den Benutzern die Schuld für die Nichteinhaltung ihrer Richtlinien in die Schuhe schieben“, sagte Palant. „Aber ich habe mich gerade mit dem schwachen Passwort angemeldet und muss es nicht ändern. Es ist günstig, E-Mails zu versenden, aber auch hier wurden keine technischen Maßnahmen implementiert, um diese Richtlinienänderung durchzusetzen.

So oder so, sagte Palant, würden die Änderungen den Menschen, die von dem Verstoß im Jahr 2022 betroffen sind, nicht helfen.

„Diese Leute müssen alle ihre Passwörter ändern, was LastPass noch nicht empfiehlt“, sagte Palant. „Aber es wird bei bevorstehenden Verstößen etwas helfen.“

Karim Touba, CEO von LastPass Das Ändern der Länge des Master-Passworts (oder sogar des Master-Passworts selbst) sei nicht dazu gedacht, bereits gestohlene Tresore zu beheben, die offline sind, sagte er.

„Damit sollen die Online-Tresore der Kunden besser geschützt werden und sie dazu ermutigt werden, ihre Konten auf den LastPass-Standardstandard von 2018 mit mindestens 12 Zeichen zu bringen (kann aber deaktiviert werden)“, sagte Tuba in einer E-Mail-Erklärung. „Wir wissen, dass einige Kunden möglicherweise den Komfort der Sicherheit vorgezogen und weniger komplexe Master-Passwörter verwendet haben, obwohl sie dazu ermutigt wurden, unseren (oder anderen) Passwortgenerator zu verwenden, um dies anders zu tun.“

Eine der Hauptfunktionen von LastPass besteht darin, lange und komplexe Passwörter für jede Ihrer Websites oder Online-Dienste auszuwählen und zu speichern. Um von nun an automatisch die entsprechenden Anmeldeinformationen auf jeder Website einzugeben, authentifizieren Sie sich einfach bei LastPass mit Ihrem Master-Passwort.

LastPass hat immer behauptet, dass es schade sei, wenn Sie das Master-Passwort verlieren, weil es nicht gespeichert wird und die Verschlüsselung so stark ist, dass sie Ihnen nicht bei der Wiederherstellung helfen können.

Aber Experten sind der Meinung, dass alle Wetten hinfällig sind, wenn Cyber-Gauner an die verschlüsselten Tresordaten selbst gelangen können – anstatt über die Website von LastPass mit LastPass interagieren zu müssen. Diese sogenannten „Offline“-Angriffe ermöglichen es Kriminellen, unbegrenzt und uneingeschränkt zu versuchen, Passwörter für verschlüsselte Daten zu knacken, und zwar mithilfe leistungsstarker Computer, die Millionen von Passwort-Erraten pro Sekunde durchführen können.

Diagramm auf Palant-Blogbeitrag Es gibt Aufschluss darüber, wie die Häufigkeit von Passwörtern die Kosten und die Zeit, die Angreifer benötigen, um das Master-Passwort einer Person zu knacken, drastisch erhöhen kann. Eine einzelne leistungsstarke Grafikkarte würde etwa ein Jahr brauchen, um ein mäßig komplexes Passwort mit 500 Iterationen zu knacken, und etwa 10 Jahre, um dasselbe Passwort mit 5.000 Iterationen zu knacken, sagte Palant.

Bild: Palant Info

Diese Zahlen sinken jedoch drastisch, wenn der Angreifer auch über umfangreiche Rechenressourcen verfügt, beispielsweise über einen Bitcoin-Mining-Betrieb, der die Passwort-Knack-Aktivität auf mehreren leistungsstarken Systemen gleichzeitig koordinieren kann.

Das bedeutet, dass LastPass-Benutzer, deren Tresore nie auf höhere Versionen aktualisiert wurden und deren Master-Passwörter schwach waren (weniger als 12 Zeichen), wahrscheinlich ein Hauptziel für verteilte Angriffe zum Knacken von Passwörtern waren, seit LastPass-Benutzertresore Ende letzten Jahres gestohlen wurden.

Auf die Frage, warum einige LastPass-Benutzer hinter der alten Mindestsicherheit zurückgeblieben seien, antwortete Toba, dass ein „kleiner Prozentsatz“ der Kunden beschädigte Elemente in ihren Passwort-Tresoren habe, die verhinderten, dass diese Konten ordnungsgemäß auf die neuen Anforderungen und Einstellungen aktualisiert würden.

„Wir konnten feststellen, dass ein kleiner Prozentsatz der Kunden beschädigte Elemente in ihren Tresoren hatte, und als wir zuvor automatisierte Skripte verwendeten, um Tresore neu zu verschlüsseln, wenn das Master-Passwort oder die Wiederholungszahl geändert wurde, wurden diese Elemente nicht fertiggestellt.“ Sagte Tuba. „Diese Fehler waren im Rahmen dieser Bemühungen ursprünglich nicht erkennbar, und als wir sie entdeckten, haben wir daran gearbeitet, das Problem zu beheben und den Neuverschlüsselungsprozess abzuschließen.“

Nicholas Weaver„, ein Forscher an der University of California, Berkeley Internationales Institut für Informatik (ICSI) und Dozent an der University of California, Davis, sagte, LastPass habe vor Jahren einen großen Fehler begangen, indem es keine Upgrade-Anzahl von Iterationen für bestehende Benutzer durchgesetzt habe.

„Das heißt, den Benutzern die Schuld zu geben – ‚Sie hätten eine längere Passphrase verwenden sollen‘ – und nicht, dass sie schwache Standardeinstellungen haben, die für bestehende Benutzer nie aktualisiert wurden“, sagte Weaver. „Meiner Meinung nach ist LastPass einen Schritt weiter als Schlangenöl. Früher habe ich gesagt: ‚Wählen Sie einen beliebigen Passwort-Manager‘, aber jetzt bin ich eher der ‚Wählen Sie einen beliebigen Passwort-Manager außer LastPass‘.“

Auf die Frage, warum LastPass seinen Benutzern nicht empfiehlt, alle gesicherten Passwörter mit dem verschlüsselten Master-Passwort zu ändern, das letztes Jahr beim Hackerangriff auf das Unternehmen gestohlen wurde, antwortete Toba: „Die Daten zeigen, dass die Mehrheit unserer Kunden unseren Empfehlungen folgt (oder mehr). ), sodass die Wahrscheinlichkeit einer erfolgreichen Durchsetzung der Brute-Verschlüsselung entsprechend drastisch reduziert wird.

„Wir sagen unseren Kunden seit Dezember 2022, dass sie die empfohlenen Richtlinien befolgen sollen“, fuhr Toba fort. „Wenn sie den Anweisungen nicht folgen, empfehlen wir ihnen, ihre Passwörter zu ändern.“