» »

Med vdorom v LastPass in katastrofo le kakovost glavnih gesel uporabnikov

Med vdorom v LastPass in katastrofo le kakovost glavnih gesel uporabnikov

Slo-Tech - Varnostna skupnost je do zadnjih navedb in izjav za javnost, ki jih je LastPass z večmesečno zamudo posredoval po avgustovskem vdoru v njihovo storitev, izjemno kritična. Medtem ko podjetje trdi, da se uporabniki nimajo česa bati, če so le uporabljali primerne varnostne nastavitve, je resnica manj prijetna.

Wladimir Palant pojasnjuje, da so LastPassove navedbe zavajajoče in da dajejo uporabnikov neupravičeni občutek varnosti. Vdor je bil izjemno resen in je segal v avgust, ko ni bil primerno razrešen, zato je napadalcem omogočil dostop do dodatnih podatkov. Prav tako to ni bil prvi vdor v zadnjih letih. Čeprav LastPass trdi, da so uporabniški podatki varni, ker so šifrirani - pa še to drži le za gesla - to velja le do trenutka, ko napadalci uganejo glavno geslo (master password). LastPass je sicer v zadnjih letih zahteval, da ima geslo vsaj 12 znakov, a kdor starejša gesla odtlej ni spremenil, je lahko obdržal staro geslo, četudi ni ustrezalo tem pogojem. Tudi število iteracij PBKDF2 je znašalo 100.100, kar ni ravno veliko in je manj od priporočil. Starejši računi so tudi to vrednost imeli nastavljeno nižjo.

Jeremi Gosney dodaja, da je v preteklosti LastPass priporočal, a je zaradi pomanjkljivosti to že pred leti prenehal. Medtem ko je Palant kritičen zlasti do načina, kako je LastPass komuniciral, Gosney problematizira tehnične odločitve in izvedbo. Zato sedaj aktivno predlaga uporabo konkurenco, denimo 1Password ali Bitwarden. Razlogov je več, vsi pa se nanašajo na varnost in dizajn. Da je enakega mnenja tudi taista konkurenca, ni presenetljivo. Dejstvo je, da gesla, ki si jih izmišljujemo ljudje, niso zelo zapletena (tipično okrog 40 bitov entropije), kar je dandanes že možno sorazmerno hitro zlomiti s surovo silo.

Kaj torej storiti? Vsaj najpomembnejša gesla, ki jih imate v LastPassu, velja zamenjati. Razmislek o spremembi ponudnika pa tudi še nikoli ni bil bolj upravičen.

26 komentarjev

mtosev ::

Jaz na srečo ne uporabljam noben password manager in imam enih 8-10 gesel v glavi.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

pegasus ::

Koliko časa danes traja brute force niza z nekaj prek 200 biti entropije?

l0g1t3ch ::

Zakaj sploh imeti ključe do vsega v oblaku, dostopno celemu svetu?

stara mama ::

To tud men ni bilo nikoli jasno.
Je pa res, težko si je memorizirat 50+ gesel na vseh možnih krajih.

Kje ste zdaj vsi vroči zagovorniki password managerjev, ki vas je tud tu na ST bilo dosti?

l0g1t3ch ::

Password managerji so že kul. Samo ne v obliki neke oblačne storitve.

Za varnost verjetno imajo za nekaj velikostnih redov bolje poskrbljeno kot povprečen Janez, so pa tudi toliko bolj sočne tarče, da vprašanje kaj pretehta.

energetik ::

l0g1t3ch je izjavil:

Zakaj sploh imeti ključe do vsega v oblaku, dostopno celemu svetu?
Ker ni dostopno celemu svetu. Niti 3-črkovnim agencijam ne. Razen če že imajo mašine za razbijat gesla z entropijo preko 100 bitov v doglednem času.

stara mama je izjavil:

To tud men ni bilo nikoli jasno.
Je pa res, težko si je memorizirat 50+ gesel na vseh možnih krajih.

Kje ste zdaj vsi vroči zagovorniki password managerjev, ki vas je tud tu na ST bilo dosti?
Tukaj smo in še vedno zagovorniki. Nekateri pač resno jemljemo opozorila o kvaliteti master passwordov.
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

energetik ::

l0g1t3ch je izjavil:

Password managerji so že kul. Samo ne v obliki neke oblačne storitve.
PM je varen toliko kot njegov master password. Nima veze če je v oblaku. No, lahko si paranoik in okoli prenašaš Keepass fajl na ključku. Večina pa si tudi Keepass vrže na oblak, da ima povsod dostop do njega.
Pa ne zagovarjam Lastpassa, bi le morali bolj poskrbeti za varnost trezorjev.

V glavnem vseeno sem zamenjal 6 pomembnejših gesel. Tudi za ostala sem precej siguren, da jih za časa mojega življenja ne bodo dobili.
vires in numeris

missed80s ::

Nek password manager je definitivno dobro uporabljat. Ena non-cloud varianta je KeePass2, nekje imaš postavljen server (AWS nano instanca), preko njega s FTP syncaš vse svoje naprave.

DeeJay ::

Sem bil dolgoletni uporabnik lastpassa. Tudi premium user.
Prešaltal sem na KeePassXC lokalno (PC, notebook, NAS backup) z uporabo VPN za mobilno, ko to potrebujem.
Blo je kr neki dela vse skupi, sam zdej vsaj mirno spim, tud če kdaj odprejo moj LP vault, ker ne bo več uporaben.
Don't f with me.

Lonsarg ::

Sam uporabljam KeePass tako na PC kot Android telefon in imam file shranjen na onedrive. Master password je seveda konkreten.

Enkripcija je prava rešitev, z dovolj dobro enkripciji imaš lahko kriptirano verzijo svojih podatkov magar na public mestu, recimo torrent.

Bi pa bilo fino da se ukine gesla, edino tako bo enkripcija dovolj varna za vse. Alternativne rešitve namreč že obstajajo.

111111111111 ::

zamenjal vsa gesla. Cca. 50 komadov. nasvidenje last pass.
Če prisloniš uho na vroč šporhet, lahko zavohaš kak si fuknjen.

Nikonja ::

Prešalatal na Bitwarden ko so na LastPassu uvedli premium sranje, redno menjam master password, vse občutljive stvari itak imajo uklopljeno še dvojno verifikacijo, tko da tudi če pridejo do gesl finančne škode ne bo nobene.

Tisto kaj eni omenjate že večkrat, drkanje z local serverom, pa ftp in vpn.... ma ni šanse da se s tim j...., ker moj dan ima 24 ur in mi ne pada na pamet gubit čas tam kje ni treba za marginalno večjo korist, ker kje je potem meja, svoj vrt, svoje krave in svinje, svoj mizar, vodinstalater, avtomehanik.... pač zaupam do določene mere določene stvari podizvajalcem, jaz pa si v tem času rajš delam spomine z družino in prijatelji...

DeeJay ::

vse je odvisno kaj vse shranjuješ v trezor.
Če si naprimer veliko prisoten v kriptu in imaš dosti različnih denarnic, moraš ključe denarnic nekam shranit. Imaš opcijo papir ali enkriptiran trezor. Če ti eno ali drugo pridobijo, ostaneš brez vseh sredstev na teh denarnicah, ker 2fa tam žal ne obstaja.
Če pa shranjuješ gor samo gesla za online trgovine in slo-tech, potem je pa itak vseeno.

Večji problem je, da je večina folka, tudi jaz, shranjeval backup 2fa kode zraven gesel v last pass... tko da ti na koncu 2fa ne pomaga nič.
Don't f with me.

111111111111 ::

MIslim, da je glavni problem, da folk ni imel master passworda nastavljenega tako kot je treba.

MOj je bil 22 znakov dolg, po vseh možnih varnostnih predpisih, pa sem vseeno zamenjal vsa gesla, za vsak slučaj. Če so lagali že v osnovi, lahko da tudi primerne zaščite niso imeli. :)
Če prisloniš uho na vroč šporhet, lahko zavohaš kak si fuknjen.

c3p0 ::

energetik je izjavil:

l0g1t3ch je izjavil:

Password managerji so že kul. Samo ne v obliki neke oblačne storitve.
PM je varen toliko kot njegov master password. Nima veze če je v oblaku. No, lahko si paranoik in okoli prenašaš Keepass fajl na ključku. Večina pa si tudi Keepass vrže na oblak, da ima povsod dostop do njega.
Pa ne zagovarjam Lastpassa, bi le morali bolj poskrbeti za varnost trezorjev.

V glavnem vseeno sem zamenjal 6 pomembnejših gesel. Tudi za ostala sem precej siguren, da jih za časa mojega življenja ne bodo dobili.


Najbolj pomembne stvari sem že prej imel na 2FA, master geslo pa dolgo in varno. Spim mirno.

missed80s je izjavil:

Nek password manager je definitivno dobro uporabljat. Ena non-cloud varianta je KeePass2, nekje imaš postavljen server (AWS nano instanca), preko njega s FTP syncaš vse svoje naprave.


nano EC2 instanca pa ni cloud? :D

DeeJay je izjavil:


Večji problem je, da je večina folka, tudi jaz, shranjeval backup 2fa kode zraven gesel v last pass... tko da ti na koncu 2fa ne pomaga nič.


Znanec ima vse 2FA kode tudi na PCju in nek JS za izračun kode, ker je tako lažja uporaba. /facepalm

Zgodovina sprememb…

  • spremenil: c3p0 ()

energetik ::

DeeJay je izjavil:

vse je odvisno kaj vse shranjuješ v trezor.
Če si naprimer veliko prisoten v kriptu in imaš dosti različnih denarnic, moraš ključe denarnic nekam shranit. Imaš opcijo papir ali enkriptiran trezor. Če ti eno ali drugo pridobijo, ostaneš brez vseh sredstev na teh denarnicah, ker 2fa tam žal ne obstaja.
Če pa shranjuješ gor samo gesla za online trgovine in slo-tech, potem je pa itak vseeno.

Večji problem je, da je večina folka, tudi jaz, shranjeval backup 2fa kode zraven gesel v last pass... tko da ti na koncu 2fa ne pomaga nič.

Zakaj pa si ne omisliš Ledgerja? Nobenih gesel, 24 besedni passphrase si zapišeš, pa je to to. Noben heker ti ne pride do listka, skritega nekje doma.

Ja, tudi jaz sem imel 2FA kode v Lastpassu, za tistih nekaj strani sem menjal gesla. Najbolj ironično pa je, da 2FA za Lastpass nisem imel notri :))
vires in numeris

DeeJay ::

energetik je izjavil:

DeeJay je izjavil:

vse je odvisno kaj vse shranjuješ v trezor.
Če si naprimer veliko prisoten v kriptu in imaš dosti različnih denarnic, moraš ključe denarnic nekam shranit. Imaš opcijo papir ali enkriptiran trezor. Če ti eno ali drugo pridobijo, ostaneš brez vseh sredstev na teh denarnicah, ker 2fa tam žal ne obstaja.
Če pa shranjuješ gor samo gesla za online trgovine in slo-tech, potem je pa itak vseeno.

Večji problem je, da je večina folka, tudi jaz, shranjeval backup 2fa kode zraven gesel v last pass... tko da ti na koncu 2fa ne pomaga nič.

Zakaj pa si ne omisliš Ledgerja? Nobenih gesel, 24 besedni passphrase si zapišeš, pa je to to. Noben heker ti ne pride do listka, skritega nekje doma.

Ja, tudi jaz sem imel 2FA kode v Lastpassu, za tistih nekaj strani sem menjal gesla. Najbolj ironično pa je, da 2FA za Lastpass nisem imel notri :))


Mam ledger, sam je praktičen samo za cold storage. Za hot wallete pa ne, ker je prepočasen.
Don't f with me.

twom ::

Kam paše pa to..., da imaš passworde shranjene v Firefoxu ali pa Safariju?

DeeJay ::

Podobno kokr, da bi jih mel zapisane v excel fajlu.
Don't f with me.

energetik ::

Niti ne, če uporabljaš dober primary password. Dekriptira jih lokalno, kot vsak password manager.
vires in numeris

DeeJay ::

in kolk uporabnikov nastavi primary password? :)
Zadeva je optional in 99% folka nikol sploh ne gre do teh nastavitev, ampak veselo samo shranjujejo gesla, ki pa so potem lahko vidna vsakomur, ki pridobi dostop do compa.
Don't f with me.

energetik ::

To je potem pač davek na neznanje in lenobo..
Sicer pa mislim, da Firefox ne bi smel ponujati shranjevanja gesel, če ni nastavljen vsaj osnovni primary pass.
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

dunda ::

Mislim, da je pri Mozilli nekje celo glasovanje na to temo. Pač nekdo je dal idejo.
Evo, tukaj.
https://www.kacnje.eu

energetik ::

So koga že shekali?
Na redditu so nekateri že pisali, naj bi jih. Čeprav vprašanje, koliko so realni tisti posti.

V glavnem vzel sem si čas in spremenil vsaj nekih 20-30 pomembnejših gesel (gugl, MS live, Dropbox, kripto, državne zadeve, itd).
Ostalih 180 ostaja, ampak to so bolj kot ne spletne štacune, kaki forumi itd. Tega se mi pa ne da.

Sedaj sem na Bitwardenu z geslom z nekje 110 bitno entropijo. Ta pravo, narejeno s true random igralno kocko. Tudi če Bitwardenu ukradejo vaulte, se ne bom sekiral :D

Še vedno pa premišljujem, da bi komplet prešaltal na Keepass in sinhronizacijo čez Dropbox + dodatni keyfile na vsakem klientu.
vires in numeris

Zgodovina sprememb…

c3p0 ::

Tiste s simple master passom gotovo so. 2FA je itak že leta nujen za vsako ključno zadevo.

Sam imam self hosted bitwarden in dober enkriptiran backup.

energetik ::

Problem je, ker v tem primeru vdora v Lastpass 2FA ne koristi točno nič. Heker že ima pri sebi kriptirane trezorje.
vires in numeris

Zgodovina sprememb…



Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Passwordi me ubijajo! (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
17648190 (34609) Pero_SLO
»

LastPass odslej omogoča brezplačno sinhronizacijo med napravami

Oddelek: Novice / Varnost
339253 (6449) PARTyZAN
»

LastPass doživel manjši vdor

Oddelek: Novice / Varnost
1411838 (10118) AlienRR
»

Sum vdora v LastPass povzročil množično menjavo gesel

Oddelek: Novice / Varnost
3014922 (13821) poweroff

Več podobnih tem