Şifre yöneticisi hizmeti Son Geçiş artık bazı kullanıcılarını daha uzun ana şifreler seçmeye zorluyor. LastPass, tüm müşterilerin en son güvenlik iyileştirmeleriyle korunmasını sağlamak için değişikliklerin gerekli olduğunu söylüyor. Ancak eleştirmenler, bu hareketin, 2022’de LastPass’te meydana gelen bir ihlal nedeniyle şifre kasaları açığa çıkan sayısız erken benimseyen kullanıcıya yardım etmek için hiçbir şey yapmayacak bir halkla ilişkiler gösterisinden biraz daha fazlası olduğunu söylüyor.
LastPass bu bildirimi bu hafta başında kullanıcılara gönderdi.
LastPass bu hafta müşterilerine, 12 karakterden az olması durumunda ana şifrelerini güncellemek zorunda kalacaklarını söyledi. LastPass bu değişikliği 2018’de resmi olarak başlattı, ancak şirketin açıklanmayan bazı eski müşterilerinden hiçbir zaman ana şifrelerinin uzunluğunu artırmaları istenmedi.
Bu çok önemli çünkü Kasım 2022’de LastPass, bilgisayar korsanlarının 25 milyondan fazla kullanıcıya ait hem şifreli hem de düz metin verileri içeren şifre kasalarını çaldığı bir ihlali açığa çıkardı.
O zamandan bu yana, teknoloji endüstrisindeki güvenlik bilincine sahip insanları hedef alan altı rakamlı kripto para birimi soygunlarının sürekli damlaması, bazı güvenlik uzmanlarının dolandırıcıların büyük olasılıkla çalınan LastPass kasalarından bazılarını açmayı başardığı sonucuna varmasına yol açtı.
KrebsOnSecurity geçen ay, hesabından üç milyon dolardan fazla değerde kripto paranın çekildiğini gören bir kurbanla röportaj yaptı. Bu kullanıcı neredeyse on yıl önce LastPass’e kaydoldu, kripto para birimi tohum ifadesini orada sakladı ve ancak yalnızca sekiz karakterden oluşan ana şifresini hiçbir zaman değiştirmedi. Ana şifresini geliştirmeye de hiç zorlanmadı.
Bu hikaye Adblock Plus yaratıcısının araştırmasına atıfta bulundu Vladimir PalantLastPass’ın birçok eski orijinal müşterisini, yıllar içinde yeni müşterilere sunulan daha güvenli şifreleme korumalarına yükseltmede başarısız olduğunu söyleyen kişi.
Örneğin, LastPass’taki bir diğer önemli varsayılan ayar, “yineleme” sayısı veya ana parolanızın şirketin şifreleme rutinlerinde kaç kez çalıştırıldığıdır. Ne kadar çok yineleme olursa, çevrimdışı bir saldırganın ana parolanızı kırması o kadar uzun sürer.
Palant, birçok eski LastPass kullanıcısı için yinelemeler için başlangıçtaki varsayılan ayarın “1” ile “500” arasında olduğunu söyledi. 2013 yılına gelindiğinde, yeni LastPass müşterilerine varsayılan olarak 5.000 yineleme veriliyordu. Şubat 2018’de LastPass varsayılanı 100.100 yineleme olarak değiştirdi. Ve çok yakın zamanda bu rakamı tekrar 600.000’e çıkardı. Yine de Palant ve LastPass’teki 2022 ihlalinden etkilenen diğerleri, hesap güvenlik ayarlarının hiçbir zaman zorla yükseltilmediğini söylüyor.
Palant, LastPass’ın bu son eylemini bir PR gösterisi olarak nitelendirdi.
Palant, “Bu mesajı, ana şifreleri zayıf olsun ya da olmasın herkese gönderdiler; bu şekilde kullanıcıları politikalarına uymamakla suçlayabilirler” dedi. “Fakat az önce zayıf şifremle giriş yaptım ve onu değiştirmek zorunda değilim. E-posta göndermek ucuz ama yine de bu politika değişikliğini uygulamak için herhangi bir teknik önlem uygulamadılar.”
Palant, her iki durumda da değişikliklerin 2022 ihlalinden etkilenen insanlara yardımcı olmayacağını söyledi.
Palant, “Bu kişilerin tüm şifrelerini değiştirmeleri gerekiyor, bu da LastPass’ın hâlâ önermediği bir şey” dedi. “Ama gelecek ihlallere bir şekilde yardımcı olacak.”
LastPass CEO’su Karim Toubba söz konusu değişen ana şifre uzunluğu (veya hatta ana şifrenin kendisi), halihazırda çalınmış ve çevrimdışı olan kasaları ele alacak şekilde tasarlanmamıştır.
Toubba, e-postayla gönderdiği bir açıklamada, “Bunun amacı, müşterilerin çevrimiçi kasalarını daha iyi korumak ve onları hesaplarını 2018 LastPass standart varsayılan ayarı olan minimum 12 karaktere getirmeye teşvik etmektir (ancak bu ayardan vazgeçilebilir)” dedi. “Bazı müşterilerin güvenliğin yerine rahatlığı seçmiş olabileceğini ve şifre oluşturucumuzu (veya başkalarını) kullanma yönündeki teşviklere rağmen daha az karmaşık ana şifreler kullanmış olabileceğini biliyoruz.”
LastPass’ın temel işlevlerinden biri, web sitelerinizin veya çevrimiçi hizmetlerinizin her biri için uzun, karmaşık şifreleri seçip hatırlamasıdır. İleride herhangi bir web sitesinde uygun kimlik bilgilerini otomatik olarak doldurmak için, ana şifrenizi kullanarak LastPass’ta kimlik doğrulamanız yeterlidir.
LastPass her zaman, bu ana şifreyi kaybederseniz bunun çok kötü olacağını, çünkü bunu saklamadıklarını ve şifrelemelerinin o kadar güçlü olduğunu, hatta kurtarmanıza yardımcı olamayacaklarını vurgulamıştır.
Ancak uzmanlar, LastPass’ın web sitesi aracılığıyla etkileşimde bulunmak yerine, siber dolandırıcıların şifrelenmiş kasa verilerinin kendisini ele geçirmesi durumunda tüm bahislerin geçersiz olduğunu söylüyor. Bu sözde “çevrimdışı” saldırılar, kötü adamların, her biri saniyede milyonlarca şifre tahminini deneyebilen güçlü bilgisayarlar kullanarak şifrelenmiş verilere karşı sınırsız ve sınırsız “kaba kuvvet” şifre kırma girişimleri gerçekleştirmesine olanak tanır.
Palant’ın blog gönderisindeki bir grafik, parola yinelemelerinin artmasının, saldırganların birisinin ana parolasını kırmak için ihtiyaç duyduğu maliyetleri ve zamanı nasıl önemli ölçüde artırdığına dair bir fikir sunuyor. Palant, yüksek güçlü tek bir grafik kartının 500 yinelemeli ortalama karmaşıklıktaki bir parolayı kırmanın yaklaşık bir yıl, 5.000 yinelemeden oluşan aynı parolayı kırmanın ise yaklaşık 10 yıl alacağını söyledi.
Resim: palant.info
Bununla birlikte, kararlı bir saldırganın, aynı anda birden fazla güçlü sistemde şifre kırma faaliyetini koordine edebilen bir bitcoin madenciliği operasyonu gibi başka büyük ölçekli hesaplama varlıkları da emrinde olduğunda bu sayılar radikal bir şekilde düşer.
Yani, kasaları hiçbir zaman daha yüksek yinelemelere yükseltilmemiş ve ana şifreleri zayıf (12 karakterden az) olan LastPass kullanıcıları, LastPass kullanıcı kasalarının geçen yılın sonlarında çalınmasından bu yana muhtemelen dağıtılmış şifre kırma saldırılarının birincil hedefi olmuştur.
Bazı LastPass kullanıcılarının neden eski güvenlik minimum düzeylerinde geride kaldıkları sorulduğunda Toubba, müşterilerin “küçük bir yüzdesinin” şifre kasalarındaki öğeleri bozduğunu ve bunun da bu hesapların yeni gereksinimlere ve ayarlara düzgün bir şekilde yükseltilmesini engellediğini söyledi.
“Müşterilerin küçük bir yüzdesinin kasalarında bozuk öğeler bulunduğunu ve daha önce ana parola veya yineleme sayısı değiştirildiğinde kasaları yeniden şifrelemek için tasarlanmış otomatik komut dosyaları kullandığımızda bunların tamamlanmadığını tespit edebildik.” Toubba dedi. “Bu hatalar başlangıçta bu çabaların bir parçası olarak belirgin değildi ve bunları keşfettiğimizde, bunu düzeltebilmek ve yeniden şifrelemeyi tamamlayabilmek için çalışıyoruz.”
Nicholas WeaverKaliforniya Üniversitesi, Berkeley Uluslararası Bilgisayar Bilimleri Enstitüsü’nde (ICSI) araştırmacı ve UC Davis’te öğretim görevlisi olan UC Davis, LastPass’ın yıllar önce mevcut kullanıcılar için yineleme sayısını zorla yükseltmeyerek büyük bir hata yaptığını söyledi.
Weaver, “Ve şimdi bu, kullanıcıları, mevcut kullanıcılar için hiçbir zaman yükseltilmemiş zayıf varsayılanlara sahip olmakla değil – ‘daha uzun bir parola kullanmalıydınız’ – suçluyor” dedi. “Kitabımda LastPass yılan yağının bir adım üstünde. Eskiden ‘İstediğiniz şifre yöneticisini seçin’ derdim ama artık ‘LastPass dışında herhangi bir şifre yöneticisini seçin’ diyorum.”
LastPass’ın neden kullanıcılara, şirket geçen yıl saldırıya uğradığında çalınan şifrelenmiş ana parolayla korunan tüm parolaları değiştirmelerini önermediği sorulduğunda Toubba, bunun nedeninin “verilerin müşterilerimizin çoğunluğunun önerilerimize uyduğunu göstermesi (veya daha büyük) ve kaba kuvvetle kasa şifrelemesinin başarıyla gerçekleştirilme olasılığı buna göre büyük ölçüde azalır.”
Toubba, “Aralık 2022’den beri müşterilerimize önerilen yönergelere uymaları gerektiğini söylüyoruz” diye devam etti. “Ve eğer kurallara uymamışlarsa, alt şifrelerini değiştirmelerini tavsiye ettik.”