Vn-Z.vn Ngày 30 tháng 12 năm 2022, LastPass là trình quản lý mật khẩu giúp bạn quản lý toàn bộ các mật khẩu tài khoản với công nghệ mã hóa bảo mật cho thông tin cá nhân. Sự cố bảo mật xảy ra vào tháng 11 năm 2022 với LastPass tiếp tục gây ảnh hhưởng tới người dùng. LastPass đưa ra thông báo trước lễ Giáng sinh, thừa nhận tin tặc đã đánh cắp dữ liệu người dùng bao gồm tên, URL và mật khẩu (mã hóa) trong một sự cố bảo mật xảy ra vào tháng 11 năm 2022.
LastPass, trình quản lý mật khẩu được hơn 33 triệu người dùng và 100.000 doanh nghiệp sử dụng, cho biết một hacker đã lấy đi mã nguồn và thông tin độc quyền sau khi đột nhập hệ thống. Công ty không phát hiện dấu hiệu cho thấy mật khẩu bị đánh cắp trong vụ xâm phạm và người dùng cũng chưa cần làm gì để bảo vệ tài khoản.
Có thể hacker đã tiếp cận các khóa của kho mật khẩu sau khi đánh cắp mã nguồn, tuy nhiên các “kho mật khẩu” này được mã hóa và chỉ giải mã được bằng mật khẩu chính (master) của khách hàng, thứ không bị xâm phạm trong cuộc tấn công.
Sau khi các chuyên gia bảo mật đặt ra 14 câu hỏi thông báo chính thức, một ứng dụng quản lý mật khẩu khác như 1Password đã phản bác lại các thông báo của Lastpass.
Cụ thể ngày 22 tháng 12, LastPass đăng một bản cập nhật cho thông báo của họ về vụ xâm phạm vào tháng 8 năm 2022. Bản thông báo cập nhật nói rằng dữ liệu người dùng được mã hóa “vẫn được bảo mật bằng mã hóa AES 256-bit và chỉ có thể được giải mã bằng một khóa mã hóa duy nhất được lấy từ mật khẩu chính của mỗi người dùng bằng kiến trúc Zero Knowledge của chúng tôi”. Thông báo tiếp tục nêu rõ rằng “nếu bạn sử dụng các cài đặt mặc định ở trên, sẽ mất hàng triệu năm để đoán mật khẩu chính của bạn bằng công nghệ bẻ khóa mật khẩu phổ biến”. Cài đặt mặc định mà Lastpass đề cập đến là 100.100 vòng PBKDF2 xử lý LastPass và độ dài mật khẩu tối thiểu là mười hai ký tự.
Theo thông báo của LastPass họ chia sẻ rằng sẽ mất hàng triệu năm mới có thể bẻ khóa mật khẩu chính của người dùng, tuy nhiên các chuyên gia bảo mật đã đặt câu hỏi rằng có hay không việc chỉ mất 2 tháng là có thể bẻ khóa mật khẩu chính của người dùng thông thường. 1password một ứng dụng khác trong mảng quản lý mật khẩu đã phản bác lại thông báo trên của Lastpass và cho biết rằng chỉ tốn 100 đô la là có thể bẻ khóa mật khẩu chính thông thường.
Jeffrey Goldberg, kiến trúc sư bảo mật chính của 1Password, cho biết trong một bài đăng trên blog rằng nội dung của thông báo LastPass đã phóng đại quá mức độ khó của việc bẻ khóa và nếu bạn thực sự muốn bẻ khóa mật khẩu chính của một khách hàng LastPass thông thường, thì chỉ tốn 100 đô la hoặc hơn.
Lý do Goldberg ủng hộ quan điểm này là vì hầu hết mật khẩu chính trong đời thực của người dùng không phải là ngẫu nhiên và họ cũng biết điều này đối với những kẻ bẻ khóa mật khẩu. Rõ ràng dễ dàng hơn nhiều khi bẻ khóa mật khẩu chỉ có nội dung tiếng Anh và số (chẳng hạn như Fido8my2Sox), nhưng đương nhiên sẽ mất nhiều thời gian hơn khi bẻ khóa mật khẩu có nhiều ký tự đặc biệt như "2b||!2b.titq" và "zm-@MvY7*7eL". Nhưng người dùng thông thường không sử dụng mật khẩu phức tạp, khó nhớ như mật khẩu chính của họ.
Goldberg cho biết hầu hết các mật khẩu chính có thể bị bẻ khóa trong vòng khoảng 10 tỷ lần đoán và với giá khoảng 100 đô la.
Bạn đọc có thể tham khảo thêm thông tin tranh luận của 1password tại đây
blog.1password.com
LastPass, trình quản lý mật khẩu được hơn 33 triệu người dùng và 100.000 doanh nghiệp sử dụng, cho biết một hacker đã lấy đi mã nguồn và thông tin độc quyền sau khi đột nhập hệ thống. Công ty không phát hiện dấu hiệu cho thấy mật khẩu bị đánh cắp trong vụ xâm phạm và người dùng cũng chưa cần làm gì để bảo vệ tài khoản.
Có thể hacker đã tiếp cận các khóa của kho mật khẩu sau khi đánh cắp mã nguồn, tuy nhiên các “kho mật khẩu” này được mã hóa và chỉ giải mã được bằng mật khẩu chính (master) của khách hàng, thứ không bị xâm phạm trong cuộc tấn công.
Sau khi các chuyên gia bảo mật đặt ra 14 câu hỏi thông báo chính thức, một ứng dụng quản lý mật khẩu khác như 1Password đã phản bác lại các thông báo của Lastpass.
Cụ thể ngày 22 tháng 12, LastPass đăng một bản cập nhật cho thông báo của họ về vụ xâm phạm vào tháng 8 năm 2022. Bản thông báo cập nhật nói rằng dữ liệu người dùng được mã hóa “vẫn được bảo mật bằng mã hóa AES 256-bit và chỉ có thể được giải mã bằng một khóa mã hóa duy nhất được lấy từ mật khẩu chính của mỗi người dùng bằng kiến trúc Zero Knowledge của chúng tôi”. Thông báo tiếp tục nêu rõ rằng “nếu bạn sử dụng các cài đặt mặc định ở trên, sẽ mất hàng triệu năm để đoán mật khẩu chính của bạn bằng công nghệ bẻ khóa mật khẩu phổ biến”. Cài đặt mặc định mà Lastpass đề cập đến là 100.100 vòng PBKDF2 xử lý LastPass và độ dài mật khẩu tối thiểu là mười hai ký tự.
Theo thông báo của LastPass họ chia sẻ rằng sẽ mất hàng triệu năm mới có thể bẻ khóa mật khẩu chính của người dùng, tuy nhiên các chuyên gia bảo mật đã đặt câu hỏi rằng có hay không việc chỉ mất 2 tháng là có thể bẻ khóa mật khẩu chính của người dùng thông thường. 1password một ứng dụng khác trong mảng quản lý mật khẩu đã phản bác lại thông báo trên của Lastpass và cho biết rằng chỉ tốn 100 đô la là có thể bẻ khóa mật khẩu chính thông thường.
Jeffrey Goldberg, kiến trúc sư bảo mật chính của 1Password, cho biết trong một bài đăng trên blog rằng nội dung của thông báo LastPass đã phóng đại quá mức độ khó của việc bẻ khóa và nếu bạn thực sự muốn bẻ khóa mật khẩu chính của một khách hàng LastPass thông thường, thì chỉ tốn 100 đô la hoặc hơn.
Lý do Goldberg ủng hộ quan điểm này là vì hầu hết mật khẩu chính trong đời thực của người dùng không phải là ngẫu nhiên và họ cũng biết điều này đối với những kẻ bẻ khóa mật khẩu. Rõ ràng dễ dàng hơn nhiều khi bẻ khóa mật khẩu chỉ có nội dung tiếng Anh và số (chẳng hạn như Fido8my2Sox), nhưng đương nhiên sẽ mất nhiều thời gian hơn khi bẻ khóa mật khẩu có nhiều ký tự đặc biệt như "2b||!2b.titq" và "zm-@MvY7*7eL". Nhưng người dùng thông thường không sử dụng mật khẩu phức tạp, khó nhớ như mật khẩu chính của họ.
Goldberg cho biết hầu hết các mật khẩu chính có thể bị bẻ khóa trong vòng khoảng 10 tỷ lần đoán và với giá khoảng 100 đô la.
Bạn đọc có thể tham khảo thêm thông tin tranh luận của 1password tại đây
Not in a million years: It can take far less to crack a LastPass password | 1Password
How 1Password goes above and beyond to protect you in the event of a data breach.
