Gå til innhold

LastPass-hvelv er lekket – passordene dine kan være på avveie


Anbefalte innlegg

Videoannonse
Annonse
The Very End skrev (25 minutter siden):

Generaliserer du alle passord-tjenester? Og, hvis du tar den generelle befolkningen, tenker du at slike tjenester ikke er styrkende for den overordnede sikkerheten? I så fall, hvorfor?

Eg tenkjer at det kjem veldig ann på kva sikkerheitsnivå befolkning flest har. Å bruke slike passordtenester for å samle alle passord bak eit masterpassord er å putte alle egga i same kurv.
Om folk flest har passord av typen "gmail123", "facebook123" og "bankid123" så blir sjølvsagt sikkerheitsnivået heva svært mykje med ei passordteneste som genererer sterke passord til slike tenester, eller enda verre om alle passord på alle tenester er "iloveyou".
Men om sikkerheitsutfordringa er at ein er lettlurt og lett blir offer for phising så er det sjølvsagt mykje verre om folk flest heilt ukritisk oppgir master-passordet slik at svindlarane kan ta over heile det digitale livet til folk samtidig.
Då er det betre at ein har unike passord til kvar enkelt teneste slikk at ein berre mister tilgang til ei teneste om gangen om passordet kjem på avvege, eg reknar likevel med at det er dei alle færraste som er så disiplinerte at dei ikkje brukar oppigjen passord.

Lenke til kommentar
4 minutes ago, The Avatar said:

eg reknar likevel med at det er dei alle færraste som er så disiplinerte at dei ikkje brukar oppigjen passord.

Jeg er en av dem som bruker unike passord på alt. For de fleste tjenestene noterer jeg passord i en kryptert lokal passorddatabase. For uviktige tjenester som jeg besøker sjelden og ikke gidder notere ned bruker jeg "Glemt passord?"-lenka og genererer noe nytt. Fungerer greit 😆

Lenke til kommentar
The Avatar skrev (4 timer siden):

Eg tenkjer at det kjem veldig ann på kva sikkerheitsnivå befolkning flest har. Å bruke slike passordtenester for å samle alle passord bak eit masterpassord er å putte alle egga i same kurv.
Om folk flest har passord av typen "gmail123", "facebook123" og "bankid123" så blir sjølvsagt sikkerheitsnivået heva svært mykje med ei passordteneste som genererer sterke passord til slike tenester, eller enda verre om alle passord på alle tenester er "iloveyou".
Men om sikkerheitsutfordringa er at ein er lettlurt og lett blir offer for phising så er det sjølvsagt mykje verre om folk flest heilt ukritisk oppgir master-passordet slik at svindlarane kan ta over heile det digitale livet til folk samtidig.
Då er det betre at ein har unike passord til kvar enkelt teneste slikk at ein berre mister tilgang til ei teneste om gangen om passordet kjem på avvege, eg reknar likevel med at det er dei alle færraste som er så disiplinerte at dei ikkje brukar oppigjen passord.

Forsåvidt sant, men hvorfor skal man da puttene pengene sine i en kurv? Hele samfunnet i dag er bygget rundt MinID. 

Å ha unike passord til hver tjeneste krever enten ekstrem god hukommelse eller at man oppbevarer listen et sted. Og å oppbevare den listen et sted mot Lastpass er vel omtrent som å argumentere for å ha penger i madrassen fremfor nettbanken. 

Til syvende sist er kunnskap om phising problemet, og om du ikke lærer deg det kan du like greit gå personlig konkurs - så du er fucked uansett. Man når du får den kunnskapen vil denne tjenesten være 99% sikrere enn alt annet. 

Det fine med denne skandalen er at det beviser poenget som alltid har vært med å bruke Lastpass, at om tjenesten hackes spiller det liten rolle da det er så og si umulig å benytte dataene uansett. 

 

  • Liker 2
Lenke til kommentar
20 minutes ago, MrL said:

Forsåvidt sant, men hvorfor skal man da puttene pengene sine i en kurv? Hele samfunnet i dag er bygget rundt MinID. 

Å ha unike passord til hver tjeneste krever enten ekstrem god hukommelse eller at man oppbevarer listen et sted. Og å oppbevare den listen et sted mot Lastpass er vel omtrent som å argumentere for å ha penger i madrassen fremfor nettbanken. 

Til syvende sist er kunnskap om phising problemet, og om du ikke lærer deg det kan du like greit gå personlig konkurs - så du er fucked uansett. Man når du får den kunnskapen vil denne tjenesten være 99% sikrere enn alt annet. 

Det fine med denne skandalen er at det beviser poenget som alltid har vært med å bruke Lastpass, at om tjenesten hackes spiller det liten rolle da det er så og si umulig å benytte dataene uansett. 

 

Enig i det som sies her. En annen tanke som er verd å drodle rundt; LastPass har vært noenlunde åpne om hendelsene og at de her vært problematisk. Spørsmålet er om de er dårligere enn alternativene eller at alternativene ikke er like åpne om sine hendelser? Litt som med avvikskultur; antallet avvik trenger ikke være negativt, vær heller mer på vakt mot de som sier de har få eller ingen avvik.

  • Liker 5
Lenke til kommentar
The Very End skrev (20 minutter siden):

LastPass har vært noenlunde åpne om hendelsene og at de her vært problematisk. Spørsmålet er om de er dårligere enn alternativene eller at alternativene ikke er like åpne om sine hendelser?

Det sies at angrepet i august var rettet mot et testmiljø, men at LastPass unnlot å skifte ut krypteringsnøkler på de andre miljøene, noe som gjorde det nyeste angrepet mulig. Hvis dette stemmer gjør det utvilsomt LastPass til en dårligere og mindre sikker tjeneste enn alternativene, basert på hvordan selskapet bak opererer.

  • Innsiktsfullt 1
Lenke til kommentar
MrL skrev (2 timer siden):

Forsåvidt sant, men hvorfor skal man da puttene pengene sine i en kurv? Hele samfunnet i dag er bygget rundt MinID. 

Å ha unike passord til hver tjeneste krever enten ekstrem god hukommelse eller at man oppbevarer listen et sted. Og å oppbevare den listen et sted mot Lastpass er vel omtrent som å argumentere for å ha penger i madrassen fremfor nettbanken. 

Til syvende sist er kunnskap om phising problemet, og om du ikke lærer deg det kan du like greit gå personlig konkurs - så du er fucked uansett. Man når du får den kunnskapen vil denne tjenesten være 99% sikrere enn alt annet. 

Det fine med denne skandalen er at det beviser poenget som alltid har vært med å bruke Lastpass, at om tjenesten hackes spiller det liten rolle da det er så og si umulig å benytte dataene uansett. 

 

Jeg har hverken en liste lagret noe sted eller ekstremt god hukommelse, men jeg har unike passord for absolutt alle innlogginger. Bruker et system som baserer seg på at jeg har et ord for hver bokstav i alfabetet, og et ord jeg assosierer med tjenesten. Tar da "alfabetordet" for hver bokstav i "assosiasjonsordet" og slenger på noen regler om tall, store bokstaver og spesialtegn, og vips! unike passord som er lange, og vanskelige å gjette, men kjempelette å huske.

Lenke til kommentar
Emsal skrev (16 minutter siden):

1: Ser egentlig ikke problemet. Er det ikke å bare lage nye passord på alle tjenestene (...)?

2: De burde bare hatt en knapp for å generere nytt passord på alt som ligger lagra til en bruker.

1: Jo, det er "bare" å gjøre det. Så spørs det bare hvor mange hundre passord du har lagret, og hvor mange nettsider du må innom for å endre dem.

2: Så du sitter med en mengde passord i databasen din som ikke matcher passordene på nettsidene de er til, mener du? Kjempelurt. 😉

  • Liker 2
Lenke til kommentar
HansiBanzi skrev (1 time siden):

Jeg har hverken en liste lagret noe sted eller ekstremt god hukommelse, men jeg har unike passord for absolutt alle innlogginger. Bruker et system som baserer seg på at jeg har et ord for hver bokstav i alfabetet, og et ord jeg assosierer med tjenesten. Tar da "alfabetordet" for hver bokstav i "assosiasjonsordet" og slenger på noen regler om tall, store bokstaver og spesialtegn, og vips! unike passord som er lange, og vanskelige å gjette, men kjempelette å huske.

Jeg gjør noe lignende som deg (en slags passord-mal), men har tatt det et steg lenger.

Kjøp et domene, sett opp slik at alle e-poster til *@dittdomene.no går til én epostadresse, så kan du ha unike brukernavn for hvert sted du logger inn også (hvis e-post er brukernavn, noe det om oftest er). F.eks [email protected], [email protected].

  • Liker 1
Lenke til kommentar
Nukleosid skrev (15 minutter siden):

Jeg gjør noe lignende som deg (en slags passord-mal), men har tatt det et steg lenger.

Kjøp et domene, sett opp slik at alle e-poster til *@dittdomene.no går til én epostadresse, så kan du ha unike brukernavn for hvert sted du logger inn også (hvis e-post er brukernavn, noe det om oftest er). F.eks [email protected], [email protected].

Daaamn.

Digger det! Må vurdere å gjøre det samme.

Lenke til kommentar
57 minutes ago, Inge Rognmo said:

1: Jo, det er "bare" å gjøre det. Så spørs det bare hvor mange hundre passord du har lagret, og hvor mange nettsider du må innom for å endre dem.

2: Så du sitter med en mengde passord i databasen din som ikke matcher passordene på nettsidene de er til, mener du? Kjempelurt. 😉

Blitt litt mye akvavit på meg ser jeg nå 😅

  • Liker 1
Lenke til kommentar

Det som var dumt med Lastpass var vel at URLene ikke var kryptert, så da vet plutselig noen alle stedene du har konto. Så kan de ta et veldig kvalifisert valg om hvilke passord de vil prøve å knekke basert på om det er nettsteder med potensielle verdier å hente.
Burde jo bare kryptere alt.

Lenke til kommentar
attz skrev (2 timer siden):

Det som var dumt med Lastpass var vel at URLene ikke var kryptert, så da vet plutselig noen alle stedene du har konto. Så kan de ta et veldig kvalifisert valg om hvilke passord de vil prøve å knekke basert på om det er nettsteder med potensielle verdier å hente.
Burde jo bare kryptere alt.

Selv om URL vises er alle sensitive felt kryptert med samme master passordet - til og med brukernavnet. Du kan derfor ikke knekke passordet til et enkelt nettsted, man må knekke masterpassordet - som i så fall vil gi tilgang til alt. 

Man kan jo anta at Lastpass eposten er brukernavn på alle URL nettsidene som lekket. Samtidig er ikke brukernavn akkurat vanskelig å få tak i i dag eller gjette seg til med alle de uendelige andre lekkasjene, og poenget med Lastpass er jo nettopp at man skal ha et sterkt passord på alle nettsider. Hvis lekkasje av brukernavnet på en nettside anses som en sikkerhetsrisiko så har man gjort noe feil: Det er jo en risiko for nettopp alle som ikke bruker Lastpass og samme eller tilsvarende passord over alt. 

 

Endret av MrL
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...