Gå til innhold
🎄🎅❄️God Jul og Godt Nyttår fra alle oss i Diskusjon.no ×

Alvorlige sårbarheter fjernet fra populært passordprogram


Anbefalte innlegg

Videoannonse
Annonse

Korleis fungerer desse tenestene? Om eg skal logge inn på facebook eller nettbank på telefonen f.eks., går eg inn på appen og leser passordet, eller skriver eg inn eit enkelt passord til passord-administratoren og så logger den meg automatisk inn?

 

Sverger til å skrive ned passord fysisk eg då, ser ikkje korleis det er mindre trygt.

Lenke til kommentar

Sverger til å skrive ned passord fysisk eg då, ser ikkje korleis det er mindre trygt.

 

Jeg også. Det er et mindre marked for fysiske innbrudd enn hacking i Norge. Vi er kjent for å ha godt med penger så det er mer lukrativt å gjøre det via nett, sikrere er man også da man ikke trenger å være på stedet. Det er relativt enkelt å sikre/ gjemme et papir eller to med passord på.

 

Så kan man argumentere for at "kanskje man trenger passord til X når man ikke er hjemme". Vel, hvis man undervurderer sin hjerne i så stor grad at man tror man ikke kan huske de få passordene man virkelig trenger når man ikke er hjemme så blir jeg litt trist. Hvis man har klart å lære å lese og skrive så bør det ikke være så vanskelig å pugge relativt enkle passord som er vanskelig å knuse.

  • Liker 1
Lenke til kommentar

Korleis fungerer desse tenestene? Om eg skal logge inn på facebook eller nettbank på telefonen f.eks., går eg inn på appen og leser passordet, eller skriver eg inn eit enkelt passord til passord-administratoren og så logger den meg automatisk inn?

Prøv det gjerne.

Om du er skeptisk, så kan du gjer uttesting med mindre viktige tenester.

 

På min iPhone har eg LastPass-appen installert.

Eg tar opp Safari eller Chrome og surfar rundt.

På ei side må eg inn med brukarnamn og passord som eg frå før har lagra i LastPass (dette gjor eg gjerne på PCen, tidlegare). Eg trykker "Send/del"-knappen i nettlesaren på mobilen, og velger LastPass.

Nettlesaren sender web-sida til LastPass-appen som startar opp.

Eg blir bedt om tommelen på fingeravtrykkslesaren.

LastPass sender meg så tilbake til nettlesaren og fyller inn felta med brukarnamn og passord.

 

Det fungerer fint. Eg slepp å tasta noko på tastaturet og eg slepp at folk som ser kva eg gjer kan sjå passordet.

 

LastPass verifiserer at domenet faktisk er riktig, så eg ikkje tastar passordet inn på ei "phishing-side".

 

Når eg skal ha tak i andre informasjonar, kopierer eg det frå LastPass og limar det inn der eg treng det. Dette er ikkje lika automagisk, men fungerer greit.

 

Og, ja. Du kan også starta i passord-appen og "starta" passordbeskytta tenester derifrå.

 

Ingen seier at alle _må_ bruka LastPass, men dette er ei teneste som gjer det hensiktsmessig å ha unike og lange passord per teneste på nettet.

Når ikkje ein gong du kan hugsa passorda dine, er du betre rusta mot "brute force"-angrep.

Lenke til kommentar
Ingen seier at alle _må_ bruka LastPass, men dette er ei teneste som gjer det hensiktsmessig å ha unike og lange passord per teneste på nettet.

Når ikkje ein gong du kan hugsa passorda dine, er du betre rusta mot "brute force"-angrep.

 

password_strength.png

  • Liker 2
Lenke til kommentar

Når man skal ha unike sterke passord på kanskje 50 forskjellige sites hjelper det lite med Correct Horse-metoden, man må uansett skrive ned et sted. 

 

Det aller aller viktigste er å ha tofaktor på alle steder som gir mulighet til å endre passord andre steder eller som brukes til login, særlig mail og Facebook. Kommer noen seg inn på de kontoene har de plutselig tilgang til veldig mye.

  • Liker 2
Lenke til kommentar

Hvor ofte bruker man de forskjellige passordene da? Jeg husker vel 10-15 passord i hodet, de tjenestene jeg bruker fast. Det er sikrere å ha passordene lagret i en database som ikke kan hackes fra en avsidesliggende krok et eller annet sted i Elfenbenskysten ;)

Lenke til kommentar

 konsekvensen av brudd hos de er enorm.

 

Konsekvensen av "brudd" hos LastPass er at innbryterne sitter med en haug med krypterte data.

Dekrypteringsnøklene finnes hos hver enkelt bruker av LastPass.

 

De LastPass-svakhetene som det handler om i denne artikkelen, er kun relatert til hva som skjer på brukerens egen maskin, der LastPass plug-in blir 'lurt' til å gi fra seg logon & passord til uvedkommende.

 

Så det spiller ingen rolle om LastPass lagrer ting i 'skyen'; problemet er at man kjører en browser-plugin som har tilgang til alle ens logon/passord-kombinasjoner, og den lar seg av og til lure.

  • Liker 1
Lenke til kommentar

Undres stadig over at den xkcd-stripen er garantert å dukke opp i enhver debatt rundt passord til tross for at 1. Alle som debatterer passord har garantert sett den minst 100 ganger før og 2. Det er gode årsaker (som er postet nesten like mange ganger som stripen) som forklarer hvorfor den egentlig ikke er relevant.

 

Jeg har forøvrig over 120 ulike siter med ulike passord i min passord-manager... lykke til med å staplehorse de...

Endret av Zork
  • Liker 6
Lenke til kommentar

 

 konsekvensen av brudd hos de er enorm.

 

Konsekvensen av "brudd" hos LastPass er at innbryterne sitter med en haug med krypterte data.

Dekrypteringsnøklene finnes hos hver enkelt bruker av LastPass.

 

De LastPass-svakhetene som det handler om i denne artikkelen, er kun relatert til hva som skjer på brukerens egen maskin, der LastPass plug-in blir 'lurt' til å gi fra seg logon & passord til uvedkommende.

 

Konsekvensen av brudd er jo individuellt, men det gjør det ikke mindre enormt for de som blir utsatt. Så kan i verste fall hele greia bli tatt over og det blir lagt ut en oppdatering som tar alt av info hos alle brukere, sannsynligheten er vel ca 0.

 

Undres stadig over at den xkcd-stripen er garantert å dukke opp i enhver debatt rundt passord til tross for at 1. Alle som debatterer passord har garantert sett den minst 100 ganger før og 2. Det er gode årsaker (som er postet nesten like mange ganger som stripen) som forklarer hvorfor den egentlig ikke er relevant.

 

Har ikke noe å si om den har blitt brukt 100 ganger før eller at den er irrelevant. Har du aldri ledd av samme vits to ganger?

Lenke til kommentar

Synes tittelen er særs misvisende. LastPass er vel ikke noe program, heller en skytjeneste. Selv holder jeg passord langt unna maskinvare jeg selv ikke har kontroll på. Likevel har jeg de passordene jeg trenger lett tilgjengelig uansett hvor jeg måtte befinne meg.

Endret av stigfjel
Lenke til kommentar

Som jeg har skrevet før, når folk anbefaler slikt for å løse problemene med passordinnbrudd rundt omkring, ulempen er at man har alle eggene i en kurv, og må stole på de som lager denne softwaren, konsekvensen av brudd hos de er enorm.

 

AtW

Fordelen med lastpass er at de har vist at de kan det de driver med og tar sikkerhet på alvor.

 

Ingenting er perfekt, men alternativet er i praksis passordgjenbruk og når en mindre godt sikret side lekker passordene dine så er fort 1/4,1/5 av sidene dine kompromittert. Forutsatt at du i det hele tatt husker hvor du har konto er det en drittjobb å rydde opp i.

 

Denne spesifikke situasjonen var meget uheldig, men ting ble patcher lynkjapt. De har også tidligere blitt hacket, men da gadd jeg ikke engang bytte masterpassord siden det er godt nok til at hackerne ikke har sjans til å knekke det med den hashingen lastpass har brukt. Selve passordene er også kryptert på klientsiden så de sitter ikke lastpass på engang.

 

Så ja, ingenting er perfekt, men lastpass er for de fleste langt bedre enn alternativet!

  • Liker 3
Lenke til kommentar

LastPass er vel ikke noe program, heller en skytjeneste.

 

Det er kun betal-utgave som tilbyr skytjenester, og da kun for lettere å synkronisere passordlisten på ulike dingser.

 

LastPass er primært en "passord-safe" for en PC (eller et nettbrett, eller en smartphone).

Lenke til kommentar

 

Som jeg har skrevet før, når folk anbefaler slikt for å løse problemene med passordinnbrudd rundt omkring, ulempen er at man har alle eggene i en kurv, og må stole på de som lager denne softwaren, konsekvensen av brudd hos de er enorm.

 

AtW

Fordelen med lastpass er at de har vist at de kan det de driver med og tar sikkerhet på alvor.

 

Ingenting er perfekt, men alternativet er i praksis passordgjenbruk og når en mindre godt sikret side lekker passordene dine så er fort 1/4,1/5 av sidene dine kompromittert. Forutsatt at du i det hele tatt husker hvor du har konto er det en drittjobb å rydde opp i.

 

Denne spesifikke situasjonen var meget uheldig, men ting ble patcher lynkjapt. De har også tidligere blitt hacket, men da gadd jeg ikke engang bytte masterpassord siden det er godt nok til at hackerne ikke har sjans til å knekke det med den hashingen lastpass har brukt. Selve passordene er også kryptert på klientsiden så de sitter ikke lastpass på engang.

 

Så ja, ingenting er perfekt, men lastpass er for de fleste langt bedre enn alternativet!

 

 

For det første finnes det andre alterntiver i samme bransje, og i tillegg er det fint mulig å lage seg regler der man har en del av passordet som er generert at websidens navn feks, som gjør at man ikke må gjenbruke det samme. 

 

Sier ikke at ting som lastpass er dårlig, men synes enkelte lovpriser det litt i overkant, og risikoen med  ha alt på samme sted er reell.

 

AtW

Lenke til kommentar

Det er kun betal-utgave som tilbyr skytjenester, og da kun for lettere å synkronisere passordlisten på ulike dingser.

 

LastPass er primært en "passord-safe" for en PC (eller et nettbrett, eller en smartphone).

Selv bruker jeg KeePass(X) med smart(e) plassering(er) av selve passorddatabasen. På den måten, samt med en god hjemmebrannmur kan jeg få til det samme som om man skulle brukt skytjenesten. Og jeg har full kontroll på hvor dataene er plassert, samt tilgangen til dataene.

Lenke til kommentar

 

 i tillegg er det fint mulig å lage seg regler der man har en del av passordet som er generert at websidens navn feks, som gjør at man ikke må gjenbruke det samme.

 

Og når en angriper har fått tak i ett eller to av dine passord, så er det dritenkelt å gjette seg til resten av passordene dine?

For ingen angriper kan vel være like lur som deg, right?

 

Samme svakhet med "password padding", dersom man bruker samme "padding" overalt.

Lenke til kommentar

Nei, takke meg heller til unike, genererte passord når man skal sette nytt, uten noe som er basert på tidligere passord. Og med en passordlommebok som KeePass(X) blir det ganske enkelt å holde styr på alle passordene. Da blir det ikke nødvendig med noe gjenbruk.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...