Các chuyên gia bảo mật cực kỳ phê phán các tuyên bố của LastPass về tính bảo mật của kho mật khẩu bị rò rỉ. Người tiêu dùng có thể bị công ty lừa dối.
Tuần trước, một bài đăng trên blog LastPass đã tiết lộ rằng kho mật khẩu đã bị đánh cắp trong sự cố bảo mật vào mùa hè năm ngoái. Công ty sau đó tuyên bố rằng chỉ có “thông tin kỹ thuật độc quyền” đã bị đánh cắp. Vào tháng 11, công ty sau đó đã phải thừa nhận rằng dữ liệu khách hàng đã bị đánh cắp – bao gồm cả kho mật khẩu. LastPass lý giải trong bài đăng trên blog của mình về kho mật khẩu mà khách hàng không nên lo lắng và việc bẻ khóa kho mật khẩu sẽ mất “hàng triệu năm”.
Có những sản phẩm khai thác ngay lập tức với yêu cầu bồi thường; nó chỉ áp dụng cho mật khẩu được tạo sau năm 2018 và mật khẩu có ít nhất 12 ký tự. Ít nhất đó là những gì chúng tôi học được từ LastPass. Trong khi đó, các chuyên gia bảo mật lại vẽ ra một bức tranh kém tươi sáng hơn và báo cáo thời gian bẻ khóa brute-force ngắn hơn – trên hết, họ cảm thấy tò mò rằng LastPass dường như đang nói dối khách hàng của mình.
Đầy một nửa sự thật
Nhà nghiên cứu bảo mật Vladimir Palant, được biết đến với trình chặn quảng cáo AdBlock Plus, viết rằng thông báo “bỏ sót thông tin, nói một nửa sự thật và thậm chí là nói dối hoàn toàn”. Palant cho biết LastPass đã cố gắng hết sức để bảo vệ phẩm giá của mình, gây nguy hiểm cho bảo mật của người dùng và đặc biệt là dữ liệu của họ. Theo Palant, trình quản lý mật khẩu đang cố gắng tách vụ rò rỉ tháng 8 ra khỏi câu chuyện này để ngăn người dùng nghĩ rằng nó đang che giấu thông tin.
Việc đưa tin về lỗ hổng này của LastPass cũng nhận được phản hồi từ Jeffrey Goldberg, chuyên gia bảo mật tại 1Password. Goldberg yêu sách rằng những tuyên bố về tính an toàn của két sắt là không chính xác. Theo người quản lý, việc phải mất “hàng triệu năm” để bẻ khóa mật khẩu chính sẽ là “cực kỳ sai lầm”. Tuyên bố đó sẽ chỉ đúng nếu mật khẩu có ít nhất 12 ký tự được tạo bởi trình tạo mật khẩu. Goldberg cho biết mật khẩu do chính người dùng tạo dễ bị bẻ khóa hơn nhiều.
Nhà nghiên cứu bảo mật Jeremy Gosney và Palant cũng phản đối tuyên bố của LastPass về kỹ thuật mã hóa được sử dụng và nó “mạnh hơn các khóa tiêu chuẩn”. Theo Palant, tuyên bố đó đơn giản là không chính xác: 100.000 lần lặp PBKDF2, theo chuyên gia bảo mật, là số lần lặp thấp nhất trong phân khúc trình quản lý mật khẩu. Ví dụ: Bitwarden sử dụng thuật toán này với 200.001 lần lặp nếu mật khẩu được lưu trữ trên máy chủ của nó. 1Password giữ nó ở mức 100.000 lần lặp nhưng thêm Khóa bí mật. Nếu không có chìa khóa đó bạn sẽ không thể truy cập vào két sắt. Theo Gosney, điều này làm cho chiếc két sắt trở nên “không thể phá vỡ”.
“Không cần hành động”
Đối với LastPass, người dùng không thực hiện bất kỳ hành động nào để làm cho kho tiền của họ an toàn hơn. Một tuyên bố, theo Palant, một lần nữa khẳng định ‘sự sơ suất nghiêm trọng’ của công ty. Trong khi đó, cả Palant và Gosney đều khuyên bạn nên chuyển sang một trình quản lý mật khẩu khác. Mặc dù bạn không thể xóa dữ liệu của mình khỏi các bên độc hại bằng cách này nhưng cả hai chuyên gia đều coi đó là một yêu cầu để bảo vệ dữ liệu của bạn trong tương lai. Gosney kết luận: “Rõ ràng là họ không quan tâm đến sự an toàn của chính họ, càng không quan tâm đến sự an toàn của bạn”.
