विज्ञापन
यदि आप उन हजारों LastPass उपयोगकर्ताओं में से एक हैं, जिन्होंने लगभग अटूट वादों के वादों के कारण इंटरनेट का उपयोग करके बहुत सुरक्षित महसूस किया है सुरक्षा, आपको यह जानकर थोड़ा कम सुरक्षित महसूस हो सकता है कि 15 जून को, कंपनी ने घोषणा की कि उन्होंने अपने में घुसपैठ का पता लगाया सर्वर।
LastPass ने शुरू में उपयोगकर्ताओं को एक ईमेल नोटिस भेजा था जिसमें उन्हें सलाह दी गई थी कि कंपनी ने "संदिग्ध" का पता लगाया था गतिविधि "LastPass सर्वर पर, और उस उपयोगकर्ता ईमेल पते और पासवर्ड अनुस्मारक समझौता किया गया था।
कंपनी ने उपयोगकर्ताओं को आश्वासन दिया कि किसी भी एन्क्रिप्टेड वॉल्ट डेटा से समझौता नहीं किया गया था, लेकिन बाद से उपयोगकर्ता पासवर्ड हैशेड क्या यह सब MD5 हैश सामान वास्तव में मतलब है [प्रौद्योगिकी समझाया]यहां एमडी 5, हैशिंग और कंप्यूटर और क्रिप्टोग्राफी का एक छोटा सा अवलोकन है। अधिक पढ़ें प्राप्त किया गया था, कंपनी ने उपयोगकर्ताओं को अपने मास्टर पासवर्ड को अपडेट करने की सलाह दी, बस सुरक्षित रहने के लिए।
LastPass हैक समझाया
यह पहली बार है जब लास्टपास यूजर्स हैकर्स के बारे में चिंतित थे। पिछले साल, हम
LastPass के सीईओ जो सीग्रिस्ट का साक्षात्कार लिया ला सिपास के जो साइगिस्ट: आपकी पासवर्ड सुरक्षा के बारे में सच्चाई अधिक पढ़ें हार्दिक खतरे के बाद, जहाँ उनके आश्वासन ने उपयोगकर्ताओं के डर को कम किया।यह नवीनतम उल्लंघन घोषणा से पहले सप्ताह के अंत में हुआ था। जब तक यह पता चला और एक सुरक्षा घुसपैठ के रूप में पहचाना गया, तब तक हमलावर उपयोगकर्ता ईमेल पते, पासवर्ड रिमाइंडर प्रश्न / उत्तर, हैशेड उपयोगकर्ता पासवर्ड के साथ भाग गए थे। क्रिप्टोग्राफिक लवण एक सीक्रेट स्टेग्नोग्राफ़र बनें: अपनी फ़ाइलों को छिपाएँ और एन्क्रिप्ट करें अधिक पढ़ें .
अच्छी खबर यह है कि लास्टपास सिस्टम की सुरक्षा ऐसे हमलों का सामना करने के लिए तैयार की गई थी। आपके सादे-टेक्स्ट पासवर्ड तक पहुंचने का एकमात्र तरीका हैकर्स के लिए डिक्रिप्ट करना होगा अच्छी तरह से सुरक्षित मास्टर पासवर्ड अपने जीवन को आसान बनाने के लिए एक पासवर्ड प्रबंधन रणनीति का उपयोग करेंपासवर्ड के आसपास की अधिकांश सलाह का पालन करना असंभव है: संख्याओं, अक्षरों और विशेष वर्णों वाले एक मजबूत पासवर्ड का उपयोग करें; इसे नियमित रूप से बदलें; प्रत्येक खाते आदि के लिए एक पूरी तरह से अद्वितीय पासवर्ड के साथ आओ ... अधिक पढ़ें .
आपके मास्टर पासवर्ड को एन्क्रिप्ट करने के लिए उपयोग किए जाने वाले तंत्र के कारण, इसे डिक्रिप्ट करने के लिए बड़े पैमाने पर कंप्यूटर संसाधनों की आवश्यकता होगी - वे संसाधन जो अधिकांश छोटे या मध्यम स्तर के हैकर्स के पास नहीं हैं।
जब आप लास्टपास का उपयोग करते हैं तो आप बहुत संरक्षित होते हैं, क्योंकि वह तंत्र जो मास्टर पासवर्ड को प्राप्त करने के लिए इतना कठिन बनाता है, उसे "धीमी गति से हैशिंग" या "नमक के साथ हैशिंग" कहा जाता है।
कैसे काम करता है
लास्टपास दुनिया में सबसे सुरक्षित एन्क्रिप्शन तकनीकों में से एक का उपयोग करता है, जिसे नमक के साथ हैशिंग कहते हैं।
"नमक" एक कोड है जो क्रिप्टोग्राफी टूल का उपयोग करके उत्पन्न होता है - एक प्रकार का उन्नत रैंडम संख्या जनरेटर मजबूत रैंडम पासवर्ड के लिए 5 सर्वश्रेष्ठ ऑनलाइन पासवर्ड जेनरेटरजल्दी से अटूट पासवर्ड बनाने का तरीका खोज रहे हैं? इन ऑनलाइन पासवर्ड जनरेटर में से एक को आज़माएं। अधिक पढ़ें विशेष रूप से सुरक्षा के लिए बनाया गया है, यदि आप करेंगे। जब आप अपना मास्टर पासवर्ड बनाते हैं तो ये उपकरण पूरी तरह से अप्रत्याशित कोड बनाते हैं।
जब आप अपना खाता बनाते हैं तो ऐसा होता है कि इनमें से एक (और बहुत लंबी) "नमक" संख्याओं का उपयोग करके पासवर्ड "हैशेड" होता है। इनका पुन: उपयोग नहीं किया जाता है - वे प्रत्येक उपयोगकर्ता और प्रत्येक पासवर्ड के लिए विशिष्ट हैं। अंत में, उपयोगकर्ता खाता तालिका में, आपको केवल नमक और हैश मिलेगा।
आपके मास्टर पासवर्ड का वास्तविक पाठ संस्करण लास्टपास सर्वर पर कभी भी संग्रहीत नहीं होता है, इसलिए हैकर्स के पास इसका उपयोग नहीं होता है। इस घुसपैठ में वे सभी प्राप्त करने में सक्षम थे ये यादृच्छिक लवण, और एन्कोडेड हैश हैं।
तो, LastPass (या कोई भी) आपके पासवर्ड को मान्य कर सकता है:
- उपयोगकर्ता तालिका से हैश और नमक को पुनः प्राप्त करें।
- उपयोगकर्ता जिस पासवर्ड पर टाइप करता है उसमें नमक का उपयोग करें, उसी हैश फ़ंक्शन का उपयोग करके हैशिंग करें जो पासवर्ड उत्पन्न होने पर उपयोग किया गया था।
- परिणामी हैश यह देखने के लिए संग्रहीत हैश की तुलना में हो जाता है कि क्या यह एक मैच है।
इन दिनों, हैकर प्रति सेकंड अरबों हैश उत्पन्न करने में सक्षम होते हैं, इसलिए एक हैकर सिर्फ जानवर-बल का उपयोग क्यों नहीं कर सकता है इन पासवर्ड को क्रैक करें Ophcrack - लगभग किसी भी विंडोज पासवर्ड को क्रैक करने के लिए एक पासवर्ड हैक टूलविंडोज पासवर्ड हैक करने के लिए कोई भी किसी भी तरह के पासवर्ड हैक टूल का इस्तेमाल क्यों करना चाहता है, इसके कई कारण हैं। अधिक पढ़ें ? यह अतिरिक्त सुरक्षा धीमी-हैशिंग के लिए धन्यवाद है।
क्यों धीमी गति से आप को बचाता है
इस तरह के एक हमले में, यह वास्तव में लास्टपास सुरक्षा का धीमा-हैशिंग हिस्सा है जो वास्तव में आपकी सुरक्षा करता है।
LastPass पासवर्ड को सत्यापित करने के लिए उपयोग किया गया हैश फ़ंक्शन बनाता है (या इसे बनाता है) बहुत धीमी गति से काम करता है। यह अनिवार्य रूप से किसी भी हाई-स्पीड, ब्रूट-फोर्स ऑपरेशन पर ब्रेक लगाता है जिसमें अरबों संभव हैश के माध्यम से पंप करने के लिए गति की आवश्यकता होती है। कोई बात नहीं कितनी कम्प्यूटेशनल शक्ति है नवीनतम कंप्यूटर प्रौद्योगिकी आपको विश्वास करना देखना होगाअगले कुछ वर्षों में इलेक्ट्रॉनिक्स और पीसी की दुनिया को बदलने के लिए तैयार की गई कुछ नवीनतम कंप्यूटर तकनीकों की जाँच करें। अधिक पढ़ें हैकर की प्रणाली है, एन्क्रिप्शन को तोड़ने की प्रक्रिया अभी भी हमेशा के लिए ले जाएगी, अनिवार्य रूप से जानवर-बल के हमलों को बेकार में प्रस्तुत करना।
उसके शीर्ष पर, लास्टपास केवल एक बार हैश एल्गोरिथ्म नहीं चलाता है, वे इसे आपके कंप्यूटर पर हजारों बार चलाते हैं, और फिर सर्वर पर फिर से।
यहाँ बताया गया है कि लास्टपास ने उपयोगकर्ताओं को अपनी प्रक्रिया कैसे समझाई एक ब्लॉग पोस्ट में इस नवीनतम हमले के बाद:
"हमारे पास उपयोगकर्ता के कंप्यूटर पर उपयोगकर्ता नाम और मास्टर पासवर्ड दोनों है, जो PBKDF2-SHA256 के 5,000 राउंड के साथ है, एक पासवर्ड को मजबूत करने वाला एल्गोरिदम है। यह एक कुंजी बनाता है, जिस पर हम मास्टर पासवर्ड प्रमाणीकरण हैश उत्पन्न करने के लिए हैशिंग का एक और दौर करते हैं। ”
लास्टपास हेल्प डेस्क एक पोस्ट में बताया गया है कि लास्टपास धीमे-धीमे कैसे उपयोग करता है:
LastPass ने SHA-256 का उपयोग करने का विकल्प चुना है, एक धीमी हैशिंग एल्गोरिथ्म जो जानवर-बल के हमलों के खिलाफ अधिक सुरक्षा प्रदान करता है। लास्टपास आपके मास्टर पासवर्ड को आपकी एन्क्रिप्शन कुंजी में बदलने के लिए SHA-256 के साथ कार्यान्वित PBKDF2 फ़ंक्शन का उपयोग करता है।
इसका मतलब यह है कि इस हालिया सुरक्षा उल्लंघन के बावजूद, आपके पासवर्ड अभी भी बहुत सुरक्षित हैं, भले ही आपका ईमेल पता न हो।
क्या होगा अगर मेरा पासवर्ड कमजोर है?
कमजोर पासवर्ड के बारे में लास्टपास ब्लॉग पर लाया गया एक उत्कृष्ट बिंदु है। कई उपयोगकर्ता चिंतित हैं कि उन्होंने एक अद्वितीय पर्याप्त पासवर्ड का सपना नहीं देखा था, और ये हैकर्स बहुत प्रयास के बिना इसका अनुमान लगा पाएंगे।
दूरस्थ जोखिम यह भी है कि आपका खाता उन लोगों में से एक है, जो हैकर अपना समय बर्बाद कर रहे हैं डिक्रिप्ट करने के लिए, और हमेशा दूरस्थ संभावना है कि वे आपके मास्टर को सफलतापूर्वक प्राप्त कर सकें कुंजिका। फिर क्या?
लब्बोलुआब यह है कि उस सभी प्रयास को बर्बाद कर दिया जाएगा, क्योंकि किसी अन्य डिवाइस से लॉग इन करने के लिए ईमेल के माध्यम से सत्यापन की आवश्यकता होती है - आपके ईमेल - उपयोग से पहले दी जाती है। लास्टपास ब्लॉग से:
“अगर हमलावर ने आपके लॉग इन करने के लिए इन क्रेडेंशियल्स का उपयोग करके आपके डेटा तक पहुंच प्राप्त करने का प्रयास किया है लास्टपास अकाउंट, उन्हें एक नोटिफिकेशन द्वारा रोका जाएगा, जिससे उन्हें पहले अपने ईमेल को सत्यापित करने के लिए कहा जाएगा पता। "
इसलिए, जब तक कि वे किसी तरह आपके ईमेल अकाउंट को हैक नहीं कर सकते के अतिरिक्त लगभग एक अपरिहार्य एल्गोरिथ्म को डिक्रिप्ट करना, आपके पास वास्तव में चिंता करने के लिए कुछ भी नहीं है।
क्या मुझे अपना मास्टर पासवर्ड बदलना चाहिए?
आप अपने मास्टर पासवर्ड को बदलना चाहते हैं या नहीं, यह सच में उबलता है कि आप कैसा महसूस कर रहे हैं। यदि आपको लगता है कि आप एक ऐसे अनलकी व्यक्ति हो सकते हैं, जिनके पास प्रतिभाशाली हैकरों द्वारा अपना पासवर्ड क्रैक किया गया है, जो सक्षम हैं किसी तरह LastPass के 100,000 राउंड हैशिंग रूटीन और एक नमक कोड के माध्यम से समझने के लिए जो आपके लिए अद्वितीय है?
हर तरह से, अगर आप ऐसी चीजों के बारे में चिंता करते हैं, तो मन की शांति के लिए अपना पासवर्ड बदलें। इसका मतलब यह है कि हैकर्स के हाथों में कम से कम आपका नमक और हैश बेकार हो जाता है।
हालाँकि, वहाँ बाहर सुरक्षा विशेषज्ञ हैं जो सभी संबंधित नहीं हैं, जैसे सुरक्षा विशेषज्ञ जेरेमी गोस्सनी ओवर स्ट्रक्चर ग्रुप पत्रकारों को किसने बताया:
"डिफ़ॉल्ट 5,000 पुनरावृत्तियों है, इसलिए न्यूनतम 105,000 पुनरावृत्तियों को देख रहे हैं। मेरे पास वास्तव में 65,000 पुनरावृत्तियों के लिए सेट है, इसलिए मेरे डाइज़रवेयर पासफ़्रेज़ की रक्षा करने वाले कुल 165,000 पुनरावृत्तियों। तो नहीं, मैं निश्चित रूप से इस उल्लंघन को पसीना नहीं कर रहा हूँ। मैं अपना मास्टर पासवर्ड बदलने के लिए भी मजबूर महसूस नहीं करता। "
इस डेटा ब्रीच के बारे में आपके पास एकमात्र वास्तविक चिंता यह है कि हैकर्स के पास अब आपका ईमेल पता है, जिसे वे आजमाने के लिए बड़े पैमाने पर फ़िशिंग अभियान चलाने के लिए उपयोग कर सकते हैं। और लोगों को अपने विभिन्न खाते के पासवर्ड देने में छल करते हैं - या हो सकता है कि वे कुछ ऐसा कर सकते हैं जैसे कि उन सभी उपयोगकर्ता ईमेल को ब्लैक में स्पैमर्स को बेचना। मंडी।
लब्बोलुआब यह है कि इस सुरक्षा घुसपैठ से जोखिम न्यूनतम रहता है, लास्टपास सिस्टम की भारी सुरक्षा के लिए धन्यवाद। लेकिन सामान्य ज्ञान कहता है कि किसी भी समय हैकर्स ने आपके खाते का विवरण प्राप्त कर लिया है - यहां तक कि हजारों के माध्यम से संरक्षित भी उन्नत क्रिप्टोग्राफ़िक पुनरावृत्तियों - अपने मास्टर पासवर्ड को बदलना हमेशा अच्छा होता है, भले ही वह मन की शांति के लिए हो।
क्या लास्टपास सिक्योरिटी ब्रीच आपको लास्टपास की सुरक्षा के बारे में बहुत चिंतित करता है, या आप अपने खाते की सुरक्षा को लेकर आश्वस्त हैं? नीचे टिप्पणी अनुभाग में अपने विचारों और चिंताओं को साझा करें।
छवि क्रेडिट: शटरस्टॉक के माध्यम से सिक्योरिटी लॉक, Csehak Szabolcs शटरस्टॉक के माध्यम से, बास्टियन वेल्टजेन शटरस्टॉक के माध्यम से, McIek शटरस्टॉक के माध्यम से, GlebStock शटरस्टॉक के माध्यम से, बेनोइट डावाड शटरस्टॉक के माध्यम से
रयान के पास इलेक्ट्रिकल इंजीनियरिंग में बीएससी की डिग्री है। उन्होंने ऑटोमेशन इंजीनियरिंग में 13 साल, आईटी में 5 साल काम किया है, और अब एक एप्स इंजीनियर हैं। MakeUseOf के पूर्व प्रबंध संपादक, उन्होंने डेटा विज़ुअलाइज़ेशन पर राष्ट्रीय सम्मेलनों में बात की और राष्ट्रीय टीवी और रेडियो पर चित्रित किया गया है।