Taloussanomat

Salasanapankki altis yllättävälle uhkalle: Kaikki vietävissä

Kuva: Hanne Salonen

19.1.2016 10:48 LastPassin viimeisin tietoturvaongelma ei ollut varsinaisesti haavoittuvuus itse palvelussa, mutta seuraukset uhreille olisivat olleet vakavat.

Suosittu salasanojen säilytyspalvelu LastPass joutui viilaamaan käytäntöjään sen jälkeen, kun tietoturvatutkija Sean Cassidy osoitti sen kärsivän huomattavasta phishing-ongelmasta.

Phishingillä tarkoitetaan tietojen kalastelua. LastPassin ongelma oli, että se esitti selaimessa ilmoituksen, kun käyttäjän sessio on päättynyt ja on syytä kirjautua uudelleen palveluun. Cassidy tuli ajatelleeksi, että myös hyökkääjä olisi voinut kopioida saman ilmoituksen pikselintarkasti.

– Koska LastPass opettaa käyttäjiä odottamaan ilmoituksia selaimen näkymässä (viewport), he eivät tunnistaisi asiaa, Cassidy arvioi blogissaan.

Cassidy on antanut ongelmalle nimeksi LostPass. Hyökkäys olisi ollut mahdollinen, koska LastPassilla on olemassa rajapinta, johon voi ottaa yhteyttä etäältä. Cassidy laati esimerkkikoodin, joka osaa pyytää LastPassin käyttäjältä kaikki kirjautumistiedot aina kaksivaiheista tunnistusta myöten.

Tutkija ei siis murtanut LastPassia, eikä palvelussa ole varsinaista haavoittuvuutta, mutta sen tapa lähestyä käyttäjiä selaimessa oli Cassidyn mielestä vaarallinen. Onnistunut hyökkäys olisi antanut kaikki uhrin LastPassissa säilyttämät tiedot, kuten salasanat ja asiakirjat, rikollisen haltuun.

Myös LastPass suhtautui LosPassiin vakavasti ja muutti käytäntöjään päivityksellä. Nyt LastPass vaatii sähköpostivarmistusta kaikkiin kirjautumisiin, jotka ovat peräisin uusista ip-osoitteista. Sean Cassidyn mukaan tämä suurelta osin poistaa LosPass-ongelman, mutta ei täysin.

Tutkijan mukaan hänen työllään ei ole mitään tekemistä toisen LastPass-ongelman kanssa, jonka hakkerit toivat esiin viime vuonna. Kaksi tutkijaa väitti selvittäneensä, miten LastPassin voi murtaa kaiken tiedon varastamiseksi.

Sean Cassidyn työstä uutisoi muun muassa tietoturvabloggaaja Graham Cluley.

Jutun kirjoitti: Digitoday

Teksti on lisensoitu Creative Commons Nimeä-Ei muutoksia-Epäkaupallinen -lisenssillä.

Kommentit (8)

Sivut: 1
EdellinenSeuraava

Anonyymi
Miksi kukaan edes haluaisi pitää salasanojaan selainlaajennoksena toimivassa, pilvipohjaisessa salasanapankissa tilanteessa jossa käyttää salasanojaan yksin?

Sitähän minäkin.
Anonyymi: Henri-Olavi 19.1.2016 11:15

Anonyymi
Miksi kukaan edes haluaisi pitää salasanojaan selainlaajennoksena toimivassa, pilvipohjaisessa salasanapankissa tilanteessa jossa käyttää salasanojaan yksin?

Sitähän minäkin.


Vähän riippuu. Kuitenkaan käyttö ei ole vain työpöytäselailua, vaan myös mobiililaitteella, ja jos tallentaa aina kaikki salasanat selaimiin tms ja ne on joka paikassa, niin vaivalloista päivittää niitä jos pitää ja laitteen hukkuessa tietoturva epävarmaa.

1Passwordiin olen ollut todella tyytyväinen. Käyttää pilveä ainoastaan synkronointiin, jos haluaa.
Anonyymi: doddiiii 19.1.2016 12:03

Anonyymi
Huhuh olipas yllttävää. Juu juu ja niin.
Anonyymi: tuskin 19.1.2016 12:27

Anonyymi
Miksi kukaan edes haluaisi pitää salasanojaan selainlaajennoksena toimivassa, pilvipohjaisessa salasanapankissa tilanteessa jossa käyttää salasanojaan yksin?

Sitähän minäkin.


Salasanat eivät ole pilvessä näissä, vaan lokaalisti kryptattuna.
Anonyymi: Sellisti 19.1.2016 13:06

Anonyymi
Kuka toope tallentaa pilveen?








****************
"Viestikenttä: Teksti on liian lyhyt "
Kuka toope koodasi tämmän kommenttiosion?
****************
Anonyymi: asddsfssdg 19.1.2016 17:04

Anonyymi
Salasanat eivät ole pilvessä näissä, vaan lokaalisti kryptattuna.
Anonyymi: Sellisti


Takaisin harjoittelemaan sitä intonaatiota. Ei ole kohdallaan!
Anonyymi: adsfgfh 19.1.2016 17:05

Anonyymi
Miksi kukaan edes haluaisi pitää salasanojaan selainlaajennoksena toimivassa, pilvipohjaisessa salasanapankissa tilanteessa jossa käyttää salasanojaan yksin?

Sitähän minäkin.


Salasanat cryptataan ja puretaan vain lokaalisti joten mikä on ongelma, edes lastpass itse ei pääse käsiksi käyttäjien salasanoihin.
Anonyymi: bhhhfh5h5h 19.1.2016 17:09

Anonyymi
mSecurea olen käyttänyt ja käytän jatkossakin.
Anonyymi: juujees 19.1.2016 17:50
Sivut: 1
EdellinenSeuraava
Ohjeet: Pysy aiheessa ja kirjoita napakasti. Muista, että haastateltavilla, kanssakeskustelijoilla ja toimittajilla on oikeus omaan, eriävään mielipiteeseen. Ole kohtelias, äläkä tarkoituksella provosoi tai hauku muita keskustelijoita. Taloussanomat varaa oikeuden poistaa asiattomat viestit.
Lue koko keskusteluetiketti
Varaa oma nimimerkkisi Taloussanomien uutiskommentointiin rekisteröitymällä käyttäjäksi tai kirjaudu sisään.

Rekisteröityminen ja nimimerkin varaus eivät ole pakollisia.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.
Olet kirjautunut sisään, muttet ole vielä valinnut omaa, muille käyttäjille näkyvää nimimerkkiäsi. Varaa nimimerkki omaksesi kirjoittamalla se nimimerkki-kenttään.

Varauksen jälkeen muut eivät voi käyttää nimimerkkiäsi ja se näkyy automaattisesti kaikissa kirjoittamissasi viesteissä.

Huomioithan, ettei nimimerkkiä ei voi muuttaa jälkikäteen.

Nimimerkissä saa käyttää ainoastaan kirjaimia ja numeroita. Sen minimimitta on viisi merkkiä ja maksimi kaksikymmentä merkkiä.

Uusimmat uutiset

Digiyesterday

2011

Viisi vuotta sitten

Digia lakkauttaa Lappeenrannan toimipisteensä

28.06.2011 Nokialle ohjelmistoalihankintaa tekevä Digia on saanut yt-neuvottelunsa päätökseen. Yhtiö aikoo lakkauttaa Lappeenrannan toimipisteensä tämän vuoden syyskuun lopussa ja irtisanoa enintään 181 työntekijää. Taustalla on Nokian strategiamuutos, joka laskee kysyntää.


2013

Kolme vuotta sitten

Jytinää Microsoftin pilvessä: Jo 8,5 biljoonaa kohdetta

28.06.2013 Microsoftin valtavaksi kasvanut Azure-pilvialusta palvelee 299 miljoonaa Skype-asiakasta ja 250 miljoonaa SkyDrive-asiakasta.

.