Компания Opera Software предупредила 1,7 млн. пользователей ее браузера о возможной компрометации паролей, используемых в рамках службы синхронизации. В бюллетене, опубликованном в минувшую пятницу, сказано, что синхросистема, реализованная в Opera, показала «признаки атаки». Тем, у кого включена эта функция, рекомендуется в срочном порядке сменить пароли, причем также на всех сторонних сайтах, с которыми связан этот сервис.

«Наше расследование не закончено, однако мы полагаем, что некоторые данные, в том числе пароли и другая информация по ряду аккаунтов, такая как логины, могла быть скомпрометирована», – заявил в блоге компании Тарквин Уилтон-Джонс (Tarquin Wilton-Jones). Он также отметил, что пароли хранятся в системе синхронизации в зашифрованном виде или хэшированы и посолены, посему сброс паролей предпринят прежде всего из предосторожности. Тем, кто не пользуется этой службой, ничего предпринимать не надо.

Руководитель ИБ-исследований в Rapid7 Тод Бирдсли (Tod Beardsley) одобрил превентивную меру Opera Software, однако заявил, что пользователи должны сами заботиться о паролях и синхронизации аккаунтов, используя «специальные менеджеры паролей, которые призваны обеспечивать безопасность».

«Хотя Opera не раскрыла детали хранения общих паролей, передовой опыт криптографии показывает, что защитнику должно быть безразлично, известен атакующему способ хранения секретов или нет; единственное, что надлежит хранить в тайне, так это ключ для расшифровки», – отметил эксперт в своем комментарии.

Согласно примечанию для разработчиков на платформе Opera от 2015 года, синхронизация паролей была привнесена с выпуском Opera 031, а для шифрования паролей используется протокол Nigori. Этот протокол примерно в то же время начал использовать Google Chrome – для шифрования синхронизированного контента. Технику шифрования по Nigori в свое время рассмотрел для каждого браузера программист из Mozilla Грегори Сорц (Gregory Szorc), для формирования ключа она использует стандарт PBKDF2. Автор Nigori Бен Лори (Ben Laurie) так охарактеризовал этот протокол: «Он не требует доверять всем и каждому… Сервер(ы) хранения не способен(-ны) заполучить материал для формирования ключа, и при желании можно разделить его на фрагменты, чтобы отдельные серверы не смогли покуситься на зашифрованный секрет».

Как Opera Software реализует серверы хранения, доподлинно не известно, неясно также, применяет ли она фрагментирование исходного материала для пущей безопасности. «Сохранение идентификаторов в браузере – безусловное удобство, это лучше, чем использование одних и тех же трех-четырех паролей на все случаи жизни, – признал Бирдсли.  Однако менеджеры паролей почти всегда используют более надежные схемы и предлагают более надежные функции – к примеру, случайный выбор при генерации пароля или даты окончания его действия».

Представители Opera Software отметили, что пользователи синхросервиса Opera были уведомлены об инциденте по электронной почте. Их также просили сменить пароли не только к учетной записи на этом сервисе, но и ко всем другим аккаунтам, которые могли быть использованы в рамках этой функции. По оценке компании, из 350 млн. пользователей ее браузера синхрослужба включена лишь у 1,7 млн. (менее 0,5%).

threatpost.ru

👁 23
comments powered by HyperComments

Оцените статью
Рейтинг: 1Рейтинг: 2Рейтинг: 3Рейтинг: 4Рейтинг: 5 (нет оценок)