Slo-Tech - Upravljavci najpopularnejše aplikacije za urejanje gesel (password manager) so sporočili, da so bili tarča uspešnega hekerskega napada. Sicer napadalci niso odnesli gesel uporabnikov, so pa uspeli odtujiti del izvorne kode in nekaj tehničnih informacij o delovanju storitve.
Napad se je zgodil prek nepooblaščenega dostopa do uporabniškega računa enega izmed inženirjev. Omejen je bil na razvojno okolje, zato osebni podatki uporabnikov, vključno z glavnim geslom in shranjenimi gesli, niso bili prizadeti. Zaradi tega uporabnikom ni treba menjati gesel ali kako drugače ukrepati, so dodali.
LastPass ima trenutno 33 milijonov uporabnikov, od tega 100.000 poslovnih. Napad se je zgodil že pred dvema tednoma, informacije o njem pa so v javnost pricurljale minuli konec tedna. Zakaj so napad priznali šele sedaj, niso pojasnili. Prav tako še ni jasno, kako natančno so napadalci pridobili dostop.
Se ve kaj več o napadu na strežnike in informacijski sistem Uprave za zaščito in reševanje, ki predstavlja enega od treh gradnikov sistema nacionalne varnosti? Baje en največjih kibernetskih napadov v zgodovini Slovenije.
Ne vem no. Že sam koncept, da bi zaupal enemu centralnemu appu mi je sprvrženo. To je še huje, kot, da bi vse ključe stanovanja, avta, motorja itd. zaupal sosedu. To je kot, da bi šel v mesto do lokalnega kebabžičnice in mu dal v zaupanje vse moje ključe, zato ker mi je njegov kebab okusen.
Ne vem no. Že sam koncept, da bi zaupal enemu centralnemu appu mi je sprvrženo. To je še huje, kot, da bi vse ključe stanovanja, avta, motorja itd. zaupal sosedu. To je kot, da bi šel v mesto do lokalnega kebabžičnice in mu dal v zaupanje vse moje ključe, zato ker mi je njegov kebab okusen.
V čem je sploh problem , da se ukrade del izvorne kode. Če res dela tisto kar obljublja nebo smelo biti problema.
Lažje je odkriti skrite luknje, če imaš dostop do izvorne kode. Še posebej hudo zna biti če so v kodi kakšne kritične luknje, ki jih niso odkrili ali pa jih nameravajo odpraviti "ko bo čas", ker "se tega obskurnega scenarija itak ne bo nihče domislil".
"Only physical beauty is the foundation for a true higher culture of
the mind and spirit as well. Only sun and steel will show you the path."
Beauty is absolutely terrifying to people because it highlights what is ugly.
Sam vse pišem fizično, v sef, na ladjo, na Bahamih!
Ne, ampak resno. Ne bi nikoli vpisoval gesla v kak app.
Jaz tudi ne, ce ni odprtokoden.
Zdaj mi pa razlozi, kako skrbis za to, da imas na vsaki strani drugo geslo? Notepad?
Namrec, vdrejo na najboljbrezveznastrannaplanetu.com, poberejo tam tvoje geslo (ki seveda ni saltano, ce je ze hashano, gre direktno na rainbow tables, se pa slucajno ujema z geslom na tvojem email accoutu, seveda googlovem, na katerega so vezani vsi tvoji nakupi na playstoru,...), tvoj email s katerim si se registriral, npr. brezveznik@gmail.com in probajo geslo na tvojem gmail accountu. In potem se lahko zjoces.
(ravnokar se je 90% slo-techa do krvi zagrizlo v ustnico)
Ne vem no. Že sam koncept, da bi zaupal enemu centralnemu appu mi je sprvrženo. To je še huje, kot, da bi vse ključe stanovanja, avta, motorja itd. zaupal sosedu. To je kot, da bi šel v mesto do lokalnega kebabžičnice in mu dal v zaupanje vse moje ključe, zato ker mi je njegov kebab okusen.
A zvezku z gesli pa zaupaš?
Kaj ni to tudi centralizacija?
Ali imaš raje po vsem stanovanju listke nametane?
Pač, imaš KeePassX ali podobno ODPRTOKODNO zadevo, ki NE SHRANJUJE NIČESAR V OBLAK. Seveda poskrbiš za backup in to je to.
V čem je sploh problem , da se ukrade del izvorne kode. Če res dela tisto kar obljublja nebo smelo biti problema.
Lažje je odkriti skrite luknje, če imaš dostop do izvorne kode. Še posebej hudo zna biti če so v kodi kakšne kritične luknje, ki jih niso odkrili ali pa jih nameravajo odpraviti "ko bo čas", ker "se tega obskurnega scenarija itak ne bo nihče domislil".
LOL! "Lažje je odkriti skrite luknje, če imaš dostop do izvorne kode." Oprosti, ampak iz katerega stoletja si pa ti prišel?
V čem je sploh problem , da se ukrade del izvorne kode. Če res dela tisto kar obljublja nebo smelo biti problema.
Lažje je odkriti skrite luknje, če imaš dostop do izvorne kode. Še posebej hudo zna biti če so v kodi kakšne kritične luknje, ki jih niso odkrili ali pa jih nameravajo odpraviti "ko bo čas", ker "se tega obskurnega scenarija itak ne bo nihče domislil".
Zakaj pa imajo skrite luknje , če kao garantirajo za varno shrambo gesel?
Sam vse pišem fizično, v sef, na ladjo, na Bahamih!
Ne, ampak resno. Ne bi nikoli vpisoval gesla v kak app.
Jaz tudi ne, ce ni odprtokoden.
Zdaj mi pa razlozi, kako skrbis za to, da imas na vsaki strani drugo geslo? Notepad?
Namrec, vdrejo na najboljbrezveznastrannaplanetu.com, poberejo tam tvoje geslo (ki seveda ni saltano, ce je ze hashano, gre direktno na rainbow tables, se pa slucajno ujema z geslom na tvojem email accoutu, seveda googlovem, na katerega so vezani vsi tvoji nakupi na playstoru,...), tvoj email s katerim si se registriral, npr. brezveznik@gmail.com in probajo geslo na tvojem gmail accountu. In potem se lahko zjoces.
(ravnokar se je 90% slo-techa do krvi zagrizlo v ustnico)
Zakaj bi se kdo grizel. Na teh rečeh itah nisi povezan s svojo identiteto.
Ne vem no. Že sam koncept, da bi zaupal enemu centralnemu appu mi je sprvrženo. To je še huje, kot, da bi vse ključe stanovanja, avta, motorja itd. zaupal sosedu. To je kot, da bi šel v mesto do lokalnega kebabžičnice in mu dal v zaupanje vse moje ključe, zato ker mi je njegov kebab okusen.
Te čisto razumem...
Kaj pa v situaciji ko operiraš s 200+ gesli?
Kakšen solution predlagaš ?
Sam imam formulo, ki je sestavljena iz fiksnega dela, imena storitve in emailom\usernameom, s katerim se prijavljam. Je tečno, če se imena storitev spreminjajo, je pa tudi zanesljivo. Pravi izziv pa je določit formulo, ki bo vedno sproducirala veljavno geslo, saj imajo različne platforme različne zahteve.
To moraš biti retardiran, da si urejaš gesla z aplikacijo!
No mojster, pa TI povej, kako se pravilno ureja gesla ...
Smo že enkrat šli čez. Verzi iz slovenske poezije. Kot primer: "kobrezmiruokrogdivjaprjatliprasajomekam?" Tole dam za geslo in si na papir, ki ga imam doma, zabeležim "Credit Suisse - kam?" Za 100+ spletnih strani/aplikacij, ki so totalno brezveze, kot recimo forumi, razne spletne trgovine sumljivega porekla in še kaj, pa uporabljam gesla tipa "togesloresnivarno" s poljubnimi kombinacijami a-la CaMeLcAsE, l33t, ipd ...
To moraš biti retardiran, da si urejaš gesla z aplikacijo!
No mojster, pa TI povej, kako se pravilno ureja gesla ...
Smo že enkrat šli čez. Verzi iz slovenske poezije. Kot primer: "kobrezmiruokrogdivjaprjatliprasajomekam?" Tole dam za geslo in si na papir, ki ga imam doma, zabeležim "Credit Suisse - kam?" Za 100+ spletnih strani/aplikacij, ki so totalno brezveze, kot recimo forumi, razne spletne trgovine sumljivega porekla in še kaj, pa uporabljam gesla tipa "togesloresnivarno" s poljubnimi kombinacijami a-la CaMeLcAsE, l33t, ipd ...
Aha, super.
Vse verze iz slovenske poezije računalnik sproba v nekaj tisočinkah sekunde.
In kaj narediš, če moraš do švicarske banke dostopati, ko si zdoma, in nimaš tega papirja pri sebi?
In kaj pa če imaš 100+ spletnih strani/aplikacij, ki NISO brezveze?
Vse verze iz slovenske poezije računalnik sproba v nekaj tisočinkah sekunde.
Veš da. Ker tiste pomembne strani sploh nimajo raznih limiterjev. Al' govorimo o vdoru in dešifriranju gesel? V tem primeru bom jasno geslo menjal, če bom obveščen, če ne bom je itak spletna stran zahebala. Gesla se načeloma ne ponavljajo.
In kaj narediš, če moraš do švicarske banke dostopati, ko si zdoma, in nimaš tega papirja pri sebi?
Vsa ta glavna gesla vem na pamet. V šoli smo se v mojih časi učili marsikaj na pamet. Veliko sem tudi recitiral. Svoj čas sem znal uvod v Krst pri Savici na pamet. Veliko verzov mi je ostalo v glavi. In tistih deset, ki jih rabim za mission critical stvari, pač vem.
Vse verze iz slovenske poezije računalnik sproba v nekaj tisočinkah sekunde.
Veš da. Ker tiste pomembne strani sploh nimajo raznih limiterjev. Al' govorimo o vdoru in dešifriranju gesel? V tem primeru bom jasno geslo menjal, če bom obveščen, če ne bom je itak spletna stran zahebala. Gesla se načeloma ne ponavljajo.
Po tej logiki je vseeno, če imaš geslo kar "burek".
Ja, dokaj vseeno je, če imaš nekje burek, drugje tungsten, drugje kolesarjenje druje "ruckweisebewegen", ipd ... Saj veš, da je nejvečji problem če imaš povsod isto geslo. Al' pa še bolje geslo kot ga ima miljone drugih.
Lahko pa razložiš kaj je prednost, da imaš za vsako storitev unikatno geslo ki sestoji iz N naključnih znakov v primerjavi s tem da imaš za vsako storitev unikatno geslo, ki je sestavljeno iz naključih delov poezije? V teoriji bi komot obstajal točno nek uporabnik, kjer bi vsa gesla, ki jih generira tak password manager, bila slovenske besede. Če je random res pravi random, seveda ...
Se ve kaj več o napadu na strežnike in informacijski sistem Uprave za zaščito in reševanje, ki predstavlja enega od treh gradnikov sistema nacionalne varnosti? Baje en največjih kibernetskih napadov v zgodovini Slovenije.
To moraš biti retardiran, da si urejaš gesla z aplikacijo!
No mojster, pa TI povej, kako se pravilno ureja gesla ...
Jaz si ga sam izmislim. Vstavim velike črke, številke, simbole in poskrbim, da je geslo čimbolj dolgo. Na to si ga zapolnim in vsak teden ga zamenjam. Za to ne rabiš biti mojster Da bi to zaupal aplikaciji, spletni strani ali komu drugemu je neumno in neodgovorno početje.
Gesla so itak brez veze in bodo kmalu obsolete. Ne vem zakaj tak problem s hranjenjem v oblaku, za pomembne strani je vedno vklopljen 2fa.
Tudi to se da pofišat, konec koncev je bil to posreden vzrok za vdor v LastPass. Kot kaze bo bodo fizicni kljucki ala Yubikey postali nuja tudi za ‘obicajne’ uporabnike.
Lahko pa razložiš kaj je prednost, da imaš za vsako storitev unikatno geslo ki sestoji iz N naključnih znakov v primerjavi s tem da imaš za vsako storitev unikatno geslo, ki je sestavljeno iz naključih delov poezije? V teoriji bi komot obstajal točno nek uporabnik, kjer bi vsa gesla, ki jih generira tak password manager, bila slovenske besede. Če je random res pravi random, seveda ...
Gesla iz poezije so seveda lahko čisto varna, problem je, da si je z vsakim geslom novo težje izmisliti, še težje pa zapomniti. Z generatorjem lahko v trenutku zgeneriram milijon gesel.
Ampak generiranje tukaj sploh ni pomembno.
Pomembno je, da so, če se le da, VSA gesla dovolj unikatna.
Ko pride do vdora v neko xyzžnj spletno stran, pač nočeš, da je geslo, ki si ga tam uporabljal, kakorkoli podobno tvojim ostalim geslom. Variacij enega in istega gesla namreč hitro zmanjka, število spletnih strani, forumov, trgovin ... je pa vedno večje.
Tipično je geslo za mail le ena od variacij tistega gesla "za povsod". Če nekdo dobi dostop do tvojega maila, potem enostavno resetira gesla še povsod drugod, kjer si ta mail uporabil za prijavo.
To moraš biti retardiran, da si urejaš gesla z aplikacijo!
No mojster, pa TI povej, kako se pravilno ureja gesla ...
Smo že enkrat šli čez. Verzi iz slovenske poezije. Kot primer: "kobrezmiruokrogdivjaprjatliprasajomekam?" Tole dam za geslo in si na papir, ki ga imam doma, zabeležim "Credit Suisse - kam?" Za 100+ spletnih strani/aplikacij, ki so totalno brezveze, kot recimo forumi, razne spletne trgovine sumljivega porekla in še kaj, pa uporabljam gesla tipa "togesloresnivarno" s poljubnimi kombinacijami a-la CaMeLcAsE, l33t, ipd ...
Jaz imam podobno kot ti samo, da nimam poezije ampak ima en stavek, ki meni veliko pomeni. Pred tem stavkom pa imam ime spletne strni in pomišlaj. Npr. Slo-tech.si-“stevek, ki ima 22 znakov” vsebuje pa ta stavek tudi številke, velike/male črke in posebne znake. Se pravi je moje geslo za slo-tech dolgo 36 znakov. Kar pa mislim, da je OK.
Torej, če neko ugotovi tvoje geslo za spletno stran: neka-butasta-stran.com-"stavek, ki ima 22 znakov", bo vedel geslo tudi za vse ostale spletne strani ...
