Почему вы все еще можете доверять (другим) менеджерам паролей, даже после этого беспорядка с LastPass
Почему доверять менеджерам паролей после беспорядка с LastPass?
Я много писал о управлении паролями в последние годы. Действительно, когда люди спрашивают меня, какое программное обеспечение безопасности им следует использовать, мой ответ всегда начинается с фразы: “Найдите хороший менеджер паролей и используйте его”.
Когда я веду эти дискуссии в реальной жизни, я всегда слышу одни и те же вопросы и возражения, большинство из которых совершенно осмысленны и требуют ответа. Вот отличный пример комментария, оставленного в ответ на мою последнюю публикацию о безопасности в Интернете:
Говоря о менеджерах паролей, я был бы немного насторожен, так как LastPass был взломан, и зашифрованные файлы паролей пользователей были утечены. Черные шляпы пытаются взломать их основные пароли и, похоже, в некоторых случаях им это удается, даже крадя содержимое криптокошельков людей.
Естественный вопрос состоит в том, являются ли менеджеры паролей по-прежнему такой отличной идеей, когда это может происходить? Пострадавшие пользователи должны были тратить бесчисленные часы на изменение своих десятков или сотен паролей везде. Это было бы слишком много работы и головной боли.
Помимо сторонних продуктов, таких как LastPass, можно ли полагаться на встроенные менеджеры паролей в Firefox, Chrome и Edge? Предполагается, что за ними стоят крупные компании, которые делают все возможное, чтобы предотвратить массовые компрометирующие и неприятные ситуации, но я уверен, что LastPass делал то же самое.
Это краткое и четкое изложение проблем с менеджерами паролей, о которых большинство людей беспокоятся. Оно также вызывает множество вопросов о том, что именно сделал LastPass. Итак, давайте начнем с краткого обзора того, что произошло с безопасностью LastPass – и почему это было ужасно для его клиентов.
Что случилось с LastPass?
Среди онлайн-сервисов, которые помогают вам организовать свои пароли, LastPass был одним из первых лидеров и до сих пор является значимым участником. Бренд LastPass был достаточно ценным, чтобы компания LogMeIn приобрела его восемь лет назад за 110 миллионов долларов. Через несколько лет LastPass был выделен в отдельную компанию, но по-прежнему контролировался частными инвестиционными фирмами, которые владеют LogMeIn. В своем отчете о продаже PCMag отметил, что эти компании “специализируются на попытках максимизировать стоимость активов для последующей продажи”.
Это не тот вид успокаивающего описания, который вы хотите видеть для фирмы, занимающейся безопасностью. Результат, как я писал в конце 2022 года, был предсказуемым:
LastPass был поглощен LogMeIn еще в 2015 году. А затем в 2021 году LogMeIn объявила о планах выделить LastPass в отдельную компанию. Опытные наблюдатели в индустрии программного обеспечения знают, что такой сценарий редко заканчивается хорошо. В лучшем случае ваши сотрудники отвлекаются всей этой песенкой и танцем M&A. В худшем случае… ну, вот мы и здесь.
Почему последний хак LastPass был таким ужасным?
LastPass стал жертвой нескольких успешных хакерских атак как минимум с 2011 года. Но две атаки в 2022 году были особенно пагубными. Официальное уведомление из декабрьского поста блога LastPass было безразлично названо “Уведомление о недавнем инциденте безопасности”, но содержание этого поста было кошмарной ситуацией для клиентов, платящих за онлайн-сервис, который обещает сохранять их секреты в безопасности от внешних злоумышленников.
Мы недавно сообщили вам, что несанкционированная сторона получила доступ к облачному хранилищу сторонней компании, которое LastPass использует для хранения архивных резервных копий наших производственных данных.
Эта атака произошла после отдельной успешной атаки на сети LastPass в августе 2022 года. В ходе этого инцидента злоумышленники получили информацию, которую они использовали для целенаправленной атаки на сотрудника LastPass и смогли получить учетные данные и ключи, которые они использовали для доступа и расшифровки файлов в онлайн-хранилище Amazon AWS S3.
Ситуация становится еще хуже.
На сегодняшний день мы установили, что после получения ключа доступа к облачному хранилищу и ключей расшифровки двойного хранилища злоумышленник скопировал информацию из резервных копий, которая содержала основную информацию о клиентских учетных записях и связанную метаданные, включая названия компаний, имена конечных пользователей, платежные адреса, адреса электронной почты, телефонные номера и IP-адреса, с которых клиенты получали доступ к сервису LastPass.
Злоумышленник также смог скопировать резервную копию данных клиентских хранилищ из зашифрованного хранилища, которое хранится в собственном бинарном формате и содержит как нешифрованные данные, такие как URL-адреса веб-сайтов, так и полностью зашифрованные конфиденциальные поля, такие как имена пользователей и пароли веб-сайтов, защищенные заметки и заполненные формы.
Если вас интересуют технические детали о том, какие данные были украдены, прочитайте эту исчерпывающую сводку от Лоуренса Абрамса на Bleeping Computer.
Также: Лучшие VPN-сервисы: эксперты провели тестирование и обзор
Плохая новость заключается в том, что было украдено множество данных клиентов. Хорошая новость заключается в том, что хранилища паролей были зашифрованы с использованием 256-битной технологии AES с уникальным ключом шифрования, полученным из пароля пользователя, который никогда не передавался LastPass. Это означает, что для взлома потребовалось бы необычайно много времени и ресурсов вычислительной техники.
(Пояснение: Слово, которое вы никогда не хотите видеть после такого абзаца, – однако. Увы…)
Однако LastPass не применил такое же надежное шифрование к другим данным клиентов, включая URL-адреса веб-сайтов и “определенные случаи использования, связанные с адресами электронной почты”. Эта информация оказалась невероятно ценной для злоумышленников, чтобы определить, какие хранилища паролей будут наиболее ценными. Согласно эксперту по безопасности Брайану Кребсу, именно это может объяснить всплеск атак на кошельки криптовалют, начавшийся вскоре после взлома LastPass:
[…] передовой подход для многих энтузиастов кибербезопасности долгое время заключался в хранении своих секретных фраз в зашифрованном контейнере, таком как менеджер паролей, или в офлайн-устройстве специального назначения с аппаратным шифрованием, например, кошельке Trezor или Ledger.
“Секретная фраза – это буквально деньги”, – сказал Ник Бакс, директор аналитики в Unciphered, компании по восстановлению кошельков криптовалюты. “Если у вас есть моя секретная фраза, вы можете скопировать ее и вставить в свой кошелек, и тогда вы сможете видеть все мои счета. И вы можете перевести мои средства”.
[…]
[Исследователи по безопасности] обнаружили уникальную сигнатуру, которая связывает кражу более 35 миллионов долларов в криптовалюте у более 150 подтвержденных жертв с примерно двумя-пятью крупными кражами, произошедшими каждый месяц с декабря 2022 года. […] единственным очевидным общим моментом между жертвами, которые согласились на интервью, было то, что они хранили секретные фразы для своих кошельков криптовалюты в LastPass”.
Может ли то, что произошло с LastPass, произойти с другим менеджером паролей?
Каждое указание свидетельствует о том, что LastPass ведет неряшливую деятельность на протяжении многих лет. Сотрудник, на которого было совершено нападение, был одним из только четырех DevOps-инженеров, имеющих доступ к ключам дешифрования AWS. Можно было бы подумать, что любой доступ к самым чувствительным данным клиентов должен был осуществляться на выделенном компьютере через безопасную сеть, но это не произошло.
Также: Прощай, LastPass: вот лучшие альтернативы LastPass
Инженер получал доступ к этим хранилищам данных с персонального компьютера, на котором также работал сторонний медиасервер, который, скорее всего, был скомпрометирован теми же злоумышленниками. В свою очередь, они использовали эту уязвимость для захвата мастер-пароля сотрудника для его учетной записи LastPass и украли зашифрованные заметки, содержащие доступ и ключи дешифрования для данных клиентов LastPass.
Ранее LastPass увеличил требуемую длину мастер-паролей своих клиентов с 8 до 12 символов и также увеличил количество итераций, используемых для генерации закрытых ключей из этих новых, более надежных паролей. К сожалению, компания не требовала от пользователей изменения существующих паролей, что означало, что любой старый клиент, использующий старый пароль, использовал слабое шифрование, которое было значительно более уязвимым для атак методом перебора.
В рамках последующего расследования инцидента LastPass объявил о ряде изменений в своих политиках безопасности, но вред уже был нанесен.
Также: Как полностью удалить свои данные с серверов LastPass (в конечном итоге)
Это не первые атаки на LastPass. В 2017 году внешние исследователи раскрыли позорно небрежный недостаток в способе управления учетными данными 2FA компании. Этот недостаток последовал за несколькими ранее обнаруженными эксплойтами удаленного кода в предыдущем году, из-за которых Тэвис Орманди из Google Project Zero с недоумением спросил: “Реально ли люди используют эту штуковину под названием LastPass?”
У другого хорошо известного менеджера паролей (а их много) нет такой репутации.
Не означает ли то, что все ваши пароли находятся в одном месте, что вы просите неприятностей?
Да, в теории.
Но специализированный менеджер паролей по-прежнему является единственным практическим способом для людей с обычной памятью создавать и запоминать надежные, уникальные, случайные пароли для каждой безопасной службы, которую они используют.
Чтобы использовать примерную аналогию: если у вас есть 10 000 долларов наличными, вы бы предпочли хранить каждую сотню долларов в дешевой копилке с игрушечным замком, или вы бы предпочли положить эту кучу денег в банк, где она будет находиться в массовом хранилище с современными замками и вооруженными охранниками?
То, что сделал LastPass, можно сравнить с тем, что они оставили ключи от хранилища на стойке, забыв при этом запереть переднюю дверь.
Также: Лучший VPN для потокового вещания: разблокируйте свои любимые сервисы вещания сейчас
В любом случае… Если вы собираетесь поместить свои пароли в зашифрованное хранилище, главное – защитить это хранилище.
И вот самое важное: сильное шифрование действительно работает! Каждый современный сервис управления паролями, включая LastPass, использует модель “Zero Knowledge”, что означает, что сервис не имеет доступа к вашему личному ключу шифрования или главному паролю, который вы используете для доступа к своей учетной записи.
Атакующие, которые взломали сеть LastPass, украли резервные копии (предположительно большого) количества хранилищ паролей и, следовательно, были в состоянии проводить длительные атаки перебора силой на зашифрованные данные. Несмотря на это преимущество, атакующим, по-видимому, удалось взломать только несколько хранилищ в месяц, и то только те, в которых они были уверены, что содержат ключи криптовалютного хранилища. Вероятно, для этого потребовалось огромное количество ресурсов.
Также: 6 простых правил кибербезопасности
Для того чтобы зашифрованные файлы хранилища паролей были украдены, потребовалось сочетание очень настойчивого атакующего и очень небрежной работы в LastPass. Я не знаю о каком-либо другом сервисе паролей, который потерял бы такие данные клиентов. Если такое произошло, это было бы на первых полосах новостей.
Если вам действительно беспокоит возможность кражи ваших зашифрованных паролей, вы можете выбрать менеджер паролей, такой как KeePass, который позволяет вам хранить зашифрованное хранилище в отдельном месте, где вы более уверены в его безопасности. Но хорошо организованный сервис управления паролями (не LastPass) должен справиться с этой задачей в рамках своей повседневной работы.
Если кто-то украдет мой главный пароль, не получит ли он доступ ко всему моему хранилищу паролей?
Если ваш сервис управления паролями выполняет свою работу и требует дополнительной аутентификации на новом устройстве, как это будет, если злоумышленник украдет ваши учетные данные, а затем попытается использовать их с своего собственного устройства.
Также: Не используйте свой 4-значный пароль iPhone в общественных местах. Вместо этого сделайте это
Когда вы получаете доступ к 1Password с устройства, которое вы ранее не использовали, например, вам придется ввести свой главный пароль и также ввести ваш секретный ключ, состоящий из 34 букв и цифр, которые вы – и только вы – знаете. Ключ генерируется при первом настройке вашей учетной записи, и вам рекомендуется распечатать его или сохранить в безопасном месте, чтобы вы могли получить к нему доступ при настройке нового устройства. Он никогда не передается в 1Password Cloud. Злоумышленник, который украл ваш главный пароль, не сможет получить доступ к вашему зашифрованному хранилищу, потому что он не сможет предоставить этот ключ.
Кроме того, большинство менеджеров паролей позволяют настроить двухфакторную аутентификацию, которая требует использования доверенного устройства для утверждения любого нового входа перед предоставлением доступа к вашей учетной записи и данным хранилища. Здесь также злоумышленник, у которого есть ваш главный пароль, не сможет его использовать без вашего разрешения – и предупредить вас в процессе.
Могу ли я просто использовать менеджер паролей в браузере?
Насколько я помню, каждый производитель браузера предлагал набор функций для заполнения паролей. Годы назад эти функции были примитивными, и имело смысл выбрать сторонний вариант.
В последние годы, однако, все основные разработчики современных браузеров (Apple, Google, Microsoft и Mozilla) сделали огромные успехи в своих решениях аутентификации, сделав их равными основным функциям хорошего стороннего менеджера паролей. И поскольку они все бесплатны и используют хорошо управляемое облачное хранилище, они являются вполне приемлемыми вариантами.
Также: Лучшие браузеры для конфиденциальности
В начале этого года я написал длинную статью под названием “Как выбрать (и использовать) менеджер паролей”. Прокрутите вниз до заголовка “Достаточно ли хороши встроенные менеджеры паролей?” для краткого обзора того, что вы получаете от Apple, Google и Microsoft.
С точки зрения удобства использования, вам, вероятно, лучше выбрать сторонний сервис (ознакомьтесь со списком рекомендуемых менеджеров паролей от ENBLE здесь), если только он не управляется “тем, кого вы знаете”.
