Хакери са откраднали потребителски данни и криптирани пароли от LastPass
Шефовете на приложението обаче твърдят, че са необходими "милиони години" за разбиването им
Обратно в новинатаКоментари - Хакери са откраднали потребителски данни и криптирани пароли от LastPass | IT.dir.bg
Коментари
Лошо. На времето се двоумях между тях и butwarden и се метнах на вторите. Дано ги не праснат и тях че ще трябва да сменям доста пароли. Хубавото е че има 2FA та пак е некаква сигурност.
Такива неща не се качват в "облаците". Ползвам LastPass Authenticator. Предложи ми да ми качи нещата някъде си. Пратих го на)(уй.
Проблемът е че сигурноста се е превърала в фикс идея и незабележимо стигнахме до пълната противоположност на началната идея. Например: Почти всеки смешен сайт (ако ще да е просто един битак), иска регистрация и ДАЖЕ паролата да има големи, малки, средни и проч букви и символи. Е..... аз мога да запомня няколко такива пароли (всъщост имам 2) и после? Да слагам една от 2те навсякъде? Но къде отиде сигурноста тогава? Да възложа тази дейност на някоя програма? Но какво стана с сигурноста, ако ЕДНА прогрма (организация) ми пази сички пароли? Но сигурно има ИТ "специалисти" дето ги измислят дивотиите за да си оправдават заплатите. ---- Изобщо за къв чеп са нужни големи, малки и т.н. символи? ЗАЩО? Къде е проблема в 6-8 цифрена парола и прогресивни задръжки при грешно въвеждане? Дебилизма е тотален.
Именно и аз това щях да кажа! Като добавиш и това че слагат и да експайърва на 3 месеца не ти остава нищо друго освен да ги записваш някъде. Резултата: 1. Като ти пробият сървиса за паролите имат достъп до всичко 2. Службите имат наготово всичките ти пароли
Никакви прогресивни задръжки няма да ти помогнат. Проблемът, не е че някой може със скрипт онлайн да прави брут форс. При сериозен бъг направо теглят цялата база данни и всичките опити за декодиране стават на съвсем друго място без фронтенда на сайта, където няма как да има никакви задръжки. И това всичкото може да се качи в облак с много графични карти, които да смятат паралелно. Но наистина няма смисъл да плащаш за някаква програма, която да държи всичките ти пароли и на свой ред да бъде хакната. Най-добрият метод е старомодният - всички пароли в един тефтер, който да не виждат други хора. И по-малко регистрации. Няма нужда всеки бакалски сайт да иска регистрация. И никакви логини по трети сайтове с Гугъл и Фейсбук, това са им мокрите сънища, да те следят навсякъде.
Така е. Но след като това е очевидно, защо всички(почти) се правят на интересни и искат пароли от по 10знака с всякакви извращения и спец символи даже. Сложноста на паролата е ебз значение ако бъде хакнат сайта. Не е ли най-безопасно е да имаш различни прости пароли (изкл нещо от типа на 1234567890) и да си ги помниш? А, когато трябва паролите да са сложни, човек или помни само едва-две или ги дава на некоя програма да му ги помни и в резултат сигурноста е по-лоша отколкото с проста парола.
"Но след като това е очевидно, защо всички(почти) се правят на интересни и искат пароли от по 10знака с всякакви извращения и спец символи даже." Защото всички се опитват да те предпазят от самия тебе и . Ако набиеш една и съща парола от 10 символа и те издомбят на едното място, си издомбен навсякъде. "Не е ли най-безопасно е да имаш различни прости пароли (изкл нещо от типа на 1234567890) и да си ги помниш?" Не, не е. Колкото по-прости са паролите, толкова по-лесно е да бъдат налучкани (вика му се ниска ентропия). Тук не мога да те убедя с едно изречение, но е научно и емпирично доказано, че човешкият мозък е ноторно лош в измислянето на "случайни" комбинации. "А, когато трябва паролите да са сложни, човек или помни само едва-две или ги дава на некоя програма да му ги помни и в резултат сигурноста е по-лоша отколкото с проста парола" Не, не е. Проблемите със сигурността са в два аспекта: как е изпълнена програмата, която съхранява паролите, и колко сложна е главната парола. Първото не зависи от потребителя, второто е изцяло под негов контрол. Чутовната издънка на LastPass е, че са криптирали само самите пароли, а не и мета данните. Тоест, в момента крадците знаят всеки сайт (URL), записан в профила на съответния потребител, което само по себе си може да бъде достатъчно да го идентифицира. Това е кошмарният, олигофренски пропуск на LastPass. Но това не е проблем на технологията на криптирането. Дългата, сложна парола е практически неразбиваема по ДВЕ причини: 1. изисква значително усилие, за да бъде открита чрез налучкване, което вероятно не би спряло някои хора, но 2. трябва да се знае каква е потенциалната награда отзад. Какъв е смисълът да разбием lastpass-а на Леля Пена, че да й научим паролата за abv.bg и фейсбука? Но ако имаме мета-данните на профила Х в LastPass, където има няколко Login URL-а към различни intranet сайтове на тайните служби, някоя централна банка и Белия дом? За потенциала на такъв профил си струва да изгориш няколко стотици мегавата електроенергия да го пробваш дали е бил достатъчно тъп да сложи къса мастер парола.... Затова е нужно стадно поведение. Всички трябва да ползват дълги, различни пароли навсякъде. По този начин предпазваме себе си И всички останали. Колкото до самите мениджъри за пароли, те могат да се обезопасяват и с допълнителни фактори освен самата парола. Но на твърде много хора $20 за U2F токен например им се виждат непосилна сума :D
Друго си е облачната услуга! Не можеш да си купиш нещо, а му ставаш наемател. И един ден хоп, не те харесваме, правителството казва, че си вряг и вече всичко ти е блокирано! От кога Хамериканци си мечтаят за това.
А теб кой те кара да ползваш "облаците"?! Докато има балъци, ще има и тарикати.
Размишляваш в правилна посока. Точно за такива като теб са измислени self-hosted решения (виж Bitwarden on-premise решението чрез Docker). Можеш да си го носиш на едно Raspberry с батерийка и да си го активираш само когато ти трябва. Достъпваш контейнера през wi-fi или eth връзката от другото ти мобилно или настолно устройство, колкото да си вземеш паролата за съответния ресурс, и вадиш батерийката. Никой хакер не може да те полази, освен ако не те следи 24/7 :)
