Diizzel
Ylläpidon jäsen
- Liittynyt
- 29.10.2016
- Viestejä
- 2 229
Diizzel kirjoitti uutisen/artikkelin:
Salasanojen hallintapalvelu LastPass on kertonut luvattoman kolmannen osapuolen päässeen käsiksi LastPassin käyttämään verkkopalvelimeen, jossa säilytetään käyttäjien tietoja. Yrityksen mukaan salasanat eivät todennäköisesti kuitenkaan ole akuutin hädän alla, sillä pääsalasanat, joilla salasanatiedostojen salaus avataan, eivät ole tallessa valmistajan servereillä. Vuotoa ei voi kuitenkaan pitää harmittomana, sillä käyttäjien perusasiakastilin tiedot, kuten nimet, sähköpostiosoitteet, laskutusosoitteet, puhelinnumerot ja IP-osoitteet, joista sovellusta on käytetty ovat vuotaneet.
Juuri mainittujen yhteystietojen lisäksi hakkeri on päässyt käsiksi käyttäjien salasanat sisältäviin tiedostoihin, jotka ovat LastPassin mukaan 256 bit AES -salauksella suojattuja. Suojauksen voi avata käyttäjän pääsalasanalla (master password), johon hakkerilla ei kuitenkaan ole mahdollisuutta serverin tietojen pohjalta päästä käsiksi, sillä LastPass ei säilytä sitä palvelimillaan.
Sen myötä hakkerilla on pari vaihtoehtoa, mikäli hän haluaa päästä salasanoihin käsiksi. Niin sanottu brute force, eli salasanojen perinteinen murtaminen useiden yritysten kautta, jota LastPass pitää epätodennäköisenä, mikäli salasanat mukailevat nykyajan suosituksia, eivätkä ne ole käytössä muilla verkkosivuilla, joista ne olisivat voineet vuotaa. Toisena ja kenties realistisempana vaihtoehtona LastPass mainitsee social engineerin ja phishingin, joissa hakkeri pyrkii saamaan käyttäjän itsensä paljastamaan pääsalasanan, sillä vuodon myötä hakkerilla voi olla käyttäjien yhteystietoja, joihin yhteyden ottaminen onnistuu.
LastPass muistuttaa, etteivät he itse kysy ikinä käyttäjien pääsalasanoja ja se tulee asettaa vain ja ainoastaan LastPassiin sovellukseen kirjautuessa.
Lähde: LastPass
Linkki alkuperäiseen juttuun