Serviciul de administrare a parolelor LastPass a anunțat săptămâna trecută că au avut probleme cu o bresă în date care a expus adresele de email ale utilizatorilor, parolele criptate și indiciile care le aduc aminte parolele, demontrând nevoia de logare fără parolă a utilizatorilor.
Urmând sfatul de a nu folosi aceeași parolă de două ori și de a alege parole greu de ghicit (și de ținut minte), mulți oameni folosesc site-uri de administrare a parolelor ca LastPass. Dar problema atunci când folosești niște terți pentru a-ți stoca parolele undeva pe Internet este că…și ei pot fi atacați de hackeri.
LastPass și-a luat cu siguranță multe măsuri de precauție, iar unele dintre ele au funcționat. De exemplu, LastPass nu a avut nici un moment acces la parolele master în format cleartext. Pe de altă parte au stocat atle informații despre utilizatori în cleartext, iar acest lucru a compromis informațiile care pot fi folosite pentru a ghici parolele master slabe.
LastPass a explicat pe blog că salts-urile server-per-user și hash-urile de autentificare au fost compromise. Angajatul Joe Siegrist a scris într-un articol ulterior că ”Un atacator ar putea să încerce să ghicească parolele master, apois să folosească per-user-salt și hash-uri de autentificare pentru a afla dacă au ghicit corect. […] Dacă parola mater este slabă sau dacă indiciile o fac ușor de ghicit, atunci atacatorul ar putea să reducă în mod semnificativ numărul de încercări de care are nevoie pentru a nimeri parola corectă.”
Când tragem în sfârșit linia și migrăm către logare fără parolă?
Lumea criptomonedei a fost relativ rapidă când vine vora despre asimilarea logărilor fără parolă pe Internet. A început atunci când Satoshi Labs a oferit utilizatorilor Trezor Connect, care îți permite să te loghezi la site-uri participante conectând pur și simplu un portofel hardware.
Cominitatea criptomonedei a fost de semenea foarte încântată de primul SQRL (Secure Quick Reliable Login) care folosește codul QR și criptografie cu public-key din spatele monedei bitcoin pentru a face logări fără parolă.
Aceste două noutăți în sine demonstrează că numele de utilizatori și parolele nu sunt neapărat necesare pentur a asigura o relație sigură între client și server online. Dar își va lua avânt vreuna dintre ele? Se va dovedi altă variantă mai atractivă? Depinde de câte breșe de securitate mai suportă utilizatorii.
Înapoi la Știri Bitcoin