Адрес для входа в РФ: exler.world
Очередные проблемы с LastPass
19.09.2022 12:04
11502
Комментарии (79)
Опять проблемы с безопасностью у LastPass. Далеко не в первый раз, насколько я помню. Руководство заявляет, что никакие данные пользователей не были похищены, но кто там знает, как оно на самом деле. Если вы пользуетесь LastPass, то я бы на вашем месте поменял бы пароли к критически важным данным.
Команда менеджера паролей LastPass раскрыла детали августовского взлома и рассказала, что хакеры имели привилегированный доступ во внутреннюю сеть компании в течение четырёх суток. Только потом ИБ-специалисты LastPass их обнаружили, заблокировали и приступили к устранению последствий взлома.
Гендиректор LastPass Карим Тубба (Karim Toubba) заявил, что эксперты по кибербезопасности из компании Mandiant в ходе расследования инцидента не обнаружили доказательств того, что злоумышленники получили доступ к данным клиентов или зашифрованным хранилищам паролей. По их данным, хакеры действовали внутри сети в течение четырёх суток. После их обнаружения и блокировки в компании не нашли больше свидетельств активности каких-либо злоумышленников сверх этих установленных сроков.
В ходе расследования эксперты выяснили, что злоумышленники получили доступ к среде разработки компании, используя скомпрометированную рабочую станцию одного из сотрудников. Они смогли получить и поддерживать постоянный доступ к системе, выдавая себя за разработчика, который ранее успешно вошёл в систему с помощью многофакторной аутентификации. Хакеры смогли скачать различную рабочую информацию по проектам.
«Несмотря на то, что злоумышленники смогли получить доступ к среде разработки, многоуровневый сетевой дизайн нашей системы и ограничительные элементы системы управления не позволили хакерам получить доступ к персональным и финансовым данным клиентов или зашифрованным хранилищам паролей», — пояснил Тубба. (Отсюда.)
Войдите, чтобы оставить комментарий.
С менеджером паролей ротация сохраненных паролей – вещь тривиальная и вполне осуществимая даже каждые 3 месяца.
Если даже SSL сертификаты обновляют каждый год, почему вы думаете, что пароли могут оставаться неизменными годами?
Если даже SSL сертификаты обновляют каждый год, почему вы думаете, что пароли могут оставаться неизменными годами?
А чем вам поможет трехмесячная ротация, если свежеутянутая база будет задействована в течении пары часов?
Такого рода угрозы остановят другие меры, такие как MFA, mTLS. И за это время вы успеете среагировать.
1Password лучше. Разница в UX и удобстве пользования по сравнению с LastPass уже стоит того, чтобы платить больше.
Менеджеры паролей всегда будут мишенью хакеров, слишком уж жирная добыча. Не пользуюсь никакими менеджерами, кроме бумажного блокнота. А самые важные пароли (банкинг, пейпал и т.д.) - только в голове плюс двойная аутентификация.
Плюсую.
Вот один в один.
Вот один в один.
Пользуйтесь Keepass. Пусть ломают 256-битный ключ.
"двойная аутентификация в голове"?! Круто!
Зачем ломать, дать денег программисту компании, и хоть там 1024 ключ будет.
"двойная аутентификация в голове"?! Круто!
полушарие ... правое
"Мир на Земле", да. Шикарная книга!
Не пользуюсь никакими менеджерами, кроме бумажного блокнота.
А когда куда-то едете, блокнот лежит в дипломате, прикованном к запястью наручником?
Левое полушарие спрашивает правое: "Это ты сейчас вводило пароль или нет?"
Я знаю такую барышню - она спустя 5 секунд после того, как закрывает дверь машины - возвращается и проверяет, закрыла ли.
Потом, отойдя 50 метров, спрашивает меня - закрыла ли она дверь? Я это видел? Могу подтвердить?
Во-первых, это совсем о другом. Вначале говорилось о расщеплении личности в результате нарушения связи между полушариями. И роман Лема это хорошо показывает.
Во-вторых, описанное вами состояние не имеет никакого отношения к СДВГ. Это один из ряда симптомов ОКР (обсессивно-компульсивное расстройство). Вот как описывается: Сомнения характеризуются постоянными мыслями о каком-либо уже совершенном действии. Пациент сомневается, закрыл ли дверь, выключил ли газ, заплатил ли за телефон. Особенность таких мыслей – они вновь возвращаются после перепроверки. Пациент никак не успокаивается и может много раз в день подходить к уже закрытой двери. Интересно, что в норме такие сомнения могут возникать у всех, проблема появляется тогда, когда они становятся мешающими, нелогичными и навязчивыми.
Наткнулся как-то на людей с таким синдромом, обсуждающих в инете свои проблемы. Очень полезный совет от одной участницы. Она перед выходом из дома фоткает все бытовые приборы, выключатели и т.д. И потом, едучи на работу, когда опять нахлынет, не выскакивает из автобуса, устремляясь обратно (а люди и так делают), а перебирает фотки и успокаивается.
В романе Стивена Кинга "Необходимые вещи" описана одна такая несчастная.
Во-вторых, описанное вами состояние не имеет никакого отношения к СДВГ. Это один из ряда симптомов ОКР (обсессивно-компульсивное расстройство). Вот как описывается: Сомнения характеризуются постоянными мыслями о каком-либо уже совершенном действии. Пациент сомневается, закрыл ли дверь, выключил ли газ, заплатил ли за телефон. Особенность таких мыслей – они вновь возвращаются после перепроверки. Пациент никак не успокаивается и может много раз в день подходить к уже закрытой двери. Интересно, что в норме такие сомнения могут возникать у всех, проблема появляется тогда, когда они становятся мешающими, нелогичными и навязчивыми.
Наткнулся как-то на людей с таким синдромом, обсуждающих в инете свои проблемы. Очень полезный совет от одной участницы. Она перед выходом из дома фоткает все бытовые приборы, выключатели и т.д. И потом, едучи на работу, когда опять нахлынет, не выскакивает из автобуса, устремляясь обратно (а люди и так делают), а перебирает фотки и успокаивается.
В романе Стивена Кинга "Необходимые вещи" описана одна такая несчастная.
Потом, отойдя 50 метров, спрашивает меня - закрыла ли она дверь? Я это видел? Могу подтвердить?
Подарите барышне сигналку с брелоком. 😄
От дома тоже брелок нужен?
Ну или банально вебкамеру поставить, направленную на дверь.
Чтобы показать, что дверь закрыта (то есть не открыта физически)?
Как это поможет от тревожности, что человек забыл - повернул он ключ в замке или нет?
При том, что человек был снаружи.
Знающие люди давно ушли на 1password.
Bitwarden тоже норм, но там блеск и нищета опенсорса.
Bitwarden тоже норм, но там блеск и нищета опенсорса.
А в чём нищета?
Несколько лет назад я потерял всю базу паролей в 1password после апгрейда. Версия была лицензионная и куплена для личного пользования. После этого доверия как то к 1Password нету. С LastPass проблем вообще не возникало.
Знающие люди давно ушли на 1password.
Так вот. Убогое убожество этот 1password начиная с того, что каждый третий сайт оно не может толком сохранить, и заканчивая неуменеем работать с basicauth.
Bitwarden - типичный случай опенсорс приложения с "дизайном интерфейса, разработанным профессиональными программистами". Но всё работает.
1password и работает, и чувство прекрасного не страдает.
1password и работает, и чувство прекрасного не страдает.
Поводов не доверять людям, которые последние годы рекомендуют 1password, у меня нет - они прекрасные профессионалы.
Лично мне хватает стандартного Apple Keychain - меня не напрягает потенциальная возможность, что Эппл расшифрует мои пароли на устройстве.
Из того, что читал про LastPass, там есть проблемы и с шифрованием в облаке. Так что ими пользоваться в любом случае не стал бы.
Лично мне хватает стандартного Apple Keychain - меня не напрягает потенциальная возможность, что Эппл расшифрует мои пароли на устройстве.
Из того, что читал про LastPass, там есть проблемы и с шифрованием в облаке. Так что ими пользоваться в любом случае не стал бы.
Bitwarden - типичный случай опенсорс приложения с "дизайном интерфейса, разработанным профессиональными программистами". Но всё работает.
Ну если нету бэкдора то получить доступ к паролям практически невозможно в любом манеджере паролей в наше время. Я уверен что и 1Password работает нормально но просто не хочется проверять второй раз. Надежность паролей в LastPass ни чем не хуже чем в других. Все упирается только в удобство пользования.
Ушли не на 1password, а на Roboform.
Рекомендую использовать один из этих вариантов
1) KeepassXC (если локально или локально+ синхронизация через драйв,дропбокс и тд)
2) vaultwarden (форк bitwarden без ограничений) если нужно свое selh-hosted проверенное надежное решение.
1) KeepassXC (если локально или локально+ синхронизация через драйв,дропбокс и тд)
2) vaultwarden (форк bitwarden без ограничений) если нужно свое selh-hosted проверенное надежное решение.
KeePass + Dropbox. Связка работает на всех пользовательских операционных системах (от Android до IOS, от Windows до Linux). Бесплатная, надёжная, безопасная. Уже много лет пользуюсь
"многоуровневый сетевой дизайн нашей системы и ограничительные элементы системы управления не позволили хакерам"
Читать так:
1) Паническая рассылка от сисадмина с временным отключением интернета и прекращением работы на местах.
2) Проверка антивирусом.
3) Сканирование всей внутренней сети на предмет уязвимостей, понимание, что рыться в 10-15 тыс. найденных уязвимостей из-за безнадежно устаревших программ - бессмысленно.
4) Указать шефу, какой именно дурень открыл фишинговую ссылку в письме, чтобы шеф наорал на дурня (попутно скрестив пальцы, чтобы шеф не догадался спросить, как такое письмо прошло фильтры).
5) Наскоро убедиться, что утянули только надежно зашифрованные дампы и никому не интересные документы вроде служебных записок, позвонить в пиар-отдел и сказать, что никакого ущерба не нанесли.
Читать так:
1) Паническая рассылка от сисадмина с временным отключением интернета и прекращением работы на местах.
2) Проверка антивирусом.
3) Сканирование всей внутренней сети на предмет уязвимостей, понимание, что рыться в 10-15 тыс. найденных уязвимостей из-за безнадежно устаревших программ - бессмысленно.
4) Указать шефу, какой именно дурень открыл фишинговую ссылку в письме, чтобы шеф наорал на дурня (попутно скрестив пальцы, чтобы шеф не догадался спросить, как такое письмо прошло фильтры).
5) Наскоро убедиться, что утянули только надежно зашифрованные дампы и никому не интересные документы вроде служебных записок, позвонить в пиар-отдел и сказать, что никакого ущерба не нанесли.
А откуда вы все знаете в таких точных деталях? 😄
А откуда вы все знаете в таких точных деталях? 😄
Рыбак рыбака 😄
Читать так:
пользуйтесь лучше BitWarden 😉
Блокнот. Шариковая ручка... Три или четыре пароля для разной степени секретности. Профит.
Хранить то их все равно где-то надо. Не вбивать же при каждом посещении сайтов и приложений.
Для 400+ сайтов тяжеловато.
а потом, если произойдет раскрытие пароля на одном сайте, это автоматически раскроет пароль еще на десятках сайтов.
Логины на разных сайтах могут отличаться, но часто это просто мейл пользователя
Логины на разных сайтах могут отличаться, но часто это просто мейл пользователя
На это есть система, солить пароль производной от доменного имени.
Пример - мастерпароль qwerty, на этом сайте будет qwertyRelxe_5
Пример - мастерпароль qwerty, на этом сайте будет qwertyRelxe_5
Не совсем по теме но спрошу: в настройках Хрома, там где Диспетчер паролей периодически пишется "N раскрытых пароля". По началу переживал и срочно всё менял, но потом такая страшилка вновь появлялась. Стоит заморачиваться? Или продолжать игнорировать?)
Как раз была мысль удалить все пароли из хрома и воспользоваться каким нибудь сторонним приложением.
Как раз была мысль удалить все пароли из хрома и воспользоваться каким нибудь сторонним приложением.
Стоит заморачиваться? Или продолжать игнорировать?)
Как раз была мысль удалить все пароли из хрома и воспользоваться каким нибудь сторонним приложением.
Чтобы предупреждений не видеть больше? Немного страусиная тактика, не находите?
В списке раскрытых паролей есть в том числе и сгенерированые типа надежные)
Это означает, что хэш пароля можно нагуглить в радужных таблицах.
Это означает, что хэш пароля можно нагуглить в радужных таблицах.
Разумеется, хэши с так называемой "солью" - т.е. рандомными кусками данных, добавляемыми именно для уникальности - сверять никто не будет.
Тут речь о простом применении алгоритма хэширования к строке пароляь в чистом виде. Тоже актуально, потому что далеко не все сервисы пароли юзеров хэшируют с солью.
Тут речь о простом применении алгоритма хэширования к строке пароляь в чистом виде. Тоже актуально, потому что далеко не все сервисы пароли юзеров хэшируют с солью.
Так я в этих делах не копенгаген, поэтому и интересуюсь: они раскрываются потому-что в хроме хранятся или потому что сами по себе ненадежные? В списке раскрытых паролей есть в том числе и сгенерированые типа надежные)
Хэш, созданный кем? По идее, хэш, созданный Гуглом/Хромом/etc. должен быть уникальным, т.е. "привязан" к пользователю. Если это не так, то что мешает сделать именно так?
Хэш создаётся не Гуглом, а ресурсом для которого вы пароль указываете. И как именно он его создаёт - неизвестно.
Вот об этом-то речь ― откуда Гугл знает о том, что пароль утёк? Значит, он хранит мои пароли в чистом виде.
У LastPass регулярно такие проблемы, в этот раз исходный код приложения с компьютера разработчика слили (издержки работы из дома). Но тут как раз надо смотреть не на тех, кто о своих проблемах открыто говорит и рассказывает как они исправили ситуацию и стали в итоге лучше, а на тех кто молчит в тряпочку.
не на тех, кто о своих проблемах открыто говорит и рассказывает
Т.е., по умолчанию презумпция виновности, поэтому выбирать нужно того, кого больше всего ломали. Идиотизм.
Все молчат в тряпочку, а начинают говорить, когда упираться уже бесполезно.
Все молчат в тряпочку, а начинают говорить, когда упираться уже бесполезно.
Объясните старому гику - зачем нужен lastpass если гугл отлично справляется с этой задачей?
Потому что ЛастПасс менеджер паролей, там это удобно организовано, можно управлять целой организацией. Кроме того он работает на разных устройствах и отдельно от браузера.
4) По мелочи расширение модулями: расширенная синхронизация, бэкап, проверка наличия двухфакторной аутентификации на ресурсе, проверка пароля в базах скомпрометированных паролей и т.д.
Правда, это всё про KeePass, но LastPass вряд ли сильно отличается.
Не понимаю зачем нужна группировка паролей при обычном сценарии использования, т.е. когда захожу в браузере на сайт и нужно, чтобы подставился пароль.
при обычном сценарии использования
Для сайтов же - см. выше, расширенная информация, её иногда редактирую, с чем бразуер как менеджер управления паролями сразу отлетает, а искать в 400+ сайтах без группировки не то.
Вообще, учётная запись и пароль это не одно и то же. Учётная запись может быть без пароля, равно как и пароль может быть без учётной записи.
Менеджер паролей использовать для управления УЗ... Можно, конечно, но зачем - мне трудно представить. Есть же специализированные инструменты. Хотя, может это и удобно, а я просто не понимаю сценария.
По расширенной информации понятно.
Менеджер паролей использовать для управления УЗ... Можно, конечно, но зачем - мне трудно представить. Есть же специализированные инструменты. Хотя, может это и удобно, а я просто не понимаю сценария.
По расширенной информации понятно.
Он кроссплатформенный. Кроссбраузерный.
Мне например удобно знать пароли с десктопного Vivaldi на андроидном Firefox.
Мне например удобно знать пароли с десктопного Vivaldi на андроидном Firefox.
У меня крайне негативное отношение к LastPass. Дважды я пыталась начать им пользоваться. Создавала мастер-пароль, тут же его записывала через ctrl c/v в файлик, чтобы не забыть (хотя он был достаточно легко запоминаемый для меня, но все же). Проходил месяц-другой беспроблемного пользования и внезапно мой мастер-пароль переставал подходить. Вообще никак! Выдает ошибку и всё тут. Хоть убейся. Подчеркну, что пароль не менялся. То есть вот вчера он подходил, а сегодня уже нет. И сделать с этим ничего нельзя. Восстановить его не получается, соответственно, доступа к паролям у меня нет. Красота, блин 😒
Небось, копировали в ворд или что-то такое подробное с rich text formatting? При копировании могли захватываться лишние символы, обнаружить которые иногда довольно сложно.
могли захватываться лишние символы
То есть вот вчера он подходил, а сегодня уже нет.
>> могли захватываться лишние символы
> То есть вот вчера он подходил, а сегодня уже нет.
Очень хороший пост, натолкнул меня на мысль - а как уничтожить безвозвратно все данные в lastpass и закрыть аккаунт? Кто знает? Несколько месяцев назад перешёл на Bitwarden, вроде все хорошо пока что, и что важно - совершенно бесплатно.
Просто сделайте ротацию всех паролей.
не обнаружили доказательств того, что злоумышленники получили доступ к данным клиентов или зашифрованным хранилищам паролей.
достаточно оставить маленькую закладочку. добавляющую бэкдор при сборке проекта.
Ну-ну-ну, контроль версий это сразу просечёт.
Если есть кому просекать. А это очень часто бывает индус, просто тыкающий в кнопку approve.
Ну-ну-ну, контроль версий это сразу просечёт.
...хакеры имели привилегированный доступ во внутреннюю сеть компании в течение четырёх суток. Только потом ИБ-специалисты LastPass их обнаружили, заблокировали и приступили...
Привилегии бывают разные.
Ничего не сказано про то, что эти привилегии могли сделать.
Ничего не сказано про то, что эти привилегии могли сделать.
Теги
Информация
Что ещё почитать
Шарашкины котики парижского стуэлье
26.07.2024
52
Виды доброты
09.09.2024
72
Одинокие волки
07.10.2024
106
