Gå til innhold

LastPass rammet av flere kritiske sårbarheter


Gjest Marius B. Jørgenrud

Anbefalte innlegg

Videoannonse
Annonse

Jeg er enig i at dette er stygt, men føler at her er det mange panikkanfall og handlinger i affekt. Denne bug'en kan i utgangspunktet ramme alle applikasjoner, også Keepass og for eksempel innebygde passordhåndtereren til Firefox. Bug'en i dette tilfelle, handler ikke om at Lastpass er i skyen, men nettlesertilleggene i Chrome og Firefox. Slike bug'er kan tenkes at også finnes for Keepass sine nettlesertillegg. For å skille wallet'en fra nettleseren, må man bruke en separat applikasjon. Det kan man gjøre både med Lastpass og Keepass. 

Endret av RattleBattle
  • Liker 4
Lenke til kommentar

Jeg er enig i at dette er stygt, men føler at her er det mange panikkanfall og handlinger i affekt. Denne bug'en kan i utgangspunktet ramme alle applikasjoner, også Keepass og for eksempel innebygde passordhåndtereren til Firefox. Bug'en i dette tilfelle, handler ikke om at Lastpass er i skyen, men nettlesertilleggene i Chrome og Firefox. Slike bug'er kan tenkes at også finnes for Keepass sine nettlesertillegg. For å skille wallet'en fra nettleseren, må man bruke en separat applikasjon. Det kan man gjøre både med Lastpass og Keepass. 

 

Enig, selv om det er sunt med konkurranse så burde den være mellom de som har password managers og de som ikke har.

 

Kanskje er KeePass bedre på noen områder, men på andre er den det nok ikke.

 

Også er det naturligvis viktig at Lastpass tar grep og får fikset bugs fortløpende ellers bør de få så øra flagrer.

 

Og se som sier de husker alle passorda sine, eller bruker mønster, de kan ikke ha mange passord. Er man X antall personer som skal håndtere 3-400 passord så blir det noen timer mønstertrening tenker jeg.

  • Liker 1
Lenke til kommentar

 

 

*snip*

Joda.....Twine under her husker alle slike passord uten problemer grunnet sin gode hjerne! :)

 

 

Det trenger ikke å være så avansert som noen skal ha det til, for jeg ser ikke poenger i å ha et unikt komplisert passord på hver tjeneste jeg har registrert meg for.

 

Du må ha et system som er enkelt å huske, men samtidig sikkert. 

 

På alt av uviktige tjenester bruker jeg et og samme passord, medium komplisert. Greit å huske, men skulle det vær noen som får tak i passordet så er det ikke noe krise i det. De kan muligens komme seg inn på diverse sider uten spesiell informasjon om meg (spillsider, magasiner, aviser etc).

Over det har jeg et komplisert passord for e-post, langt og med tall, store og små bokstaver, spesialtegn etc. Det passordet er kun i bruk på e-post.

Så er det enda et komplisert passord for nettbank, og et nytt et for paypal. 

 

Det er 4 passord, alle med hvert sitt system og "huske regel". 

 

E-post og nettbank har jo også selvfølgelig tofaktor autentisering, som en ekstra sikkerhet.

Som nevnt tidligere; å samle alle passord i en "kurv" er å be om trøbbel, før eller senere.

 

Spesialtegn i passord er tullete; (Takk til xkcd som introduserte meg konseptet)

 

Bruk pass-setninger og du slipper å bekymre deg igjen, noensinne. Lett å huske er det også, iallefall hvis du lager noen enkle regler.

 

F.eks kan du bestemme deg for at

- antallet av [noe] skal være antall siffer i nettsidenavnet

- [noe] beskrives av logofargen

- [noe] driver med [noe annet] som man stort sett bare kan gjøre på en måte.

 

Passordet hit kunne da vært "Fire blå alligatorer drikker brus "

 

Du kan da skrive ned på en stor gul post-it lapp:

Passord digi.no: "aligator brus"

 

Og ingen, verken datamaskiner via brute force, eller noen som sitter å _ser_ på lappen kan knekke passordet. Eneste måten noen kan få tak i det passordet dette århundret er dersom noen ikke hasher passord og lagrer i klartekst.

 

I praksis vil du oppdage at mange sider tvinger deg til å bruke spesialtegn, og det er ikke alle steder man gidder å ha så lange passord, så

"aligator* " i passordlisten kan f.eks betyr "Fire blå al1g4tor3r"

 

Og som en ekstra bonus: endres desginet på en side; er det en påminnelse om at det kanskje er på tide å bytte passord...

  • Liker 3
Lenke til kommentar

Det aller enkleste er å bare taste inn ett random passord også bruker "glemt passord"-funksjonen.

 

Av de over 200 sidene jeg er registrert på et det nok bare 20 jeg besøker gjevnlig og bare en håndfull jeg gidder å huske passordet til.

Lenke til kommentar

Det aller enkleste er å bare taste inn ett random passord også bruker "glemt passord"-funksjonen.

 

Av de over 200 sidene jeg er registrert på et det nok bare 20 jeg besøker gjevnlig og bare en håndfull jeg gidder å huske passordet til.

 

Nå nå, enkelt er det nu ikke, heller mer tungvindt å irriterende i lengden og meget unødvendig.

 

Jeg gjør noe som XIFXEGLO sa, ikke nøyaktig samme methode men bra nært. 

 

Ellers så støtter jeg ikke disse 3rd party programmer, før eller siden så går det galt. 

 

Skal være litt paranoid i disse dager, skal ikke mer enn reklame banner på en webside så kan man være utsatt for noe.

Lenke til kommentar

 

 

For en LastPass-bruker, hvordan fungerer KeePass til sammenligning?

Er det bare å laste ned appen til Windows Phone og logge på så har jeg tilgang til passordene mine?

KeePass installeres lokalt. Du må selv transportere fila med passord til ulike enheter (om du har behov for det). Ergo; Du har selv full kontroll over data.

 

Men det hørtes ikke spesielt brukervennlig ut når jeg er på besøk hos en kompis og ønsker å logge på Steam på hans PC ...

du har ikkje ein mobil?

Lenke til kommentar

Ser ut som om svakheten kun ligger i utvidelsene til FireFox og Chrome. Er det noen som har satt seg inn i nøyaktiv hva disse svakhetene er og hva sjansen for at de utnyttes er?

Som mange andre i tråden her har jeg et godt inntrykk av LastPass, og bytter nødig dersom dette bare er noe som kan skje hvert 26. skuddår dersom du har isjas på vårjevndøgn

  • Liker 1
Lenke til kommentar

Hva i hel/&%/!?!?!?

Her betaler jeg for en tjeneste som skal være super sikker og så er det bare tull!?

 

Det blir å ende opp med å dra med seg en hemmelig bok med hemmelig skrift med hemmelige passord som ingen kan tyde!

 

For noe møkk!

 

 

Men selv den hemmelige boka, med hennelig skrift og hemmelige passord kan knekkes. Og sannsynligvis langt raskere og enklere enn om du har fått en passord generator til å lage passord. Alt som trengs for å knekke løsningen din er tilgang til boken, eller å sniffe nettverk om du mister å logge på ukryptert. 

 

Ja password manager er også sårbart, men sålangt er det også den beste løsningen. 

  • Liker 1
Lenke til kommentar

Noen andre online-løsninger som er brukbare? True Key fra Intel? F-Secures SAFE? Noen som har prøvd de, eller andre?

 

Har akkurat "konvertert" til https://trezor.io/passwords/, men den krever en engangs-investering i en hardware-dings (for trygg dekryptering uten at nøkkelen avsløres, selv om maskinen du kobler den til er infisert av alskens virus).

 

Til gjengjeld har den flere fordeler jeg ikke har funnet andre steder. Bare spør hvis du lurer på noe. :)

Endret av Martin Lie
Lenke til kommentar

 

 

Det blir å ende opp med å dra med seg en hemmelig bok med hemmelig skrift med hemmelige passord som ingen kan tyde!

Eller bruke en tjeneste med bedre rykte og sikkerhet enn LastPass :)

Jeg sjekket ganske nøye egentlig før jeg valgte Lastpass og i siste test så fikk dem meget gode skussmål. Har ikke sett noe på nettet om at dem hadde noe dårlig rykte....

Men men.....er det flere som har dårlig rykte der ute som jeg bør passe meg for. Etter min erfaring så er folk meget flinke til å komme hylende med slike utsagn ETTER at dem har blitt avslørt, og da har alle selvfølgelig vist om dette i alle år.....

 

Lurer på hvilke test du leste :p LastPass har hatt flere episoder hvor sikkerhetsbrudd og sårbarheter har blitt kjent, men dette er den første vanlige folk får med seg. Når det er sagt er det flere password managers som har blitt avslørt med manglende sikkerhet i varierende grad i det siste, sjekk denne rapporten: https://team-sik.org/trent_portfolio/password-manager-apps/

Ikke bruk noen av de password managerene. 

Ingen av disse var kjent i miljøet fra før for å utmerke seg på sikkerhet uansett, slik f.eks. KeePass er. Og for de som klager over at KeePass ikke er brukervennlig i og med at den er lokal, så er det bare å putte DB-fila i f.eks. Dropbox eller noe, og vips, så er det en skybasert tjeneste. 

  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...