▪︎ مجلس نيوز
في الأسبوع الماضي ، قبل عيد الميلاد بقليل ، أسقط LastPass إعلانًا مفاجئًا: نتيجة لخرق في أغسطس ، مما أدى إلى اختراق آخر في نوفمبر ، وضع المتسللون أيديهم على خزائن كلمات مرور المستخدمين. بينما تصر الشركة على أن معلومات تسجيل الدخول الخاصة بك لا تزال آمنة ، ينتقد بعض خبراء الأمن السيبراني بشدة منشوره، بالقول إن ذلك قد يجعل الأشخاص يشعرون بالأمان أكثر مما هم عليه بالفعل ، مشيرًا إلى أن هذه ليست سوى أحدث حلقة في سلسلة من الحوادث التي تجعل من الصعب الوثوق بمدير كلمات المرور.
جاء في بيان LastPass في 22 كانون الأول (ديسمبر) أنه “مليء بالإغفالات وأنصاف الحقائق والأكاذيب الصريحة” منشور مدونة من فلاديمير بلانت، وهو باحث أمني معروف بالمساعدة في تطوير AdBlock Pro ، من بين أشياء أخرى. تتناول بعض انتقاداته كيفية تأطير الشركة للحادث ومدى شفافيته ؛ يتهم الشركة بمحاولة تصوير حادثة أغسطس حيث يقول LastPass “تمت سرقة بعض التعليمات البرمجية المصدر والمعلومات التقنية” كخرق منفصل عندما قال إن الشركة في الواقع “فشلت في احتواء” الخرق.
“ادعاء LastPass بـ” عدم المعرفة “كذبة صلعاء”.
كما يسلط الضوء على اعتراف LastPass بأن البيانات المسربة تضمنت “عناوين IP التي كان العملاء يصلون من خلالها إلى خدمة LastPass” ، قائلاً إن ذلك قد يسمح لممثل التهديد “بإنشاء ملف تعريف حركة كامل” للعملاء إذا كان LastPass يسجل كل عنوان IP استخدمته مع خدمتها.
كتب باحث أمني آخر ، جيريمي جوسني منشور طويل على Mastodon شرح توصيته للانتقال إلى مدير كلمات مرور آخر. يقول: “إن ادعاء LastPass بـ” عدم المعرفة “كذبة صلعاء” ، مدعيًا أن الشركة لديها “قدر من المعرفة يمكن أن يفلت منه مدير كلمات المرور”.
تدعي LastPass أن بنية “المعرفة الصفرية” الخاصة بها تحافظ على سلامة المستخدمين لأن الشركة لا تملك مطلقًا إمكانية الوصول إلى كلمة مرورك الرئيسية ، وهو الشيء الذي سيحتاجه المتسللون لفتح الخزائن المسروقة. بينما لا يجادل جوسني في هذه النقطة بالذات ، إلا أنه يقول إن العبارة مضللة. “أعتقد أن معظم الناس يتصورون قبوهم كنوع من قاعدة البيانات المشفرة حيث يكون الملف بأكمله محميًا ، ولكن لا – باستخدام LastPass ، يكون المخزن الخاص بك عبارة عن ملف نص عادي ويتم تشفير عدد قليل فقط من الحقول المحددة.”
يلاحظ Palant أيضًا أن التشفير لا يفيدك إلا إذا لم يتمكن المتسللون من اختراق كلمة مرورك الرئيسية ، وهو الدفاع الرئيسي لـ LastPass في منشوره: إذا كنت تستخدم الإعدادات الافتراضية لطول كلمة المرور وتقويتها ولم تقم بإعادة استخدامها على كلمة مرور أخرى موقع الويب ، “سيستغرق الأمر ملايين السنين لتخمين كلمة مرورك الرئيسية باستخدام تقنية تكسير كلمات المرور المتاحة بشكل عام” كتب كريم طوبا ، الرئيس التنفيذي للشركة.
“هذا يمهد الطريق لإلقاء اللوم على العملاء” ، كتب Palant ، قائلاً: “يجب أن تدرك LastPass أن كلمات المرور إرادة يتم فك تشفيرها لبعض عملائها على الأقل. ولديهم تفسير مناسب بالفعل: من الواضح أن هؤلاء العملاء لم يتبعوا أفضل ممارساتهم “. ومع ذلك ، يشير أيضًا إلى أن LastPass لم يفرض بالضرورة هذه المعايير. على الرغم من حقيقة أنها جعلت كلمات المرور المكونة من 12 حرفًا هي كلمات المرور الافتراضية في عام 2018 ، يقول Palant ، “يمكنني تسجيل الدخول باستخدام كلمة المرور المكونة من ثمانية أحرف دون أي تحذيرات أو مطالبات لتغييرها”.
“إنهم يرتكبون كل خطيئة” تشفير 101 “
يتعامل كل من Gosney و Palant مع التشفير الفعلي لـ LastPass أيضًا ، وإن كان لأسباب مختلفة. يتهم Gosney الشركة بارتكاب “كل خطيئة” تشفير 101 “مع كيفية تنفيذ تشفيرها وكيفية إدارتها للبيانات بمجرد تحميلها في ذاكرة جهازك.
وفي الوقت نفسه ، تنتقد شركة Palant منشور الشركة لرسم خوارزمية تقوية كلمة المرور ، والمعروفة باسم PBKDF2 ، على أنها “أقوى من المعتاد”. تكمن الفكرة وراء هذا المعيار في أنه يجعل من الصعب فرض تخمين كلمات المرور الخاصة بك ، حيث سيتعين عليك إجراء عدد معين من العمليات الحسابية على كل تخمين. كتب بالانت: “أتساءل بجدية عما يعتبره LastPass نموذجيًا ، نظرًا لأن 100000 تكرار PBKDF2 هو أقل رقم رأيته في أي مدير كلمات مرور حالي”.
Bitwarden ، مدير كلمات مرور شهير آخر ، يقول أن تطبيقه يستخدم 100،001 تكرار، وأنه يضيف 100000 تكرار أخرى عندما يتم تخزين كلمة المرور الخاصة بك على الخادم ليصبح المجموع 200.001. 1 كلمة المرور تقول يستخدم 100،000 تكرار ، لكن مخطط التشفير الخاص به يعني أنه يجب أن يكون لديك مفتاح سري وكلمة مرور رئيسية لإلغاء تأمين بياناتك. وتضمن هذه الميزة “أنه إذا حصل أي شخص على نسخة من المخزن الخاص بك ، فلن يتمكن ببساطة من الوصول إليها باستخدام كلمة المرور الرئيسية وحدها ، مما يجعلها غير قابلة للاختراق” ، وفقًا لجوسني.
يشير Palant أيضًا إلى أن LastPass لم يكن يتمتع دائمًا بهذا المستوى من الأمان وأن الحسابات القديمة قد تحتوي فقط على 5000 تكرار أو أقل – شيء ما الحافة أكد الأسبوع الماضي. هذا ، إلى جانب حقيقة أنه لا يزال يتيح لك الحصول على كلمة مرور مكونة من ثمانية أحرف ، يجعل من الصعب أخذ ادعاءات LastPass حول أنها تستغرق ملايين السنين لكسر كلمة مرور رئيسية على محمل الجد. حتى لو كان هذا صحيحًا بالنسبة لشخص أنشأ حسابًا جديدًا ، فماذا عن الأشخاص الذين استخدموا البرنامج لسنوات؟ إذا لم يصدر LastPass تحذيرًا أو فرض ترقية لتلك الإعدادات الأفضل (التي يقول Palant أنها لم تحدث له) ، فإن “الإعدادات الافتراضية” ليست مفيدة بالضرورة كمؤشر على مدى قلق مستخدميها.
نقطة شائكة أخرى هي حقيقة أن LastPass لديه ، لسنوات، تجاهلت الدعوات لتشفير البيانات مثل عناوين URL. يشير Palant إلى أن معرفة مكان وجود حسابات لدى الأشخاص يمكن أن يساعد المتسللين على استهداف الأفراد على وجه التحديد. “الجهات الفاعلة التهديد الحب لمعرفة ما يمكنك الوصول إليه. وبعد ذلك يمكنهم إنتاج رسائل بريد إلكتروني تصيدية جيدة الاستهداف فقط للأشخاص الذين يستحقون جهودهم “. ويشير أيضًا إلى أنه في بعض الأحيان قد تمنح عناوين URL المحفوظة في LastPass الأشخاص وصولاً أكثر مما هو مقصود ، وذلك باستخدام مثال رابط إعادة تعيين كلمة المرور الذي لم تنته صلاحيته بشكل صحيح.
هناك أيضًا زاوية خصوصية ؛ يمكنك معرفة أ كثيرا حول شخص بناءً على مواقع الويب التي يستخدمونها. ماذا لو استخدمت LastPass لتخزين معلومات حسابك لموقع إباحي متخصص؟ هل يمكن لشخص ما معرفة المنطقة التي تعيش فيها بناءً على حسابات مزود المرافق الخاصة بك؟ هل المعلومات التي تستخدمها في تطبيق مواعدة للمثليين ستعرض حريتك أو حياتك للخطر؟
يبدو أن هناك أمرًا واحدًا يتفق عليه العديد من خبراء الأمن ، بما في ذلك Gosney و Palant ، وهو حقيقة أن هذا الانتهاك ليس دليلًا إيجابيًا على أن مديري كلمات المرور المستندة إلى مجموعة النظراء فكرة سيئة. يبدو أن هذا استجابة للأشخاص الذين يبشرون بمزايا مديري كلمات المرور غير المتصلين تمامًا (أو حتى مجرد كتابة كلمات المرور التي تم إنشاؤها عشوائيًا في دفتر ملاحظات ، كما رأيت أحد المعلقين يقترح). هناك ، بالطبع ، فوائد واضحة لهذا النهج – شركة يخزن الملايين من كلمات مرور الأشخاص سيحظى باهتمام المتسللين أكثر مما يحظى به جهاز كمبيوتر فرد واحد ، كما أن الوصول إلى شيء ليس موجودًا على السحابة أصعب كثيرًا.
ولكن ، مثل وعود العملة المشفرة بالسماح لك بأن تكون البنك الخاص بك ، فإن تشغيل مدير كلمات المرور الخاص بك يمكن أن يأتي مع تحديات أكثر مما يدركه الناس. قد يكون فقد قبوك عن طريق تعطل القرص الصلب أو حادث آخر كارثيًا ، لكن دعمه يعرضك لخطر جعله أكثر عرضة للسرقة. (وتذكرت إخبار برنامج النسخ الاحتياطي السحابي التلقائي بعدم تحميل كلمات المرور الخاصة بك ، أليس كذلك؟) بالإضافة إلى ذلك ، فإن مزامنة قبو غير متصل بالإنترنت بين الأجهزة ، بعبارة ملطفة ، أمر مؤلم قليلاً.
بالنسبة إلى ما يجب على الأشخاص فعله حيال كل هذا ، يوصي كل من Palant و Gosney على الأقل بالتفكير في التبديل إلى مدير كلمات مرور آخر ، ويرجع ذلك جزئيًا إلى الطريقة التي تعامل بها LastPass مع هذا الاختراق وحقيقة أنه الحادث الأمني السابع للشركة في ما يزيد قليلاً عن عقد من الزمان. كتب جوسني: “من الواضح تمامًا أنهم لا يهتمون بأمنهم ، ولا يهتمون بأمنك كثيرًا” ، بينما تتساءل شركة Palant عن سبب عدم اكتشاف LastPass أن المتسللين كانوا ينسخون الخزائن من التخزين السحابي التابع لجهة خارجية بينما كان يحدث. (يقول منشور الشركة إنه “أضاف إمكانات تسجيل وتنبيه إضافية للمساعدة في اكتشاف أي نشاط آخر غير مصرح به.”)
قال LastPass أن معظم المستخدمين لن يضطروا إلى اتخاذ أي إجراء لتأمين أنفسهم بعد هذا الخرق. لا يوافق بالانت ، واصفًا التوصية بأنها “إهمال جسيم”. بدلاً من ذلك ، يقول إن أي شخص لديه كلمة مرور رئيسية بسيطة ، لديه عدد قليل من التكرارات (هنا كيف يمكنك التحقق) ، أو من يُحتمل أن يكون “هدفًا ذا قيمة عالية” يجب أن يفكر في تغيير جميع كلمات المرور الخاصة به على الفور.
هل هذا هو الشيء الأكثر متعة للقيام به خلال العطلات؟ لا ، ولكن لا يتم التنظيف بعد وصول شخص ما إلى حساباتك باستخدام كلمة مرور مسروقة.