¿REALMENTE necesito cambiar mi contraseña de LastPass?

8

La red de LastPass del pasado fin de semana se vio comprometida y se robó una lista de direcciones de correo electrónico junto con los hashes de las contraseñas maestras. Se recomienda que los usuarios de LastPass cambien sus contraseñas en varios sitios web de seguridad. enlace

De acuerdo con el enlace LastPass anterior, "LastPass fortalece el hash de autenticación con un salt aleatorio y 100,000 rondas de PBKDF2-SHA256 del lado del servidor, además de las rondas realizadas del lado del cliente".

¿Hay alguna razón real para que alguien con una contraseña segura (más de 30 caracteres aleatorios) se moleste en cambiar su contraseña maestra? Mi entendimiento fue que con una sal aleatoria y 100,000 rondas de PBKDF2-SHA256 y una contraseña larga, la contraseña estaría a salvo de ataques de fuerza bruta, incluso si un hacker tuviera un presupuesto igual al PIB mundial. Estoy haciendo esta pregunta para asegurarme de que no me esté perdiendo algo.

    
pregunta cuengi8 16.06.2015 - 16:06
fuente

2 respuestas

2

No, una contraseña de más de 30 caracteres aleatorios es segura

Si su contraseña tiene más de 30 caracteres aleatorios, el número de contraseñas posibles está muy por encima de 95 ^ 30, que es 2.14e59.

La página Oclhashcrack proporciona una tasa de crack de muestra para SHA256 de 16,904 Mh / s. Así que asumamos que el "presupuesto igual al PIB mundial" permitiría que un millón de estas computadoras realizaran el cracking. (Estamos ignorando las 10,000 rondas por simplicidad).

La computadora puede adivinar 16 mil millones de hashes por segundo por 1 millón de computadoras. Esto equivaldría a 1.6e16 conjeturas por segundo. Por lo tanto, aún tomaría 1.3e43 segundos, lo que equivale a 3.1 e25 veces la edad del universo. Multiplica el número de computadoras por 10, y desciendes a 3.1e24 veces la edad del universo.

Así que finalmente considere que las 10,000 rondas significa que el cálculo de hash se reduciría en 10,000. Además considera que los hashes son salados al azar. Esto significa que un ataque debe estar dirigido a un hash específico.

¿Qué pasa con otras posibilidades de ataque?

Si consideramos que los atacantes tuvieron acceso a la red de Lastpass, es más probable que los atacantes obtengan el texto simple de una contraseña de más de 30 caracteres aleatorios al interceptarlo en texto simple cuando inicie sesión en el sitio web. Lastpass no ha dado ninguna indicación de que esto haya sucedido, pero esta sería una razón realista para cambiar su contraseña.

    
respondido por el amccormack 16.06.2015 - 16:21
fuente
0

El verdadero peligro no es una suposición estructurada, creo. Adivinar lleva mucho tiempo para más de 30 contraseñas o frases de contraseña en promedio. Pero, en promedio, también implica que podrían tener algo de suerte el día 1, y no quiere que su contraseña sea la afortunada.

El peligro real son las listas existentes con millones de contraseñas conocidas. Hashearlos uno por uno y comparar el hash con los hashes robados es bastante factible. He visto listas que contenían:

yTp3HHuuCTo9kyTp3HHuuCTo9kyTp3HHuuCTo9k

xc3xacntrxc3xackulxc3xacmbroqulxc3xac

yankeesayka-ofrp3olgavaner8913gruscha

werhnbkliopfdsrftgwerhnbkliopfdsrftg

welcomeelquehacequeelcorazonyore_21

whateverabdulaziz.ahmadjonov.1977

williamshort.guy.with.blonde.hair

Todos los 30+, y todos en peligro. Que yo sepa, la única manera de hacer frente a este riesgo de listas de contraseñas conocidas, es elegir sus caracteres o palabras de forma aleatoria. Si no lo has hecho, tu contraseña 30+ está en riesgo.

    
respondido por el Dick99999 17.06.2015 - 13:10
fuente

Lea otras preguntas en las etiquetas