Skift passord nå

[OHJohansen]

LastPass har blitt hacket.

Skift passord nå

[hernil]

Jeg syns dere kan anse deres publikum som såpass tekniske at dere faktisk går inn på hva slags beskyttelse LastPass har brukt for å sikre passordene. Når du lager passordet ditt vil det hashes 5000 ganger (standardvalg, kan økes) på klientsiden før det i det hele tatt forlater maskinen din, deretter vil denne hashen hashes ytterligere 100 000 ganger på serversiden. Hashing er en matematisk operasjon og kan ses på som en helt vanlig funksjon hvor input alltid vil resultere i samme output. Eneste måten å knekke et hashet passord er å forsøke å sende en streng inn i funksjonen og sammenligne resultatet med hashen man har (stjålet). Når hashen stemmer kan man anta at man har funnet passordet.

 

Hvorfor er dette viktig? Jo, om passordet er lagret i klartekst vil man ved et innbrudd ha alle passordene klare til missbruk idét man har lastet ned dataene. Er passordene hashet må man gjennom en omfattende brute-force prosess før man sitter med de faktiske passordene. Det finnes forskjellige hashing-funksjoner. Noen er veldig grunnleggende og går fort å regne seg gjennom. Man kan dermed gjennomføre flere milliarder forsøk i sekundet. LastPass benytter seg av PBKDF2-SHA256 funksjonen som er en ekstremt tung (og dermed treg) operasjon. En på Arstechnica sitt forum har gjort et overslag og et NVIDIA GTX Titan X, som for tiden er det kraftigste verktøyet for denne typen operasjoner, vil kunne anslagsvis kunne gjette på 10 000 passord i sekundet mot LastPass sin implementasjon av hashingen. Dette er ekstremt lite i en sånn sammenheng og er såvidt meg bekjent noe av den beste sikringen jeg har hørt om ved denne typen innbrudd. Det er kanskje å forvente med et selskap som driver med sikkerhet, men fint å få det bekreftet likevel!

 

Med andre ord: Har du fornuftig lengde på masterpassordet ditt og unngår å bruke passord som typisk finnes i ordboka så er det ikke aktuelt at passordet ditt er i særlig fare. Jeg vil likevel anbefale å bytte det først som sist da det, avhengig av tyvenes tålmodighet, godt kan hende at det blir knekt en gang i fremtiden. Aktiver også tofaktor-autentisering når du først er i gang. Det er en super måte å betraktelig øke sikkerheten uten å gjøre livet nevneverdig mer komplisert!

 

Personlig har jeg både et sterkt masterpassord og har aktivert tofaktor-autentisering. Jeg mistet derfor ikke noe særlig nattesøvn i natt, og det trenger nok ikke andre gjøre heller

 

(jeg har unngått å gå inn på salting av passord her for det ser ut som om de fikk den med seg i innbrudded og det vil da ikke påvirke kompleksiteten til passordene nevneverdig)

Endret 16. juni 2015 av hernil

[PoTski]

Ler høyt hvis det er apt og du har sendt passordet ditt i klartekst. bye bye master password.

Endret 16. juni 2015 av Hårek
Helt hensiktsløs sitering av innlegget over

[Dubious]

Har lastpass, men bruker funksjonen kun på sider uten verdi

Bruker ikke lastpass for Mail og bank etc

[BNixx]

LastPass mener selv at krypteringsteknologien deres er tilstrekkelig til å beskytte brukerne, men tar et lite forbehold ved å bruke formuleringen «den store majoriteten» av brukerne.

Har man et passord som Test12573, så vil ikke noe form for kryptering hjelpe deg. Et så dårlig passord kan lett knekkes. Så det er riktig av dem og skrive meldingen på denne måten

 

Selv om slike ting er surt er det bare å forvente. Alle online tjenester er utsatt for hacker angrep og det er de færreste som faktisk melder slike ting til sine brukere.

Endret 16. juni 2015 av BNixx

[nessuno]

...

 

Ingenting er sikkert. Kan hende LastPass er sikkert, men hvis folk vet at den er nøkkelen til mange kontoer blir den hovedfokuset for angrep.

Og i tillegg er de basert i USA. Tror du NSA har et kjempedigert park av Titan-kort for å knekke passordene der, eller om de bare sendte et ordre til LastPass om å åpne baktdøren? lol

[Johnny2000]

I e-posten jeg mottok stod det følgende:

 

...We will also be prompting all users to change their master passwords. You do not need to update your master password until you see our prompt.

 

Men det blir vel ikke like spennende overskrift av sånt...

[nomore]

For meg viser dette nok en gang at LastPass fortjener min tillit som kunde og langvarig bruker.

 

Og nei, eg har ikke tenkt å kaste meg på hylekoret som dømmer tjenesten nedenom og hjem. Eg stoler langt mer på LastPass enn 99% av de nettsidene eg er registrert på. LastPass har for meg hjulpet meg til å ha oversikt over alle nettsidene eg er registrert på, tipset meg om hvilke eg har hatt dårlige passord på og ikke minst hjulpet meg med å sørge for å ha unike, gode passord på hver enkelt side.

 

Det mest sannsynlige alternativet for meg ville vært like passord på mange tjenester med ett dårlig passord eg lett husket(eller skreiv ned). Nå slipper eg det.

[Xprez]

Nja det spørs jo om de forteller alt her, kan godt være at de deler noe men holder det verste skjult.

[nomore]

Det kan man jo naturligvis spekulere i.

 

Eg er derimot mer bekymret for hvor lett mange norske nettsider(og nettsider generelt) tar på dette med sikkerhet. Er flere seriøse sider som bla gjerne sender deg passordet ditt pr e-post ved registrert - og en gang til om du har glemt det. Noe som er en tydelig indikator på at de lagrer passordene for dårlig.

[etse]

Jeg syns dere kan anse deres publikum som såpass tekniske at dere faktisk går inn på hva slags beskyttelse LastPass har brukt for å sikre passordene. Når du lager passordet ditt vil det hashes 5000 ganger (standardvalg, kan økes) på klientsiden før det i det hele tatt forlater maskinen din, deretter vil denne hashen hashes ytterligere 100 000 ganger på serversiden. Hashing er en matematisk operasjon og kan ses på som en helt vanlig funksjon hvor input alltid vil resultere i samme output. Eneste måten å knekke et hashet passord er å forsøke å sende en streng inn i funksjonen og sammenligne resultatet med hashen man har (stjålet). Når hashen stemmer kan man anta at man har funnet passordet.

 

Dette er jo bare latterlig. Å hashe en ting flere ganger gir absolutt ingen verdi. Og kan lett øke sansynligheten for hash-kollisjoner om man ikke er ytterst forsiktig. Jeg har ingen tro på at et seriøst selskap som LastPass gjør noe så latterlig. Alt du trenger er en god hashing-funksjon, god algoritme for å generere salt og så hashe den en gang så er du være trygg.

 

Å hashe en hash øker ikke sikkerheten.

[tommyb]

Dette kunne ha stresset meg. Men jeg stoppet opp allerede i første ledd av sikkerhetsanalysen:

 

Vil passord lagret i skyen ha teoretisk like høy beskyttelse som dersom samme løsning var lagret offline?

[ ja ] [ NEI ]

[hernil]

 

Jeg syns dere kan anse deres publikum som såpass tekniske at dere faktisk går inn på hva slags beskyttelse LastPass har brukt for å sikre passordene. Når du lager passordet ditt vil det hashes 5000 ganger (standardvalg, kan økes) på klientsiden før det i det hele tatt forlater maskinen din, deretter vil denne hashen hashes ytterligere 100 000 ganger på serversiden. Hashing er en matematisk operasjon og kan ses på som en helt vanlig funksjon hvor input alltid vil resultere i samme output. Eneste måten å knekke et hashet passord er å forsøke å sende en streng inn i funksjonen og sammenligne resultatet med hashen man har (stjålet). Når hashen stemmer kan man anta at man har funnet passordet.

 

Dette er jo bare latterlig. Å hashe en ting flere ganger gir absolutt ingen verdi. Og kan lett øke sansynligheten for hash-kollisjoner om man ikke er ytterst forsiktig. Jeg har ingen tro på at et seriøst selskap som LastPass gjør noe så latterlig. Alt du trenger er en god hashing-funksjon, god algoritme for å generere salt og så hashe den en gang så er du være trygg.

 

Å hashe en hash øker ikke sikkerheten.

 

 

LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed.

Kilde

 

Jeg skal ikke påstå å være helt stø på matten her, men jeg vil tro verden det medfører avhenger av hvilken hashing-algoritme som er brukt og implementasjonen av denne (eksempelvis bruke første hash-iterasjon som salt på andre iterasjon osv.). Flere iterasjoner medfører mer tidkrevende utregninger. Svakhetene som typisk kan oppstå vil jeg tro henger igjen fra tiden med md5 og andre.

 

Stackoverflow ser ut til å være ganske enig i resonementet.

[tommyb]

Eg er derimot mer bekymret for hvor lett mange norske nettsider(og nettsider generelt) tar på dette med sikkerhet. Er flere seriøse sider som bla gjerne sender deg passordet ditt pr e-post ved registrert - og en gang til om du har glemt det. Noe som er en tydelig indikator på at de lagrer passordene for dårlig.

 

Det er definitivt ikke et norsk syndrom.

 

ALLE webhostene jeg har brukt har sent passord i epost, det inkluderer norske og amerikanske side om side. Og det er webhoster. Hvis ikke engang webhoster som har drifting av servere i utsatte miljøer som levebrød gidder prioritere sikkerhet over komfort, hvem kan man da forvente det fra?

[Malvado]

Det finnes utrolig mange sikkerhetshull som gjør det enkelt / enklere for å hackere å faktisk få tilgang til passordene våre.

Som noen nå påpekte blir faktisk en del av passordene våre sent via epost og det er jo ikke helt 100% sikkert og er en av grunnene til at vi helst ikke bør sende noe kortinformasjon via en usikret http web post.

 

Andre feil som garantert noen av oss gjør er at vi har en eller annen plass brukt samme passord 2 ganger , vi tenker kanskje ikke at det er så farlig når det er et passord på 12 - 14 karakterer som inkluderer , 1 og spesialtegn , men i praksis så utsetter vi oss for 2x fare ved å gjenbruke et passord en plass.

 

Og så har vi jo selvsagt bakdører , sikkerhetshull i selve programvaren som er brukt , "bugs" og andre 0 day risikoer som muliggjør at man kan få et passord på avveie , faktisk så er det ikke verre enn at hvis man får en trojaner / malware på hovedpc'en sin som man bruker for å komme seg inn på passordtjenester så kan man faktisk gi fra seg informasjonen der.

 

Jeg har derfor svært lite tro på å lagre passord på eksterne tjenester , uansett hvor sikre de er , nettopp fordi før eller siden så vil det potensielt være en fare for at disse kan komme på avveie og dermed potensielt føre til at tyvene kan få tilgang til dem om de feks vet hvem som har tatt i bruk passordene. Et godt eksempel er om tyvene vet at en viss bankdirektør bruker lastpass og de greier å hente de "sikkrede" passordene hans , så kan de ved bruk av forskjellige framgangsmåter få direkte tilgang til alle passordene hans.

 

Av den grunn stoler jeg mest på skjulte passord lagret på programmer på pcen din som kun du vet er der og som ikke er synlige ved vanlig bruk , er man virkelig paranoid kan man til og med skjule måten passordet som frigjør passordene dine brukes på og dermed unngå en del malware som potensielt kan snappe opp dette.

[*F*]

Har grunnet dette aldri startet å bruke disse "husk passordet tjenestene", men er ikke lenge siden alle var naive og trodde disse var 100% hackersikre

[RattleBattle]

Har grunnet dette aldri startet å bruke disse "husk passordet tjenestene", men er ikke lenge siden alle var naive og trodde disse var 100% hackersikre

Fortsatt mye sikrere enn å måtte huske mange dårlige passord og/eller bruke samme passord på flere tjenester, med forbehold at man har et godt masterpassord i Lastpass eller lignende tjenester. Ingen passord skal være på avveie her.

 

Selv har jeg gått fra Lastpass til Keepass, men skal gledelig innrømme at Lastpass er flere hakk mer brukervennelig.

Endret 16. juni 2015 av RattleBattle

[xaner4]

Hahaha tenkte på det her i forgje uke og bytte fra keypass til lastpass for da slap eg og holde styr på en database over alt men er glad no at eg ikke bytta

[ATWindsor]

 

Har grunnet dette aldri startet å bruke disse "husk passordet tjenestene", men er ikke lenge siden alle var naive og trodde disse var 100% hackersikre

Fortsatt mye sikrere enn å måtte huske mange dårlige passord og/eller bruke samme passord på flere tjenester, med forbehold at man har et godt masterpassord i Lastpass eller lignende tjenester. Ingen passord skal være på avveie her.

 

Selv har jeg gått fra Lastpass til Keepass, men skal gledelig innrømme at Lastpass er flere hakk mer brukervennelig.

 

 

Å huske flere dårlige passord og å bruke samme passord på flere tjenester er fortsatt sikrere enn å kun ha ett eneste passord. Men hva så? "Fortsatt sikrere enn noe annet" er jo ikke et særlig godt argument"?

 

Og at lastpass hasher er jo fint, men det er ingen garanti når det er snakk om datainnbrudd. Det er en økt risiko å samle alt på et sted, spesielt når det lagres hos en tredjepart.

 

AtW

[nomore]

Å huske flere dårlige passord og å bruke samme passord på flere tjenester er fortsatt sikrere enn å kun ha ett eneste passord. Men hva så? "Fortsatt sikrere enn noe annet" er jo ikke et særlig godt argument"?

 

 

Fordelen med LastPass er at dette er ett selskap som faktisk jobber med sikkerhet. Eg stoler heller på LastPass med ETT sikkert passord enn 10 vilkårlige nettsider med ulike dårlige passord. Any day.