To LastPass αναφέρει ότι παραβιάστηκε…και πάλι

[Shyn]

Παλαιότερα γινόταν decrypt τα passwords απο Chrome Password Manager. Λογικά το έχουν διορθώσει, αλλά υπάρχουν ακόμη τέτοια "tools" αποτι βλέπω github.

[nick_corobos]

Αν είναι κρυπτογραφημένα τα δεδομένα όσες φορές και να παραβιαστεί δεν υπάρχει θέμα.

Αλλά καλό είναι να μην γίνονται αυτά.

[Επισκέπτης]

4 ώρες πριν, manolis940 είπε

Το ίδιο έχω κάνει και εγώ . Χάνει όμως αρκετές φορές στην αυτόματη αποθήκευση και πρέπει να έχεις τον νου σου να το κάνεις χειροκίνητα. Με το LastPass δεν το είχα ποτέ το συγκεκριμένο πρόβλημα.

 

Μα έχουν. Έχει και αυτό. Αν διαβάζατε το άρθρο οι περισσότεροι θα το καταλαβαίνατε !

 

Ναι λογικά σε τεφτέρια και μυαλά θα αποθηκεύσεις μια 400αριά συνδέσεις με διαφορετικό password

 

Δεν ξέρω τι έχει πει ο Snowden ή αν το έχεις παραφράσει. Για κάποιον που έχει το κρυπτογραφημένο αρχείο στην κατοχή του, μία λέξη ας είναι και γραμμένη ως << λ€ξ# >>, ισοδυναμεί σχεδόν με χαρακτήρα.

 

Από user experience, όπως προείπαν και πιο πάνω τα παιδιά, περιορίζεσαι στην χρήση κωδικών μέσα στον ίδιο τον browser και σε ένα browser. Αν για κάποιο λόγο θες να αλλάξεις browser ή να βάλεις τους κωδικούς σου σε μία εφαρμογή εκτός αυτού, δεν είναι αδύνατο αλλά δεν είναι και εύκολο να πάρεις πρόσβαση στα αρχεία των password σου.

Από θέμα ασφάλειας που είναι και το βασικό, συνεπάγεται ότι κανένας φίλος ή γνωστός δεν θα χρησιμοποιήσει την συσκευή που έχεις μέσα τον chrome, διότι θα πάρει πρόσβαση σε όλα αυτά τα passwords χωρίς μα χρειαστεί να εισάγει τουλάχιστον ένα κωδικό, όπως γίνεται σε ένα password manager.

αν θες να είσαι ασφαλής, κωδικούς τραπέζης και άλλους αντίστοιχους  του έχεις αποθηκευμένους στο μυαλό σου και μόνο . σβήσιμο ιστορικου , σβήσιμο cookies , browser καθαρός από plug ins, αποθήκευση καρτών πουθενά  και πάλι βέβαια σίγουρος δεν μπορείς να είσαι ποτέ . για λόγους ευκολίας τη πατάς στο τέλος . το 467 που έστειλες δε καταλαβαίνω καν τι είναι συγγνώμη 

[ntellos]

Ολοι οι «σοβαροι» password managers κρατούν τους κωδικούς σε κρυπτογραφημένη μορφή στην βάση δεδομένων τους.

Η αποκρυπτογράφηση των κωδικών γίνεται στην συσκευή του χρήστη (π.χ. στον browser) και απαιτείται η πληκτρολόγηση του master κωδικού ( στην ουσία ο master κωδικός είναι μέρος του private key).

Συνεπώς, όσο και να το χακαρουν την server side υποδομή του last pass δεν θα αποκτήσουν πρόσβαση στους κωδικούς σας.

 

Παρόλα αυτά, ένα breach είναι σημαντικό, γιατί εκτός των αποθηκευμένων κωδικών, υπάρχουν αλλά data που ενδεχομένως έχουν αξία. Δεν θυμάμαι αν αυτό ισχύει για το last pass, αλλά ένα παράδειγμα είναι τα στοιχεία τραπεζικών καρτών, για ευνόητους λόγους. Άλλο παράδειγμα είναι τα emails των χρηστών, τα οποία μπορούν να χρησιμοποιηθούν για spear phishing.

[KilliK]

4 ώρες πριν, Tlykog είπε

Δεν κατάλαβες τι έγραψα. Δεν παράφρασα τίποτα, απλά απάντησες χωρίς να καταλάβεις τι έγραψα. Στο παράδειγμα του, o Snowden, όταν ο δημοσιογράφος του το ζήτησε, είπε ¨Margaretthacheris110%sexy¨. Να δω σε πόση ώρα θα σπάσει αυτό… Ειδικά με brute force… ποτέ…

Οι συνδυασμοί λέξεων σε μια γλώσσα είναι πρακτικά άπειρες και επειδή έχουν λογική συνοχή μπορείς να θυμάσαι τεράστιες εκφράσεις. Τα προγράμματα δεν κάνουν τετοιους συνδυασμούς.

Ποιο πρόγραμμα θα σπάσει μια τέτοια φράση, πχ 25 χαρακτήρων, σε λογικό χρόνο….

Με αυτή τη μέθοδο θυμάμαι πάνω από 8 διαφορετικούς κωδικούς. Εδώ το απόσπασμα της συνέντευξης:

 

[pdamigos]

3 ώρες πριν, m3ltd0wn είπε

Bitwarden αγορασμένη συνδρομή...

Γιατί;

Γιατί θέλω να μου κάνει και TOTP generation για 2FA (με αυτόματη συμπλήρωση, παρά πολύ βολικό!)

Και....

Γιατί θέλω να το ξεκλειδώνω (το bitwarden) όχι μόνο με Master password αλλά με yubikey.

Αν κάποιος τα παραβιάσει όλα αυτά χαλάλι του. Άλλωστε τους κωδικούς της τράπεζας (μόνο) τους έχω στο μυαλό μου. Το πολύ πολύ να μπει σε κανένα email μου.

Keepass που είναι offline μαζί με Yubikey (δεν έχω ψάξει να βάλω TOTP 2FA). Τώρα αν θέλεις να το έχεις και σε κανένα cloud για να το κάνεις συγχρονισμό σε άλλους υπολογιστές βάζεις το αρχείο μέσα σε ένα virtual disk veracrypt ή bitlocker και το ανεβάζεις. Αν στο πάρουν και καταφέρουν να παρακάμψουν veracrypt + keepass + yubikey ε τότε σηκώνω τα χέρια ψηλά.

 

 

[kostasxiaomi]

3 ώρες πριν, nik5163 είπε

Χρησιμοποιώ κι εγώ πολλά χρόνια το keepass και στο android κινητό κάποιες παραλλαγές του αλλά με έχει κουράσει κάπως ο χειροκίνητος συγχρονισμός μεταξύ windows και κινητού/tablet. Δεν έχω βρει απλό τρόπο να γίνεται αυτόματα.

Έχεις δοκιμάσει να βάλεις την βάση στο Google Drive για να μπορείς να την "βλέπεις" από οπουδήποτε; 

[Pokemon640]

απίστευτο, πέφτω από το κλάουντ ☁️

[ntellos]

1 ώρα πριν, pdamigos είπε

Keepass που είναι offline μαζί με Yubikey (δεν έχω ψάξει να βάλω TOTP 2FA). Τώρα αν θέλεις να το έχεις και σε κανένα cloud για να το κάνεις συγχρονισμό σε άλλους υπολογιστές βάζεις το αρχείο μέσα σε ένα virtual disk veracrypt ή bitlocker και το ανεβάζεις. Αν στο πάρουν και καταφέρουν να παρακάμψουν veracrypt + keepass + yubikey ε τότε σηκώνω τα χέρια ψηλά.

Τι θα γίνει αν έχεις αλλαγή ταυτόχρονα σε 2 διαφορετικές συσκευές;

Θα το καταλάβει το keypass και θα mergαρει ή θα χάσεις τις αλλαγές που έγιναν σε κάποια συσκευή;

Είμαι σχεδόν βέβαιος ότι θα έχεις dataloss.

[caveneo]

Keepass γιατι θέλω να έχω εγώ το αρχείο με τους κωδικούς και δεν το θέλω online.

[dolph]

Τελικά χρησιμοποιούμε ή δεν χρησιμοποιούμε password manager;

Όπως σε κάθε ερώτημα στο Insomnia, οι μισοί είναι υπέρ, οι άλλοι μισοί κατά και στο τέλος το κεφάλι βουίζει από τα επιχειρήματα της κάθε πλευράς

Επεξ/σία 2 Δεκεμβρίου 2022 από dolph

[Kostasspil]

24 minutes ago, dolph said:

Τελικά χρησιμοποιούμε ή δεν χρησιμοποιούμε password manager;

Όπως σε κάθε ερώτημα στο Insomnia, οι μισοί είναι υπέρ, οι άλλοι μισοί κατά και στο τέλος το κεφάλι βουίζει από τα επιχειρήματα της κάθε πλευράς

Αυτό συμβαίνει γιατί καθένας έχει διαφορετικές ανάγκες και γι αυτό δεν υπάρχει ξεκάθαρη απάντηση. 

Αν ο άλλος τα μόνα που χρησιμοποιεί είναι social άντε και κανα efood κι αυτο πληρώνοντας ανικαταβολή, ε δεν εχει ιδιαίτερο νόημα ο password manager. Για ανθρώπους που έχουν e banking, εταιρικά mail, κωδικούς taxis κλπ προφανώς και απαιτείται μια επιπλέον ασφάλεια.

 

Άρα το αν χρησιμοποιούμε ή όχι, εξαρτάται απ' τις ανάγκες μας.

Επεξ/σία 2 Δεκεμβρίου 2022 από Kostasspil

[ardi21]

Eιναι κρυπτογραφημενοι ολοι οι κωδικοι οποτε δεν υπαρχει θεμα ασφαλειας. Παρ'ολα αυτα, με τοσες αναφορες για το Last Pass, απορω που υπαρχουν ατομα που το χρησιμοποιουν ακομα.

Enpass απο μενα και δεν χρειαζεται να κανεις λογαριασμο σε καμια εταιρεια. Απο κει και περα, 2FA σε ολα τα cloud σου, στον browser που αποθηκευεις κωδικους και στα σημαντικα site.

Επεξ/σία 2 Δεκεμβρίου 2022 από ardi21

[Kercyn]

8 ώρες πριν, dolph είπε

Τελικά χρησιμοποιούμε ή δεν χρησιμοποιούμε password manager;

Όπως σε κάθε ερώτημα στο Insomnia, οι μισοί είναι υπέρ, οι άλλοι μισοί κατά και στο τέλος το κεφάλι βουίζει από τα επιχειρήματα της κάθε πλευράς

Αν σε νοιάζει η ασφάλεια των λογαριασμών σου, χρησιμοποιείς password manager. Είναι τόσο απλό.

[pdamigos]

17 ώρες πριν, ntellos είπε

Τι θα γίνει αν έχεις αλλαγή ταυτόχρονα σε 2 διαφορετικές συσκευές;

Θα το καταλάβει το keypass και θα mergαρει ή θα χάσεις τις αλλαγές που έγιναν σε κάποια συσκευή;

Είμαι σχεδόν βέβαιος ότι θα έχεις dataloss.

Να έχω αλλαγή σε 2 διαφορετικές συσκευές ταυτόχρονα δεν γίνεται γιατί δεν μπορώ να είμαι ταυτόχρονα σε 2 διαφορετικές συσκευές - τοποθεσίες. 

Αν αλλάξω κάτι το αποθηκεύω στο encrypted drive, και σε οποια άλλη συσκευή πάω το ανοίγω ξανά ενημερωμένο.

Το πρόβλημα είναι με το android που πρέπει να το κάνω sync manual (δεν του έχω βάλει κάτι τύπου dropbox κτλ).