꿈을꾸는 파랑새

오늘은 암호관리프로그램인 LastPass(라스트패스) 해킹 방지 보안 강화 방법에 대해 알아보겠습니다. 일단 최근 LastPass(라스트패스)에서 최악의 데이터 유출 사고가 발생을 했고 이로 말미암아서 다른 경쟁 업체들로 전환했습니다. 과거의 사건과 처리 방식 때문에 사용을 권장하지 않으며 사용자에게 Bitwarden,KeePass,1Password 등 다른 암호관리프로그램으로 갈아타는 것을 추천합니다. 그래도 나는 사용을 해야 하면 다음 조치로 보안을 강화할 수가 있습니다.
가장 먼저 해야 할 일은 강력하고 고유한 마스터 비밀번호를 사용하는 것입니다. 즉 자신이 사용하는 마스터비밀번호를 변경해야 하면 변경을 하는 방법은 비밀번호생성 프로그램 또는 사이트에서 생성하고 나서 자신의 방법으로 변화를 주어야 합니다.
그리고 2단계 인증(2FA)이 활성화입니다. 뭐~이거는 당연한 방법일 것입니다.
클라우드 기반 암호 관리자는 데이터를 서버에 업로드하기 전에 해시 부분을 진행합니다. 프로세스를 KDF라고 하며 Key Derivation Function을 나타냅니다.

해싱이 수행되는 횟수를 반복이라고 하며 LastPass는 PBKDF2를 사용하고 100,100을 해싱을 진행합니다.

Password Iterations
Password Iterations

실제로 OWASP(Open Web Application Security Project)에서 권장하는 것보다 적은 횟수입니다. 600,000으로 설정으로 변경해야 합니다.
경고: 반복 횟수를 변경하면 장치, 앱 및 확장 프로그램에서 로그아웃되며 다시 인증해야 하며 Vault의 고급 옵션 ->내보내기 옵션에서 자격 증명을 내보내서 Vault 데이터를 백업을 진행해야 하며 프로세스가 데이터를 다시 암호화하고 볼트가 더 느리게 로드됩니다.
LastPass에서 서버 측 KDF 반복을 늘리는 방법
LastPass 계정에 로그인
볼트 페이지를 로드 왼쪽 측면 패널에서 계정 설정을 클릭
고급 설정 표시 버튼을 누르고 패널을 쭉 내려갑니다.
그리고 나서 보면 Password Iterations 이라는 부분이 보일 것입니다.
기본 값은 100100으로 설정이 돼 있는 것을 확인할 수가 있습니다.
600000으로 변경을 합니다. 그리고 나서 마스터 비밀번호를 입력하라고 할 것입니다. 해당 부분을 입력을 해주고 나서 LastPass는 계정에서 로그아웃하고 다시 로그인을 하면  데이터를 다시 암호화합니다. 오랫동안 LastPass를 사용해 왔다면 계정의 반복 횟수가 100100이 아닌 더 낮을 가능성이 있으며 해당 부분을 늘려주면 됩니다.
그리고 중요한 것은 기존에 사용하고 계시는 분들은 저장해둔 암호를 하나하나 로그인해서 비밀번호를 변경하시는 것도 안전하게 사용을 하는 방법입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band