Адрес для входа в РФ: exler.wiki
А вы пользуетесь LastPass?
А то тут новости по поводу LastPass приходят несколько тревожные.
Что-то интересное уже пару дней происходит с облачным менеджером паролей Lastpass. Пользователи жалуются на форумах (например, Hacker News), что кто-то заходит или пытается зайти в их аккаунты с бразильских IP-адресов с правильными паролями.
Lastpass прокомментировал, что это credential stuffing, в смысле атакующие берут пары имейл-пароль из известных утечек и пытаются логиниться ими в аккаунты Lastpass, и иногда успешно. Если это правда, то это чистое безумие. То есть живет себе пользователь и пользуется одним и тем же паролем везде. Ему говорят, переходи на менеджер паролей а то безопасность. И он такой, ага, отлично, и ставит свой старый пароль от всех аккаунтов еще и мастер-паролем от облачного менеджера паролей.
Правда, одновременно с этим исследователи, которые сейчас ковыряют логи малвари Redline Stealer, ворующей пароли из браузеров, говорят, что в этих логах - тысячи паролей от Lastpass. Совпадение?)))
https://news.ycombinator.com/item?id=29705957
https://twitter.com/MayhemDayOne/status/1475897344537374722
Я LastPass никогда не пользовался: пробовал, мне он не понравился. Я пользуюсь RoboForm. Да, он платный, я ему плачу какие-то очень небольшие деньги за год, но его работой вполне доволен, тем более что менеджер продолжает развиваться. И я там совершенно на автомате для каждого нового логина генерирую устойчивый пароль минимум в 16 символов и в самом же Roboform сохраняю. Одинаковые пароли у меня не используются нигде. (Когда-то давно, лет двадцать назад, была у меня такая порочная практика, но я себя от нее быстро отучил.) И так как RoboForm, разумеется, имеет версии для смартфонов, причем они тоже неплохо развиваются, никаких проблем такой подход не создает.
Также, разумеется, везде, где хранится хоть что-то более или менее конфиденциальное, обязательно устанавливается двойная аутентификация.
Поэтому, лично я не пользуюсь ни одной облочной системой хранения паролей.
===
Если бы речь шла о Keychain Access, то эту систему хранения паролей можно было бы, по идее, назвать "облочной" (облако+яблоко). 😄
Я не могу такое запомнить. ?
Если пароли вида Cjhjr+Nsczx+F,bpzy вам не нравятся, то разбивайте ваши пароли на части да запоминайте частями.
У меня есть пароли 16 символов - я их помню как 8+8.
Но, само собой, я не придумываю на каждый сервис индивидуальный пароль. Есть несколько степеней важности и несколько паролей. Индивидуальные сложные - только у жизненно важных сервисов, типа почты, банков. Плюс авторизация по смс.
Всякие одноразовые сервисы получают общий пароль вида "пароль", постоянные, но не слишком важные - типа форумов и соцсетей - пароль посложнее, но тоже общий. К примеру, я ничего не потеряю, если кто-то уведёт мой фэйсбук или вконтакт. Нахрена мне там иметь сложный пароль? Гораздо хуже, когда я не могу войти в сервис, потому что пароль не знаю.
Отлично работает приложение на андроиде, стоит аддон в браузере, всё как часики.
При этом ничто не мешает развернуть сервер на своих мощностях - битварден опенсорсный.
Надо отдать им должное, реакция была очень своевременная и адекватная. Пострадать, техникли, могли только пользователи с главным паролем типа "password1234567", "qwerty","sveta1987" etc
Это ж ппц неудобно.
Потом долго и болезненно восстанавливал.
Но как же лень их менять)
Естественно, что давно стоит двойная аутентификация, и только 5 устройств (в смысле, или собственно устройства типа мобильного, или конкретный браузер) разрешены мной как безопасные, чтобы зайти с других - надо делать нелепые телодвижения. Сам пароль от LastPass у меня в принципе нигде не сохраняется. Я его помню и меняю раз в полгода. Длиной от 15..18 символов, естественно, там общеизвестных паттернов длиннее 5 символов нет.
Никаких предупреждений я не получал. Хотя, конечно, все предупреждения у меня включены, и это работает (когда приходилось заходить с временных браузеров).
В своих браузерах я храню пароли только от устройств с IP из RFC-1918, т.е., всякие мои домашние раутеры и пр. шушера, к которой вообще снаружи не доберешься. Да и то, не от всех...
Для меня их всего три - Гугл, банк и profil zaufany (типа госуслуги в Польше). Они уникальные, не связаны ни со мной, ни с важными датами, ни с семьёй. Их я знаю напамять.
А остальные - да и фиг с ними. Угонит кто-то учётку тут, например - о боже мой, что делать, как жить?)))
Несколько лет назад, когда ластпасс изменил тарифную политику, экспортировал пароли и ушел в робоформ. Возможно, следовало пароли все сменить, но несколько сот не в силах.
Чем плохо?
И вообще если пропадут не так страшно по сравнению с тем, что стырят. Тем более, что вероятность все-таки маленькая.
www.anti-malware.ru
LastPass тестировал, не подошёл, даже не помню почему
"И он такой, ага, отлично, и ставит свой старый пароль от всех аккаунтов еще и мастер-паролем от облачного менеджера паролей."
А вот это сам себе злобный Буратино. Это ж надо до такого додуматься - использовать потенциально скомпрометированный пароль как мастер-пароль!
Вполне себе довольствуюсь паролями, которые генерирует в автоматическом режиме iPhone.
Отличный повод провести инспекцию своих паролей, удалить дубли и кучу неактуального мусора. А в KeePass есть импорт из csv, нужно только колонки сопоставить. KeePassXC это довольно удобно позволяет делать.
Форк, который развивается параллельно.
Он обратно совместим? Ну, чтобы базы скормить?
Та же фигня может быть и с roboform.
Суть новости в том, что пользователи сохраняют в менеджере паролей броузера мастер пароли от ластпасса.
И да, Ластпассом пользуюсь уже >10 лет, практики подобные тем, что использует Алекс - must have. В свое время пробовал roboform - не зашло (ластпасс для меня оказался удобнее)
Само собой что мастер-пароль очень сложный и не хранится нигде кроме как в голове.
Потому что им не является.
Для облачной синхронизации у меня BitWarden, тоже бесплатный и пока (т-т-т) не дырявый.
Не доверяю всяким там менеджерам.
Усложнение потребовалось, наверное, как и у большинства, с плавным вторжением в жизнь сервисов, использующих персональные данные - как-то госуслуги и подобное.
А так бы и не заморачивался. ?
Если вы не сами написали парольный менеджер - не стоит его использовать.
Обновлять софт раз в неделю - это вообще идиотизм.
Думаю для lastpass этого тоже хватит.
Ну и пароли лютые.
Вопрос другой: откуда ПРАВИЛЬНЫЕ мастер-пароли?
2) Какой браузер, которые данные форм куда-то там передает?