Προς το περιεχόμενο

Προτεινόμενες αναρτήσεις

Δημοσ.
6 λεπτά πριν, spectaculator είπε

Πάλι καλά...

LastPass 2015 security breach

Μάλλον δεν καταλαβαίνεις πως λειτουργεί το σύστημα της κρυπτογράφησης. Το μοναδικο password που έχεις γίνεται hash 100.000 φορές μαζι άλλες δικλείδες ασφαλείας. Το να μπεις κάποιος στο network της εταιρίας είναι ας πούμε δυνατό. Το να πάρεις τα passwords και να τα αποκρυπτογραφήσεις είναι αδύνατον. ΑΔΥΝΑΤΟΝ. θα το δεις και σε αυτό που παρεθεσες.

  • Like 1
  • Thanks 1
  • Απαντ. 47
  • Δημ.
  • Τελ. απάντηση

Συχνή συμμετοχή στο θέμα

Δημοσ. (επεξεργασμένο)
42 λεπτά πριν, Retromaniac είπε

Μάλλον δεν καταλαβαίνεις πως λειτουργεί το σύστημα της κρυπτογράφησης. Το μοναδικο password που έχεις γίνεται hash 100.000 φορές μαζι άλλες δικλείδες ασφαλείας. Το να μπεις κάποιος στο network της εταιρίας είναι ας πούμε δυνατό. Το να πάρεις τα passwords και να τα αποκρυπτογραφήσεις είναι αδύνατον. ΑΔΥΝΑΤΟΝ. θα το δεις και σε αυτό που παρεθεσες.

Κατάλαβα μια χαρά! Δες κι εδώ:

https://hackernoon.com/psa-lastpass-does-not-encrypt-everything-in-your-vault-8722d69b2032

12 λεπτά πριν, KilliK είπε

Το διαβασες το αρθρο που ποσταρες; Τα δεδομενα ειναι κρυπτογραφημενα, ακομη και να τα κλεψουν δεν μπορουν να τα διαβασουν.

Ναι, βέβαια:

https://hackernoon.com/psa-lastpass-does-not-encrypt-everything-in-your-vault-8722d69b2032

Δες το τι και πως μπορεί να του ξεφύγει.

Επίσης, λένε πως αν χωρέσει του ποντικού η κεφαλή τότε...:

https://www.rapid7.com/db/modules/post/multi/gather/lastpass_creds

https://github.com/rapid7/metasploit-framework/blob/master/modules/post/multi/gather/lastpass_creds.rb

Υπάρχει άλλο ένα, που για ευνόητους λόγους δεν το κάνω post εδώ.

Επεξ/σία από spectaculator
Δημοσ. (επεξεργασμένο)
9 λεπτά πριν, spectaculator είπε

Κατάλαβα μια χαρά! Δες κι εδώ:

https://hackernoon.com/psa-lastpass-does-not-encrypt-everything-in-your-vault-8722d69b2032

Ναι, βέβαια:

https://hackernoon.com/psa-lastpass-does-not-encrypt-everything-in-your-vault-8722d69b2032

Δες το τι και πως μπορεί να του ξεφύγει...

Και πάλι δεν κατάλαβες. Αυτό αφορά το traffic μεταξύ εσένα και LastPass και όχι τα αποθηκευμένα passwords. Δεν κρυπτογραφουν το url για να κάνουν tracking. Και ο φόβος του εδώ είναι ότι καμιά φορά το url μπορεί να έχει password ή reset token. Η πρώτη περίπτωση μου φαίνεται τελείως τρελή και αν βρείτε site να τό κάνει αυτό καλύτερα να μην γραφτείτε ποτέ γιατί έτσι και αλλιώς κινδυνεύεις. Η δεύτερη περίπτωση είναι πάλι τραβηγμένη, αφού τα reset token κάνουν expire. Θα πρέπει δηλαδή εκτός από το να έχεις αποθηκεύσει url reset token, να γίνει hacking του LastPass μέσα στις επόμενες ώρες. Επίσης το token έχει και client validation συνήθως οπότε δεν θα παίξει σε κάποιον αλλον. Ακόμη και αν τελικά σου πάρουν κάποιο password έτσι θα είναι για ένα site και μάλιστα του κώλου για να μην έχει απλά practices.

Επεξ/σία από Retromaniac
  • Like 2
Δημοσ.
1 λεπτό πριν, Retromaniac είπε

Και πάλι δεν κατάλαβες. Αυτό αφορά το traffic μεταξύ εσένα και LastPass και όχι τα αποθηκευμένα passwords. Δεν κρυπτογραφουν το url για να κάνουν tracking. Και ο φόβος του εδώ είναι ότι καμιά φορά το url μπορεί να έχει password ή reset token. Η πρώτη περίπτωση μου φαίνεται τελείως τρελή και αν βρείτε site να τό κάνει αυτό καλύτερα να μην γραφτείτε ποτέ γιατί έτσι και αλλιώς κινδυνεύεις. Η δεύτερη περίπτωση είναι πάλι τραβηγμένη, αφού τα reset token κάνουν expire. Θα πρέπει δηλαδή εκτός από το να έχεις αποθηκεύσει url reset token, να γίνει hacking του LastPass μέσα στις επόμενες ώρες. Επίσης το token έχει και client validation συνήθως οπότε δεν θα παίξει σε κάποιον αλλον. Ακόμη και αν τελικά σου πάρουν κάποιο password έτσι θα είναι για ένα site και μάλιστα του κώλου για να μην έχει απλά practices.

Διάβασε λίγο καλύτερα και ψάξε για το δεύτερο μόνος σου να δεις που μπήκε χέρι το 2017 με το... παρακάτω και κάτι επιπλέον. Υπάρχει σε διάσημο site αναλυτική εξήγηση. Δεν ξέρω αν εκανε κάτι το LastPass από τότε αλλά από εκεί και μετά, veracrypt, keepass και το αρχείο στο σύννεφο.

  • Like 1
Δημοσ. (επεξεργασμένο)
1 ώρα πριν, sistah είπε

Ενω ειναι καλυτερα να τα εχεις σε ενα word ή notepad ή τετραδιο ή να βαζεις τον ιδιο κωδικο παντου........
Το encryption και decryption (256-bit AES) του vault σου γινεται locally πρωτου ανεβει στους servers του LastPass και εχουν 100K hash rounds.
Αυτο σημαινει οτι δεν μπορουν να δουν τα passwords και αν θελησουν να το κανφυουν για παρτη σου, θα χρειαστουν πολλα resources για να σπασουν (στο οριο του impossible) το encryption.
Ενημερωτικα, στα 10+ χρονια του LastPass, εχουν επιχειρησει να κανουν breaches και φτασανε ουτε στο χαλακι της εξωπορτας.
Παρ'ολα αυτα, ενας password manager δεν σε σωζει αν κανεις κακη χρηση του internet.

απο το ενα ακρο στο αλλο....

φυσικα και υπαρχει  καλυτερος τροπος και ειναι με εναν pass manager τοπικα. το περιεγραψε και o @fwtonio

εχω εγω και μονο τον πληρη ελεγχο  και κανενας αλλος...

ουτε θα μπω στη διαδικασια να αλλαξω κωδικους σε ολες τις υπηρεσιες αν γινει καποιο breach, ακομη και αν δεν μπορουν να τα ανοιξουν τωρα... αυριο δεν ξερεις!

ουτε θα εχω το φοβο καποια στιγμη να κλεισει διακοπτες και να μπω στην ιδια διαδικασια..

 

 

Επεξ/σία από bjj-p
  • Like 1
Δημοσ.
33 λεπτά πριν, spectaculator είπε

Διάβασε λίγο καλύτερα και ψάξε για το δεύτερο μόνος σου να δεις που μπήκε χέρι το 2017 με το... παρακάτω και κάτι επιπλέον. Υπάρχει σε διάσημο site αναλυτική εξήγηση. Δεν ξέρω αν εκανε κάτι το LastPass από τότε αλλά από εκεί και μετά, veracrypt, keepass και το αρχείο στο σύννεφο.

Τι να ψάξω ρε συ; Δεν ψάχνω για φαντάσματα. Προγραμματιστής είμαι και ξέρω τους αλγόριθμους και πως δουλεύουν. Εσύ κάθε φορά που θες να βρεις password τι κάνεις; Για να σου δείξω ότι αυτό που κάνεις είναι πολύ πιο επικινδυνο από το LastPass. Και δεν το συζητάω από άποψη χρηστικότητας...

26 λεπτά πριν, bjj-p είπε

απο το ενα ακρο στο αλλο....

φυσικα και υπαρχει  καλυτερος τροπος και ειναι με εναν pass manager τοπικα. το περιεγραψε και o @fwtonio

εχω εγω και μονο τον πληρη ελεγχο  και κανενας αλλος...

ουτε θα μπω στη διαδικασια να αλλαξω κωδικους σε ολες τις υπηρεσιες αν γινει καποιο breach, ακομη και αν δεν μπορουν να τα ανοιξουν τωρα... αυριο δεν ξερεις!

ουτε θα εχω το φοβο καποια στιγμη να κλεισει διακοπτες και να μπω στην ιδια διαδικασια..

Ακόμη και οι κβαντικοί υπολογιστές να βγουν, και να μπορούν να βρίσκουν collision keys θα πρέπει να βρουν όλα τα collision keys για να βρουν ποιο είναι το σωστό. Και όλα θα συμφέρουν μόνο για στόχους κυβερνητικών υπηρεσιών πολύ υψηλής  σημασίας όχι hackers που κλέβουν το LastPass.

Μιλάμε για επιστημονική φαντασία.

  • Like 2
  • Thanks 1
Δημοσ. (επεξεργασμένο)
28 λεπτά πριν, Retromaniac είπε

Τι να ψάξω ρε συ; Δεν ψάχνω για φαντάσματα. Προγραμματιστής είμαι και ξέρω τους αλγόριθμους και πως δουλεύουν. Εσύ κάθε φορά που θες να βρεις password τι κάνεις; Για να σου δείξω ότι αυτό που κάνεις είναι πολύ πιο επικινδυνο από το LastPass. Και δεν το συζητάω από άποψη χρηστικότητας...

Ακόμη και οι κβαντικοί υπολογιστές να βγουν, και να μπορούν να βρίσκουν collision keys θα πρέπει να βρουν όλα τα collision keys για να βρουν ποιο είναι το σωστό. Και όλα θα συμφέρουν μόνο για στόχους κυβερνητικών υπηρεσιών πολύ υψηλής  σημασίας όχι hackers που κλέβουν το LastPass.

Μιλάμε για επιστημονική φαντασία.

Δεν μιλάω για φαντάσματα. Όσα ξέρεις, τόσα λες! Αν νιώθεις ασφαλής και σίγουρος μαζί του, cool! Να σου θυμίσω πως το 2017... "a flaw which would allow for remote code execution or password theft" είναι ένα από αυτά που δεν θέλει ούτε αλγορίθμους, ούτε μπαγλαμάδια. Υπάρχουν βέβαια κι άλλα για τη γούνα του αν ξέρεις που να τα ψάξεις.

Επεξ/σία από spectaculator
Δημοσ.
1 ώρα πριν, spectaculator είπε

Δεν μιλάω για φαντάσματα. Όσα ξέρεις, τόσα λες! Αν νιώθεις ασφαλής και σίγουρος μαζί του, cool! Να σου θυμίσω πως το 2017... "a flaw which would allow for remote code execution or password theft" είναι ένα από αυτά που δεν θέλει ούτε αλγορίθμους, ούτε μπαγλαμάδια. Υπάρχουν βέβαια κι άλλα για τη γούνα του αν ξέρεις που να τα ψάξεις.

Βασικά λέω λιγότερα από όσα ξέρω, γιατί δεν έχει νόημα να πάμε σε πιο τεχνικά νερά. Για θύμισε μου το είχε γίνει και επίσης πες μου τι κάνεις κάθε φορά που βάζεις κωδικό να σου πω πόσο επικίνδυνο είναι.

  • Like 2
Δημοσ.
2 ώρες πριν, spectaculator είπε

Κατάλαβα μια χαρά! Δες κι εδώ:

https://hackernoon.com/psa-lastpass-does-not-encrypt-everything-in-your-vault-8722d69b2032

Ναι, βέβαια:

https://hackernoon.com/psa-lastpass-does-not-encrypt-everything-in-your-vault-8722d69b2032

Δες το τι και πως μπορεί να του ξεφύγει.

Επίσης, λένε πως αν χωρέσει του ποντικού η κεφαλή τότε...:

https://www.rapid7.com/db/modules/post/multi/gather/lastpass_creds

https://github.com/rapid7/metasploit-framework/blob/master/modules/post/multi/gather/lastpass_creds.rb

Υπάρχει άλλο ένα, που για ευνόητους λόγους δεν το κάνω post εδώ.

 

 

Ειλικρινά τώρα, αυτά που γραφεις δεν μου λένε τίποτε. Το αντίθετο. Το Lastpass ξέρει μόνο το URL στο οποίο έχω εγω λογαριασμο.
Αυτό δεν ειναι security flaw. Privacy issue μπορεί να είναι, αλλά είναι άλλη κουβέντα αυτή.
 

Δημοσ. (επεξεργασμένο)
2 ώρες πριν, Retromaniac είπε

Βασικά λέω λιγότερα από όσα ξέρω, γιατί δεν έχει νόημα να πάμε σε πιο τεχνικά νερά. Για θύμισε μου το είχε γίνει και επίσης πες μου τι κάνεις κάθε φορά που βάζεις κωδικό να σου πω πόσο επικίνδυνο είναι.

Ναι, μ' έπεισες... Μπες στο κόπο  και ψάξε το. Δεν μπορείς να τα βάλεις όλα χύμα εδώ, εύλογο το γιατί. Όσο για τον κωδικό που λες, που και πως; Επίσης, άλλο να διαρρεύσει ένας κωδικός σου κι άλλο όλοι μαζί.

1 ώρα πριν, nikosgalis είπε

Ειλικρινά τώρα, αυτά που γραφεις δεν μου λένε τίποτε. Το αντίθετο. Το Lastpass ξέρει μόνο το URL στο οποίο έχω εγω λογαριασμο.
Αυτό δεν ειναι security flaw. Privacy issue μπορεί να είναι, αλλά είναι άλλη κουβέντα αυτή.
 

Δεν έχεις ιδέα και γι αυτό δεν ΣΟΥ λενε τίποτα. Επίσης το να σου κλέψουν κωδικό μόνο privacy issue δεν είναι... Διάβασε λίγο καλύτερα...

Επεξ/σία από spectaculator
Δημοσ.
1 ώρα πριν, spectaculator είπε

Ναι, μ' έπεισες... Μπες στο κόπο  και ψάξε το. Δεν μπορείς να τα βάλεις όλα χύμα εδώ, εύλογο το γιατί. Όσο για τον κωδικό που λες, που και πως; Επίσης, άλλο να διαρρεύσει ένας κωδικός σου κι άλλο όλοι μαζί.

Δεν έχεις ιδέα και γι αυτό δεν ΣΟΥ λενε τίποτα. Επίσης το να σου κλέψουν κωδικό μόνο privacy issue δεν είναι... Διάβασε λίγο καλύτερα...

Δεν καταλαβαίνω τι ακριβώς διάλογο και αντιπαράθεση επιχειρημάτων κάνεις. Έχεις κάποιο λινκ να μου δείξεις για κάτι σοβαρό; Που να δείχνει ότι κλάπηκε κωδικός μέσα από τις databases του lastapass.

Επίσης για άλλη μια φορά σου ζητάω να μου πεις τι διαδικασία ακολουθείς κάθε φορά για να βρεις ένα κωδικό από κάποιο site. Και αν αυτός ο κωδικός είναι μοναδικός και random ΓΙΑ ΚΑΘΕ site.

  • Like 1
Δημοσ. (επεξεργασμένο)
12 ώρες πριν, Istros είπε

Πολύ καλό αλλά το ανησυχητικό είναι το γεγονός ότι 4 δισεκατομμυρία διαπιστευτηρία έχουν παραβιαστεί ή διαρρεύσει σε διάφορες παραβιάσεις ή hacks στο παρελθόν.

Όντως πολύ καλό όμως άσχετο με τα κλεμμένα διαπιστευτήρια, οι περισσότερες παραβιάσεις έχουν γίνει στους server των εταιρειών την εποχή που οι εταιρείες αποθήκευαν το ίδιο το password και όχι ένα hash του, δεν υπήρχε κάτι που μπορούσε να κάνει ο χρήστης για να το αποφύγει αυτό. Πέρα από αυτό οι εποχές που κάποιος μπορούσε να κάνει brute force και να σπάσει τα αδύναμα password έχουν περάσει αφού οι εταιρείες πλέον αν δεν έχουν κάνει fingerprint το pc σου και τον ISP σου όχι μόνο δεν σε αφήνουν να δοκιμάσεις 10.000.000 password αλλά και το σωστό να βάλεις με την πρώτη πάλι θέλουν να το επαληθεύσουν με το κινητό σου κλπ.

12 ώρες πριν, nikosgalis είπε

Στο https://haveibeenpwned.com/ μπορεις να γραφτεις και να σε ενημερωνει μολις το εμαιλ σου βρεθει σε βαση δεδομένων που προήλθε από hack

Αλλά αυτό δεν λέει κάτι, δεν σε σώζει από τίποτε. Ο καλύτερος τρόπος είναι να χρησιμοποιείς έναν password manager όπως το  lastpass, που να δημιουργεί τυχαίους σύνθετους κωδικούς διαφορετικούς σε κάθε site, και να μην σε απασχολεί αν υποκλαπεί ένας από αυτούς.

Η όλη λογική του lastpass είναι το αντίθετο της ασφάλειας αφού τρέχει σε js μέσα στον browser, αν κάποιο άλλο addon καταφέρει να βρει κενό στο sandboxing που κάνουν οι browser μπορεί να κλέψει τα data. Επίσης τελευταία φορά που το δοκίμασα έκανε recover password χωρίς να σου στείλει email. Θεωρώ το keypass καλύτερη εναλλακτική.

10 ώρες πριν, Retromaniac είπε

Μάλλον δεν καταλαβαίνεις πως λειτουργεί το σύστημα της κρυπτογράφησης. Το μοναδικο password που έχεις γίνεται hash 100.000 φορές μαζι άλλες δικλείδες ασφαλείας. Το να μπεις κάποιος στο network της εταιρίας είναι ας πούμε δυνατό. Το να πάρεις τα passwords και να τα αποκρυπτογραφήσεις είναι αδύνατον. ΑΔΥΝΑΤΟΝ. θα το δεις και σε αυτό που παρεθεσες.

Νομίζω με κάθε επιφύλαξη ότι το κάθε σου password γίνεται hash μία φορά με salt το master password.

6 ώρες πριν, nikosgalis είπε

Ειλικρινά τώρα, αυτά που γραφεις δεν μου λένε τίποτε. Το αντίθετο. Το Lastpass ξέρει μόνο το URL στο οποίο έχω εγω λογαριασμο.
Αυτό δεν ειναι security flaw. Privacy issue μπορεί να είναι, αλλά είναι άλλη κουβέντα αυτή.
 

Αν ένας keylogger σου κλέψει το master password με την χρήση του https://github.com/rapid7/metasploit-framework/blob/master/modules/post/multi/gather/lastpass_creds.rb μπορεί να κλέψει την database του lastpass και να την κάνει decrypt, κάτι που δεν μπορεί να συμβεί με το keypass.

4 ώρες πριν, Retromaniac είπε

Επίσης για άλλη μια φορά σου ζητάω να μου πεις τι διαδικασία ακολουθείς κάθε φορά για να βρεις ένα κωδικό από κάποιο site. Και αν αυτός ο κωδικός είναι μοναδικός και random ΓΙΑ ΚΑΘΕ site.

To keypass δημιουργεί καλούς κωδικούς και κάνει autocomplete με ένα shortcut.

Επεξ/σία από elpenor
  • Like 1
Δημοσ.

άρα αυτό το app έχει πρόσβαση και βλέπει όλα τα password σου για να τα συγκρίνει με την database του?

lol

αυτό δεν είναι ασφάλεια αλλά ανασφάλεια 

Δημοσ.

Να ρωτήσω κάτι? Μιλάνε εδώ μέσα αρκετοί γνώστες. πιθανόν και έxperts. Η απορία μου είναι η εξής: Η μηχανή πως "ξέρει" (βλέπε... 'επιτυγχάνει') οι αριθμοί που παράγει, για οποιονδήποτε σκοπό, ό,τι είναι.."τυχαίοι"? Τι θα πει "τυχαίο" για τον υπολογιστή / επεξεργαστή.Εχω διδαχθει παλιά, αλγόριθμους και υπολογιστικά συστήματα στο Πανεπιστήμιο, αλλά προφανώς έχουν αλλάξει πολλά. Πάντα όμως είχα την απορία: Πως παράγονται "τυχαίοι" αριθμοί από μια μηχανή? Μήπως είναι αυτοί που λέγαμε παλιά... "ψευδοτυχαίοι"?   Την ίδια απορία έχω πάνω κάτω και με τη φιλοσοφία του blockchain ας πούμε. Η μηχανή (βλέπε επεξεργαστής + λογισμικό) δεν γνωρίζει ανά πάσα στιγμή, ποιο στοιχείο είναι στη δικαιοδοσία του ? Δηλ whats the input / whats the output.  Αν είναι έτσι, το encryption, ακόμα κι αν είναι 128b, εφαρμόζεται πάνω σε ένα αρχικά γνωστό στοιχείο (αριθμοσειρά), που ναι μεν, την εκανε generate η μηχανή, πλην όμως, έστω και για 1 nanosecond, αυτή η πληροφορία υπήρξε "κάπου". Στο cloud, στο δισκο μου, στο desktop μου, στους servers του encryption provider,.... κάπου.

Anyways. Αυτά τα ζητήματα έπαιζαν πριν 20 χρόνια, που διδάχθηκα εγώ - τώρα πιθανώς έχουν αλλάξει. 
Thanks, kai sorry αν τα έμπλεξα .. όλα μαζί. !!

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα

  • Δημιουργία νέου...