Ранее на этой неделе Microsoft объявила, что очередное функциональное обновление для операционной системы Windows 11 станет общедоступным 26 сентября. Оно содержит в себе множество нововведений, одним из которых является поддержка ключей Passkeys, которые позволят отказаться от использования обычных паролей, заменяя их биометрическими данными, получаемыми из ПК пользователя или смартфона.

Источник изображений: Microsoft

Благодаря поддержке ключей Passkeys пользователи могут авторизовываться на сайтах, используя не символьный пароль, а отпечаток пальца, скан лица или PIN-код устройства. Нововведение позволит пользователям создавать, управлять и хранить ключи Passkeys, а также использовать их для авторизации на совместимых ресурсах.

Тестирование этой функции в рамках программы предварительной оценки Windows Insider началось в июне этого года, и уже через несколько дней она станет общедоступной. Ключи Passkeys в Windows создаются с помощью инструмента Windows Hello. Доступ к ним можно получить как из десктопной версии Windows 11, так и на мобильном устройстве, которое используется для проверки личности пользователя.

«В течение последних лет мы стремимся работать с нашими отраслевыми партнёрами и альянсом FIDO над продвижением к будущему без паролей. Passkeys — это будущее кроссплатформенного и кроссэкосистемного доступа к веб-сайтам и приложениям», — сказано в сообщении, опубликованном в блоге разработчиков.

В качестве примеров использования Passkeys разработчики приводят сайты GitHub и Docusign, поскольку ключи могут использоваться только на сайтах, в приложениях и сервисах, в которых поддерживается механизм аутентификации WebAuth. Ожидается, что в конечном счёте ключи Passkeys полностью заменят пароли и станут новым общепринятым стандартом, но для их широкого распространения потребуется какое-то время.

Учёные из Хунаньского и Фуданьского университетов (Китай), а также Наньянского технологического университета (Сингапур) разработали способ считывать нажатия на дисплей смартфона, подключённого к сети Wi-Fi, при помощи анализа беспроводного сигнала. Виной всему недостаточная защищенность функции BFI (Beamforming Feedback Information).

Источник изображения: arxiv.org

BFI — это механизм обратной связи, появившийся в 2013 году, когда был опубликован стандарт Wi-Fi 802.11ac. Он предполагает отправку клиентскими устройствами данных о своём местоположении, что помогает точкам доступа более точно направлять на них сигнал. Проблема в том, что эти данные передаются без шифрования и могут перехватываться без взлома сетевого или клиентского оборудования. Учёные условно назвали разработанный ими тип атаки WiKi-Eve — он актуален для любого стандартного сетевого интерфейса, который допускает мониторинг сигналов.

На начальном этапе атаки условный злоумышленник перехватывает в беспроводном эфире MAC-адрес устройства своей жертвы. После этого начинается запись данных BFI от устройства жертвы — учёные исходили из того, что нажимаемые клавиши на виртуальной клавиатуре смартфона или планшета изменяют параметры сигнала Wi-Fi. Собранную информацию учёные попытались интерпретировать как пароль, предположив, что он отправляется по беспроводной сети на раннем этапе сеанса связи.

Далее в дело вступает система искусственного интеллекта, обученная на данных BFI, которые транслируются в формате открытого текста. Авторы исследования установили, что атака WiKi-Eve позволяет интерпретировать нажатия отдельных клавиш на дисплее с точностью до 88,9 %, а также перехватывать пароли приложений с точностью до 65,8 %.

Клиенты компании по обеспечению сетевой безопасности LogicMonitor столкнулись с хакерскими атаками из-за использования стандартных паролей. Отмечается, что компания до недавнего времени предоставляла своим клиентам слабые пароли по умолчанию, что стало причиной инцидента.

Источник изображения: geralt / Pixabay

Компания LogicMonitor, специализирующаяся на сетевой безопасности, подтвердила факт нарушения безопасности, затронувшего некоторых её клиентов. По словам представителя компании Джессики Чёрч (Jessica Church), она активно работает над устранением последствий инцидента и находится в тесном контакте с пострадавшими клиентами.

Основной причиной инцидента стало то, что LogicMonitor до недавнего времени предоставляла своим клиентам стандартные и слабые пароли, такие как «Welcome@» с последующим коротким номером. Источник, знакомый с ситуацией, сообщил, что при регистрации аккаунта в LogicMonitor компания устанавливала стандартный пароль для всех пользовательских аккаунтов организации. До этого времени менять пароли не требовалось, и они не были временными. Теперь же пароль действителен 30 дней и должен быть изменён при первом входе.

По информации одного из клиентов LogicMonitor, компания активно связывается со своими клиентами, предупреждая о возможном нарушении безопасности учётных данных. Хотя представитель LogicMonitor не раскрывает дополнительных подробностей о происшествии, известно, что одна из компаний потеряла более 400 систем из-за хакерской атаки с требованием выкупа, эксплуатирующей слабый стандартный пароль.

Сервис LogicMonitor позволяет клиентам контролировать свою сетевую инфраструктуру, включая облачные ресурсы. На официальном сайте компании указано, что она контролирует 800 млрд метрик в день на 3 млн активных устройств и имеет более 100 000 пользователей ПО в 30 странах.

Инцидент с паролями подчёркивает важность строгого контроля и обновления мер безопасности, особенно для компаний, работающих в ИТ-сфере. Это также напоминает о необходимости регулярного обновления и усиления паролей для предотвращения подобных инцидентов в будущем.

Менеджер паролей для бизнеса «Пассворк» не нуждается в представлении (см. наш обзор программы). Продукт ведёт свою историю с 2014 года и за время развития сумел занять прочное место на рынке ПО и завоевать доверие многих компаний, в числе которых — «Ланит», «Транснефть», X5 Retail Group, группа ПИК, «Первый канал», «Промсвязьбанк», ВТБ и многие другие известные организации. Решение востребовано в корпоративной среде, а потому активно совершенствуется разработчиками. Ярким свидетельством этому является релиз «Пассворк 6.0» — крупного обновления менеджера паролей.

«Пассворк» повышает безопасность при работе с корпоративными паролями

Для начала — немного о функциональных возможностях «Пассворк». О них мы достаточно подробно рассказывали ранее, поэтому остановимся на ключевых особенностях программного комплекса, способного удовлетворять потребности компаний любого масштаба, в том числе территориально распределённых.

«Пассворк» использует защищённые хранилища, хранит пароли от любых систем (веб, серверы, приложения), а также небольшие файлы (ключи, сертификаты) в удобном структурированном виде, поддерживает совместную работу, позволяет настраивать права пользователей, а также отслеживать все действия сотрудников и вносимые ими изменения. Продукт устанавливается на сервер организации и хранит данные в зашифрованном виде, при этом для защиты информации может быть применён алгоритм AES-256 или соответствующий требованиям регуляторов стандарт шифрования ГОСТ. Поддерживается интеграция с Active Directory/LDAP, авторизация с помощью SAML SSO, а также аудит безопасности паролей. «Пассворк» зарегистрирован в реестре отечественного софта и может представлять интерес для организаций, реализующих проекты в сфере импортозамещения ПО. Открытый для аудита исходный код менеджера паролей позволяет убедиться в отсутствии уязвимостей и скрытых функций.

Встроенные в «Пассворк» средства аудита безопасности позволяют анализировать используемые персоналом пароли и получать своевременные оповещения о старых, слабых и скомпрометированных паролях

В новой версии «Пассворк 6.0» основной акцент разработчиками был сделан на улучшении пользовательского опыта и расширении возможностей совместной работы с паролями. В частности, в программе появились ярлыки для паролей, предоставляющие пользователям ещё большую гибкость в совместной работе. Больше не нужно создавать дубликаты паролей в разных сейфах — вместо этого можно создать несколько ярлыков в нужных директориях. Если исходный пароль изменится, изменятся и все ярлыки этого пароля. В зависимости от прав доступа пользователи могут просматривать или редактировать пароль через ярлык.

Ярлыки — новый способ поделиться паролем

Ещё одна новая функция — отправка паролей без предоставления частичного доступа в сейф. В предыдущих версиях «Пассворк» пользователь всегда получал частичный доступ в сейф, даже если с ним поделились только одним паролем. Теперь, когда пользователи получают доступ к паролю через «Входящие» или ярлык, им предоставляется доступ непосредственно к отправленному паролю без выдачи частичного доступа в сейф. Администраторы всегда видят, у каких сотрудников есть доступ к сейфу, а у каких только к определённым паролям.

Отправка паролей без частичного доступа в сейф усиливает защиту конфиденциальных данных

С выпуском «Пассворк 6.0» разработчики переработали интерфейс настроек LDAP и добавили новые возможности. Теперь для добавления новых учётных записей используется отдельное окно, а пользователи сами при первом входе в систему устанавливают мастер-пароль. В дополнение к этому реализовано обновление данных о пользователях из LDAP в фоновом режиме и добавлены специальные теги для удалённых групп и групп, связанных с ролями. Всё это существенно упростило работу администратора.

В новой версии менеджера паролей переосмыслена логика управления пользователями

Релиз «Пассворк 6.0» принёс немало других изменений в продукте. В их числе:

• возможность настраивать права на создание ссылок, ярлыков и отправку паролей для определённых уровней доступа;
• возможность индивидуальной настройки времени автовыхода из системы при неактивности;
• возможность индивидуального выбора языка интерфейса;
• клавиши «Сохранить» и «Отменить изменения» в системных настройках для исключения случайных действий;
• поддержка дополнительных полей при импорте и экспорте паролей;
• улучшенное перетаскивание паролей и папок с панелью выбора действий: переместить, копировать или создать ярлык;
• уведомление администраторов о новых неподтверждённых пользователях.

Улучшенное перетаскивание — одно из множества полезных изменений в интерфейсе программы

С полным списком реализованных в продукте изменений можно ознакомиться на сайте passwork.ru/v6-release.

Чтобы обновиться до версии 6.0, необходимо сначала обновить менеджер паролей до версии 5.4, осуществить миграцию данных и затем подтвердить это в клиентском портале «Пассворк». Подробная инструкция по обновлению размещена по адресу passwork.ru/migration-v6-help. Дополнительные сведения о программном решении, а также документацию, можно найти на сайте passwork.ru.

Согласно исследованию компании RTM Group, специализирующейся на обеспечении информационной безопасности, большинство россиян оказались совершенно беззащитны перед взломщиками паролей. Как сообщает «Газета.Ru» со ссылкой на результаты исследовательской работы, 65 % паролей жителей России взламываются машинным перебором за минуту.

Источник изображения: Max Bender/unsplash.com

Было проанализировано 50 млн пар логин-пароль, попавших в Сеть или проданных в даркнете с января 2022 года по май 2023 года. Оценивались пароли, используемые представителями малого бизнеса, средних и крупных компаний, а также обычных пользователей.

Наиболее беспечными признаны физические лица, обычно применяющие простые пароли для защиты своих аккаунтов. Приблизительно в половине случаев слабые пароли используют представители малого бизнеса. Вторая половина из них использует пароли из 8 символов с включением строчных и заглавных букв, взлом которых для современных систем автоматического подбора тоже не составляет особого труда — на это у систем, готовых проверять до 300 млрд комбинаций в секунду, уходят считаные минуты.

Эксперты отметили, что в крупных организациях уделяют информационной безопасности значительно больше внимания. Надёжнее всего пароли у представителей крупного бизнеса, которые не ленятся составлять сложные комбинации паролей. Не в последнюю очередь этому способствует наличие жёстких корпоративных политик безопасности.

В RTM Group отметили, что если буквально несколько лет назад сильным можно было считать пароль из восьми знаков из цифр и букв разного регистра, то сейчас надёжной можно назвать комбинацию из 16 знаков, включающую спецсимволы. Утверждается, что на взлом такого пароля видеокартам актуального поколения понадобится порядка 50 млрд лет.

Впрочем, глобальная статистика ещё хуже. В мая появились данные, что 83 % самых популярных паролей можно взломать за 1 секунду.

Компания Proton AG, разработчик VPN-сервиса Proton VPN и защищённой почты ProtonMail, расширила ассортимент своей продукции, представив на рынке менеджеров паролей собственное решение, обеспечивающее сквозное шифрование и дополнительные механизмы обеспечения безопасности данных.

Источник изображения: Proton AG

Продукт прошёл стадию бета-тестирования и теперь доступен пользователям. Как заявляют в Proton AG, менеджер паролей — «один из самых востребованных сервисов», ожидавшихся клиентами компании. Тем не менее, ему предстоит столкнуться с сильными конкурентами на рынке менеджеров паролей. Для того чтобы получить преимущество, Proton Pass прошёл аудит безопасности германской компании Cure53.

Сообщается, что компания хранит все данные, касающиеся менеджера паролей, на собственных серверах в Швейцарии, при этом информация не только зашифрована, но и защищена «одними из самых сильных законов о конфиденциальности данных». Как и ProtonMail, менеджер паролей обеспечивает сквозное шифрование, особенно информации из полей авторизации, включая имена пользователя, пароли и веб-адреса. Это означает, что просматривать информацию не могут даже сотрудники Proton AG.

Ещё одной полезной функцией является возможность скрыть данные электронной почты. При регистрации нового аккаунта на каком-либо сайте Proton Pass способен передавать случайно сгенерированный подменный адрес электронной почты для дополнительной защиты конфиденциальности. Это предотвращает идентификацию пользователя третьей стороной. Также предусмотрена блокировка трекеров и прочих маркетинговых веб-инструментов.

В популярном менеджере паролей KeePass обнаружена уязвимость, эксплуатация которой позволяет извлечь мастер-пароль из памяти приложения. За счёт этого злоумышленники, которым удалось скомпрометировать устройство жертвы, могут похить все хранящиеся в менеджере пароли, даже если база данных заблокирована.

Источник изображения: hothardware.com

Упомянутая уязвимость отслеживается под идентификатором CVE-2023-3278. Её обнаружил исследователь в сфере информационной безопасности, известный под ником vdohney. Он опубликовал на GitHub краткое описание проблемы и PoC-эксплойт, предполагающий использование уязвимости KeePass. Проблема затрагивает KeePass 2.53 и более ранние версии приложения.

Дело в том, что в KeePass для ввода пароля используется поле SecureTextBoxEx, которое сохраняет вводимые пользователем символы в память в открытом виде. Это означает, что злоумышленнику достаточно завладеть дампом памяти, причём это может быть дамп процесса, файла подкачки pagefile.sys, файла гибернации hiberfil.sys, различных аварийных дампов или дампа памяти всей системы. Также не имеет значения, заблокировано или нет рабочее пространство и запущен ли KeePass.

Эксплойт тестировался в Windows, но, вероятно, его скорректированная версия будет работать и в macOS, так как уязвимость связана с тем, как приложение обрабатывает данные при вводе пароля, а не с самой операционной системой. Ожидается, что уязвимость будет исправлена в KeePass 2.54, запуск которого должен состояться в ближайшие несколько недель.

В преддверии Всемирного дня паролей, который отмечается 4 мая, опубликован отчёт со списком наиболее часто используемых паролей в США и 29 других странах. Независимые исследователи обработали более 3 Тбайт данных и определили 200 самых популярных комбинаций. Многие пароли остаются в списке годами, хотя «123456» утратил лидерство в этом своеобразном хит-параде, уступив слову «guest». Сообщается, что 83 % паролей из списка можно взломать менее чем за секунду.

Источник изображения: Pixabay

Компания NordPass, которая привлекла исследователей для изучения парольных данных, отмечает, что «несмотря на растущую осведомлённость о кибербезопасности, от старых привычек трудно избавиться. Люди по-прежнему используют слабые пароли для защиты своих учётных записей». Например, простые комбинации букв, цифр и символов, такие как «a1b2c3», «abc123» или «qwerty», очень популярны в США.

При создании паролей люди склонны черпать вдохновение из культурного опыта, тенденций образа жизни или недавних событий, будь то спорт или мода. Например, названия американских профессиональных спортивных команд (Detroit Red Wings, Boston Red Sox) или их вариации очень часто используются в качестве защиты для аккаунта пользователя. Хит-парад из 20 самых распространённых паролей в США выглядит следующим образом:

1. guest
2. 123456
3. password
4. 12345
5. a1b2c3
6. 123456789
7. Password1
8. 1234
9. abc123
10. 12345678
11. qwerty
12. baseball
13. football
14. unknown
15. soccer
16. jordan23
17. iloveyou
18. monkey
19. shadow
20. g_czechout

Источник изображения: Pixabay

В начале апреля мы рассказывали о том, какую серьёзную угрозу для довольно сильных паролей представляют новые инструменты взлома на основе ИИ. Даже пользователям с привычкой серьёзно относится к качеству и сложности пароля не помешает провести аудит и напомнить менее технически подкованным друзьям и членам семьи прописные истины и базовые правила компьютерной безопасности:

• Использовать двухэтапную аутентификацию 2FA/MFA (по возможности не на основе SMS);
• Проверять диспетчер паролей на наличие предупреждений о скомпрометированных или повторно используемых паролях;
• Не использовать один и тот же пароль для разных учётных записей;
• Применять сложные автоматически сгенерированные пароли;
• Регулярно обновлять пароли, особенно для конфиденциальных учётных записей;
• Воздержаться от использования общедоступного Wi-Fi, особенно для финансовых операций;
• Для ещё большей безопасности использовать физические ключи безопасности.

Proton, наиболее известная своей службой защищённой электронной почты, объявила о выпуске собственного менеджера паролей. Как и другие сервисы компании, в том числе VPN и облачное хранилище, Proton Pass предлагает функцию сквозного шифрования.

Источник изображения: proton.me

Сквозное шифрование означает, что доступ к базе паролей есть только у её владельца, и если в результате вирусной атаки или других действий киберпреступников базу сумеют похитить, прочитать данные без ключа шифрования не получится. Анонсируя бета-версию Proton Pass, глава компании Энди Йен (Andy Yen) подчеркнул важность полного шифрования данных, потому что профиль пользователя кибепреступники могут создать и на основе кажущихся безобидными данных — например, сохранённых URL-адресов.

Первыми доступ к менеджеру паролей получат пользователи тарифов Proton Visionary (те, кто помог запустить сервис посредством краудфандинга в 2014 году) и Lifetime (пожизненный доступ к услугам, разыгрывается каждый год) — им придут приглашения на ящики ProtonMail. Официальная общедоступная версия менеджера паролей выйдет в этом году.

Как и остальные службы компании, Proton Pass будет предлагаться в бесплатной и платной версиях — последняя получит дополнительные функции. Полнофункциональный вариант менеджера паролей будет также доступен подписчикам Proton Unlimited. Proton Pass будет предложен в виде браузерных расширений для Google Chrome и Mozilla Firefox и мобильных приложений под Android и iOS; обещаны поддержка автозаполнения и двухфакторной авторизации.

Искусственный интеллект, как любое другое техническое достижение, имеет и «тёмную сторону». К примеру, предназначенная специально для подбора паролей ИИ-модель PassGAN справляется с 51 % из них менее чем за минуту, а на взлом 71 % уходит всего лишь день. Таковы результаты исследования, проведённого компанией Home Security Heroes.

Источник изображений: homesecurityheroes.com

В качестве исходных данных платформа использует содержащий 15 млн записей словарь Rockyou, но благодаря уникальному подходу у ИИ уходит менее минуты на взлом 51 % паролей, менее часа на 65 %, менее суток на 71 % и менее месяца на 81 %. Залогом высокой результативности PassGAN является то, что модель «автономно изучает распределение реальных паролей в реальных утечках».

Защититься от подобной атаки вполне возможно, достаточно принять ряд мер, которые и без того рекомендуют эксперты по безопасности: длина пароля должна быть не менее 12 знаков с использованием заглавных и строчных букв, цифр и спецсимволов — любой новый тип значительно усложняет задачу гипотетическому злоумышленнику. Пароль в 18 знаков с символами всех типов считается для ИИ невзламываемым — современной системе потребуется 6 квадриллионов лет на его подбор.

Эксперты Home Security Heroes напомнили и про дополнительные средства защиты:

• использовать двухфакторную/многофакторную авторизацию, по возможности не с SMS;
• не использовать одинаковые пароли для разных учётных записей;
• генерировать пароли автоматизированными средствами;
• регулярно обновлять пароли;
• воздерживаться от использования общедоступных сетей Wi-Fi, особенно при работе с онлайн-банком и другими подобными службами.

На странице с результатами исследования также есть инструмент, при помощи которого можно проверить защищенность пароля от взлома ИИ. Компания утверждает, что введённые в это поле данные не сохраняет и никуда не передаёт, и причин сомневаться в этом нет. Но вводить в него актуальные пароли всё-таки не рекомендуется.

Сервис для хранения паролей LastPass выразил готовность предоставить пользователям дополнительную информацию о взломе, происшедшем в прошлом году, но только при личной встрече и при условии, что те заранее подпишут соглашение о неразглашении, сообщил ресурс FTM со ссылкой на электронное письмо, отправленное LastPass голландскому ИТ-менеджеру.

Источник изображения: LastPass

LastPass уверяет пользователей в том, что ничего опасного для их конфиденциальности не произошло, но при этом крайне неохотно делится информацией о взломе, происшедшем в августе прошлого года. Гендиректор LastPass Карим Тубба (Karim Toubba) лишь спустя пару недель после инцидента сообщил о взломе, заверив пользователей, что злоумышленники похитили закрытую техническую информацию, не имеющую отношения к их данным. По его словам, клиентам LastPass не нужно было беспокоиться или предпринимать какие-либо действия.

В середине сентября компания сообщила о результатах внутреннего расследования, согласно которому хакер имел доступ к её системе в течение четырёх дней, но ничего важного не похитил. В конце ноября компания отметила, что кибератака всё-таки была довольно серьёзной, так как хакеру удалось получить доступ к «определённым элементам клиентской информации». При этом LastPass по-прежнему утверждала, что причин для беспокойства нет.

Но в декабре сервис LastPass, наконец, признал, что хакер похитил данные хранилища паролей, скопировав названия компаний, имена пользователей, платёжные адреса, адреса электронной почты, номера телефонов и записи IP-адресов. Как выясняется, хакер украл файлы, которые содержали пароли 30 млн пользователей и 85 тыс. компаний.

При этом LastPass продолжал настаивать на том, что особых причин для беспокойства у пользователей нет — если у них был хороший мастер-пароль, их пароли в безопасности. По словам сервиса, на взлом 12-символьного пароля потребуются миллионы лет при использовании «общедоступной технологии».

Белый хакер Рики Геверс (Ricky Gevers) был возмущён тем, как LastPass извещал пользователей об этом взломе. «Он как бы говорит: все в безопасности, не волнуйтесь, — сказал Геверс ресурсу FTM. — Это то, во что я верил, как и многие другие люди». На деле всё не совсем так — хакер, взломав мастер-пароль, получит доступ ко всем данным, которые вы сохранили с помощью менеджера паролей.

К тому же, как выяснил FTM, личное хранилище паролей пользователей представляло собой не папку с зашифрованным доступом, а текстовый документ с несколькими зашифрованными полями. FTM также отметил, что, утверждая, что пароли в безопасности при условии применения пользователем хорошего мастер-пароля, LastPass перекладывает на клиента сервиса ответственность за сохранность данных. То есть, если хакер завладел вашими паролями, виноваты вы, так как у вас должен был быть более надёжный мастер-пароль.

NortonLifeLock объявила, что за последние несколько недель злоумышленникам удалось скомпрометировать учётные записи тысяч пользователей менеджера паролей Norton Password Manager. В настоящее время компания рассылает соответствующие уведомления клиентам, которых затрагивает данный инцидент.

Согласно имеющимся данным, инцидент произошёл не из-за какой-либо уязвимости в IT-системах компании или программном обеспечении. В уведомлении сказано, что злоумышленники провели массовую атаку с подстановкой учётных данных, т.е. пытались авторизоваться в менеджере паролей с данными, полученными из сторонних источников, возможно, в ходе других утечек информации. Проще говоря, злоумышленники проверяли возможность авторизации в Norton Password Manager с данными пользователей от других учётных записей.

Отмечается, что проведение такой атаки было невозможным в случае, если бы все пользователи менеджера паролей задействовали функцию двухфакторной аутентификации, которая не позволяет получить доступ к данным только по паролю. Касательно инцидента сказано, что 12 декабря специалисты Norton зафиксировали необычно большое количество неудачных попыток авторизации в системе. Внутреннее расследование, которое было проведено после выявления действий злоумышленников, показало, что первые атаки с подстановкой учётных данных начались 1 декабря.

По данным источника, компания Gen Digital, являющаяся дочерним предприятием NortonLifeLock, разослала 6450 уведомлений клиентам, чьи учётные записи затронуты в данном инциденте. Другой источник сообщает, что злоумышленники могли атаковать около 925 тыс. активных и неактивных учётных записей клиентов компании. Клиенты получили уведомление о том, что злоумышленники могли получить доступ к логинам и паролям, а также личной информации, такой как ФИО, номера телефонов и адреса электронной почты. Компания настоятельно рекомендует пользователям использовать двухфакторную аутентификацию, чтобы в дальнейшем избежать подобных инцидентов.

Немногим более одной пятой от всех паролей, используемых в системе Министерства внутренних дел США, оказались достаточно слабыми, чтобы их можно было взломать стандартными методами, говорится в отчёте (PDF), составленном по итогам аудита безопасности в ведомстве.

Источник изображения: Markus Spiske / unsplash.com

Проводившие инспекцию эксперты получили хеши паролей от 85 944 учётных записей сотрудников в Active Directory. Далее эти пароли попытались взломать при помощи базы из 1,5 млрд слов, включающей в себя: словари из нескольких языков, правительственную терминологию США, отсылки к поп-культуре, общедоступные пароли, ставшие известными в результате прежних утечек, а также комбинации клавиш вроде QWERTY. Это позволило взломать 18 174 или 21 % паролей. При этом 288 соответствующих учётных записей имели высокие привилегии в системе, а 362 принадлежали высокопоставленным сотрудникам ведомства. Только за первые 90 минут удалось взломать 16 % учётных записей. Проверка также выявила ещё одну уязвимость в защите — фактическую неспособность ведомства внедрить многофакторную авторизацию на 25 (или 89 %) особо ценных ресурсах из 28, взлом которых может серьёзно повлиять на работу ведомства.

Вот каким оказался список самых популярных паролей:

• Password-1234 (его использовали 478 пользователей);
• Br0nc0$2012 (389);
• Password123$ (318);
• Password1234 (274);
• Summ3rSun2020! (191);
• 0rlando_0000 (160);
• Password1234! (150);
• ChangeIt123 (140);
• 1234password$ (138);
• ChangeItN0w! (130).

Для взлома эксперты использовали систему из 16 видеокарт на 2 или 3 поколения старше актуальных продуктов. Примечательно, что 99,9 % взломанных паролей формально отвечали требованиям безопасности: имели длину не менее 12 символов и содержали 3 из 4 необходимых типов символов — строчные и прописные буквы, цифры и спецсимволы.

Представители менеджера паролей LastPass признали, что хакеры украли зашифрованные копии пользовательских паролей и прочие важные данные, включая платёжные адреса, телефонные номера и IP-адреса пользователей. Изначально взлом системы произошёл ещё в августе уходящего года, в конце ноября — начале декабря появилась информация о том, какие данные были украдены, а теперь в блоге компании опубликованы и более подробные сведения.

Источник изображения: LastPass

В августе компания заявляла, что следов получения хакерами доступа к пользовательским данным или зашифрованным хранилищам паролей не выявлено. Тем не менее уже известно, что украденная часть исходного кода и техническая информация использовались для дальнейших противоправных действий в конце осени, в результате которых хакеры получили возможность получить учётные данные и ключи для доступа и дешифровки данных, хранившихся в родственном облачном сервисе компании.

Хакеры смогли скопировать базовую информацию об аккаунтах, включая адреса электронной почты и IP-адреса, с которых пользователи получали доступ к LastPass, а также «полностью зашифрованные значимые области вроде имён пользователей и паролей на веб-сайтах, защищённые заметки и данные заполненных форм».

Менеджеры паролей позволяют пользователям хранить их имена и пароли на разных сайтах в одном месте — доступ к ним можно получить, имея мастер-пароль, создаваемый самим пользователем. Last Pass не хранит мастер-пароль и не распоряжается им. Прочие зашифрованные данные можно получить только с помощью «уникального ключа шифрования, полученного с помощью мастер-пароля пользователя». Тем не менее компания предупредила клиентов, что они могут стать жертвами социальной инженерии, фишинга и других методов получения информации. Кроме того, хакеры могут использовать брутфорс-атаку для получения мастер-пароля и дешифровки прочих данных, находящихся в зашифрованном хранилище. Впрочем, в LastPass заявляют, что у злоумышленников уйдут «миллионы лет» на то, чтобы угадать пароль с помощью общедоступных технологий взлома.

В компании заявили, что занимающаяся обеспечением кибербезопасности компания Mandiant расследует инцидент, а в самой LastPass полностью перестраивают всю рабочую среду — косвенно это свидетельствует о том, что хакеры добрались до значимых фрагментов кода и других данных.

В LastPass сообщили, что расследование продолжается, и компания уведомила правоохранительные органы и профильных регуляторов о произошедшем. Пользователям рекомендуется сделать мастер-пароль не короче 12 символов, изменить настройки стандарта формирования ключа Password-Based Key Derivation Function (PBKDF2) и, конечно, не использовать мастер-пароль на других сайтах. Более подробные актуальные рекомендации приводятся в блоге сервиса.

Разработчик популярного менеджера паролей LastPass объявил об обнаруженном взломе облачного хранилища, которое он использовал вместе с «дочкой» GoTo, в результате чего злоумышленникам удалось получить доступ к данным клиентов.

Источник изображения: BleepingComputer.com

«Недавно мы обнаружили необычную активность в облачном сервисе хранения данных стороннего провайдера, которым в настоящее время пользуются как LastPass, так и дочерняя компания GoTo», — сообщил разработчик, уточнив, что хакеры смогли получить доступ к «некоторым элементам информации клиентов», воспользовавшись сведениями, полученными в ходе инцидента в августе 2022 года.

Вместе с тем LastPass отметила, что пароли клиентов не были скомпрометированы и «остаются надёжно зашифрованными» благодаря архитектуре LastPass Zero Knowledge. Компания уведомила о случившемся правоохранительные органы и наняла фирму по кибербезопасности Mandiant для расследования инцидента.

В этом году это уже второй инцидент, связанный с хакерской атакой на ресурсы LastPass. Предыдущий произошёл в августе, когда злоумышленникам удалось получить доступ к среде разработчика через скомпрометированную учётную запись одного из сотрудников компании. В электронных письмах, разосланных клиентам, Lastpass тогда подтвердила, что злоумышленники похитили часть исходного кода продукта и проприетарную техническую информацию.

Спустя некоторое время компания призналась, что злоумышленники, стоящие за августовским взломом, в течение четырёх дней сохраняли доступ к её внутренним системам, пока их не обнаружили и не заблокировали.