hadicanim
Aktif Üye
Parola yöneticileri: LastPass bilgisayar korsanlarının müşteri parola kasalarına erişimi vardır
Çevrimiçi parola yöneticisi hizmeti LastPass, yetkisiz kişilerin bir üçüncü taraf bulut sistemine girdiğinde müşteri verilerine erişimi olduğunu kabul ediyor. Bunlar e-posta adreslerini ve şifreleri içerir. Ancak, çok fazla veri şifrelenmelidir.
Aralık 2022’nin başında kimliği belirsiz saldırganlar, LastPass’tan alınan verilerle bir bulut depolama alanına erişmeyi başardı. Bunu yapmak için, Ağustos 2022’de ele geçirilen kaynak kodundaki bilgileri kullanarak bir çalışana saldırdılar ve böylece bulut erişim verilerini ele geçirdiler. Aralık ayında hala müşteri şifrelerinin güvenli olduğu söyleniyordu. Şu anda kaç müşterinin etkilendiği bilinmiyor.
Veriler kopyalandı ancak yine de korunuyor
Güncellenmiş bir açıklamada, LastPass artık saldırganların e-posta adresleri, telefon numaraları ve parolalar gibi müşteri verilerine erişimi olduğunu belirtiyor. Bir yedekten kopyalanan müşteri şifre kasalarının şifrelenmemiş URL’ler ve kullanıcı adları ve şifreler gibi şifrelenmiş veriler içerdiği söylenir. URL’lerin hassas bilgiler de içerebileceğine dikkat edilmelidir.
Sorumlular, 256 bit AES ile şifrelenmiş verilerin yetkisiz erişime karşı etkin bir şekilde korunmasını sağlar. Saldırganların şifrelenmiş verileri okumak için kullanıcının ana parolasından bir anahtar türetmesi gerekir. Ancak, ana parola yalnızca kullanıcıların cihazlarında yerel olarak depolanır.
Güvenlik önlemleri
Ancak LastPass, kısa ve tahmin edilmesi kolay ana parolaların kullanılmasına karşı uyarır. Çünkü o zaman saldırganlar muhtemelen şifreleri kaba kuvvet saldırıları ile tahmin edebilirler. LastPass, bu tür saldırıları olabildiğince zorlaştırmak için Parola Tabanlı Türetme İşlevi 2 (PBKDF2) yöntemini kullanır.
Ek olarak, kriptolojik hash işlevine ve tuz değerine sahip parolalar, rastgele seçilen diğer karakter dizilerini içerecek şekilde genişletilir. Her şey sonuca birkaç kez uygulanarak, kaba kuvvet saldırıları ve gökkuşağı tabloları kullanarak yeniden yapılandırmayı çok daha zorlaştırır.
LastPass varsayılan olarak 100.100 PBKDF2 tekrarı kullanır. Hash işlevi olarak SHA256 kullanılır. Bu kombinasyon için Açık Web Uygulaması Güvenlik Projesi (OWASP), 310.000 yeniden deneme önerir. LastPass kullanıcıları, hesaplarındaki değeri ayarlayabilir.
Güvenlik garantili mi?
LastPass, yönergelerine göre oluşturulan güçlü ana parolaların, şifreleme ve PBKDF2 ile birlikte kırılmasının milyonlarca yıl süreceğine dikkat çekiyor. Ancak daha zayıf parolalar kullanılıyorsa müşterilerin bunları uyarlaması gerekir. Ayrıca, farklı çevrimiçi hizmetler için asla aynı parolaları kullanmamalısınız. Bu durumda, saldırganlar yalnızca kırılmış bir parolayla birçok hizmete erişebilir.
LastPass, LastPass Birleşik Oturum Açma Hizmetlerini kullanan ticari müşterilerin, ek korumalar sayesinde kaba kuvvet saldırılarından korkmak zorunda kalmayacağını garanti ediyor. Aksi takdirde, parola tahmini önemli ölçüde daha az deneme gerektirebilir ve iş kullanıcılarının LastPass’ta saklanan parolaları değiştirmesi gerekir.
LastPass, daha fazla güvenlik olayını önlemek için tüm BT altyapısını ek güvenlik mekanizmalarıyla yeniden oluşturduğunu belirtiyor.
(ile ilgili)
Haberin Sonu