Храните секретные фразы от криптокошельков в LastPass? А зря

Ноябрьский взлом популярного менеджера паролей больно ударил по криптоинвесторам...

В ноябре 2022 года сервис менеджера паролей LastPass сообщил о взломе, в результате которого злоумышленники получили доступ к хранилищам паролей 25 миллионов пользователей, включая зашифрованные и открытые данные. С тех пор эксперты по кибербезопасности зафиксировали серию крупных криптовалютных хищений, жертвами которых становились технически подкованные люди в сфере высоких технологий.

Это наводит на мысль о том, что злоумышленникам удалось взломать некоторые украденные хранилища LastPass и получить доступ к секретным фразам людей, которые используются для доступа к криптокошелькам.

Тейлор Монахан, основательница и генеральный директор криптокошелька MetaMask, а также другие эксперты — уже обнаружили ряд признаков, указывающих на связь последних краж криптовалюты у более чем 150 человек со взломом LastPass.

По словам Монахан, общая сумму ущерба превысила 35 миллионов долларов. Практически все пострадавшие были опытными инвесторами в криптовалюту и ответственно подходили к вопросам кибербезопасности. При этом ни у кого не было взломано электронной почты или мобильного телефона.

С марта 2023 года Монахан документирует случаи краж криптовалюты в своём блоге, ломая голову в поисках общей причины компрометации среди жертв. 28 августа она пришла к выводу, что общим знаменателем практически у всех пострадавших было использование LastPass для хранения секретных фраз доступа к криптокошелькам.

Зная секретную фразу, злоумышленник может мгновенно получить доступ ко всем криптоактивам и перевести средства куда угодно. Поэтому многие эксперты рекомендуют хранить фразы в зашифрованном виде, например в менеджере паролей или специальном аппаратном криптокошельке.

«Секретная фраза — это буквально деньги», — сказал Ник Бакс из компании по восстановлению криптокошельков Unciphered. Он тщательно проанализировал данные о кражах криптовалюты, собранные Тейлор Монахан и другими исследователями, и подтвердил их выводы.

Бакс, Монахан и другие эксперты установили, что практически у всех опрошенных пострадавших секретные фразы хранились в LastPass. Это указывает на связь взлома LastPass с последующими кражами криптовалюты, хотя однозначно доказать это сложно.

Эксперты рекомендуют пользователям LastPass срочно сменить пароли и перевести криптоактивы в новые аппаратные кошельки. Стоит также изменить учётные данные для онлайн-банкинга и других важных аккаунтов.

Компания LastPass в официальном заявлении подтвердила, что инцидент расследуется правоохранительными органами и не комментирует его подробности. LastPass призывает экспертов делиться полезной информацией по делу с их службой безопасности.
Источник

Не новость, это с 22 так и тянется.
Новое только что в начале 2023г им коллективный иск выкатили что не сберегли данные, но в статье этого нет.

Сами виноваты (LastPass). Знали что у них с момента основания 08г пароли под слабым шифрованием и старым клиентам надо вручную расширенные настройки менять. Точно так же были в курсе что украденые в августе 22 бэкапы кроме открытой инфы (само по себе не очень) содержат и зашифрованые данные в том числе и от тех старых клиентов. А в ноябре 22 всех уверяли «users that passwords stored with the service were still secure». Это если не вспоминать про доступ к исходникам с девелоперского ноута.
Но уверяли «в Багдаде все спокойно», дождались иска, краж и расследований.

Лучше хранилище - ваша память

Лучше KeePass

Фонарь1 писал(а):

Лучше KeePass

Лучше блокнот(бумажный) в своём сейфе(стальном).

Слитая база с паролями в LastPass зашифрована алгоритмом AES-256, ключ от которой, как я предполагаю - это пароль юзера LastPass. Если юзер сделал себе на личный кабинет плохой и короткий пароль, то расшифровать все его пароли не составит труда.

Наивные люди.
Болгарка все режет...

AlexPol писал(а):

Болгарка все режет...

Зачем же так грубо. Терморектальный метод творит чудеса.

Единственный условный вариант безопасности это быть параноиком, конечно же. Придумываете собственный шифр и записываете УФ ручкой на обоях. Главное что бы был подлиннее.
Берегите себя и свои нюдсы

Eagle123 писал(а):

Слитая база с паролями в LastPass зашифрована алгоритмом AES-256, ключ от которой, как я предполагаю - это пароль юзера LastPass. Если юзер сделал себе на личный кабинет плохой и короткий пароль, то расшифровать все его пароли не составит труда.

Эти расчёты перебора условны и рассчитаны для обычных компьютеров. Мне давно уже очень интересно, как с подобным справятся квантовые компьютеры.

Spiki56 писал(а):

Мне давно уже очень интересно, как с подобным справятся квантовые компьютеры.

Статья была на 3д-ньюс (а там со Schneier), китайцы смогли эффективно масштабировать алгоритм Шора, на практике ломанув 48-битный ключ 10-кубитной квантовой системой - утверждается, что проблем для криптозначимых длин ключей там нет.
Примерно, RSA-2048 потребует 372 кубита. Новый IBM Osprey дает 433.
Если правда, и подтвердится практикой, то считай RSA - все, наступает эра постквантовой крипты, через 1-2 года.

Иногда всё таки хорошо, когда денег нет..

Eagle123 писал(а):

Слитая база с паролями в LastPass зашифрована алгоритмом AES-256, ключ от которой, как я предполагаю - это пароль юзера LastPass. Если юзер сделал себе на личный кабинет плохой и короткий пароль, то расшифровать все его пароли не составит труда.

Эти таблицы - бред сивой кобылы. Они актуальны с огромной натяжкой, если ваш ломаемый пароль лежит в ячейке оперативной памяти, которую нужно просто прочитать, т.е. доступ к нему практически моментальный. Но если вы решили перебирать какой-то API как локальный (быстрее), так и сетевой (на порядок медленнее), то добавляется оверхед (накладные расходы по времени и ресурсам), который все ставит на свои места, накидывая пару порядков на время, если перебор вообще не будет заблокирован (смотря что перебирать).

зачем ломать он-лайн, если у тебя лежит слитая база с колонкой 'pwd hash'?
первый продход - радужные таблицы, второй - локальный взлом

Это уже какой по счёту взлом пиаренной конторки?

использую bitwarden, на своем хосте