» »

Hekerji ukradli del izvorne kode LastPassa

1
2
»

jonystar ::

darkolord je izjavil:

Seveda si ga - zapisal si ga v vsako stran, v katero si se prijavil.

Kako pa spletne strani skrbijo za varnost tvojega gesla, pa ne veš.

Ja tu pa pač nimaš kaj. Zaupaš strani, da imajo gesla zaščitena.

darkolord ::

In v praksi se vsak dan znova izkaže, da jih nimajo.

Rešitev je večkrat omenjena v tej temi.

p0f ::

saveconsult je izjavil:

Vsekakor Bitwarden.

https://manytools.com/password-manager-...


Vsekakor NE Bitwarden. Ni open source.

jonystar je izjavil:

darkolord je izjavil:

Seveda si ga - zapisal si ga v vsako stran, v katero si se prijavil.

Kako pa spletne strani skrbijo za varnost tvojega gesla, pa ne veš.

Ja tu pa pač nimaš kaj. Zaupaš strani, da imajo gesla zaščitena.


Ne pa ji ne zaupas. Zato uporabljas za vsako stran drugo geslo.

Preseneti se: https://haveibeenpwned.com/Passwords

(baje sicer samo en del hasha gesla gor sporocijo in potem nazaj vrnejo vse ujemajoce celotne hashe, ter v browserju preverijo, pac uporaba na lastno odgovornost)

Zgodovina sprememb…

  • spremenilo: p0f ()

darkolord ::

p0f je izjavil:

saveconsult je izjavil:

Vsekakor Bitwarden.

https://manytools.com/password-manager-...


Vsekakor NE Bitwarden. Ni open source.
Nego?

delavec44 ::

bojsi je izjavil:

delavec44 je izjavil:

Gesla so itak brez veze in bodo kmalu obsolete. Ne vem zakaj tak problem s hranjenjem v oblaku, za pomembne strani je vedno vklopljen 2fa.

Tudi to se da pofišat, konec koncev je bil to posreden vzrok za vdor v LastPass. Kot kaze bo bodo fizicni kljucki ala Yubikey postali nuja tudi za ‘obicajne’ uporabnike.


Resno me zanima kako od mene priribariš kodo iz google authenticatorja za 2fa, če predvidevava, da imam IQ > 100.

PARTyZAN ::

Ne zaupat folku, k si ne vzame niti 5 sekund, da preveri svoj bullshit.

p0f ::

darkolord je izjavil:

Nego?


Mea culpa...

PARTyZAN je izjavil:

Ne zaupat folku, k si ne vzame niti 5 sekund, da preveri svoj bullshit.


Seveda, ker imas rad logicne zablode :)) Pac nisem nasel linka, so what.

No daj, zdaj se pa razpricaj cez dve strani, kako pomembna napaka je to bila.

Zgodovina sprememb…

  • spremenilo: p0f ()

nirburu ::

FastWIND je izjavil:

nirburu je izjavil:

Ne vem no. Že sam koncept, da bi zaupal enemu centralnemu appu mi je sprvrženo.
To je še huje, kot, da bi vse ključe stanovanja, avta, motorja itd. zaupal sosedu. To je kot, da bi šel v mesto do lokalnega kebabžičnice in mu dal v zaupanje vse moje ključe, zato ker mi je njegov kebab okusen.


Te čisto razumem...

Kaj pa v situaciji ko operiraš s 200+ gesli?

Kakšen solution predlagaš ?


Če imaš redno 200 gesel v uporabi pomeni, da si ITjevec. Kot ITjevec si komot narediš en pythonov app.

delavec44 je izjavil:

Gesla so itak brez veze in bodo kmalu obsolete. Ne vem zakaj tak problem s hranjenjem v oblaku, za pomembne strani je vedno vklopljen 2fa.


Kako boš spremenil šarenico ali prstni odtis enkrat ko bo leakan?

Zgodovina sprememb…

  • spremenilo: nirburu ()

nirburu ::

Fingerprint hackan iz garaže


Face ID hackan ravno tako


Šarenica?


In to je brute force način.
Direkten dostop do senzorjeve podatkovne linije bo zadevo še olajšal.

256 bitno geslo pa ko je kompromitirano, ga spremenim v par sekundah.
Te body ID zadeve so dobre zgolj za normije in da bigTech dobi detajle tvojega telesa.

poweroff ::

O geslih, biometričnih "geslih", MFA... si lahko preberete tudi tukaj: https://www.telefoncek.si/2022/08/2022-...
sudo poweroff

MrStein ::

To vprašanje je podobno kot "Kateri OS je ta pravi"
Ni preprostega odgovora.
In nobena rešitev ni dobra za vse.

Da 99% storitev uporablja najslabšo moznost avtentikacije (gesla), ne pomaga.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

FastWIND ::

nirburu je izjavil:

FastWIND je izjavil:

nirburu je izjavil:

Ne vem no. Že sam koncept, da bi zaupal enemu centralnemu appu mi je sprvrženo.
To je še huje, kot, da bi vse ključe stanovanja, avta, motorja itd. zaupal sosedu. To je kot, da bi šel v mesto do lokalnega kebabžičnice in mu dal v zaupanje vse moje ključe, zato ker mi je njegov kebab okusen.


Te čisto razumem...

Kaj pa v situaciji ko operiraš s 200+ gesli?

Kakšen solution predlagaš ?


Če imaš redno 200 gesel v uporabi pomeni, da si ITjevec. Kot ITjevec si komot narediš en pythonov app.

delavec44 je izjavil:

Gesla so itak brez veze in bodo kmalu obsolete. Ne vem zakaj tak problem s hranjenjem v oblaku, za pomembne strani je vedno vklopljen 2fa.


Kako boš spremenil šarenico ali prstni odtis enkrat ko bo leakan?


Nisem. Upravljam z 200+ WP spletnimi stranemi

darkolord ::

nirburu je izjavil:

Kot ITjevec si komot narediš en pythonov app.
Verjetno usput izumiš še svojo unbreakable enkripcijo, ane

nirburu ::

Trivialno.

BigWhale ::

poweroff je izjavil:

Seveda pa morajo biti odprtokodni in nam omogočati popolno kontrolo nad našimi podatki. Eden takih je KeePassX.


KeePassX je bil tako butast za uporabo, da sem ga nehal uporabljati. Na zalost. :/

p0f je izjavil:

Heisenberg je izjavil:


Ne, ampak resno. Ne bi nikoli vpisoval gesla v kak app.


Jaz tudi ne, ce ni odprtokoden.


Koliko taksnih odprtokodnih aplikacij pa si ze preveril, da so res varne?

ales85 ::

BigWhale je izjavil:

poweroff je izjavil:

Seveda pa morajo biti odprtokodni in nam omogočati popolno kontrolo nad našimi podatki. Eden takih je KeePassX.


KeePassX je bil tako butast za uporabo, da sem ga nehal uporabljati. Na zalost. :/


Kaj pa zdaj uporabljas?

BigWhale ::

RedDrake je izjavil:


Vsa ta glavna gesla vem na pamet. V šoli smo se v mojih časi učili marsikaj na pamet. Veliko sem tudi recitiral. Svoj čas sem znal uvod v Krst pri Savici na pamet. Veliko verzov mi je ostalo v glavi. In tistih deset, ki jih rabim za mission critical stvari, pač vem.


Lol, jaz imam v password managerju 666 gesel. :D Kaka sestina teh gesel je mission critical, ni sans da si vsa zapomnim. Sploh tista, ki jih uporabljam recimo enkrat na pol leta. Jaz imam vsa gesla dolga vsaj 20, se bolje 32, znakov, ki so popolnoma nakljucni in brez omejitev. Nobenega ne vem na pamet. Se geslo za password manager je neuporabno brez Ubikey-a.

Kaksna poezija, lol. :>

nirburu je izjavil:

Če imaš redno 200 gesel v uporabi pomeni, da si ITjevec. Kot ITjevec si komot narediš en pythonov app.


A tole je samo trolling al kaj? :>

Zgodovina sprememb…

  • spremenil: BigWhale ()

BigWhale ::

ales85 je izjavil:

BigWhale je izjavil:


KeePassX je bil tako butast za uporabo, da sem ga nehal uporabljati. Na zalost. :/

Kaj pa zdaj uporabljas?


1Password. UI/UX sta mi dovolj pomembna, da se lahko sprijaznim s tem, da rec ni odprtokodna.

ales85 ::

BigWhale je izjavil:

ales85 je izjavil:

BigWhale je izjavil:


KeePassX je bil tako butast za uporabo, da sem ga nehal uporabljati. Na zalost. :/

Kaj pa zdaj uporabljas?


1Password. UI/UX sta mi dovolj pomembna, da se lahko sprijaznim s tem, da rec ni odprtokodna.

Si kaj primerjal z LastPassom, kaj te na primer odvrne od tega ali si samo na 1Password ze od "pamtiveka"?

poweroff ::

BigWhale je izjavil:

ales85 je izjavil:

BigWhale je izjavil:


KeePassX je bil tako butast za uporabo, da sem ga nehal uporabljati. Na zalost. :/

Kaj pa zdaj uporabljas?


1Password. UI/UX sta mi dovolj pomembna, da se lahko sprijaznim s tem, da rec ni odprtokodna.

Na hitro sem pogledal screenschoote in ne vidim neke strašne razlike. Kaj točno je razlika?
sudo poweroff

darkolord ::

nirburu je izjavil:

Trivialno.
Zaradi takih so se že izgubljale vojne ...

BigWhale je izjavil:

nirburu je izjavil:

Če imaš redno 200 gesel v uporabi pomeni, da si ITjevec. Kot ITjevec si komot narediš en pythonov app.


A tole je samo trolling al kaj? :>
Mislim, da ni. Tisto, česar ljudje ne razumejo, se jim zdi precej enostavno.

Zgodovina sprememb…

  • spremenilo: darkolord ()

Evolve ::

Đizs kaj ste eni zamašeni :D

passworde iz poezije lol :))

nirburu ::

darkolord je izjavil:

nirburu je izjavil:

Trivialno.
Zaradi takih so se že izgubljale vojne ...

BigWhale je izjavil:

nirburu je izjavil:

Če imaš redno 200 gesel v uporabi pomeni, da si ITjevec. Kot ITjevec si komot narediš en pythonov app.


A tole je samo trolling al kaj? :>
Mislim, da ni. Tisto, česar ljudje ne razumejo, se jim zdi precej enostavno.


Uh. Daj se malo izobrazi.
Naredim ti enostavno tak app, da ga bo tvoj super-računalnik še dolgo odmotaval.

c3p0 ::

Evolve je izjavil:

Đizs kaj ste eni zamašeni :D

passworde iz poezije lol :))


Hja, poglej tako... Dosti gesel in veš pol Prešerna na pamet, honeys padajo kot za šalo.

Kapitan Jack ::

A lahko kdo pove v pariih alinejah zakaj Bitwarden, da ne iscem zdaj po jutubi?

bluefish ::

nirburu je izjavil:

Uh. Daj se malo izobrazi.
Naredim ti enostavno tak app, da ga bo tvoj super-računalnik še dolgo odmotaval.
Obstoječim programom pa manjka kaj? Recimo KeePassXC.

poweroff ::

nirburu je izjavil:

darkolord je izjavil:

nirburu je izjavil:

Trivialno.
Zaradi takih so se že izgubljale vojne ...

BigWhale je izjavil:

nirburu je izjavil:

Če imaš redno 200 gesel v uporabi pomeni, da si ITjevec. Kot ITjevec si komot narediš en pythonov app.


A tole je samo trolling al kaj? :>
Mislim, da ni. Tisto, česar ljudje ne razumejo, se jim zdi precej enostavno.


Uh. Daj se malo izobrazi.
Naredim ti enostavno tak app, da ga bo tvoj super-računalnik še dolgo odmotaval.

Takele prispevke vedno z veseljem preberem.

Pomenijo namreč, da je na svetu še vedno dovolj ljudi, ki v svoji silni samozavesti sploh ne razumejo česa ne znajo in potem delajo totalno neumne napake.

Posledično pa to pomeni, da bom še dolgo časa imel dovolj dela in bom lahko velepametnim strankam dobro računal. :))
sudo poweroff

nirburu ::

Dovolj dobro enkripcijo dosežeš že zelo preprosto. Večina ljudi nima takih mission critical zadev, da bi se NSAju dalo 6 mesecev na server farmi bruteforcat zadeve.
Govorimo, kar se tiče same matematike.
Kar se tiče backenda...hja, če maš felerje v sami kodi, da začasno shraniš gesla v plaintext na SSD, in pustiš trash collectorju, da te reši, bog ti pomagi. To se zna zgoditi, če delaš v raznih high-level jezikih.

darkolord ::

Neumnost. Večina enkripcij ne pade zaradi bruteforcanja, ampak ker je slab algoritem.

Zgodovina sprememb…

  • spremenilo: darkolord ()

BigWhale ::

poweroff je izjavil:

UI/UX sta mi dovolj pomembna, da se lahko sprijaznim s tem, da rec ni odprtokodna.

Na hitro sem pogledal screenschoote in ne vidim neke strašne razlike. Kaj točno je razlika?


Vnos gesel na spletnih straneh, mobilna aplikacija, deljenje gesel s familijo, sinhronizacija vecih naprav. Tle so bli vse minusi. Drgac sem KeePassX uporabljak kar nekaj casa.

nirburu je izjavil:

Uh. Daj se malo izobrazi.

:>

nirburu je izjavil:

Naredim ti enostavno tak app, da ga bo tvoj super-računalnik še dolgo odmotaval.


Cakam na link do prvega slovenskega password managerja, ki bo delal v Linuxu, MacOS, Windows, iOS in Androidu. Potreba je podpora za sinhronizacijo vecih naprav in za deljenje gesel z druzinskimi clani.

Hvala.

Zgodovina sprememb…

  • spremenil: BigWhale ()

nirburu ::

Kje je sploh point delat app za MacOS, WIN in android?
Tam ima NSA že po defaultu vsa tvoja gesla. Za random Ruske script-kiddije pa je že dovolj indijanski znakovni jezik.

Zgodovina sprememb…

  • spremenilo: nirburu ()

poweroff ::

BigWhale je izjavil:

Vnos gesel na spletnih straneh, mobilna aplikacija, deljenje gesel s familijo, sinhronizacija vecih naprav. Tle so bli vse minusi. Drgac sem KeePassX uporabljak kar nekaj casa.

To se sliši narobe na več ravneh... :)) To so vse stvari, ki jih jaz zavestno ne uporabljam.
sudo poweroff

jlpktnst ::

BorutK-73 je izjavil:

KeePass offline mode. Je pa res malo tečno posodabljati bazo na več napravah.


Meni pri tem pomaga syncthing.

NejcSSD ::

Zmigriral iz LastPass na Bitwarden, malo spremembe ne škodi. Presenečen da je v free že vse podprto, uzel sem za 10$ paket (security reports, advanced 2FA,...).

Zaenkrat zelo zadovoljen. Tudi lepo izpolnjuje v vseh možnih android appih, ta prvih narediš povezavo s predlaganim in je to to.
PC : MAG B550 Tomahawk, Ryzen 5600X, 32Gb 3200Mhz CL16, 2x 1TB NVME, MSI 1070Ti

BigWhale ::

poweroff je izjavil:

BigWhale je izjavil:

Vnos gesel na spletnih straneh, mobilna aplikacija, deljenje gesel s familijo, sinhronizacija vecih naprav. Tle so bli vse minusi. Drgac sem KeePassX uporabljak kar nekaj casa.

To se sliši narobe na več ravneh... :)) To so vse stvari, ki jih jaz zavestno ne uporabljam.


Morda, ampak nekateri pa te reci potrebujemo. :) In s tem ni prav nic narobe, ce ves kak je tvoj threat model in kaksni riziki pridejo zraven.

Meni se recimo deljenje gesla za Netflix z ozjo druzino ne zdi nic problematicno glede na to, da gre za family account in da ga vsi uporabljamo. Tudi ce nekdo leaka 32 mestno nakljucno geslo, ne bo nekega vecjega impacta.

bajker ::

NejcSSD je izjavil:

Zmigriral iz LastPass na Bitwarden, malo spremembe ne škodi. Presenečen da je v free že vse podprto, uzel sem za 10$ paket (security reports, advanced 2FA,...).

Zaenkrat zelo zadovoljen. Tudi lepo izpolnjuje v vseh možnih android appih, ta prvih narediš povezavo s predlaganim in je to to.


Enako sem naredil kako leto nazaj in sem zelo zadovoljne z BW. Sicer je to po mojem mnenju trenutno najboljši pass manager, ključno je, da je koda odprta in omogoča lastni server.
10€ na leto je res "džabe", predvsem dobiš podporo za hardverski 2FA, recimo Yubikey, kar zelo priporočam.

NejcSSD ::

Z LastPassom na Androidu sem prav tako imel težave z izpolnjevanjem, ki jih na Bitwardnu karkoli mu dam zna izpolniti (katerikoli app).
Pa 10$ oz. že free vs LastPass ki je prek 40€ na leto
PC : MAG B550 Tomahawk, Ryzen 5600X, 32Gb 3200Mhz CL16, 2x 1TB NVME, MSI 1070Ti
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Passwordi me ubijajo! (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
17648309 (34728) Pero_SLO
»

LastPass odslej omogoča brezplačno sinhronizacijo med napravami

Oddelek: Novice / Varnost
339258 (6454) PARTyZAN
»

TeamViewer nedosegljiv, vdor kljub pričevanjem uporabnikov zanikajo (strani: 1 2 )

Oddelek: Novice / Varnost
5315952 (10180) Saul Goodman
»

LastPass doživel manjši vdor

Oddelek: Novice / Varnost
1411848 (10128) AlienRR
»

Sum vdora v LastPass povzročil množično menjavo gesel

Oddelek: Novice / Varnost
3014959 (13858) poweroff

Več podobnih tem