Адрес для входа в РФ: exler.wiki
А вы пользуетесь LastPass?
А то тут новости по поводу LastPass приходят несколько тревожные.
Что-то интересное уже пару дней происходит с облачным менеджером паролей Lastpass. Пользователи жалуются на форумах (например, Hacker News), что кто-то заходит или пытается зайти в их аккаунты с бразильских IP-адресов с правильными паролями.
Lastpass прокомментировал, что это credential stuffing, в смысле атакующие берут пары имейл-пароль из известных утечек и пытаются логиниться ими в аккаунты Lastpass, и иногда успешно. Если это правда, то это чистое безумие. То есть живет себе пользователь и пользуется одним и тем же паролем везде. Ему говорят, переходи на менеджер паролей а то безопасность. И он такой, ага, отлично, и ставит свой старый пароль от всех аккаунтов еще и мастер-паролем от облачного менеджера паролей.
Правда, одновременно с этим исследователи, которые сейчас ковыряют логи малвари Redline Stealer, ворующей пароли из браузеров, говорят, что в этих логах - тысячи паролей от Lastpass. Совпадение?)))
https://news.ycombinator.com/item?id=29705957
https://twitter.com/MayhemDayOne/status/1475897344537374722
Я LastPass никогда не пользовался: пробовал, мне он не понравился. Я пользуюсь RoboForm. Да, он платный, я ему плачу какие-то очень небольшие деньги за год, но его работой вполне доволен, тем более что менеджер продолжает развиваться. И я там совершенно на автомате для каждого нового логина генерирую устойчивый пароль минимум в 16 символов и в самом же Roboform сохраняю. Одинаковые пароли у меня не используются нигде. (Когда-то давно, лет двадцать назад, была у меня такая порочная практика, но я себя от нее быстро отучил.) И так как RoboForm, разумеется, имеет версии для смартфонов, причем они тоже неплохо развиваются, никаких проблем такой подход не создает.
Также, разумеется, везде, где хранится хоть что-то более или менее конфиденциальное, обязательно устанавливается двойная аутентификация.
Поэтому, лично я не пользуюсь ни одной облочной системой хранения паролей.
===
Если бы речь шла о Keychain Access, то эту систему хранения паролей можно было бы, по идее, назвать "облочной" (облако+яблоко). 😄
Если пароли вида Cjhjr+Nsczx+F,bpzy вам не нравятся, то разбивайте ваши пароли на части да запоминайте частями.
У меня есть пароли 16 символов - я их помню как 8+8.
Но, само собой, я не придумываю на каждый сервис индивидуальный пароль. Есть несколько степеней важности и несколько паролей. Индивидуальные сложные - только у жизненно важных сервисов, типа почты, банков. Плюс авторизация по смс.
Всякие одноразовые сервисы получают общий пароль вида "пароль", постоянные, но не слишком важные - типа форумов и соцсетей - пароль посложнее, но тоже общий. К примеру, я ничего не потеряю, если кто-то уведёт мой фэйсбук или вконтакт. Нахрена мне там иметь сложный пароль? Гораздо хуже, когда я не могу войти в сервис, потому что пароль не знаю.
Я не могу такое запомнить. ?
Отлично работает приложение на андроиде, стоит аддон в браузере, всё как часики.
При этом ничто не мешает развернуть сервер на своих мощностях - битварден опенсорсный.
Надо отдать им должное, реакция была очень своевременная и адекватная. Пострадать, техникли, могли только пользователи с главным паролем типа "password1234567", "qwerty","sveta1987" etc
Это ж ппц неудобно.
Потом долго и болезненно восстанавливал.
Но как же лень их менять)
Естественно, что давно стоит двойная аутентификация, и только 5 устройств (в смысле, или собственно устройства типа мобильного, или конкретный браузер) разрешены мной как безопасные, чтобы зайти с других - надо делать нелепые телодвижения. Сам пароль от LastPass у меня в принципе нигде не сохраняется. Я его помню и меняю раз в полгода. Длиной от 15..18 символов, естественно, там общеизвестных паттернов длиннее 5 символов нет.
Никаких предупреждений я не получал. Хотя, конечно, все предупреждения у меня включены, и это работает (когда приходилось заходить с временных браузеров).
В своих браузерах я храню пароли только от устройств с IP из RFC-1918, т.е., всякие мои домашние раутеры и пр. шушера, к которой вообще снаружи не доберешься. Да и то, не от всех...
Для меня их всего три - Гугл, банк и profil zaufany (типа госуслуги в Польше). Они уникальные, не связаны ни со мной, ни с важными датами, ни с семьёй. Их я знаю напамять.
А остальные - да и фиг с ними. Угонит кто-то учётку тут, например - о боже мой, что делать, как жить?)))
Несколько лет назад, когда ластпасс изменил тарифную политику, экспортировал пароли и ушел в робоформ. Возможно, следовало пароли все сменить, но несколько сот не в силах.
Чем плохо?
www.anti-malware.ru
И вообще если пропадут не так страшно по сравнению с тем, что стырят. Тем более, что вероятность все-таки маленькая.
LastPass тестировал, не подошёл, даже не помню почему
"И он такой, ага, отлично, и ставит свой старый пароль от всех аккаунтов еще и мастер-паролем от облачного менеджера паролей."
А вот это сам себе злобный Буратино. Это ж надо до такого додуматься - использовать потенциально скомпрометированный пароль как мастер-пароль!
Вполне себе довольствуюсь паролями, которые генерирует в автоматическом режиме iPhone.
Он обратно совместим? Ну, чтобы базы скормить?
Форк, который развивается параллельно.
Отличный повод провести инспекцию своих паролей, удалить дубли и кучу неактуального мусора. А в KeePass есть импорт из csv, нужно только колонки сопоставить. KeePassXC это довольно удобно позволяет делать.
Та же фигня может быть и с roboform.
Суть новости в том, что пользователи сохраняют в менеджере паролей броузера мастер пароли от ластпасса.
И да, Ластпассом пользуюсь уже >10 лет, практики подобные тем, что использует Алекс - must have. В свое время пробовал roboform - не зашло (ластпасс для меня оказался удобнее)
Потому что им не является.
Для облачной синхронизации у меня BitWarden, тоже бесплатный и пока (т-т-т) не дырявый.
Само собой что мастер-пароль очень сложный и не хранится нигде кроме как в голове.
Не доверяю всяким там менеджерам.
Усложнение потребовалось, наверное, как и у большинства, с плавным вторжением в жизнь сервисов, использующих персональные данные - как-то госуслуги и подобное.
А так бы и не заморачивался. ?
Обновлять софт раз в неделю - это вообще идиотизм.
Если вы не сами написали парольный менеджер - не стоит его использовать.
Думаю для lastpass этого тоже хватит.
Ну и пароли лютые.
Вопрос другой: откуда ПРАВИЛЬНЫЕ мастер-пароли?
2) Какой браузер, которые данные форм куда-то там передает?