LastPass đã tuyên bố rằng sẽ mất hàng triệu năm để bẻ khóa mật khẩu chính của người dùng, nhưng một công ty đối thủ tuyên bố rằng quá trình này sẽ không mất nhiều thời gian như vậy và có thể được thực hiện chỉ với 100 đô la.
LastPass, một công ty quản lý mật khẩu nổi tiếng, gần đây đã bị chỉ trích khi kho dữ liệu của khách hàng bị lấy cắp thông qua một cuộc tấn công vào tháng 8.
Bây giờ, đối thủ của công ty, 1Password, khiếu nại rằng LastPass không đủ bảo vệ dữ liệu của khách hàng.
Một bài đăng trên blog của kiến trúc sư bảo mật chính của 1Password, Jeffrey Goldberg, giải thích tầm quan trọng của việc sử dụng mật khẩu do máy tạo thay vì mật khẩu do người dùng tạo.
“Nếu bạn xem xét tất cả các mật khẩu 12 ký tự có thể có, thì có khoảng 272 khả năng. Sẽ mất nhiều triệu năm để thử tất cả chúng. Thật vậy, sẽ mất nhiều thời gian hơn nữa,”ông viết.”Nhưng những người bẻ khóa mật khẩu do con người tạo ra không làm theo cách đó. Họ thiết lập hệ thống của mình để thử những mật khẩu có khả năng nhất trước.”
Goldberg lưu ý rằng hầu hết các mật khẩu do người dùng tạo có thể bị bẻ khóa với ít hơn 10 tỷ lần đoán thông qua một quy trình chỉ tốn khoảng 100 đô la.
Đây là tin xấu đối với người dùng bình thường, những người thường tạo mật khẩu ngắn hơn và ít phức tạp hơn so với mật khẩu do máy tạo ra.
Anh ấy chỉ ra rằng 1Password bổ sung thêm một lớp bảo vệ — Khóa bí mật. Khóa bí mật của khách hàng được tạo trên thiết bị, không bao giờ được gửi tới 1Password và được yêu cầu để giải mã dữ liệu người dùng.
Vì vậy, mặc dù về mặt lý thuyết, tin tặc có thể lấy được mật khẩu chính của người dùng 1Password, nhưng sẽ vô ích nếu không có Khóa bí mật.
Blog kết thúc bằng cách trấn an người dùng rằng 1Password đã nỗ lực hết mình để bảo vệ dữ liệu của họ, ngay cả khi người dùng không tuân theo các phương pháp hay nhất và sử dụng mật khẩu do máy tạo.
“Chúng tôi không bị xâm phạm và chúng tôi không có kế hoạch bị xâm phạm. Nhưng chúng tôi hiểu rằng chúng tôi phải lên kế hoạch cho việc bị vi phạm,”Goldberg viết.”Khóa bí mật 1Password có thể không phải là khía cạnh thân thiện với người dùng nhất trong thiết kế lấy con người làm trung tâm của chúng tôi, nhưng điều đó có nghĩa là chúng tôi có thể hoàn toàn tin tưởng rằng bí mật của bạn sẽ vẫn an toàn trong trường hợp bị vi phạm.”
LastPass đã từng bị chỉ trích vì các hoạt động bảo mật đáng ngờ trong quá khứ.
Vào tháng 12 năm 2021, các thành viên LastPass đã báo cáo nhiều lần cố gắng đăng nhập bằng mật khẩu chính chính xác từ nhiều địa điểm khác nhau. Công ty đảm bảo với khách hàng rằng các cuộc tấn công là kết quả của mật khẩu bị rò rỉ do vi phạm của bên thứ ba.