Slo-Tech - Varnostna skupnost je do zadnjih navedb in izjav za javnost, ki jih je LastPass z večmesečno zamudo posredoval po avgustovskem vdoru v njihovo storitev, izjemno kritična. Medtem ko podjetje trdi, da se uporabniki nimajo česa bati, če so le uporabljali primerne varnostne nastavitve, je resnica manj prijetna.
Wladimir Palant pojasnjuje, da so LastPassove navedbe zavajajoče in da dajejo uporabnikov neupravičeni občutek varnosti. Vdor je bil izjemno resen in je segal v avgust, ko ni bil primerno razrešen, zato je napadalcem omogočil dostop do dodatnih podatkov. Prav tako to ni bil prvi vdor v zadnjih letih. Čeprav LastPass trdi, da so uporabniški podatki varni, ker so šifrirani - pa še to drži le za gesla - to velja le do trenutka, ko napadalci uganejo glavno geslo (master password). LastPass je sicer v zadnjih letih zahteval, da ima geslo vsaj 12 znakov, a kdor starejša gesla odtlej ni spremenil, je lahko obdržal staro geslo, četudi ni ustrezalo tem pogojem. Tudi število iteracij PBKDF2 je znašalo 100.100, kar ni ravno veliko in je manj od priporočil. Starejši računi so tudi to vrednost imeli nastavljeno nižjo.
Jeremi Gosney dodaja, da je v preteklosti LastPass priporočal, a je zaradi pomanjkljivosti to že pred leti prenehal. Medtem ko je Palant kritičen zlasti do načina, kako je LastPass komuniciral, Gosney problematizira tehnične odločitve in izvedbo. Zato sedaj aktivno predlaga uporabo konkurenco, denimo 1Password ali Bitwarden. Razlogov je več, vsi pa se nanašajo na varnost in dizajn. Da je enakega mnenja tudi taista konkurenca, ni presenetljivo. Dejstvo je, da gesla, ki si jih izmišljujemo ljudje, niso zelo zapletena (tipično okrog 40 bitov entropije), kar je dandanes že možno sorazmerno hitro zlomiti s surovo silo.
Kaj torej storiti? Vsaj najpomembnejša gesla, ki jih imate v LastPassu, velja zamenjati. Razmislek o spremembi ponudnika pa tudi še nikoli ni bil bolj upravičen.
Password managerji so že kul. Samo ne v obliki neke oblačne storitve.
Za varnost verjetno imajo za nekaj velikostnih redov bolje poskrbljeno kot povprečen Janez, so pa tudi toliko bolj sočne tarče, da vprašanje kaj pretehta.
Password managerji so že kul. Samo ne v obliki neke oblačne storitve.
PM je varen toliko kot njegov master password. Nima veze če je v oblaku. No, lahko si paranoik in okoli prenašaš Keepass fajl na ključku. Večina pa si tudi Keepass vrže na oblak, da ima povsod dostop do njega. Pa ne zagovarjam Lastpassa, bi le morali bolj poskrbeti za varnost trezorjev.
V glavnem vseeno sem zamenjal 6 pomembnejših gesel. Tudi za ostala sem precej siguren, da jih za časa mojega življenja ne bodo dobili.
Nek password manager je definitivno dobro uporabljat. Ena non-cloud varianta je KeePass2, nekje imaš postavljen server (AWS nano instanca), preko njega s FTP syncaš vse svoje naprave.
Sem bil dolgoletni uporabnik lastpassa. Tudi premium user. Prešaltal sem na KeePassXC lokalno (PC, notebook, NAS backup) z uporabo VPN za mobilno, ko to potrebujem. Blo je kr neki dela vse skupi, sam zdej vsaj mirno spim, tud če kdaj odprejo moj LP vault, ker ne bo več uporaben.
Prešalatal na Bitwarden ko so na LastPassu uvedli premium sranje, redno menjam master password, vse občutljive stvari itak imajo uklopljeno še dvojno verifikacijo, tko da tudi če pridejo do gesl finančne škode ne bo nobene.
Tisto kaj eni omenjate že večkrat, drkanje z local serverom, pa ftp in vpn.... ma ni šanse da se s tim j...., ker moj dan ima 24 ur in mi ne pada na pamet gubit čas tam kje ni treba za marginalno večjo korist, ker kje je potem meja, svoj vrt, svoje krave in svinje, svoj mizar, vodinstalater, avtomehanik.... pač zaupam do določene mere določene stvari podizvajalcem, jaz pa si v tem času rajš delam spomine z družino in prijatelji...
vse je odvisno kaj vse shranjuješ v trezor. Če si naprimer veliko prisoten v kriptu in imaš dosti različnih denarnic, moraš ključe denarnic nekam shranit. Imaš opcijo papir ali enkriptiran trezor. Če ti eno ali drugo pridobijo, ostaneš brez vseh sredstev na teh denarnicah, ker 2fa tam žal ne obstaja. Če pa shranjuješ gor samo gesla za online trgovine in slo-tech, potem je pa itak vseeno.
Večji problem je, da je večina folka, tudi jaz, shranjeval backup 2fa kode zraven gesel v last pass... tko da ti na koncu 2fa ne pomaga nič.
MIslim, da je glavni problem, da folk ni imel master passworda nastavljenega tako kot je treba.
MOj je bil 22 znakov dolg, po vseh možnih varnostnih predpisih, pa sem vseeno zamenjal vsa gesla, za vsak slučaj. Če so lagali že v osnovi, lahko da tudi primerne zaščite niso imeli. :)
Če prisloniš uho na vroč šporhet, lahko zavohaš kak si fuknjen.
Password managerji so že kul. Samo ne v obliki neke oblačne storitve.
PM je varen toliko kot njegov master password. Nima veze če je v oblaku. No, lahko si paranoik in okoli prenašaš Keepass fajl na ključku. Večina pa si tudi Keepass vrže na oblak, da ima povsod dostop do njega. Pa ne zagovarjam Lastpassa, bi le morali bolj poskrbeti za varnost trezorjev.
V glavnem vseeno sem zamenjal 6 pomembnejših gesel. Tudi za ostala sem precej siguren, da jih za časa mojega življenja ne bodo dobili.
Najbolj pomembne stvari sem že prej imel na 2FA, master geslo pa dolgo in varno. Spim mirno.
Nek password manager je definitivno dobro uporabljat. Ena non-cloud varianta je KeePass2, nekje imaš postavljen server (AWS nano instanca), preko njega s FTP syncaš vse svoje naprave.
vse je odvisno kaj vse shranjuješ v trezor. Če si naprimer veliko prisoten v kriptu in imaš dosti različnih denarnic, moraš ključe denarnic nekam shranit. Imaš opcijo papir ali enkriptiran trezor. Če ti eno ali drugo pridobijo, ostaneš brez vseh sredstev na teh denarnicah, ker 2fa tam žal ne obstaja. Če pa shranjuješ gor samo gesla za online trgovine in slo-tech, potem je pa itak vseeno.
Večji problem je, da je večina folka, tudi jaz, shranjeval backup 2fa kode zraven gesel v last pass... tko da ti na koncu 2fa ne pomaga nič.
Zakaj pa si ne omisliš Ledgerja? Nobenih gesel, 24 besedni passphrase si zapišeš, pa je to to. Noben heker ti ne pride do listka, skritega nekje doma.
Ja, tudi jaz sem imel 2FA kode v Lastpassu, za tistih nekaj strani sem menjal gesla. Najbolj ironično pa je, da 2FA za Lastpass nisem imel notri
vse je odvisno kaj vse shranjuješ v trezor. Če si naprimer veliko prisoten v kriptu in imaš dosti različnih denarnic, moraš ključe denarnic nekam shranit. Imaš opcijo papir ali enkriptiran trezor. Če ti eno ali drugo pridobijo, ostaneš brez vseh sredstev na teh denarnicah, ker 2fa tam žal ne obstaja. Če pa shranjuješ gor samo gesla za online trgovine in slo-tech, potem je pa itak vseeno.
Večji problem je, da je večina folka, tudi jaz, shranjeval backup 2fa kode zraven gesel v last pass... tko da ti na koncu 2fa ne pomaga nič.
Zakaj pa si ne omisliš Ledgerja? Nobenih gesel, 24 besedni passphrase si zapišeš, pa je to to. Noben heker ti ne pride do listka, skritega nekje doma.
Ja, tudi jaz sem imel 2FA kode v Lastpassu, za tistih nekaj strani sem menjal gesla. Najbolj ironično pa je, da 2FA za Lastpass nisem imel notri
Mam ledger, sam je praktičen samo za cold storage. Za hot wallete pa ne, ker je prepočasen.
in kolk uporabnikov nastavi primary password? :) Zadeva je optional in 99% folka nikol sploh ne gre do teh nastavitev, ampak veselo samo shranjujejo gesla, ki pa so potem lahko vidna vsakomur, ki pridobi dostop do compa.
To je potem pač davek na neznanje in lenobo.. Sicer pa mislim, da Firefox ne bi smel ponujati shranjevanja gesel, če ni nastavljen vsaj osnovni primary pass.
So koga že shekali? Na redditu so nekateri že pisali, naj bi jih. Čeprav vprašanje, koliko so realni tisti posti.
V glavnem vzel sem si čas in spremenil vsaj nekih 20-30 pomembnejših gesel (gugl, MS live, Dropbox, kripto, državne zadeve, itd). Ostalih 180 ostaja, ampak to so bolj kot ne spletne štacune, kaki forumi itd. Tega se mi pa ne da.
Sedaj sem na Bitwardenu z geslom z nekje 110 bitno entropijo. Ta pravo, narejeno s true random igralno kocko. Tudi če Bitwardenu ukradejo vaulte, se ne bom sekiral
Še vedno pa premišljujem, da bi komplet prešaltal na Keepass in sinhronizacijo čez Dropbox + dodatni keyfile na vsakem klientu.
