Efter intrånget: Nu anklagas LastPass för att ljuga och mörka uppgifter

av | dec 28, 2022 | Säkerhet

Strax före jul gick LastPass med mer information om ett intrång av obehöriga och medgav då att intrånget var långt mera allvarligt än vad de första uppgifterna sa. Lösenord, kunders lösenord, hade stulits vid intrånget.

Efter att ha gått igenom alla tekniska påståenden säger nu en säkerhetsforskare att situationen är mycket värre än vad företaget hävdar och menar att uttalandet är ”fullt av utelämnanden, halvsanningar och direkta lögner.”

Wladimir Palant skriver på sin säkerhets-blogg, Almost Secure, har gått igenom 14 olika uttalanden i LastPass-uttalanden om intrånget. Palant, går igenom allt från företagets löften om transparens till sina egen säkerhetspraxis. Wladimir Palant  anser att LastPass har tonat ner riskerna och är skyldig till ”grov vårdslöshet”.

Ett av påståendena i fråga är LastPass som säger till kunderna ”Om du använder standardinställningarna ovan skulle det ta miljontals år att gissa ditt huvudlösenord med allmänt tillgänglig lösenordsknäckningsteknik.”

Deras uttalande är också fullt av utelämnanden, halvsanningar och direkta lögner. Eftersom jag vet att inte alla kan se igenom allt, tänkte jag att jag skulle plocka ut ett gäng meningar från detta uttalande och ge ett sammanhang som LastPass inte ville nämna.

Palant säger att det snarare handlar två månader än ”miljoner år” för den genomsnittliga personen:

Jag översätter: ”Om du har gjort allt rätt kan ingenting hända dig.” Detta bereder återigen grunden för att skylla på kunderna. Man skulle anta att människor som ”testar den senaste teknologin för lösenordsknäckning” skulle veta bättre än så. Som jag har räknat ut, skulle det ta mindre än en miljon år i genomsnitt att gissa ett riktigt slumpmässigt lösenord som uppfyller deras komplexitetskriterier med ett enda grafikkort.

Men mänskligt valda lösenord är långt ifrån slumpmässiga. De flesta människor har problem med att komma ihåg ett riktigt slumpmässigt lösenord på tolv tecken. En äldre undersökning fann att det genomsnittliga lösenordet hade 40 bitar av entropi. Sådana lösenord kan gissas på lite mer än två månader på samma grafikkort. Även ett ovanligt starkt lösenord med 50 bitar av entropi skulle ta 200 år i genomsnitt – inte orealistiskt för ett högvärdigt mål som någon skulle kasta mer hårdvara på.

What’s in a PR statement: LastPass breach explained

Intrånget hos LastPass: Dina lösenord kan nu vara i händerna på hackare

Efter det senaste intrånget – kan du lita på LastPass?

0 kommentarer


Mikael Winterkvist

Fyrabarns-far, farfar, morfar och egen företagare i Skellefteå med kliande fingrar. Jag skriver om fotografering, sport, dataprylar, politik, nöje, musik och film. Vid sidan av den här bloggen så jobbar jag med med det egna företaget Winterkvist.com. Familjen består av hustru, fyra barn (utflugna) och fem barnbarn.

Jag har hållit på med datorer sedan tidigt 1980-tal och drev Artic BBS innan Internet knappt existerade. Efter BBS-tiden har det blivit hemsidor, design, digitala medier och trycksaker. Under tiden som journalist jobbade jag med Mac men privat har det varit Windows som har gällt fram till vintern 2007. Då var det dags att byta och då bytte vi, företaget, helt produktionsplattform till macOS. På den vägen är det.

_____________________________________________________________________________________

Anmäl dig till Magasin Mackens nyhetsbrev

Du får förhandsinformation om Macken, våra planer och du får informationen, först och direkt till din mail. Vi lovar att inte skicka din information vidare och vi lovar att inte skicka ut mer än max ett nyhetsbrev per månad.

Anmäl dig här

_____________________________________________________________________________________

De senaste inläggen: