Skip to content

लीक गरिएको पासवर्ड भल्टहरूको LastPass खुलासा सुरक्षा विशेषज्ञहरूद्वारा च्यातिएको छ


गत हप्ता, क्रिसमस भन्दा ठीक अघि, LastPass एक बमशेल घोषणा छोडियो: अगस्टमा उल्लङ्घनको नतिजाको रूपमा, जसले नोभेम्बरमा अर्को उल्लङ्घनको नेतृत्व गर्‍यो, ह्याकरहरूले प्रयोगकर्ताहरूको पासवर्ड भल्टहरूमा आफ्नो हात पाएका थिए। कम्पनीले तपाईंको लगइन जानकारी अझै सुरक्षित छ भनी जोड दिँदा, केही साइबर सुरक्षा विशेषज्ञहरूले भारी आलोचना गरिरहेका छन्। यसको पोस्टयसले मानिसहरूलाई वास्तवमा भन्दा बढी सुरक्षित महसुस गराउन सक्छ र पासवर्ड प्रबन्धकलाई विश्वास गर्न गाह्रो बनाउने घटनाहरूको शृङ्खलामा यो भर्खरको मात्र हो भनी औंल्याउँदै।

LastPass को डिसेम्बर 22 कथन “भुलपना, आधा-सत्य र स्पष्ट झूटले भरिएको थियो,” पढ्छ। Wladimir Palant बाट एक ब्लग पोस्ट, एक सुरक्षा अनुसन्धानकर्ता मूल रूपमा AdBlock Pro विकास गर्न मद्दतको लागि परिचित, अन्य चीजहरू बीच। उनका केही आलोचनाहरूले कम्पनीले घटनालाई कसरी फ्रेम गरेको छ र यो कत्तिको पारदर्शी छ भन्ने कुरामा जोड दिन्छ। उनले कम्पनीलाई चित्रण गर्न खोजेको आरोप लगाए अगस्त घटना जहाँ LastPass ले भन्छ “केही स्रोत कोड र प्राविधिक जानकारी चोरी भएको थियो” एक अलग उल्लङ्घनको रूपमा जब उसले भन्छ कि वास्तवमा कम्पनीले उल्लङ्घनलाई “समावेश गर्न असफल भयो”।

“LastPass को ‘शून्य ज्ञान’ को दावी एक टाउको अनुहार झूट हो।”

उसले लास्टपासको स्वीकार्यतालाई पनि हाइलाइट गर्दछ कि लीक गरिएको डाटामा “आईपी ठेगानाहरू जसबाट ग्राहकहरूले लास्टपास सेवा पहुँच गरिरहेका थिए” समावेश गर्दछ, यदि LastPass ले तपाईंले प्रयोग गरेको प्रत्येक आईपी ठेगाना लग गर्दै हुनुहुन्छ भने खतरा अभिनेताले ग्राहकहरूको “पूर्ण आन्दोलन प्रोफाइल सिर्जना गर्न” दिन सक्छ। यसको सेवा संग।

अर्को सुरक्षा अनुसन्धानकर्ता, जेरेमी गोस्नीले लेखे Mastodon मा एक लामो पोस्ट अर्को पासवर्ड प्रबन्धकमा सार्न उनको सिफारिसको व्याख्या गर्दै। “LastPass को ‘शून्य ज्ञान’ को दाबी एक टाउको झूट हो,” उनी भन्छन्, कम्पनीसँग “पासवर्ड प्रबन्धकले सम्भवतः टाढा जान सक्ने जति धेरै ज्ञान छ” भन्ने आरोप लगाए।

LastPass ले दाबी गर्छ कि यसको “शून्य ज्ञान” वास्तुकलाले प्रयोगकर्ताहरूलाई सुरक्षित राख्छ किनभने कम्पनीले तपाइँको मास्टर पासवर्डमा कहिल्यै पहुँच गर्दैन, जुन चीज हो कि ह्याकरहरूले चोरी भल्टहरू अनलक गर्न आवश्यक पर्दछ। जबकि गोस्नीले त्यो विशेष बिन्दुमा विवाद गर्दैन, उनले भने कि वाक्यांश भ्रामक छ। “मलाई लाग्छ कि धेरैजसो व्यक्तिहरूले आफ्नो भल्टलाई एक प्रकारको इन्क्रिप्टेड डाटाबेसको रूपमा कल्पना गर्छन् जहाँ सम्पूर्ण फाइल सुरक्षित छ, तर होइन – LastPass को साथ, तपाईंको भल्ट एक प्लेनटेक्स्ट फाइल हो र केवल केहि चयन क्षेत्रहरू इन्क्रिप्ट गरिएका छन्।”

पलान्टले यो पनि नोट गर्दछ कि एन्क्रिप्शनले तपाईंलाई मात्र फाइदा गर्छ यदि ह्याकरहरूले तपाईंको मास्टर पासवर्ड क्र्याक गर्न सक्दैनन्, जुन यसको पोस्टमा LastPass को मुख्य रक्षा हो: यदि तपाईंले पासवर्ड लम्बाइ र बलियो बनाउनको लागि यसको पूर्वनिर्धारित प्रयोग गर्नुभयो र यसलाई अर्कोमा पुन: प्रयोग गर्नुभएको छैन भने। साइट, “सामान्यतया उपलब्ध पासवर्ड क्र्याकिङ प्रविधि प्रयोग गरेर तपाईको मास्टर पासवर्ड अनुमान गर्न लाखौं वर्ष लाग्नेछ” कम्पनीका सीईओ करिम तोब्बाले लेखे।

“यसले ग्राहकहरूलाई दोष लगाउनको लागि आधार तयार गर्दछ,” पलान्ट लेख्छन्, “LastPass सचेत हुनुपर्छ कि पासवर्डहरू हुनेछ कम्तिमा तिनीहरूका केही ग्राहकहरूको लागि डिक्रिप्ट गरिएको छ। र तिनीहरूसँग पहिले नै सुविधाजनक व्याख्या छ: यी ग्राहकहरूले स्पष्ट रूपमा उनीहरूको उत्कृष्ट अभ्यासहरू पालना गरेनन्। यद्यपि, उनले यो पनि औंल्याए कि LastPass ले ती मापदण्डहरू लागू गरेको छैन। 2018 मा यसले 12-क्यारेक्टर पासवर्डहरू पूर्वनिर्धारित बनाएको तथ्यको बावजुद, पलान्ट भन्छन्, “म मेरो आठ-वर्णको पासवर्ड बिना कुनै चेतावनी वा यसलाई परिवर्तन गर्न संकेतहरू बिना लग इन गर्न सक्छु।”

“तिनीहरूले अनिवार्य रूपमा हरेक ‘क्रिप्टो 101’ पाप गर्छन्”

Gosney र Palant दुवै LastPass ‘वास्तविक क्रिप्टोग्राफीको साथ पनि मुद्दा लिन्छन्, यद्यपि फरक कारणहरूको लागि। गोस्नीले कम्पनीलाई “हरेक ‘क्रिप्टो 101’ पाप” गरेको आरोप लगाउँदछ कि कसरी यसको इन्क्रिप्शन लागू हुन्छ र यसले तपाइँको उपकरणको मेमोरीमा लोड भएपछि डेटा कसरी व्यवस्थापन गर्दछ।

यसैबीच, पलान्टले PBKDF2 को रूपमा चिनिने पासवर्ड-सुदृढ गर्ने एल्गोरिथ्मलाई “सामान्य भन्दा बलियो” भनेर चित्रण गरेकोमा कम्पनीको पोस्टको आलोचना गर्दछ। मानकको पछाडिको विचार यो हो कि यसले तपाइँको पासवर्डहरूको अनुमान लगाउन कठिन बनाउँछ, किनकि तपाइँ प्रत्येक अनुमानमा गणनाको निश्चित संख्या प्रदर्शन गर्नुपर्दछ। “मलाई गम्भीरतापूर्वक अचम्म लाग्छ कि LastPass ले के सामान्य मान्दछ,” Palant लेख्छन्, “100,000 PBKDF2 पुनरावृत्तिहरू मैले कुनै हालको पासवर्ड प्रबन्धकमा देखेको सबैभन्दा कम संख्या हो।”

Bitwarden, अर्को लोकप्रिय पासवर्ड प्रबन्धक, भन्छ कि यसको एपले 100,001 पुनरावृत्तिहरू प्रयोग गर्दछर यसले अर्को 100,000 पुनरावृत्तिहरू थप्छ जब तपाइँको पासवर्ड कुल 200,001 को लागि सर्भरमा भण्डारण गरिन्छ। 1 पासवर्ड भन्छ यसले 100,000 पुनरावृत्तिहरू प्रयोग गर्दछ, तर यसको एन्क्रिप्शन योजनाको अर्थ हो कि तपाइँसँग तपाइँको डाटा अनलक गर्न गोप्य कुञ्जी र तपाइँको मास्टर पासवर्ड दुबै हुनु पर्छ। त्यो सुविधाले “यदि कसैले तपाइँको भल्टको प्रतिलिपि प्राप्त गर्यो भने, उनीहरूले मास्टर पासवर्डको साथ एक्लै पहुँच गर्न सक्दैनन् भनेर सुनिश्चित गर्दछ, यसलाई अनक्र्याक गर्न मिल्दैन,” गोस्नीका अनुसार।

पलान्टले यो पनि औंल्याए कि LastPass मा सधैं त्यो स्तरको सुरक्षा हुँदैन र पुराना खाताहरूमा मात्र 5,000 पुनरावृत्ति वा कम हुन सक्छ – केहि किनारा गत हप्ता पुष्टि भयो। त्यो, यो तथ्यको साथ कि यसले तपाईंलाई अझै पनि आठ-वर्णको पासवर्ड राख्न दिन्छ, लेस्टपासको दावीहरू लिन गाह्रो बनाउँछ मास्टर पासवर्ड क्र्याक गर्न लाखौं वर्ष लाग्छ। नयाँ खाता स्थापना गर्ने कसैको लागि यो सत्य हो भने पनि, वर्षौंदेखि सफ्टवेयर प्रयोग गर्ने मानिसहरूको बारेमा के हुन्छ? यदि LastPass ले ती राम्रो सेटिङहरूमा अपग्रेड गर्न वा बाध्य पारेको छैन भने (जसलाई Palant भन्छन् कि उसको लागि भएको छैन), तब यसको “पूर्वनिर्धारितहरू” यसको प्रयोगकर्ताहरू कत्तिको चिन्तित हुनुपर्छ भन्ने सूचकको रूपमा उपयोगी हुँदैनन्।

अर्को टाँसिने बिन्दु यो तथ्य हो कि LastPass छ, वर्षको लागि, URL हरू जस्ता डेटा इन्क्रिप्ट गर्न अनुरोधहरूलाई बेवास्ता गरियो। पलान्टले बताउँछ कि मानिसहरूको खाता कहाँ छ भनेर थाहा पाउँदा ह्याकरहरूलाई विशेष गरी व्यक्तिहरूलाई लक्षित गर्न मद्दत गर्न सक्छ। “धम्की कलाकारहरूले गर्नेछन् माया तपाईसँग के पहुँच छ भनेर जान्नको लागि। त्यसपछि तिनीहरूले आफ्नो प्रयासको लायक व्यक्तिहरूको लागि राम्रो-लक्षित फिसिङ इमेलहरू उत्पादन गर्न सक्थे, “उनले लेखे। उनले यो पनि औंल्याए कि कहिलेकाहीँ LastPass मा सुरक्षित गरिएका URL ले मानिसहरूलाई उद्देश्य भन्दा बढी पहुँच दिन सक्छ, पासवर्ड रिसेट लिङ्कको उदाहरण प्रयोग गरेर जुन ठीकसँग म्याद सकिएको छैन।

त्यहाँ एक गोपनीयता कोण पनि छ; तपाईं a भन्न सक्नुहुन्छ धेरै तिनीहरूले प्रयोग गर्ने वेबसाइटहरूमा आधारित व्यक्तिको बारेमा। यदि तपाईंले एक आला पोर्न साइटको लागि आफ्नो खाता जानकारी भण्डारण गर्न LastPass प्रयोग गर्नुभयो भने के हुन्छ? तपाईको उपयोगिता प्रदायक खाताको आधारमा तपाई कुन क्षेत्रमा बस्नुहुन्छ भनेर कसैले पत्ता लगाउन सक्छ? तपाईंले समलिङ्गी डेटिङ एप प्रयोग गर्नुहुने जानकारी हुनेछ आफ्नो स्वतन्त्रता वा जीवन खतरामा राख्नुहोस्?

एउटा कुरा जसमा गोस्नी र पलान्ट लगायत धेरै सुरक्षा विशेषज्ञहरू सहमत देखिन्छन्, तथ्य यो हो कि यो उल्लङ्घन क्लाउड-आधारित पासवर्ड प्रबन्धकहरू खराब विचार हो भन्ने प्रमाण सकारात्मक छैन। यो पूर्ण रूपमा अफलाइन पासवर्ड प्रबन्धकहरूका फाइदाहरू (वा नोटबुकमा अनियमित रूपमा उत्पन्न गरिएका पासवर्डहरू लेख्ने, जस्तै म एक टिप्पणीकर्ताले सुझाव देखे)। त्यहाँ, निस्सन्देह, यस दृष्टिकोणको स्पष्ट फाइदाहरू छन् – एक कम्पनी लाखौं मानिसहरूको पासवर्ड भण्डारण गर्दछ एक व्यक्तिको कम्प्युटरले भन्दा ह्याकरहरूबाट बढी ध्यान दिनेछ, र क्लाउडमा नभएको कुरा प्राप्त गर्न धेरै गाह्रो छ।

तर, क्रिप्टोले तपाईंलाई आफ्नो बैंक बन्न दिने प्रतिज्ञाहरू जस्तै, तपाईंको आफ्नै पासवर्ड प्रबन्धक चलाउँदा मानिसहरूले महसुस गरेभन्दा बढी चुनौतीहरू आउन सक्छन्। हार्ड ड्राइभ दुर्घटना वा अर्को घटना मार्फत आफ्नो भल्ट गुमाउनु विनाशकारी हुन सक्छ, तर यसलाई ब्याकअप गर्दा यसलाई चोरीको लागि अझ कमजोर बनाउने जोखिम परिचय हुन्छ। (र तपाईंले आफ्नो स्वचालित क्लाउड ब्याकअप सफ्टवेयरलाई आफ्नो पासवर्डहरू अपलोड नगर्न भन्नको लागि सम्झनुभयो, हैन?) साथै, उपकरणहरू बीच अफलाइन भल्ट सिंक गर्नु भनेको हल्का रूपमा भन्नु हो भने, अलिकति पीडा हुन्छ।

मानिसहरूले यो सबैको बारेमा के गर्नुपर्छ भन्ने बारे, Palant र Gosney दुबैले कम्तिमा अर्को पासवर्ड प्रबन्धकमा स्विच गर्ने विचार गर्न सिफारिस गर्छन्, किनभने LastPass ले कसरी यस उल्लंघनलाई ह्यान्डल गरेको छ र यो तथ्य कम्पनीको सातौं सुरक्षा घटना एक दशक भन्दा थोरैमा। “यो प्रचुर मात्रामा स्पष्ट छ कि उनीहरूले आफ्नै सुरक्षाको बारेमा वास्ता गर्दैनन्, र तपाईंको सुरक्षाको बारेमा धेरै कम,” गोस्नी लेख्छन्, जबकि पलान्टले प्रश्न गरे कि किन LastPass ले पत्ता लगाएन कि ह्याकरहरूले यसको तेस्रो-पक्ष क्लाउड भण्डारणबाट भल्टहरू प्रतिलिपि गरिरहेका थिए। भइरहेको छ। (कम्पनीको पोष्टले यो “अतिरिक्त लगिङ र अलर्टिंग क्षमताहरू थपिएको छ जसले थप अनधिकृत गतिविधि पत्ता लगाउन मद्दत गर्दछ।”)

LastPass ले यो उल्लङ्घन पछि धेरै प्रयोगकर्ताहरूले आफूलाई सुरक्षित गर्न कुनै कारबाही गर्नुपर्दैन भन्नुभएको छ। पलान्ट सहमत छैनन्, सिफारिसलाई “घोर लापरवाही” भनिन्छ। यसको सट्टा, उनी भन्छन् कि जो कोहीसँग साधारण मास्टर पासवर्ड थियो, पुनरावृत्तिको कम संख्या (यहाँ तपाईं कसरी जाँच गर्न सक्नुहुन्छ), वा जो सम्भावित रूपमा “उच्च मूल्य लक्ष्य” हुनुहुन्छ उनीहरूले तुरुन्तै आफ्ना सबै पासवर्डहरू परिवर्तन गर्न विचार गर्नुपर्छ।

के त्यो छुट्टीहरूमा गर्न सबैभन्दा रमाइलो कुरा हो? होइन। तर कसैले चोरीको पासवर्डको साथ तपाईंको खाताहरू पहुँच गरेपछि न त सफा भइरहेको छ।



Source link

Leave a Reply

Your email address will not be published. Required fields are marked *