Προς το περιεχόμενο

Το hack του Lastpass ήταν χειρότερο από ό,τι ανέφερε αρχικά η εταιρεία

Crash24

Από τον Crash24
στο Νέα

 Share

Προτεινόμενες αναρτήσεις

Hacker?pcs Experienced

Hacker?pcs

Δημοσ.
Δημοσ.
1 minute ago, Retromaniac said:

Όπως είπα, το να αποθηκεύσεις άλλα στοιχεία για τους κωδικούς ενώ είσαι εταιρεία που κάνει αυτή την δουλειά είναι σαν πυροβολείς τον εαυτό σου στο πόδι.

Γι' αυτό υπάρχουν οι offline, open source λύσεις όπως το KeePass

  

1 minute ago, Retromaniac said:

Όσον αφορά τα bugs από την στιγμή που κρυπτογραφεί κάτι με aes-256 ό,τι bug και να έχει ο κώδικάς σου δεν έχει ΚΑΜΙΑ σημασία. Η κρυπτογράφησή σου μπορεί να ελεγχθεί με οποιοδήποτε άλλο πρόγραμμα κρυπτογράφησης ότι παράγει σωστά αποτελέσματα. Αν και δεν κάθεται κανείς να κάνει δικό του κώδικα. Υπάρχουν έτοιμοι στις βιβλιοθήκες για τις γλώσσες προγραμματισμού.

πχ. εδώ σε c#

How to create AES encryption 256 bit key in C# (siakabaro.com)

Γι' αυτό αναφέρθηκα σε πλάγιες επιθέσεις που οι κωδικοί μπορεί να διαρρεύσουν αφού αποκρυπτογραφηθούν και επειδή ο κώδικας είναι κλειστός στο LastPass, 1password, κτλ κανείς δεν ξέρει τι κάνει, πολύ χειρότερα δε για online password manager.

Και σημειωτέων ότι το να γράψει κάποιος δικό του κώδικα που έχει να κάνει με κρυπτογραφία είναι ο πιο εύκολος τρόπος να έχει bug, ποτέ χειροποίητες λύσεις για password managers

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
  • Απαντ. 111
  • Δημ.
  • Τελ. απάντηση

Συχνή συμμετοχή στο θέμα

Δημοφιλείς Ημέρες

Συχνή συμμετοχή στο θέμα

Δημοφιλείς Ημέρες

Δημοφιλή Μηνύματα

Retromaniac
Retromaniac

Μάλλον σου κλέψανε το master password από κάποιο πρόγραμμα που εγκαταστάθηκε στον pc σου και έκανε keylogging ή σου έκαναν phishing και το έβαλες σε ψεύτικο site ή τέλος ήταν πολύ εύκολο και το βρήκαν

leonidas_fs
leonidas_fs

Το καλό με τους περισσότερους password manager είναι οτι εαν δεν εχουν το master pass, δεν γίνεται τίποτα. Τους καταστρέφει βέβαια την φήμη που είναι το σημαντικότερο, αλλα για εμάς τους καταναλωτές "

xaerialtwistx
xaerialtwistx

Έτσι είναι όταν ο κόσμος χρησιμοποιει με τόση άνεση cloud υπηρεσίες στο βωμο της ευκολίας, αργά ή γρήγορα τα δεδομενα του θα περάσουν σε τρίτους, το μόνο που αλλάζει κάθε φορά είναι το ποιοι θα είναι

Δημοσιευμένες Εικόνες

Retromaniac Crazy Insomniac

Retromaniac

Δημοσ.
Δημοσ. (επεξεργασμένο)
3 λεπτά πριν, Hacker?pcs είπε

Γι' αυτό υπάρχουν οι offline, open source λύσεις όπως το KeePass

  

Γι' αυτό αναφέρθηκα σε πλάγιες επιθέσεις που οι κωδικοί μπορεί να διαρρεύσουν αφού αποκρυπτογραφηθούν και επειδή ο κώδικας είναι κλειστός στο LastPass, 1password, κτλ κανείς δεν ξέρει τι κάνει, πολύ χειρότερα δε για online password manager.

Και σημειωτέων ότι το να γράψει κάποιος δικό του κώδικα που έχει να κάνει με κρυπτογραφία είναι ο πιο εύκολος τρόπος να έχει bug, ποτέ χειροποίητες λύσεις για password managers

Η αποκρυπτογράφηση θα γίνει στο pc σου. Δεν γίνεται στο server τους. Θα πρέπει να έχεις κάποιο ιό στον υπολογιστή σου για να σου πάρει τα δεδομένα ΑΦΟΥ αποκρυπτογραφηθούν. Το lastpass δεν θα φταίει.

Επεξ/σία από Retromaniac
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
pirmen56 Experienced

pirmen56

Δημοσ.
Δημοσ.

Για δωρεάν offline λύση με 2FA από το κινητό -> keepass με Otpkeyprov plugin.

https://keepass.info/plugins.html#otpkeyprov

Πλεονέκτημα: Μπορείς να έχεις κάθε password κλειδωμένο πίσω από διαφορετική βάση, με την ίδια ή διαφορετική γεννήτρια κωδικών για κάθε κωδικό και ίδιο master password για όλα. Αρκεί φυσικά να μην σου χακάρουν και το κινητό.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
Hacker?pcs Experienced

Hacker?pcs

Δημοσ.
Δημοσ.
49 minutes ago, Retromaniac said:

Η αποκρυπτογράφηση θα γίνει στο pc σου. Δεν γίνεται στο server τους. Θα πρέπει να έχεις κάποιο ιό στον υπολογιστή σου για να σου πάρει τα δεδομένα ΑΦΟΥ αποκρυπτογραφηθούν. Το lastpass δεν θα φταίει.

Αυτό υποτίθεται γίνεται αλλά κανείς δεν ξέρει λόγω κλειστού κώδικα αν υπάρχουν bugs που μπορεί στο web client ή στο client που το επιτρέπουν αυτό

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
Melinbonian Proficient

Melinbonian

Δημοσ.
Δημοσ.
1 ώρα πριν, Hacker?pcs είπε

Γι' αυτό υπάρχουν οι offline, open source λύσεις όπως το KeePass

  

Γι' αυτό αναφέρθηκα σε πλάγιες επιθέσεις που οι κωδικοί μπορεί να διαρρεύσουν αφού αποκρυπτογραφηθούν και επειδή ο κώδικας είναι κλειστός στο LastPass, 1password, κτλ κανείς δεν ξέρει τι κάνει, πολύ χειρότερα δε για online password manager.

Και σημειωτέων ότι το να γράψει κάποιος δικό του κώδικα που έχει να κάνει με κρυπτογραφία είναι ο πιο εύκολος τρόπος να έχει bug, ποτέ χειροποίητες λύσεις για password managers

Αυτο θα ελεγα κι εγω, offline managers. Οσοι χρησημοποιειτε cloud τυπου lastpass, ειναι επειδη μπαινετε και απο κινητο και απο αλλους υπολογιστες? Εγω προσωπικα θα προτιμουσα offline λυση σε κανα τυπου google drive με 2fa enabled, γιαυτο ρωταω. 

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
Επισκέπτης

Επισκέπτης

Δημοσ.
Δημοσ.
Στις 23/12/2022 στις 1:02 ΜΜ, Retromaniac είπε

Και εγώ πληροφορικός είμαι με αρκετές γνώσεις πάνω στην κρυπτογράφηση και ειδικά από προγραμματιστική ματιά. Το αν κόσμος ξέρει πως γίνεται και πόσο ασφαλές είναι δεν έχει σημασία. Αυτή τη στιγμή η κρυπτογράφηση δεν σπάει. Ακόμη και αν προσπαθήσουν με χιλιάδες gpu, αν πραγματικά έχεις strong master password δεν θα σπάσει. Και αυτό φυσικά θα το κάνουνε σε στοχευμένα άτομα και όχι σε μένα και σένα. Αν με την εξέλιξη της τεχνολογίας σπάσει τελικά η κρυπτογράφηση που έχουμε, τότε ναι μεν αυτοί που δεν τους έχουν κλέψει είναι ασφαλείς γιατί οι εταιρείες θα βάλουν ακόμη πιο ισχυρή κρυπτογράφηση, αλλά δυστυχώς αυτοί που τους έχουν κλέψει, θα αποκρυπτογραφηθούν τα δεδομένα τους. Για αυτό και σε αυτές τις υπηρεσίες κωδικών (και σε όλες τις cloud υπηρεσίες) αποθηκεύεις ΜΟΝΟ κωδικούς από υπηρεσίες και όχι από storage, και που μπορείς να τους αλλάξεις. Τα ευαίσθητα προσωπικά δεδομένα πάντα offline.

Όσον αφορά αυτό που λες για το πως ξέρουμε αν οι εταιρείες δεν κρατάνε τα password, θα ήταν σαν να πυροβολούσαν τον εαυτό τους στο πόδι.

Το αν σπάει η κρυπτογράφηση είναι σχετικό. Δεν είμαστε σε θέση να γνωρίζουμε η κάθε εταιρεία ποιον αλγόριθμο κρυπτογράφησης χρησιμοποιεί και αν μη τι άλλο δεν μπορούν να μας αποδείξουν ότι τον χρησιμοποιούν όντως και σωστά. Επίσης, όλοι οι αλγόριθμοι κρυπτογράφησης έχουν κάποιες αδυναμίες, η ακόμα και αν δεν έχουν (προς το παρόν) υπάρχουν άλλες μέθοδοι όπως λ.χ. side channel attacks με τις οποίες μπορούν να γίνουν πολλά.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
Clytoceyx Community Regular

Clytoceyx

Δημοσ.
Δημοσ.

Εγω θελω να ρωτησω, το master password ενος password manager πως το επιλεγετε και που το φυλατε;  Μεσω αλλου password manager η κλασικα μολυβι και χαρτακι και μετα απλα θυμαστε ενα string 20 χαρακτηρων; Γιατι, και για την "χειροκινητη" επιλογη random, οσο random μπορει να ειναι απο ανθρωπο, κωδικων, δεν υπαρχει κατι ξεκαθαρο πχ η θεωρια του correcthorsebatterystaple αν θελει καποιος ο κωδικος αυτος να μπορει να μνημονευτει.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
Haldol Crazy Insomniac

Haldol

Δημοσ.
Δημοσ.
1 λεπτό πριν, Clytoceyx είπε

Εγω θελω να ρωτησω, το master password ενος password manager πως το επιλεγετε και που το φυλατε;  Μεσω αλλου password manager η κλασικα μολυβι και χαρτακι και μετα απλα θυμαστε ενα string 20 χαρακτηρων; Γιατι, και για την "χειροκινητη" επιλογη random, οσο random μπορει να ειναι απο ανθρωπο, κωδικων, δεν υπαρχει κατι ξεκαθαρο πχ η θεωρια του correcthorsebatterystaple αν θελει καποιος ο κωδικος αυτος να μπορει να μνημονευτει.

Επίσης generated (απ'τον ίδιο password manager). Απλά έκανα 5-6 attempts μέχρι να βγει κάτι που να "βολεύει" στην απομνημόνευση. Μέχρι να το μάθω, μολύβι και χαρτί φυσικά. Αλλά μετά από 10-15 μέρες... κάηκε το χαρτί. Πλέον υπάρχει μόνο στο μυαλό μου. :P

 

  • Like 2
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
Hacker?pcs Experienced

Hacker?pcs

Δημοσ.
Δημοσ. (επεξεργασμένο)
5 minutes ago, Clytoceyx said:

Εγω θελω να ρωτησω, το master password ενος password manager πως το επιλεγετε και που το φυλατε;  Μεσω αλλου password manager η κλασικα μολυβι και χαρτακι και μετα απλα θυμαστε ενα string 20 χαρακτηρων; Γιατι, και για την "χειροκινητη" επιλογη random, οσο random μπορει να ειναι απο ανθρωπο, κωδικων, δεν υπαρχει κατι ξεκαθαρο πχ η θεωρια του correcthorsebatterystaple αν θελει καποιος ο κωδικος αυτος να μπορει να μνημονευτει.

Passphrase με μέθοδο ζαριού

https://ssd.eff.org/module/creating-strong-passwords#creating-strong-passwords-using-dice

Επεξ/σία από Hacker?pcs
  • Thanks 1
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
Apostol. Experienced

Apostol.

Δημοσ.
Δημοσ.
1 ώρα πριν, sunlight2030 είπε

Θέλω να πω όταν κάνω login  στην τράπεζα να μου ζηταει 2FA, Eurobank και Πειραιώς που το έψαξα δεν βρήκα κάτι

Ναι δεν εχουν τετοιο τυπου 2FA, μονο οταν πας να κανεις συναλλαγη ζητανε επιβεβαιωση απο την εφαρμοφη ή κωδικο απο sms που ειναι οτι χειροτερο απο πλευρα ασφαλειας.

Επισης εξοργιστικο που δεν σε αφηνουν να βαλεις οσο μεγαλο password θες και με οτι χαρακτηρες θες, (δεν ξερω αν εχει αλλαξει προσφατα θα ποικιλει απο τραπεζα σε τραπεζα υποθετω)

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
for4 Mentor

for4

Δημοσ.
Δημοσ.
21 λεπτά πριν, Apostol. είπε

Ναι δεν εχουν τετοιο τυπου 2FA, μονο οταν πας να κανεις συναλλαγη ζητανε επιβεβαιωση απο την εφαρμοφη ή κωδικο απο sms που ειναι οτι χειροτερο απο πλευρα ασφαλειας.

Επισης εξοργιστικο που δεν σε αφηνουν να βαλεις οσο μεγαλο password θες και με οτι χαρακτηρες θες, (δεν ξερω αν εχει αλλαξει προσφατα θα ποικιλει απο τραπεζα σε τραπεζα υποθετω)

h alpha bank ζητάει επιβεβαίωση στο κινητό και στην είσοδο και στην συναλλαγή.

έχει δοκιμάσει κανείς το manager της synology να μας πει τι λέει;

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
CheOnWeb Crazy Insomniac

CheOnWeb

Δημοσ.
Δημοσ.
6 minutes ago, for4 said:

h alpha bank ζητάει επιβεβαίωση στο κινητό και στην είσοδο και στην συναλλαγή.

Στο ιδιωτικό web banking, ναι. Στο επαγγελματικό ζητάει μόνο για τη συναλλαγή.

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
elio_1 Community Regular

elio_1

Δημοσ.
Δημοσ.
1 λεπτό πριν, CheOnWeb είπε

Στο ιδιωτικό web banking, ναι. Στο επαγγελματικό ζητάει μόνο για τη συναλλαγή.

Λογικό μου φαίνεται...

Σε μια επιχείρηση μπορεί κάποιος υπάλληλος να ελέγξει αν έχει γίνει κατάθεση από τον πελάτη, αλλά δεν μπορεί να πραγματοποιήσει συναλλαγές...

  • Like 2
Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες
manolis940 Experienced

manolis940

Δημοσ.
Δημοσ.

Ένα εορταστικό μήνυμα απ' το Bit Defender

image.png.cb06deec43410cb009e0f9fe50edf7b6.png

4 ώρες πριν, Melinbonian είπε

Αυτο θα ελεγα κι εγω, offline managers. Οσοι χρησημοποιειτε cloud τυπου lastpass, ειναι επειδη μπαινετε και απο κινητο και απο αλλους υπολογιστες? Εγω προσωπικα θα προτιμουσα offline λυση σε κανα τυπου google drive με 2fa enabled, γιαυτο ρωταω. 

Μα πως το Google Drive είναι offline λύση; Είναι και αυτό cloud. Αν βάζεις τους κωδικούς σου σε κάποιο Google Sheets ή κάποιο txt, δεν είσαι πιο ασφαλής, καθώς το πιο πιθανό είναι τα αρχεία αυτά στους servers να μην έχουν καμία κρυπτογράφιση ή να μην είναι αρκετά ισχυρή για τόσο συμαντικά στοιχεία όπως τα passwords.

 

Συνδέστε για να σχολιάσετε
Κοινοποίηση σε άλλες σελίδες

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
 Share
Προς την λίστα θεμάτων
  • Δημιουργία νέου...