LastPass لخزائن كلمات المرور المسربة من قبل

 



في الأسبوع الماضي ، قبل عيد الميلاد مباشرة ، أسقط LastPass إعلانًا مفاجئًا : نتيجة لخرق في أغسطس ، مما أدى إلى اختراق آخر في نوفمبر ، وضع المتسللون أيديهم على خزائن كلمات مرور المستخدمين. بينما تصر الشركة على أن معلومات تسجيل الدخول الخاصة بك لا تزال آمنة ، فإن بعض خبراء الأمن السيبراني ينتقدون بشدة منشوراتها ، قائلين إنها قد تجعل الناس يشعرون بأمان أكثر مما هم عليه في الواقع ويشيرون إلى أن هذا هو الأحدث في سلسلة من الحوادث التي تصنع من الصعب الوثوق بمدير كلمات المرور.


كان بيان LastPass في 22 ديسمبر "مليئًا بالإغفالات وأنصاف الحقائق والأكاذيب الصريحة" ، كما ورد في منشور مدونة من Wladimir Palant ، وهو باحث أمني معروف بالمساعدة في تطوير AdBlock Pro ، من بين أشياء أخرى. تتناول بعض انتقاداته كيفية تأطير الشركة للحادث ومدى شفافيته ؛ يتهم الشركة بمحاولة تصوير حادثة أغسطس حيث يقول LastPass "تمت سرقة بعض التعليمات البرمجية المصدر والمعلومات التقنية" كخرق منفصل عندما قال إن الشركة في الواقع "فشلت في احتواء" الخرق.


"ادعاء LastPass بـ" عدم المعرفة "كذبة صلعاء".


كما يسلط الضوء على اعتراف LastPass بأن البيانات المسربة تضمنت "عناوين IP التي كان العملاء يصلون من خلالها إلى خدمة LastPass" ، قائلاً إن ذلك قد يسمح لممثل التهديد "بإنشاء ملف تعريف حركة كامل" للعملاء إذا كان LastPass يسجل كل عنوان IP استخدمته مع خدمتها.


كتب باحث أمني آخر ، جيريمي جوسني ، منشورًا طويلاً على Mastodon يشرح توصيته للانتقال إلى مدير كلمات مرور آخر. يقول: "إن ادعاء LastPass بـ" عدم المعرفة "كذبة صلعاء" ، مدعيًا أن الشركة لديها "قدر من المعرفة يمكن أن يفلت منه مدير كلمات المرور".


تدعي LastPass أن بنية "المعرفة الصفرية" الخاصة بها تحافظ على سلامة المستخدمين لأن الشركة لا تملك مطلقًا إمكانية الوصول إلى كلمة مرورك الرئيسية ، وهو الشيء الذي سيحتاجه المتسللون لفتح الخزائن المسروقة. بينما لا يجادل جوسني في هذه النقطة بالذات ، إلا أنه يقول إن العبارة مضللة. "أعتقد أن معظم الناس يتصورون قبوهم كنوع من قاعدة البيانات المشفرة حيث يكون الملف بأكمله محميًا ، ولكن لا - باستخدام LastPass ، يكون المخزن الخاص بك عبارة عن ملف نص عادي ويتم تشفير عدد قليل فقط من الحقول المحددة."


يلاحظ Palant أيضًا أن التشفير لا يفيدك إلا إذا لم يتمكن المتسللون من اختراق كلمة مرورك الرئيسية ، وهو الدفاع الرئيسي لـ LastPass في منشوره: إذا كنت تستخدم الإعدادات الافتراضية لطول كلمة المرور وتقويتها ولم تقم بإعادة استخدامها على كلمة مرور أخرى موقع الويب ، "سيستغرق الأمر ملايين السنين لتخمين كلمة مرورك الرئيسية باستخدام تقنية تكسير كلمات المرور المتاحة بشكل عام" كتب كريم طوبا ، الرئيس التنفيذي للشركة.


"هذا يمهد الطريق لإلقاء اللوم على العملاء" ، كتب بالانت ، قائلاً: "يجب أن تدرك LastPass أنه سيتم فك تشفير كلمات المرور لبعض عملائها على الأقل. ولديهم تفسير مناسب بالفعل: من الواضح أن هؤلاء العملاء لم يتبعوا أفضل ممارساتهم ". ومع ذلك ، يشير أيضًا إلى أن LastPass لم يفرض بالضرورة هذه المعايير. على الرغم من حقيقة أنها جعلت كلمات المرور المكونة من 12 حرفًا هي كلمات المرور الافتراضية في عام 2018 ، يقول Palant ، "يمكنني تسجيل الدخول باستخدام كلمة المرور المكونة من ثمانية أحرف دون أي تحذيرات أو مطالبات لتغييرها".



حتى أن منشور LastPass قد أثار ردًا من أحد المنافسين ، 1Password - يوم الأربعاء ، كتب المهندس الأمني ​​الرئيسي للشركة جيفري جولدبيرج منشورًا على موقعه بعنوان "ليس في مليون عام: قد يستغرق اختراق كلمة مرور LastPass أقل بكثير." في ذلك ، يصف غولدبرغ ادعاء LastPass بأن اختراق كلمة مرور رئيسية استغرق ملايين السنين "مضلل للغاية" ، قائلاً إن الإحصاء يبدو أنه يفترض وجود 12 حرفًا ، تم إنشاؤها عشوائيًا. يكتب: "لا تقترب كلمات المرور التي أنشأها البشر من تلبية هذا المطلب" ، قائلاً إن الجهات الفاعلة في التهديد ستكون قادرة على تحديد أولويات تخمينات معينة بناءً على كيفية إنشاء الأشخاص لكلمات مرور يمكنهم تذكرها بالفعل.


بالطبع ، من المحتمل أن تؤخذ كلمة أحد المنافسين بعين الاعتبار ، على الرغم من أن Palant يردد فكرة مماثلة في منشوره - فهو يدعي أن طريقة XKCD الفيروسية لإنشاء كلمات مرور ستستغرق حوالي 25 دقيقة للتصدع باستخدام وحدة معالجة رسومات واحدة ، بينما صنع أحدها من خلال دحرجة النرد سيستغرق تخمين نفس الجهاز حوالي 3 سنوات. وغني عن القول أن الفاعل المتحمس الذي يحاول اختراق قبو هدف معين يمكن أن يلقي على الأرجح بأكثر من GPU واحد في المشكلة ، مما قد يقلل ذلك الوقت بأوامر من الحجم.


"إنهم يرتكبون كل خطيئة" تشفير 101 "


  • متعلق ب
  • أفضل مدير كلمات مرور مجاني
  • ستة بدائل مجانية لمدير كلمات المرور LastPass

يتعامل كل من Gosney و Palant مع التشفير الفعلي لـ LastPass أيضًا ، وإن كان لأسباب مختلفة. يتهم Gosney الشركة بارتكاب "كل خطيئة" تشفير 101 "مع كيفية تنفيذ تشفيرها وكيفية إدارتها للبيانات بمجرد تحميلها في ذاكرة جهازك.


وفي الوقت نفسه ، تنتقد شركة Palant منشور الشركة لرسم خوارزمية تقوية كلمة المرور ، والمعروفة باسم PBKDF2 ، على أنها "أقوى من المعتاد". تكمن الفكرة وراء هذا المعيار في أنه يجعل من الصعب فرض تخمين كلمات المرور الخاصة بك ، حيث سيتعين عليك إجراء عدد معين من العمليات الحسابية على كل تخمين. كتب بالانت: "أتساءل بجدية عما يعتبره LastPass نموذجيًا ، نظرًا لأن 100000 تكرار PBKDF2 هو أقل رقم رأيته في أي مدير كلمات مرور حالي".


يقول Bitwarden ، وهو مدير كلمات مرور شهير آخر ، أن تطبيقه يستخدم 100،001 تكرار ، وأنه يضيف 100،000 تكرار أخرى عندما يتم تخزين كلمة المرور الخاصة بك على الخادم بإجمالي 200،001. يقول 1Password أنه يستخدم 100000 تكرار ، لكن مخطط التشفير الخاص به يعني أنه يجب أن يكون لديك مفتاح سري وكلمة مرورك الرئيسية لإلغاء تأمين بياناتك. وتضمن هذه الميزة "أنه إذا حصل أي شخص على نسخة من المخزن الخاص بك ، فلن يتمكن ببساطة من الوصول إليها باستخدام كلمة المرور الرئيسية وحدها ، مما يجعلها غير قابلة للاختراق" ، وفقًا لجوسني.


يشير Palant أيضًا إلى أن LastPass لم يكن لديه دائمًا هذا المستوى من الأمان وأن الحسابات القديمة قد تحتوي فقط على 5000 تكرار أو أقل - وهو أمر أكدته The Verge الأسبوع الماضي. هذا ، إلى جانب حقيقة أنه لا يزال يتيح لك الحصول على كلمة مرور مكونة من ثمانية أحرف ، يجعل من الصعب أخذ ادعاءات LastPass حول أنها تستغرق ملايين السنين لكسر كلمة مرور رئيسية على محمل الجد. حتى لو كان هذا صحيحًا بالنسبة لشخص أنشأ حسابًا جديدًا ، فماذا عن الأشخاص الذين استخدموا البرنامج لسنوات؟ إذا لم يصدر LastPass تحذيرًا أو فرض ترقية لتلك الإعدادات الأفضل (التي يقول Palant أنها لم تحدث له) ، فإن "الإعدادات الافتراضية" ليست مفيدة بالضرورة كمؤشر على مدى قلق مستخدميها.


النقطة الشائكة الأخرى هي حقيقة أن LastPass تجاهل ، لسنوات ، مناشدات تشفير البيانات مثل عناوين URL. يشير Palant إلى أن معرفة مكان وجود حسابات لدى الأشخاص يمكن أن يساعد المتسللين على استهداف الأفراد على وجه التحديد. "يود ممثلو التهديد معرفة ما يمكنك الوصول إليه. وبعد ذلك يمكنهم إنتاج رسائل بريد إلكتروني تصيدية جيدة الاستهداف فقط للأشخاص الذين يستحقون جهودهم ". ويشير أيضًا إلى أنه في بعض الأحيان قد تمنح عناوين URL المحفوظة في LastPass الأشخاص وصولاً أكثر مما هو مقصود ، وذلك باستخدام مثال رابط إعادة تعيين كلمة المرور الذي لم تنته صلاحيته بشكل صحيح.


هناك أيضًا زاوية خصوصية ؛ يمكنك معرفة الكثير عن أي شخص بناءً على مواقع الويب التي يستخدمها. ماذا لو استخدمت LastPass لتخزين معلومات حسابك لموقع إباحي متخصص؟ هل يمكن لشخص ما معرفة المنطقة التي تعيش فيها بناءً على حسابات مزود المرافق الخاصة بك؟ هل المعلومات التي تستخدمها في تطبيق مواعدة للمثليين ستعرض حريتك أو حياتك للخطر ؟


يبدو أن هناك أمرًا واحدًا يتفق عليه العديد من خبراء الأمن ، بما في ذلك Gosney و Palant ، وهو حقيقة أن هذا الانتهاك ليس دليلًا إيجابيًا على أن مديري كلمات المرور المستندة إلى مجموعة النظراء فكرة سيئة. يبدو أن هذا استجابة للأشخاص الذين يبشرون بمزايا مديري كلمات المرور غير المتصلين تمامًا (أو حتى مجرد كتابة كلمات المرور التي تم إنشاؤها عشوائيًا في دفتر ملاحظات ، كما رأيت أحد المعلقين يقترح ). هناك ، بالطبع ، فوائد واضحة لهذا النهج - الشركة التي تخزن كلمات مرور الملايين من الأشخاص ستحظى باهتمام أكبر من المتسللين أكثر من اهتمام جهاز كمبيوتر فرد واحد ، والحصول على شيء غير موجود على السحابة أصعب كثيرًا.



ولكن ، مثل وعود العملة المشفرة بالسماح لك بأن تكون البنك الخاص بك ، فإن تشغيل مدير كلمات المرور الخاص بك يمكن أن يأتي مع تحديات أكثر مما يدركه الناس. قد يكون فقد قبوك عن طريق تعطل القرص الصلب أو حادث آخر كارثيًا ، لكن دعمه يعرضك لخطر جعله أكثر عرضة للسرقة. (وتذكرت إخبار برنامج النسخ الاحتياطي السحابي التلقائي بعدم تحميل كلمات المرور الخاصة بك ، أليس كذلك؟) بالإضافة إلى ذلك ، فإن مزامنة قبو غير متصل بالإنترنت بين الأجهزة ، بعبارة ملطفة ، أمر مؤلم قليلاً.


بالنسبة لما يجب على الأشخاص فعله حيال كل هذا ، يوصي كل من Palant و Gosney على الأقل بالتفكير في التبديل إلى مدير كلمات مرور آخر ، ويرجع ذلك جزئيًا إلى الطريقة التي تعامل بها LastPass مع هذا الانتهاك وحقيقة أنه الحادث الأمني ​​السابع للشركة خلال ما يزيد قليلاً عن عقد من الزمان . كتب جوسني: "من الواضح تمامًا أنهم لا يهتمون بأمنهم ، ولا يهتمون بأمنك كثيرًا" ، بينما تتساءل شركة Palant عن سبب عدم اكتشاف LastPass أن المتسللين كانوا ينسخون الخزائن من التخزين السحابي التابع لجهة خارجية بينما كان يحدث. (يقول منشور الشركة إنه "أضاف إمكانات تسجيل وتنبيه إضافية للمساعدة في اكتشاف أي نشاط آخر غير مصرح به.")


قال LastPass أن معظم المستخدمين لن يضطروا إلى اتخاذ أي إجراء لتأمين أنفسهم بعد هذا الخرق. لا يوافق بالانت ، واصفًا التوصية بأنها "إهمال جسيم". بدلاً من ذلك ، يقول إن أي شخص لديه كلمة مرور رئيسية بسيطة ، أو عدد قليل من التكرارات ( إليك كيفية التحقق ) ، أو من المحتمل أن يكون "هدفًا ذا قيمة عالية" يجب أن يفكر في تغيير جميع كلمات المرور الخاصة به على الفور.


هل هذا هو الشيء الأكثر متعة للقيام به خلال العطلات؟ لا ، ولكن لا يتم التنظيف بعد وصول شخص ما إلى حساباتك باستخدام كلمة مرور مسروقة.


تعليقات

إرسال تعليق

المشاركات الشائعة من هذه المدونة

كيفية الحصول علي عدد ساعات مشاهدة اليوتيوب طريقة شرعيه 2022

أهلا وسهلا بكم في موقع تقني لايف سوف نقدم لكم شرح اليوم كيفية الحصول علي 4000 الاف ساعه مشاهده شرعيه من موقع اليوتيوب الكثير يبحث عن كيفية قبول قناته في جوجل ادسنس اليوم سوف نشرح ابسط الطرق لكل المستخدمين الجديد رجاء يمكنك االاشتراك في البريد بالمدونة ليصلك كل جديد اليوم هو شرح بسيط للغاية كيفية الحصول علي 4000 الاف ساعه مشاهدة والحصول علي 1000 مشترك كل هذه الامور ولكن قبل الدخول في الموضوع سوف نقول لكم وشرح طريقيتن فقط الكثير من الاشخاص يعتمدون عليها الطريقه الاولي عن طريق السيرفرات وهي غير شرعيه ولكن سريعه وتقوم بجلب عدد من الساعات في وقت قصير والطريقه الثانية هي الطريقه التي يعتمد عليها الكثير   القبول في ادسنس كيفية القبول في موقع ادسنس لموقعك اليوتيوب    شرح الحصول علي عدد ساعات من اليوتيوب   كيفية الحصول علي 4000 الاف ساعه مشاهدة والحصول علي تفعيل قناتك    كيفية تفيعل قناتك اليوتيوب الان     شرح كيفية الحصول علي عدد ساعات المشاهده الان سوف نقدم لكم الطريقه الاولي وهي كيفية الحصول عن طريق سيرفرات vps الاولي وهي تفعيل المدونه او قنانك عليك ان تقوم بتقدي
قراءة المزيد

8 عروض وأفلام رائعة من عام 2022 للبث على Amazon Prime Video

صورة
   بدأت أمازون كبائع كتب في التسعينيات قبل أن تتطور إلى العملاق التجاري الذي هو عليه اليوم. إحدى الميزات التي تستخدمها لتشجيع العضوية هي خدمة Prime video ، والتي تعرض مسلسلات وأفلامًا أصلية إلى جانب العروض والأفلام الحالية التي أتاحتها. وبغض النظر عن رأيك في أمازون ، من الصعب المجادلة ضد فكرة أن بعض منتجاتها Prime مثيرة للإعجاب. إذا كنت تبحث عن شيء يتم بثه خلال موسم العطلات - أو بعده - ولديك عضوية Prime ، فإليك بعض الاقتراحات التي قد ترغب في تجربتها.   تقدم خدمة Amazon Prime مجموعة متنوعة من الميزات ، بما في ذلك التوصيل السريع والمجاني للعديد من منتجاتها ، و Amazon Music and Gaming ، وتخزين غير محدود للصور ، وربما الأفضل ، بث فيديو Amazon Prime. هناك نسخة تجريبية مجانية لمدة 30 يومًا ؛ الخصومات متاحة للطلاب وأولئك الذين يتلقون المساعدة الحكومية. 15 دولارًا في AMAZON (شهريًا) 139 دولارًا في AMAZON (سنويًا) سماء الليل Night Sky هي واحدة من أفضل سلاسل الخيال العلمي الأقل شهرة. الحلقات الثماني نجمتان Sissy Spacek و JK Simmons كزوجين متقاعدين ، وجدوا ، في شبابهم ، مدخلًا بين الكواكب مدفونًا
قراءة المزيد