Lastpass utsatt för ytterligare dataintrång

Att slå ansiktet mot tangentbordet är framförallt inte bra eftersom det förmodligen blir jämförelsevis förutsägbart jämfört med ett lika långt slumpat lösenord, samtidigt som det är lika hopplöst att komma ihåg.

Det låter lite omständligt, men funkar det, så funkar det

Jag kör en egen instans av Bitwarden på en burk stående i garderoben. Att köra en egen instans är väl inte att rekommendera, men jag ville testa och det har fungerat bra, så jag har fortsatt med det.

En stor fördel med Bitwarden är, förutom möjligheten att köra egna instanser om man vill det, att det finns stöd för de flesta webbläsarna och att det fungerar på de flesta enheterna.

Jag använder ett par olika Windows-enheter, en iPhone och en Macbook och har Bitwarden på samtliga enheter. Kör olika webbläsare på de olika enheterna, men tack vare Bitwarden, så kan jag logga in överallt.

Har testat flera andra lösningar, men Bitwarden är den som fungerar smidigast, är open source, gratis och kan köras på egna servrar om så önskas.

Kör Bitwarden men räknar med att dom kommer bli hackade åsså, it is what it is

Oavsett så delas inte ett långt lösenord upp i flera hashar, det är inte så hash fungerar. Om man t.ex. använder ett 40-bit hash så kommer hashet alltid vara just 40 bitar oavsett hur långt lösenordet är (en väldigt enkel hashalgoritm är t.ex. att bara summera värdet på alla tecken (A = 1, B = 2, o.s.v) och låta summan gå runt till 0 när den når gränsen för hur stort hash-värdet får vara).

Det innebär att flera olika lösenord kan ha samma hashvärde, men med en bra algoritm och tillräckligt stort hash så är kollisioner i praktiken inte ett problem.

Kanske skulle förtydliga - Syftet bakom rekommendationen att skapa ord / meningar etc är att de blir längre och lättare att minnas - Således för att ta bort problemen kring postit eller på andra sätt nedskrivna eller sparade lösenord, så det kan vara så att jag vänt på det och att säkerhetshöjningen snarare ligger "offline" snarare än just komplexiteten i att utstå bruteforce hash-attacker.

Dvs - Det är antagligen lättare för Teknofob-Berit att minnas "EnStor svart katt Springar Inte över Vägen om den Absolut inte måste" jämfört med "iomfewogniug49083gt34g", eller "8 bokstäver med specialtecken och siffra" som har en tendens att alltid vara "BeritslösenordtillWindows10!"

Det är oerhört svårt att komma på bra rekommendationer, mycket till varför det fortfarande är en aktiv domän med forskning som pågår, men en bra grundregel är väl att det skall vara tillräckligt komplext men framförallt tillräckligt lätt att minnas att du kan variera och ändra utan att riskera att behöva ha det nedskrivet eller på något annat sätt kopplat till dig (...för att motstå ordboksattacker etc)

Hmm, igår fick jag ett sms från "lastpass" som bad mig kontrollera mina inställningar/lösenord. Sammanträffande?
Givetvis klickar jag aldrig på länkar i sms/mail som ber mig uppdatera något.

Inte automatiskt kansle men du kan ju själv ladda upp din fil på tex onedrive för att få tag i lösenorden och anväbda samma fil hemmifrån och mobilt.

Bytte ni till Bitwardens egen tjänst, eller hostar ni själva? Isf är det ju i princip samma sak, fast annan leverantör.

Sker inte synkningen automatiskt, så är det inte ett alternativ för gemene person. Själv skulle jag inte hitta filen på min iPhone eller Macbook, så där faller det på min okunskap gällande dessa enheter/operativsystem

Har deras egen tjänst idag men håller på att sätta upp miljön på servern hemma.
Det största för mig var att kunna kolla upp mina lösenord på datorn men också app i telefonen kostnadsfritt, vilket lastpass inte erbjuder.

Säkerligen inte ensam, jag skulle säga att det största felet är att alla dina lösenord är inlåsta i Google-världen. Om det är ett problem för dig (och ett problem just nu) är ju mer upp till dig.

Säkerhetsmässigt brukade webbläsarnas egen hantering vara urkass, men numera är den som jag förstår det okej. Frågetecknet är kanske främst kring upplåsning nu, så det blir väl mer en fråga om fysisk säkerhet, osv...

Man kan nog återvinna ungefär samma svar som jag skrev angående en fråga om Apples lösning:

Ersätt Apple med Google, i princip.

Jodå, det fungerar alldeles utmärkt, så länge som man synkar den hårdkrypterade databasen via lämplig onlinelagringstjänst.

KeePass för desktop + KeePass2Android för telefonen + sync.com för min del. Kört med detta i flera år, aldrig några problem.

Du missar helt poängen. Det svåra är inte att rekommendera en bra och säker lösning som att använda lösenordshanterare i kombination med 2FA eller MFA (eller fysiska tokens om högre krav på säkerhet finns). Väldigt få har kapacitet att komma ihåg även de mest simpla lösenord när dessa börjar närma sig ett någorlunda imponerande antal, så ditt exempel är i min mening inte realistisk - utifrån diskussionen om lösenord för IT-administratörer.

Svårigheten förefaller snarare ligga i att implementera och/eller övertyga teknikanalfabeter om att den svaga länken är brukaren själva som i olika grad kan anses vara mottagliga för s.k. social engineering eller på annat sätt ge upp sitt lösenord så angripare får åtkomst till lösenord/hash.

Är IT Glue password manager bra?

gigantisk måltavla så är det oftast bara en tidsfråga innan skiten träffar fläkten, kör själv selfhosted Vaultwarden (fork av bitwarden) och säkerheten är såklart säkerligen lägre än LastPass men måltavlan är också 10000000 gånger mindre... ingen seriös hacker liga ger sig på en helt vanlig privatperson, waste of time för deras del.

Att kalla den manager är kanske lite överdrivet. Visst kan du lagra lösenord i den men data lagras i molnet. Blir ITGlue hackade eller drabbas av en driftstörning så... you do the math. Lägg inte alla ägg i samma korg.

Deras tjänst, jag bytte pga att jag har på både PC och mobil. Lastpass tar betalt för detta, Bitwarden nej. Var ingen annan anledning till att jag bytte. Säkerhetsmässigt är det samma. Har ingen server för självhosting.

Enda jag kör är Apples Keychain, önskar bara det fanns något plugin till FireFox eller liknanden.

Använder själv 1password på jobbet, i första hand då i Windowsmiljö.
Det fungerar bra, och min erfarenhet säger att övergången till version 8.x var ett verkligt enormt lyft ur ett användbarhetsperspektiv.
Den föregående applikationen/webbläsartillägget var segt som sirap och allmänt bökigt att använda, jag tyckte direkt illa om att vara tvungen att ha med den gamla versionen att göra för den var helt enkelt ett ständigt irritationsmoment i arbetsflödet.

Så att något slags recensionstrend eller liknande verkar indikera att det skulle ha blivit sämre går tvärtemot min egen upplevelse; det var rätt kass tidigare, men nu är det bra. (Även om jag personligen inte skulle se en 1password-prenumeration betald ur egen ficka som något förstahandsscenario.)

Sedan är väl, precis som du säger, en källa till kritik just att de helt gått över till egen molnsynk med prenumeration.
Om man vill ha det gamla upplägget får man väl helt enkelt titta på någon annan lösning, kanske t.ex. någon Keepass-variant.

Använder folk fortfarande Lastpass efter alla problem de haft med intrång och allehanda "skurkiga" metoder för att tvinga till sig mer betalanvändare? Gick själv som många över till Bitwarden för länge sedan.

Har kollat på Dash. 1pass och flera andra konkurrerande aktörer också, men de faller ju bort direkt då det är enorma problem att importera bibliotek till dem då nästan alla kör sina proprietära lösningar vid export/import. Jag kan förstå att man kör sitt egna för att kunna kryptera filerna och sedan lägga till dem "offline" på en annan enhet, men många ger inte ens alternativet för en klartext-lösning (t.ex XML) vid export/import för att kunna byta mellan lösenordshanterare.

Vi kör Keeper på jobbet och är extremt nöjd, kör det även privat

Google authenticator kan du exportera alla 2FA till en annan enhet med google authenticator numera. Du kan inte ta backup av den dock (utöver manuellt spara bilder på export qr koder)

Läs (och häpna?): https://support.apple.com/guide/icloud-windows/set-up-icloud-... det är ju långt i från "allt annat" men inte 100% inlåsning iaf.