Populární online správce hesel LastPass byl nedávno terčem kybernetického útoku. Hlavní heslo (master password) ke svému účtu si ale měnit nemusíte a nemáte se vlastně čeho bát.
Firma na svém blogu zveřejnila infromace, podle kterých zatím neznámý útočník získal přístup k vývojovému prostředí a s ním části zdrojového kódu a blíže nedefinovaným „proprietárním technickým informacím“. Nedošlo však k žádnému ohrožení zákaznických dat ani narušení služeb.
Nedávno jste již předplatné aktivoval
Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.
Tento článek pro vás někdo odemknul
Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!
Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.
Zadejte e-mailovou adresu
Zadejte e-mailovou adresu. Zadaná e-mailová adresa je ve špatném formátu.
Máte již účet? Přihlaste se.
Zpracování osobních údajů a obchodní sdělení
Využitím nabídky beru na vědomí, že mé osobní údaje budou zpracovány dle Zásad ochrany osobních a dalších zpracovávaných údajů, a souhlasím se Všeobecnými obchodními podmínkami vydavatelství Economia, a.s.
Přihlaste se,
nebo si jen přečtěte odemčený článek bez přihlášení.
Zdá se, že už se známe
Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.
Děkujeme, teď už si užijte váš článek zdarma
Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.
V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.
Pokračovat na článek
Internet přes telefonní linky je na hranici možností. K rychlejšímu připojení ale stačí jen málo
LastPass tak ukazuje, jak vpadá zodpovědný přístup k bezpečnosti v praxi. Klíčovým prvkem zabezpečení ověřeným v praxi je co největší oddělení dat vývojového, produkčního prostředí a takzvaný zero-knowledge přístup. To znamená, že ani autor a provozovatel systému LastPass nemá přístup k master heslu uživatelů, a tím pádem ani k jejich osobním datům, tedy uloženým přístupovým údajům. To se v minulosti osvědčilo.
LastPass v minulosti zažil několik různých bezpečnostních incidentů, ale nikdy neznamenaly narušení bezpečnosti uživatelů, právě kvůli správné bezpečnostní architektuře služby. Ta umožňuje takzvanou „obranu do hloubky“, kdy úspěšný útok na jednu část systému neznamená totální kompromitaci. V minulosti byly objeveny zranitelnosti v rozšíření pro prohlížeče a podobně, ale jejich dopad byl poměrně malý.
Na konci minulého roku pak LastPass upozornil některé uživatele, že došlo ke kompromitaci jejich master hesla, ale tehdy se nejednalo o problém na straně LastPassu, ale na straně uživatele. Heslo uniklo od uživatele (útočníci jej získali pomocí malware, phishingu a podobně) a služba neoprávněné použití dokázala detekovat a zneškodnit.
Nyní se tedy podařilo útočníkům získat části zdrojového kódu LastPassu a nějaké technické informace. Je to spíše reputační problém než cokoliv jiného. Způsob, jakým jsou data v LastPassu šifrována, je veřejně znám; firma jej sama zveřejnila a je to dobře. Tajemství musí spočívat v klíči, ne v metodě.
Může únik zdrojových kódů LastPassu znamenat bezpečnostní problém v budoucnu? Není to příliš pravděpodobné. Napadá mě jenom jediný scénář, totiž že LastPass trpí nějakou bezpečnostní chybou, kterou lze odhalit studiem zdrojového kódu, a útočníkovi se tuto chybu podaří najít a zneužít. Není to ale příliš pravděpodobné. Názory na to, zda zveřejnění zdrojového kódu je z hlediska bezpečnosti dobře nebo špatně se různí.
Oponenti zveřejňování zdrojových kódů argumentují scénářem, který jsem popsal výše. Tedy že dostupnost zdrojového kódu znamená snazší odhalení bezpečnostních chyb, kterých může útočník zneužít. Proponenti pak tvrdí, že to je účel – že snadné odhalení bezpečnostních chyb znamená, že se rychleji opraví a že open source je i proto bezpečnější.
Ve výsledku to vypadá, že to je v podstatě jedno, tedy že dostupnost zdrojového kódu je z hlediska bezpečnosti irelevantní. I v rozšířených open source aplikacích může závažná bezpečnostní chyba přežít několik desítek let všem na očích. A zároveň platí, že zveřejnění zdrojových kódů proprietárního systému nebývá následováno odhalením zásadních zranitelností.
I přes aktuální útok na LastPass platí, že používání správce hesel je nejlepší možné řešení. Běžný uživatel nemá žádný jiný způsob, jak dosíci srovnatelné úrovně bezpečnosti hesel. Používat správce je jediný způsob, jak zajistit, aby hesla byla dostatečně náhodná a zároveň unikátní. Jakého konkrétního správce hesel budete používat, zda budete používat něco lokálního, nebo naopak cloudovou službu jako LastPass, to jsou implementační detaily a záleží spíš na vašich osobních preferencích.
Hack nejpopulárnějšího správce hesel na světě, jak to lehce bulvárně v titulku pojala agentura Bloomberg, je tak ve skutečnosti spíše bezvýznamná epizoda, kterou firma v rámci otevřenosti poctivě zveřejnila, než něco, co byste nutně museli vědět a jednat podle toho.
