Kibertámadás érte az egyik legnépszerűbb, több, mint 25 milliós felhasználói bázissal rendelkező felhőalapú jelszómenedzser szolgáltatást. A legfőbb kérdés persze az, hogy a hackerek hozzáfértek-e a felhasználók féltve őrzött jelszavaihoz.
A cég 2022. augusztus 25-én jelentette be az incidenst. Eszerint illetéktelenek a LastPass egy fejlesztői környezetéhez fértek hozzá, ahonnan forráskódokat és egyéb belsős technikai információkat szereztek meg. Mint kiderült, a támadók egy fejlesztő fiókját kompromittálták, és ennek segítségével fértek hozzá a rendszerhez. A közlemény azonban határozottan állítja, hogy a hackerek nem fértek hozzá az ügyfelek adataihoz, főképp a jelszavak hozzáféréséhez szükséges mesterjelszóhoz. A kivizsgálás saját bevallásuk szerint is javában zajlik, akkor mégis hogyan lehet ilyen biztos ebben a cég? A válasz a zero-knowledge elvben keresendő.
Ami nincs nálam, azt ellopni sem tudják tőlem
A klasszikus hitelesítési eljárás lényege leegyszerűsítve az, hogy amikor a felhasználó bejelentkezéskor megadja jelszavát, az a felhasználónév alapján behasonlításra kerül a szerveren tárolt változattal, egyezés esetén lesz engedélyezett a hozzáférés. Persze ma már elvárható, hogy a jelszóról tárolt változat ne elolvasható formában legyen rögzítve, mivel egy illetéktelen személy azt így könnyen kihasználhatná, ezért ideális esetben a jelszóról egy nem visszafejthető lenyomat (hash) kerül rögzítésre. A bejelentkezés során ugyanígy készül egy lenyomat, és csupán ennek a kettőnek az egyezését kell ellenőrizni.
A zero-knowledge architektúrák ezzel szemben más elven működnek. A hitelesítés során ezeknél nem a jelszó vagy annak a tikosított változata kerül ellenőrzésre, hanem egy ún. bizonyíték (proof) egy matematikai számítás eredménye, ami anélkül igazolja, hogy a felhasználó valóban rendelkezik a jelszóval, hogy a jelszót fel kellene fednie.
Cserélni vagy nem cserélni?
A LastPass közleményében nem tartja szükségesnek a jelszócserét, azonban a biztonsági tanácsok között említett többfaktoros azonosítás engedélyezését mindenképp javasolt elvégezni, ha ez esetleg még nem történt meg.
Illetve rögtön tegyük mellé azt is, hogy bár a zero-knowledge architektúrák elméleti szinten magas szintű biztonságot garantálhatnak, azonban, hogy egy vállalat ezt a saját infrastruktúrájában pontosan hogyan valósítja meg, maximum közvetve igazolható, ezért már a legkisebb kételkedés esetén is javasolt a mesterjelszó cseréje.
