อดีตวิศวกร LastPass เตือนบัญชีเก่าถูกยิง master password ง่าย, คนร้ายเห็น URL

Evan J Johnson อดีตวิศวกรซอฟต์แวร์ของ LastPass ที่ทำงานมาตั้งแต่ช่วงปี 2013-2015 แสดงความเห็นต่อ เหตุการณ์ข้อมูลหลุดครั้งล่าสุดว่าเป็นเหตุการณ์ร้ายแรงที่สุดที่บริษัทเคยเจอ เพราะปกติฐานข้อมูลรหัสผ่านของลูกค้าถูกแยกฐานข้อมูลเอาไว้แล้ว

Johnson ยังเตือนว่ามีข้อมูลหลายอย่างที่คนร้ายเห็นแม้ตัวรหัสผ่านจะเข้ารหัสไว้ด้วยตัว master password ก็ตามที่ ประเด็นหลักๆ ได้แก่

• URL ไม่เข้ารหัสทำให้คนร้ายเห็นว่าผู้ใช้เก็บรหัสผ่านของเว็บอะไรบ้าง
• รหัสผ่านและข้อมูลบางฟิลด์เข้ารหัสแบบ ECB ทำให้คนร้ายเห็นว่าผู้ใช้ ใช้รหัสผ่านซ้ำกันในบริการใดบ้าง (แต่ไม่เห็นว่าใช้รหัสซ้ำกับคนอื่นหรือไม่) โดย Johnson พัฒนากระบวนการเข้ารหัสให้เป็น CBC แต่ฟิลด์ที่ผู้ใช้ตั้งรหัสมานานแล้วก็น่าจะเป็น ECB ต่อไป
• กระบวนการแฮชรหัสผ่าน PBKDF2 มีการเพิ่มจำนวนรอบแฮชมาเรื่อยๆ แต่ผู้ใช้เก่าๆ ก็จะใช้แฮชแบบ 5,000-10,000 รอบแต่ทุกวันนี้ใช้ 100,100 รอบทำให้บัญชีเก่ายิงรหัสผ่านแบบ brute force ง่ายกว่ามาก
• ข่าวดีคือฟิลด์ Notes นั้นเข้ารหัสไว้ด้วย

โดยรวมแล้วเหตุการณ์ข้อมูลหลุดจาก LastPass ครั้งนี้มีความร้ายแรงสูงมาก แต่ก็นับว่ายังดีที่ผู้ใช้มี master password ปกป้องข้อมูลไว้ แม้ว่า LastPass จะไม่ได้เข้ารหัสทุกฟิลด์ก็ตาม

ที่มา - @ejcx_