Passord-tjeneste med millioner av brukere hacket. Eksperter kaller det hele en «pinlig» affære

[oppat]

"– OneLogin jobber nå med å finne ut av hvordan vi skal forhindre at noe lignende skjer igjen i fremtiden, fortsetter Hoyos.

 

Det amerikanske passordselskapet tvinger nå alle brukerne sine til å tilbakestille passordet til tjenesten."

 

Herlig ironisk det dere skriver digi! Oversatt:

"Vi vet ikke om vi fortsatt er kompromittert, men gi deres nye passord til oss!"

[tHz]

Ingen grunn til å dømme alle passord-huske-leverandører likt. De proffe har ingen mulighet til å lekke passordene dine av den enkle grunn at de ikke har dem. Så lenge nøkkelen aldri forlater brukerens datamaskin er det ingen risiko forbundet med å ha passordene sine lagret i skya.

 

At denne leverandøren tydeligvis var ubrukelig nok til å lagre krypterte passord sammen med nøkler betyr ikke at alle er like håpløse.

 

De fleste sikkerhetsproffer er helt klare på at det er anbefalt å benytte denne typen tjenester, fordi det er sikrere enn stort sett alle praktisk gjennomførbare alternativer. Det er heller ingen økt sikkerhet ved å bruke løsninger som lagrer passord på fritt valgt tjeneste, det er ren placebo,

 

Spot on, og helt enig

 

Underlig at denne leverandøren valgte å lagre nøkkel sammen med data. Seriøse passord-tjenester gjør ikke det.

Selvfølgelig finnes det alltid en risiko for at klienten selv kan bli angrepet, men alt i alt er det svært praktisk og sikkert å ha en slik løsning (med masterpassord kun på klienter og kryptert data i skyen).

 

Backup og datalagrings-tjenester derimot. Av det jeg har sjekket er det kun sync.com som praktiserer noe slikt. Alle andre (inkludert dropbox, onedrive, google drive, etc) har mulighet for å gi deg tilgang, selv om du har mistet masterpassord.

Endret 3. juni 2017 av tHz

[Bolson]

KeePass er den absolutt beste software løsningen for passord. De tilbyr solid kryptering og har hverken skylagring eller andre 3dje parts løsninger integrert. Her bestemmer du selv hvor du lagrer den krypterte databasen og sikkehetsnøkkelen.

 

Sånn rent praktisk kan du til eksempel lagre databasen på din egen skyløsning (Google Drive, OneDrive, Dropbox osv.) og nøkkelen på dine private enheter. Det blir ikke sikrere enn det.

 

Skulle noen stjele filene dine, og i verste fall få kloa i både krypteringsnøkkel og databasen, må de fremdeles ha passordet for å løse krypteringen til databasen. Som sagt.. sikrere blir det ikke.

 

Utfordringen med Lastpass og 1password er at de har informasjonen din lagret på et nettsted som potensielt kan angripes av hvem som helst. Skal ikke gå inn på det rent tekniske her men det er mange svake punkt ved slike løsninger.

 

De som har greie på passord lagring anbefaler ofte KeePass. Det er en grunn til det.

 

Er det egentlig noen forskjell. KeePass, LastPass og 1password bygger faktisk på akkurat samme tankegang, det er kun lagringssted som avviker i realiteten. Alle 3 lagrer kun krypterte verdier (strenger) i database, krypteringsnøkkel finnes kun på egen enhet(er) og masterpassord forhåpentligvis bare i eget hode.

 

Om noen får med seg data fra tjenestene til LastPass og 1password (servere) - så er det på akkurat samme nivå som om de får tak i databasen til KeePass - uten nøkkel (som ikke lagres på serverne til LastPass og 1password) og passord er det intet å hente.

 

Ja, det har vært problemer - f.eks i LastPass. Men det har vært sikkerhetshull i nettleserplugin - dvs at man har kunnet fange opp brukernavn og passord til en nettside etter det ble dekrytert - dvs ved den automatiske utfyllingen. Men et sikkerhetshull kan like gjerne plassere en keylogger eller en funksjon som henter "kopierte" verdier. Det var dette som var et av problemene med passordtjenester på mobile enheter.

 

Jeg brukte KeePass i svært mange år - regnet det som det eneste sikre. Men når jeg ettehvert fikk behov for tilgang til passordene på flere enheter (jeg har en del 100 passord - og en del enheter hvor jeg trenger tilgang), så ble KeePass for tungvint - og jeg måtte lagre databasen på en server. Og da spurte jeg meg selv om jeg faktisk var bedre til å sikre dataene enn de som faktisk skulle leve av det.

 

Uansett løsning er ikke konseptet "brukernavn" og "passord" i realiteten særlig sikkert. Beste løsningen er sentraliserte innloggingstjenester med skikkelig 2FA. For meg er det ikke noe valg - antall passord samt det at jeg ofte ikke får lage passordet selv gjør at løsninger som 1password og LastPass med 2FA er det eneste som klarer å håndtere balansen mellom sikkerhet og brukervennlighet.

 

@mr.papp: Ingenting er umulig å knekke - datasikkerhet er og vil alltid være om å gjøre å gjøre det så vanskelig som mulig. Og det er klart at en keylogger kan få tilgang til masterpassordet for f.eks KeePass, 1password eller LastPass. Og får man da også tilgang til en enhet tilhørende personen - ja da kan man få tak i alt. Men det kan unngås ved hjelp av 2FA på "master" også - f.eks via Yubikey, fingeravtrykk, engangskoder på mobil osv.

[Halvor Sølvberg- the MOV]

Jeg er usikker på om det er bedre. Du må nemlig skrive inn passordene dine og er dermed sårbar for keyloggere. Mine fylles inn automatisk og kan dermed ikke fanges opp av verken keyloggere, kameraer eller andre metoder som baserer seg på å fange tastetrykk.

 

Måten De deler Deres kunskap om tastetrykk er historisk enestående.

De forklarer det meste uten å gi intrykk av å vere belærendes.

Hvor har De deres suverene og forklarendes pedagogikk i fra, foreldrene...?

[_dundun_]

 

Jeg er usikker på om det er bedre. Du må nemlig skrive inn passordene dine og er dermed sårbar for keyloggere. Mine fylles inn automatisk og kan dermed ikke fanges opp av verken keyloggere, kameraer eller andre metoder som baserer seg på å fange tastetrykk.

Ut av nysgjerrighet, hvordan er dine passord beskyttet på enhetene dine? Jeg antar de er kryptert og må låses opp på et vis, hvis ikke er det jo bare om å gjøre å stjele utstyret ditt. Om enhetene dine skulle bli kompromittert med en keylogger eller lignende, hvorfor kan ikke denne gi uønskede tilgang til alle dine passord gjennom å gi tilgang til passorddatabasen din?

 

Eller snakker vi rett og slett om å ha den feteste sykkellåsen her: den er ikke umulig å knekke, men det finnes enklere mål for bad guysene.

Med et skikkelig langt passord, men til daglig låses de opp med fingeravtrykk på alle tre enhetene (Laptop, tablet, telefon). Alle disse har selvsagt fulldisk-kryptering og backes opp til Backblaze med selvvalgt nøkkel som ikke Backblaze kjenner til.

 

All sikkerhet handler om "godt nok", ikke "perfekt". Så største sykkellås ja.

Endret 4. juni 2017 av Audun_K

[mr. papp]

@mr.papp: Ingenting er umulig å knekke - datasikkerhet er og vil alltid være om å gjøre å gjøre det så vanskelig som mulig. Og det er klart at en keylogger kan få tilgang til masterpassordet for f.eks KeePass, 1password eller LastPass. Og får man da også tilgang til en enhet tilhørende personen - ja da kan man få tak i alt. Men det kan unngås ved hjelp av 2FA på "master" også - f.eks via Yubikey, fingeravtrykk, engangskoder på mobil osv.

 

All sikkerhet handler om "godt nok", ikke "perfekt". Så største sykkellås ja.

 

Takker for svar. Nettopp dette tror jeg er viktig å kommunisere veldig tydelig, at man ikke diskuterer hvilke løsninger som har svakheter og hvilke løsninger som er perfekte.

 

Svakhetene med alle løsningene bør komme tydelig fram, sånn at man ikke sitter med en falsk trygghetsfølelse men heller et mer realistisk (så langt det er mulig) bilde av risikoen ved dem.

[ATWindsor]

 

(Keepass er helt fint, men neppe noe bedre enn feks lastpass og 1password. Så lenge ikke nøkkel og data er samme sted er de dønn sikre alle sammen.)

 

KeePass er den absolutt beste software løsningen for passord. De tilbyr solid kryptering og har hverken skylagring eller andre 3dje parts løsninger integrert. Her bestemmer du selv hvor du lagrer den krypterte databasen og sikkehetsnøkkelen.

 

Sånn rent praktisk kan du til eksempel lagre databasen på din egen skyløsning (Google Drive, OneDrive, Dropbox osv.) og nøkkelen på dine private enheter. Det blir ikke sikrere enn det.

 

Skulle noen stjele filene dine, og i verste fall få kloa i både krypteringsnøkkel og databasen, må de fremdeles ha passordet for å løse krypteringen til databasen. Som sagt.. sikrere blir det ikke.

 

 

Utfordringen med Lastpass og 1password er at de har informasjonen din lagret på et nettsted som potensielt kan angripes av hvem som helst. Skal ikke gå inn på det rent tekniske her men det er mange svake punkt ved slike løsninger.

 

De som har greie på passord lagring anbefaler ofte KeePass. Det er en grunn til det.

 

 

Sist jeg testet 1password kunne du lagre det hvor du ville om jeg ikke husker feil? Også lokalt.

 

AtW

[_dundun_]

Stemmer det.

[_dundun_]

 

(Keepass er helt fint, men neppe noe bedre enn feks lastpass og 1password. Så lenge ikke nøkkel og data er samme sted er de dønn sikre alle sammen.)

KeePass er den absolutt beste software løsningen for passord. De tilbyr solid kryptering og har hverken skylagring eller andre 3dje parts løsninger integrert. Her bestemmer du selv hvor du lagrer den krypterte databasen og sikkehetsnøkkelen.

 

Sånn rent praktisk kan du til eksempel lagre databasen på din egen skyløsning (Google Drive, OneDrive, Dropbox osv.) og nøkkelen på dine private enheter. Det blir ikke sikrere enn det.

 

Skulle noen stjele filene dine, og i verste fall få kloa i både krypteringsnøkkel og databasen, må de fremdeles ha passordet for å løse krypteringen til databasen. Som sagt.. sikrere blir det ikke.

 

 

Utfordringen med Lastpass og 1password er at de har informasjonen din lagret på et nettsted som potensielt kan angripes av hvem som helst. Skal ikke gå inn på det rent tekniske her men det er mange svake punkt ved slike løsninger.

 

De som har greie på passord lagring anbefaler ofte KeePass. Det er en grunn til det.

Gå gjerne inn på det tekniske. Vær spesifikk. Dette er tross alt et teknisk spørsmål. Jeg vil gjerne høre om de svake punktene ved løsningene jeg har valgt.

Endret 4. juni 2017 av Audun_K

[tHz]

Bare for klarhets skyld så er det verdt å nevne at det er ikke kun fysisk tastatur som er sårbart for keyloggere. 

Yubikey emulerer et tastatur, slik at en keylogger vil registrere alt. Nå er ofte yubikey brukt for engangspassord, så det har ikke så mye å si om det blir looget. Men den kan også brukes til statisk passord. Andre løsninger (også software) kan også emulere et keyboard og dermed være sårbar for keyloggere.

 

Også verdt å nevne at Onelogin er en litt annen type tjeneste en ren passordmanager. Onelogin, Okta og endel andre forsøker å sentralisere selve påloggingen, ikke bare håndtere passord. Jeg har ikke satt meg inn i de tekniske løsningen disse benytter, men det kreves mer for å lage noe slikt sikkert.

[nessuno]

Man må jo stole på at de som lover Zero Knowledge faktisk leverer det, men det velger jeg å gjøre. De har alt å tape på å lyve om sånt, og det er ikke spesielt vanskelig å implementere.

 

(Når det gjelder "alle eggene i en kurv" har man selvsagt backup, så det er ikke en problemstilling)

 

Ja de har mye å tape, men samtidig:

1) Å stole på folk er ikke noe som har fungert 100% så lenge menneskeheten har eksistert

2) Som alle forretningsmodeller, så aksepterer de en viss katastrofal risiko. Er den små nok så er den økonomiske modellen forsvarlig, men ikke nødvendigvis "sikker nok" som folk tror.

3) Utlevering av informasjon (ink påloggingsinformasjon) etter forespørsel fra nasjonale sikkerhetsmyndigheter (eks: USA, Saudi-Arabia mfl) er ofte pålagt taushetsplikt og det er en grov forbrytelse å enten nekte å utlevere slik informasjon eller så er taushetsplikten også straffbar hvis den brytes. Der trumper lovverket kundens forventninger med en god margin.

 

Jeg skjønner at folk synes det er lettvint med en tjeneste som lagrer login data, men av alle praktiske hensyn så er det usedvanlig mye sikrere å huske den selv og ikke lagre alle eggene i en kurv.

[tHz]

 

Man må jo stole på at de som lover Zero Knowledge faktisk leverer det, men det velger jeg å gjøre. De har alt å tape på å lyve om sånt, og det er ikke spesielt vanskelig å implementere.

 

(Når det gjelder "alle eggene i en kurv" har man selvsagt backup, så det er ikke en problemstilling)

Ja de har mye å tape, men samtidig:

1) Å stole på folk er ikke noe som har fungert 100% så lenge menneskeheten har eksistert

2) Som alle forretningsmodeller, så aksepterer de en viss katastrofal risiko. Er den små nok så er den økonomiske modellen forsvarlig, men ikke nødvendigvis "sikker nok" som folk tror.

3) Utlevering av informasjon (ink påloggingsinformasjon) etter forespørsel fra nasjonale sikkerhetsmyndigheter (eks: USA, Saudi-Arabia mfl) er ofte pålagt taushetsplikt og det er en grov forbrytelse å enten nekte å utlevere slik informasjon eller så er taushetsplikten også straffbar hvis den brytes. Der trumper lovverket kundens forventninger med en god margin.

 

Jeg skjønner at folk synes det er lettvint med en tjeneste som lagrer login data, men av alle praktiske hensyn så er det usedvanlig mye sikrere å huske den selv og ikke lagre alle eggene i en kurv.

 

 

Du klarer ikke å huske gode nok passord til alle tjenestene du bruker. Å huske passord er ikke så sikkert som du tror.

Dog kan en kombinasjon fungere ganske greit.

Bruk passord-managers for de mindre viktige passordene og pugge de viktige.

[ATWindsor]

 

 

Man må jo stole på at de som lover Zero Knowledge faktisk leverer det, men det velger jeg å gjøre. De har alt å tape på å lyve om sånt, og det er ikke spesielt vanskelig å implementere.

 

(Når det gjelder "alle eggene i en kurv" har man selvsagt backup, så det er ikke en problemstilling)

Ja de har mye å tape, men samtidig:

1) Å stole på folk er ikke noe som har fungert 100% så lenge menneskeheten har eksistert

2) Som alle forretningsmodeller, så aksepterer de en viss katastrofal risiko. Er den små nok så er den økonomiske modellen forsvarlig, men ikke nødvendigvis "sikker nok" som folk tror.

3) Utlevering av informasjon (ink påloggingsinformasjon) etter forespørsel fra nasjonale sikkerhetsmyndigheter (eks: USA, Saudi-Arabia mfl) er ofte pålagt taushetsplikt og det er en grov forbrytelse å enten nekte å utlevere slik informasjon eller så er taushetsplikten også straffbar hvis den brytes. Der trumper lovverket kundens forventninger med en god margin.

 

Jeg skjønner at folk synes det er lettvint med en tjeneste som lagrer login data, men av alle praktiske hensyn så er det usedvanlig mye sikrere å huske den selv og ikke lagre alle eggene i en kurv.

 

 

Du klarer ikke å huske gode nok passord til alle tjenestene du bruker. Å huske passord er ikke så sikkert som du tror.

Dog kan en kombinasjon fungere ganske greit.

Bruk passord-managers for de mindre viktige passordene og pugge de viktige.

 

 

Jeg vil si at man kan godt huske det, ved å modifisere passord basert på nettsidens navn, og siden det er en hash er ikke det lett å finne ut av.

 

Når det er sagt, selv bruker jeg software til å huske alt.

 

AtW

[Emancipate]

Jeg er usikker på om det er bedre. Du må nemlig skrive inn passordene dine og er dermed sårbar for keyloggere. Mine fylles inn automatisk og kan dermed ikke fanges opp av verken keyloggere, kameraer eller andre metoder som baserer seg på å fange tastetrykk.

For å låse opp passord-databasen din, må du skrive inn et master password, og dette kan selvsagt leses av keyloggere.

 

I motsetning til situasjonen der man har passordene på papir, er ikke bare det ene passordet du skulle ha tak i kompromittert, men alle passordene dine.

 

Edit: Jeg ser du bruker fingeravtrykk. Det synes jeg er ekstremt usikkert, for de kan ikke enveis-hashes, og man kan ikke endre det om det er kompromittert.

Endret 4. juni 2017 av Emancipate

[tHz]

 

Du klarer ikke å huske gode nok passord til alle tjenestene du bruker. Å huske passord er ikke så sikkert som du tror.

Dog kan en kombinasjon fungere ganske greit.

Bruk passord-managers for de mindre viktige passordene og pugge de viktige.

 

 

Jeg vil si at man kan godt huske det, ved å modifisere passord basert på nettsidens navn, og siden det er en hash er ikke det lett å finne ut av.

 

Når det er sagt, selv bruker jeg software til å huske alt.

 

AtW

 

Passord-derivasjon er ikke spesielt sikker. Stort sett de uten kunnskap om kryptografi som tror det er en bra greie.

 

Å kjøre en passord via hash virker tungvint, spesielt å taste inn på hver side.

[ATWindsor]

 

 

Du klarer ikke å huske gode nok passord til alle tjenestene du bruker. Å huske passord er ikke så sikkert som du tror.

Dog kan en kombinasjon fungere ganske greit.

Bruk passord-managers for de mindre viktige passordene og pugge de viktige.

 

 

Jeg vil si at man kan godt huske det, ved å modifisere passord basert på nettsidens navn, og siden det er en hash er ikke det lett å finne ut av.

 

Når det er sagt, selv bruker jeg software til å huske alt.

 

AtW

 

Passord-derivasjon er ikke spesielt sikker. Stort sett de uten kunnskap om kryptografi som tror det er en bra greie.

 

Å kjøre en passord via hash virker tungvint, spesielt å taste inn på hver side.

 

 

Kan du forklare hvorfor (forutsatt at de er lgret som hash der man skal logge inn)

 

AtW

[tHz]

 

Passord-derivasjon er ikke spesielt sikker. Stort sett de uten kunnskap om kryptografi som tror det er en bra greie.

 

Å kjøre en passord via hash virker tungvint, spesielt å taste inn på hver side.

 

 

Kan du forklare hvorfor (forutsatt at de er lgret som hash der man skal logge inn)

 

AtW

 

Jeg kan forsøke.

Det er minussider på flere nivåer. 

 

Å ha en hemmelig algoritme som gir deg et gitt passord til en gitt side forutsetter for det første at den forblir hemmelig. Om en passord-manager regnes som å legge alle eggene i en kurv, vil en slik algoritme fort bety at man legger alle egg (og egg som ikke er lagt enda) i samme kurv. 

 

Den må også kunne håndtere litt mer kompliserte situasjoner som f.eks. flere brukerkontoer på samme side, endring til et nytt unikt passord om det originale skulle komme på avveie, samt at den må være enkel å beregne uten hjelpemidler.

 

En kryptografisk sikker hash i dag består av svært mange tegn og er i praksis umulig å gjennomføre for hånd. Om du bruker en mindre sikker algoritmer er det trivielt å reversere dem (samt at de også er tidkrevende å gjøre for hånd). 

Da må du eventuelt lage noe selv, som i praksis (spesielt om du skal gjøre noe for hånd) kun vil være marginalt bedre enn substitution cipher. Om flere passord kommer på avveie øker det sannsynligheten for at noen finner hash-algoritmen og dermed også passord-algoritmen. Kryptoanalyse er effektivt i dag, spesielt på slike egenlagde algoritmer.

 

Dette er klassisk security by obscurity.

 

Men dette er min mening, og absolutt ikke noe fasitsvar. 

Passordhåndtering er problematisk. 

 

Edit; skriveleif

Endret 4. juni 2017 av tHz

[_dundun_]

 

Jeg er usikker på om det er bedre. Du må nemlig skrive inn passordene dine og er dermed sårbar for keyloggere. Mine fylles inn automatisk og kan dermed ikke fanges opp av verken keyloggere, kameraer eller andre metoder som baserer seg på å fange tastetrykk.

For å låse opp passord-databasen din, må du skrive inn et master password, og dette kan selvsagt leses av keyloggere.

 

I motsetning til situasjonen der man har passordene på papir, er ikke bare det ene passordet du skulle ha tak i kompromittert, men alle passordene dine.

 

Edit: Jeg ser du bruker fingeravtrykk. Det synes jeg er ekstremt usikkert, for de kan ikke enveis-hashes, og man kan ikke endre det om det er kompromittert.

Hvorfor tror du at uke fingeravtrykk kan hashes? Det er jo hele kjernen i Apples implementasjon. Unik hash pr finger, uløselig knyttet til sensoren som ble brukt. Selve avtrykket går aldri ut av selve leseren og lagres aldri noe sted.

[Emancipate]

Hvorfor tror du at uke fingeravtrykk kan hashes?

Fordi man trenger en ca-sammenligning, ikke en 100%-sammenligning.

[ATWindsor]

 

 

Passord-derivasjon er ikke spesielt sikker. Stort sett de uten kunnskap om kryptografi som tror det er en bra greie.

 

Å kjøre en passord via hash virker tungvint, spesielt å taste inn på hver side.

 

 

Kan du forklare hvorfor (forutsatt at de er lgret som hash der man skal logge inn)

 

AtW

 

Jeg kan forsøke.

Det er minussider på flere nivåer. 

 

Å ha en hemmelig algoritme som gir deg et gitt passord til en gitt side forutsetter for det første at den forblir hemmelig. Om en passord-manager regnes som å legge alle eggene i en kurv, vil en slik algoritme fort bety at man legger alle egg (og egg som ikke er lagt enda) i samme kurv. 

 

Den må også kunne håndtere litt mer kompliserte situasjoner som f.eks. flere brukerkontoer på samme side, endring til et nytt unikt passord om det originale skulle komme på avveie, samt at den må være enkel å beregne uten hjelpemidler.

 

En kryptografisk sikker hash i dag består av svært mange tegn og er i praksis umulig å gjennomføre for hånd. Om du bruker en mindre sikker algoritmer er det trivielt å reversere dem (samt at de også er tidkrevende å gjøre for hånd). 

Da må du eventuelt lage noe selv, som i praksis (spesielt om du skal gjøre noe for hånd) kun vil være marginalt bedre enn substitution cipher. Om flere passord kommer på avveie øker det sannsynligheten for at noen finner hash-algoritmen og dermed også passord-algoritmen. Kryptoanalyse er effektivt i dag, spesielt på slike egenlagde algoritmer.

 

Dette er klassisk security by obscurity.

 

Men dette er min mening, og absolutt ikke noe fasitsvar. 

Passordhåndtering er problematisk. 

 

Edit; skriveleif

 

 

Du svarer ikke på spørmålet. Jeg bruker et system for å lage passord, jeg logger meg inn på en side med passord, som har hashen i sin database. Databasen kompromiteres, og de har min login, dvs min hash. Hvordan mener du det at jeg har et system gjør meg ytterlige utrygg enn om jeg ikke hadde det? (i praksis). Med en password-manager må man stole på andre, det er ikke noe mer sannsynlig at min metode kommer på avveie, enn at noen finner en lapp med passord innelåst i en safe jeg har hjemme, du kan kalle det security by obscurity siden man baserer seg på at ingen finner passordene, men det er særdelels usannsynlig, og i praksis har det vist seg at for "den gjengse mann", så er det ikke slik passord knekkes.

 

AtW