Novice » Varnost » Hekerji ukradli del izvorne kode LastPassa
jonystar ::
darkolord ::
In v praksi se vsak dan znova izkaže, da jih nimajo.
Rešitev je večkrat omenjena v tej temi.
Rešitev je večkrat omenjena v tej temi.
p0f ::
saveconsult je izjavil:
Vsekakor Bitwarden.
https://manytools.com/password-manager-...
Vsekakor NE Bitwarden. Ni open source.
Seveda si ga - zapisal si ga v vsako stran, v katero si se prijavil.
Kako pa spletne strani skrbijo za varnost tvojega gesla, pa ne veš.
Ja tu pa pač nimaš kaj. Zaupaš strani, da imajo gesla zaščitena.
Ne pa ji ne zaupas. Zato uporabljas za vsako stran drugo geslo.
Preseneti se: https://haveibeenpwned.com/Passwords
(baje sicer samo en del hasha gesla gor sporocijo in potem nazaj vrnejo vse ujemajoce celotne hashe, ter v browserju preverijo, pac uporaba na lastno odgovornost)
Zgodovina sprememb…
- spremenilo: p0f ()
darkolord ::
Nego?saveconsult je izjavil:
Vsekakor Bitwarden.
https://manytools.com/password-manager-...
Vsekakor NE Bitwarden. Ni open source.
delavec44 ::
Gesla so itak brez veze in bodo kmalu obsolete. Ne vem zakaj tak problem s hranjenjem v oblaku, za pomembne strani je vedno vklopljen 2fa.
Tudi to se da pofišat, konec koncev je bil to posreden vzrok za vdor v LastPass. Kot kaze bo bodo fizicni kljucki ala Yubikey postali nuja tudi za ‘obicajne’ uporabnike.
Resno me zanima kako od mene priribariš kodo iz google authenticatorja za 2fa, če predvidevava, da imam IQ > 100.
p0f ::
Nego?
Mea culpa...
Ne zaupat folku, k si ne vzame niti 5 sekund, da preveri svoj bullshit.
Seveda, ker imas rad logicne zablode Pac nisem nasel linka, so what.
No daj, zdaj se pa razpricaj cez dve strani, kako pomembna napaka je to bila.
Zgodovina sprememb…
- spremenilo: p0f ()
nirburu ::
Ne vem no. Že sam koncept, da bi zaupal enemu centralnemu appu mi je sprvrženo.
To je še huje, kot, da bi vse ključe stanovanja, avta, motorja itd. zaupal sosedu. To je kot, da bi šel v mesto do lokalnega kebabžičnice in mu dal v zaupanje vse moje ključe, zato ker mi je njegov kebab okusen.
Te čisto razumem...
Kaj pa v situaciji ko operiraš s 200+ gesli?
Kakšen solution predlagaš ?
Če imaš redno 200 gesel v uporabi pomeni, da si ITjevec. Kot ITjevec si komot narediš en pythonov app.
Gesla so itak brez veze in bodo kmalu obsolete. Ne vem zakaj tak problem s hranjenjem v oblaku, za pomembne strani je vedno vklopljen 2fa.
Kako boš spremenil šarenico ali prstni odtis enkrat ko bo leakan?
Zgodovina sprememb…
- spremenilo: nirburu ()
nirburu ::
Fingerprint hackan iz garaže
Face ID hackan ravno tako
Šarenica?
In to je brute force način.
Direkten dostop do senzorjeve podatkovne linije bo zadevo še olajšal.
256 bitno geslo pa ko je kompromitirano, ga spremenim v par sekundah.
Te body ID zadeve so dobre zgolj za normije in da bigTech dobi detajle tvojega telesa.
Face ID hackan ravno tako
Šarenica?
In to je brute force način.
Direkten dostop do senzorjeve podatkovne linije bo zadevo še olajšal.
256 bitno geslo pa ko je kompromitirano, ga spremenim v par sekundah.
Te body ID zadeve so dobre zgolj za normije in da bigTech dobi detajle tvojega telesa.
poweroff ::
O geslih, biometričnih "geslih", MFA... si lahko preberete tudi tukaj: https://www.telefoncek.si/2022/08/2022-...
sudo poweroff
MrStein ::
To vprašanje je podobno kot "Kateri OS je ta pravi"
Ni preprostega odgovora.
In nobena rešitev ni dobra za vse.
Da 99% storitev uporablja najslabšo moznost avtentikacije (gesla), ne pomaga.
Ni preprostega odgovora.
In nobena rešitev ni dobra za vse.
Da 99% storitev uporablja najslabšo moznost avtentikacije (gesla), ne pomaga.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
FastWIND ::
Ne vem no. Že sam koncept, da bi zaupal enemu centralnemu appu mi je sprvrženo.
To je še huje, kot, da bi vse ključe stanovanja, avta, motorja itd. zaupal sosedu. To je kot, da bi šel v mesto do lokalnega kebabžičnice in mu dal v zaupanje vse moje ključe, zato ker mi je njegov kebab okusen.
Te čisto razumem...
Kaj pa v situaciji ko operiraš s 200+ gesli?
Kakšen solution predlagaš ?
Če imaš redno 200 gesel v uporabi pomeni, da si ITjevec. Kot ITjevec si komot narediš en pythonov app.
Gesla so itak brez veze in bodo kmalu obsolete. Ne vem zakaj tak problem s hranjenjem v oblaku, za pomembne strani je vedno vklopljen 2fa.
Kako boš spremenil šarenico ali prstni odtis enkrat ko bo leakan?
Nisem. Upravljam z 200+ WP spletnimi stranemi
darkolord ::
BigWhale ::
Seveda pa morajo biti odprtokodni in nam omogočati popolno kontrolo nad našimi podatki. Eden takih je KeePassX.
KeePassX je bil tako butast za uporabo, da sem ga nehal uporabljati. Na zalost. :/
Heisenberg je izjavil:
Ne, ampak resno. Ne bi nikoli vpisoval gesla v kak app.
Jaz tudi ne, ce ni odprtokoden.
Koliko taksnih odprtokodnih aplikacij pa si ze preveril, da so res varne?
ales85 ::
BigWhale ::
Vsa ta glavna gesla vem na pamet. V šoli smo se v mojih časi učili marsikaj na pamet. Veliko sem tudi recitiral. Svoj čas sem znal uvod v Krst pri Savici na pamet. Veliko verzov mi je ostalo v glavi. In tistih deset, ki jih rabim za mission critical stvari, pač vem.
Lol, jaz imam v password managerju 666 gesel. :D Kaka sestina teh gesel je mission critical, ni sans da si vsa zapomnim. Sploh tista, ki jih uporabljam recimo enkrat na pol leta. Jaz imam vsa gesla dolga vsaj 20, se bolje 32, znakov, ki so popolnoma nakljucni in brez omejitev. Nobenega ne vem na pamet. Se geslo za password manager je neuporabno brez Ubikey-a.
Kaksna poezija, lol. :>
Če imaš redno 200 gesel v uporabi pomeni, da si ITjevec. Kot ITjevec si komot narediš en pythonov app.
A tole je samo trolling al kaj? :>
Zgodovina sprememb…
- spremenil: BigWhale ()
BigWhale ::
ales85 ::
KeePassX je bil tako butast za uporabo, da sem ga nehal uporabljati. Na zalost. :/
Kaj pa zdaj uporabljas?
1Password. UI/UX sta mi dovolj pomembna, da se lahko sprijaznim s tem, da rec ni odprtokodna.
Si kaj primerjal z LastPassom, kaj te na primer odvrne od tega ali si samo na 1Password ze od "pamtiveka"?
poweroff ::
KeePassX je bil tako butast za uporabo, da sem ga nehal uporabljati. Na zalost. :/
Kaj pa zdaj uporabljas?
1Password. UI/UX sta mi dovolj pomembna, da se lahko sprijaznim s tem, da rec ni odprtokodna.
Na hitro sem pogledal screenschoote in ne vidim neke strašne razlike. Kaj točno je razlika?
sudo poweroff
darkolord ::
Trivialno.Zaradi takih so se že izgubljale vojne ...
Mislim, da ni. Tisto, česar ljudje ne razumejo, se jim zdi precej enostavno.Če imaš redno 200 gesel v uporabi pomeni, da si ITjevec. Kot ITjevec si komot narediš en pythonov app.
A tole je samo trolling al kaj? :>
Zgodovina sprememb…
- spremenilo: darkolord ()
nirburu ::
Trivialno.Zaradi takih so se že izgubljale vojne ...
Mislim, da ni. Tisto, česar ljudje ne razumejo, se jim zdi precej enostavno.Če imaš redno 200 gesel v uporabi pomeni, da si ITjevec. Kot ITjevec si komot narediš en pythonov app.
A tole je samo trolling al kaj? :>
Uh. Daj se malo izobrazi.
Naredim ti enostavno tak app, da ga bo tvoj super-računalnik še dolgo odmotaval.
c3p0 ::
bluefish ::
poweroff ::
Trivialno.Zaradi takih so se že izgubljale vojne ...
Mislim, da ni. Tisto, česar ljudje ne razumejo, se jim zdi precej enostavno.Če imaš redno 200 gesel v uporabi pomeni, da si ITjevec. Kot ITjevec si komot narediš en pythonov app.
A tole je samo trolling al kaj? :>
Uh. Daj se malo izobrazi.
Naredim ti enostavno tak app, da ga bo tvoj super-računalnik še dolgo odmotaval.
Takele prispevke vedno z veseljem preberem.
Pomenijo namreč, da je na svetu še vedno dovolj ljudi, ki v svoji silni samozavesti sploh ne razumejo česa ne znajo in potem delajo totalno neumne napake.
Posledično pa to pomeni, da bom še dolgo časa imel dovolj dela in bom lahko velepametnim strankam dobro računal.
sudo poweroff
nirburu ::
Dovolj dobro enkripcijo dosežeš že zelo preprosto. Večina ljudi nima takih mission critical zadev, da bi se NSAju dalo 6 mesecev na server farmi bruteforcat zadeve.
Govorimo, kar se tiče same matematike.
Kar se tiče backenda...hja, če maš felerje v sami kodi, da začasno shraniš gesla v plaintext na SSD, in pustiš trash collectorju, da te reši, bog ti pomagi. To se zna zgoditi, če delaš v raznih high-level jezikih.
Govorimo, kar se tiče same matematike.
Kar se tiče backenda...hja, če maš felerje v sami kodi, da začasno shraniš gesla v plaintext na SSD, in pustiš trash collectorju, da te reši, bog ti pomagi. To se zna zgoditi, če delaš v raznih high-level jezikih.
darkolord ::
Neumnost. Večina enkripcij ne pade zaradi bruteforcanja, ampak ker je slab algoritem.
Zgodovina sprememb…
- spremenilo: darkolord ()
BigWhale ::
UI/UX sta mi dovolj pomembna, da se lahko sprijaznim s tem, da rec ni odprtokodna.
Na hitro sem pogledal screenschoote in ne vidim neke strašne razlike. Kaj točno je razlika?
Vnos gesel na spletnih straneh, mobilna aplikacija, deljenje gesel s familijo, sinhronizacija vecih naprav. Tle so bli vse minusi. Drgac sem KeePassX uporabljak kar nekaj casa.
Uh. Daj se malo izobrazi.
:>
Naredim ti enostavno tak app, da ga bo tvoj super-računalnik še dolgo odmotaval.
Cakam na link do prvega slovenskega password managerja, ki bo delal v Linuxu, MacOS, Windows, iOS in Androidu. Potreba je podpora za sinhronizacijo vecih naprav in za deljenje gesel z druzinskimi clani.
Hvala.
Zgodovina sprememb…
- spremenil: BigWhale ()
nirburu ::
Kje je sploh point delat app za MacOS, WIN in android?
Tam ima NSA že po defaultu vsa tvoja gesla. Za random Ruske script-kiddije pa je že dovolj indijanski znakovni jezik.
Tam ima NSA že po defaultu vsa tvoja gesla. Za random Ruske script-kiddije pa je že dovolj indijanski znakovni jezik.
Zgodovina sprememb…
- spremenilo: nirburu ()
poweroff ::
Vnos gesel na spletnih straneh, mobilna aplikacija, deljenje gesel s familijo, sinhronizacija vecih naprav. Tle so bli vse minusi. Drgac sem KeePassX uporabljak kar nekaj casa.
To se sliši narobe na več ravneh... To so vse stvari, ki jih jaz zavestno ne uporabljam.
sudo poweroff
jlpktnst ::
NejcSSD ::
Zmigriral iz LastPass na Bitwarden, malo spremembe ne škodi. Presenečen da je v free že vse podprto, uzel sem za 10$ paket (security reports, advanced 2FA,...).
Zaenkrat zelo zadovoljen. Tudi lepo izpolnjuje v vseh možnih android appih, ta prvih narediš povezavo s predlaganim in je to to.
Zaenkrat zelo zadovoljen. Tudi lepo izpolnjuje v vseh možnih android appih, ta prvih narediš povezavo s predlaganim in je to to.
PC : MAG B550 Tomahawk, Ryzen 5600X, 32Gb 3200Mhz CL16, 2x 1TB NVME, MSI 1070Ti
BigWhale ::
Vnos gesel na spletnih straneh, mobilna aplikacija, deljenje gesel s familijo, sinhronizacija vecih naprav. Tle so bli vse minusi. Drgac sem KeePassX uporabljak kar nekaj casa.
To se sliši narobe na več ravneh... To so vse stvari, ki jih jaz zavestno ne uporabljam.
Morda, ampak nekateri pa te reci potrebujemo. :) In s tem ni prav nic narobe, ce ves kak je tvoj threat model in kaksni riziki pridejo zraven.
Meni se recimo deljenje gesla za Netflix z ozjo druzino ne zdi nic problematicno glede na to, da gre za family account in da ga vsi uporabljamo. Tudi ce nekdo leaka 32 mestno nakljucno geslo, ne bo nekega vecjega impacta.
bajker ::
Zmigriral iz LastPass na Bitwarden, malo spremembe ne škodi. Presenečen da je v free že vse podprto, uzel sem za 10$ paket (security reports, advanced 2FA,...).
Zaenkrat zelo zadovoljen. Tudi lepo izpolnjuje v vseh možnih android appih, ta prvih narediš povezavo s predlaganim in je to to.
Enako sem naredil kako leto nazaj in sem zelo zadovoljne z BW. Sicer je to po mojem mnenju trenutno najboljši pass manager, ključno je, da je koda odprta in omogoča lastni server.
10€ na leto je res "džabe", predvsem dobiš podporo za hardverski 2FA, recimo Yubikey, kar zelo priporočam.
NejcSSD ::
Z LastPassom na Androidu sem prav tako imel težave z izpolnjevanjem, ki jih na Bitwardnu karkoli mu dam zna izpolniti (katerikoli app).
Pa 10$ oz. že free vs LastPass ki je prek 40€ na leto
Pa 10$ oz. že free vs LastPass ki je prek 40€ na leto
PC : MAG B550 Tomahawk, Ryzen 5600X, 32Gb 3200Mhz CL16, 2x 1TB NVME, MSI 1070Ti
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Passwordi me ubijajo! (strani: 1 2 3 4 )Oddelek: Informacijska varnost | 48462 (34881) | Pero_SLO |
» | LastPass odslej omogoča brezplačno sinhronizacijo med napravamiOddelek: Novice / Varnost | 9266 (6462) | PARTyZAN |
» | TeamViewer nedosegljiv, vdor kljub pričevanjem uporabnikov zanikajo (strani: 1 2 )Oddelek: Novice / Varnost | 15985 (10213) | Saul Goodman |
» | LastPass doživel manjši vdorOddelek: Novice / Varnost | 11868 (10148) | AlienRR |
» | Sum vdora v LastPass povzročil množično menjavo geselOddelek: Novice / Varnost | 14978 (13877) | poweroff |