Tvrtka LastPass jučer je izvjestila o hakerskom napadu nakon istrage sumnjive aktivnosti u njihovoj mreži. LastPass omogućuje korisnicima spremanje svih njihovih lozinki te automatsko prijavljivanje na spremljene stranice dok korisnici trebaju zapamtiti samo glavnu lozinku. Nema dokaza da su napadači ukrali spremljene lozinke ili da su dobili pristup LastPass računima korisnika, ali su ukradene e-mail adrese korisnika, podsjetnici lozinka, dodatak lozinki (server per user salts) te ostatak od računanja hash funkcije (authentication hash). Zadnja dva podatka mogla bi biti korisna napadačima za probijenje slabih glavnih lozinki, no za autentikaciju se koristi 100,000 iteracija PBKDF2-SHA256 algoritma s poslužiteljske strane što znatno otežava brzinu mogućeg napada. Svi će korisnici trebati promijeniti svoju glavnu lozinku, a oni koji se spajaju s nove IP adrese ili s novog uređaja i ne koriste dvostupanjsku autentikaciju trebat će potvrditi svoj identitet pomoću e-maila. Korisnici koji koriste istu glavnu lozinku na drugim servisima trebali bi je promijeniti na tim servisima.
$downloadlink = get_field('download_link'); ?>Kompromitiran online servis LastPass
Izvor: www.pcworld.com