Dataintrång hos LastPass

Nej det har de inte. Din databas med lösenord är krypterad med nyckel som genererats utifrån ditt master-lösenord, master-lösenordet sparas inte i deras databas.

Finns ingen garanti att Bitwarden aldrig kommer bli hackad. Jag använder också Bitwarden, men jag är medveten om risken, därför är mitt masterlösenord väldigt starkt, så även om min krypterade databas med lösenord läcker så lär det inte gå att "cracka".

Det är med dagens utrustning, om vi dubblerar hastigheten säg, varannat år, så blir det "snabbt" inte 202 000 år. Så ska man vara säker på att ett lösenord inte blick knäckt under hala sin livstid (80 år) så får man ta i extra.

Notera att denna visualisering visar hur lång tid man förväntar sig att det tar att knäcka dessa år 2022.

Färgerna förväntas fortsätta att skifta åt det röda/lila hållet (precis som de gjort tidigare, oavsett om just denna visualisering använts så länge) och det är därmed helt rimligt att anta att den verkliga tiden blir betydligt kortare om man t.ex. påbörjar knäckandet om några år istället för idag.

Man vill ha så mycket marginal man rimligen kan få.

Har lastpass kunder kvar efter det stora knaseriet?

Om sidor kunde sluta kräva kontoregistrering överallt så hade inte lösenord behövts. Varje lite grej har ett ofog att kräva ett konto idag. Kolla bara på sidor som Inet, Webhallen & Amazon, du måste ha ett konto för att få erbjudandena. Varför en anonym kund varken kan få erbjudanden eller hjälp från kundtjänst handlar bara om en sak; personuppgifter är hårdvaluta.

Vill man skydda sig själv bör man oavsett inte lägga alla sina ägg i samma korg.

Kör själv Bitwarden men det känns ju lite olustigt o stoppa alla äpplen i en korg 😅 men det är smidigt iaf 😁

Om man väljer nått som har öppen källkod så behöver man inte vara rädd att obehöriga kan läsa den eftersom alla är behöriga att läsa den

Tråkigt att koden kommer ut, eftersom den då kan bli granskad för att hitta kryphål. Bitwarden har den fördelen att koden redan granskas av goda och onda hackare så mycket har nog redan hittats.

Det viktigaste enligt mig förutom unika lösenord på alla sidor är:
1. Att aldrig spara epostkontons lösenord i någon databas på datorn/molnet.
2. 2fa på allt som går.

Det är verkligen bara en liten del av oss inbitna datorfantaster som har koll på lösenord och säkerhet. Många som arbetar med datorer (programmare/systemtekniker,m.m) bryr sig också väldigt lite om lösenordsäkerhet. Och resten av befolkningar har ingen som helst koll på sitt digitala liv.

Gör detta 100 gånger, så blir det inte så kul att behöva ha 100 lösenord för att komma åt sina kvitton.
Att företag sätter olika priser beroende på VEM du är, är ett rejält ofog som går emot den fria marknaden.
Det skapar ett samhälle med viktigpettrar som tycker dem är någon typ av adel.

Vad är det för hash och kostnad? md5?

En svårare hash gör ju lättare lösenord mer säkra i och med att brute force tar längre tid.

Kör själv med lastpass av att det är smidigt, sen tror jag en hanterare med ett starkt master är avsevärt säkrare än att använda samma lösen på flera platser.

Undrar hur starkt mitt master är som är 48 tecken långt 🙂

Källan: https://www.hivesystems.io/blog/are-your-passwords-in-the-gre...

Och ja, räkneexemplet här verkar vara baserat på MD5. De har dock även några andra varianter på tabellen som kan vara intressanta.

Mycket intressant läsning i denna tråd. Får se hur jag ska göra med min lösenordshantering nu. Något som också hade varit rejält jobbigt är om man har ett superlångt och säkert master lösenord som man tappar bort p.g.a. Brand, mögel, stöld eller dylikt. Det blir samma problematik som med kryptovalutor.
Kanske ska man stämpla in sitt master lösenord i titan och gräva ner det? Jisses..

OM de kan dekryptera saker som ingen annan på planeten kan.... Då behövs inga lösen eller login för de kan göra egna authorization tokens. Så är liksom ett icke-problem som du tydligt inte vill förstå hur det fungerar.
NU lämnar vi diskussionen

Lösenord som sparas "i webbläsaren", är det lokal lagring eller sker det via molnet? Hur står sig sådan lösenordshantering?

Det förutsätter att attackeraren har tillgång till lösenordshashen, d.v.s. att de hackat en webbserver och fått tag på lösenordsdatabasen. Att försöka gissa lösenord på en webbsida är rätt hopplöst, det är alldeles för långsamt och sannolikt blir man som du säger utelåst efter några gissningar ändå.

Alla såna här siffror utgår från att man har fått tag på databasen och kan testa i valfri takt.
Annars blir det som du säger.

Jag slår ett slag för https://github.com/dani-garcia/vaultwarden
Kör med denna själv och funkar hur bra som helst.

Händer inte ett skit då du avkrypterar valven på klientsidan och aldrig på serversidan.

Den bilden stämmer ganska bra med attack-prestanda av 1000 miljarder hashes i sekunden.

PBKDF2 mfl. algoritmer har man mer regelmässigt infört keystretching med många iteringar rehashes av skapade hashen - förr hade man fasta nummer som 20000, 32768, 65536 ( ger 14,3, 15, 16 bit extra i entropi) iteringar för att göra det jobbigt även med dåliga password - dvs var test tar tid att även ordlista med 1 miljon vanligaste password tar rejäl tid att testa igenom.

modernare algoritmer för tex. diskkryptering kör ofta nu mera hur många iterationer man hinner med på 1 eller 2 sekunder för den hårdvaran som skapar volymen och då börja man prata om hundratusentals till många miljoner iterationer. - att skapa krypterade volymen på en värsting PC (2 sekunder) kan sedan när samma volym öppnas på en RPI4 ta sådan tid att du hinner med en fika i tid för att öppna volymen.

Man börja lära att var fast värde i iterationer man tror är mer än tillräckligt - är några år senare inte alls tillräckligt.