Lastpass utsatt för ytterligare dataintrång

Permalänk
Medlem
Skrivet av varget:

Läs (och häpna?): https://support.apple.com/guide/icloud-windows/set-up-icloud-... det är ju långt i från "allt annat" men inte 100% inlåsning iaf.

Bättre än "inget annat", förstås.

Visa signatur

AMD Ryzen9 5900X || Gigabyte X570 Ultra || RTX 3090 FE || Gskill Trident Z 3600 64GB || Samsung 950 Pro 512GB || Samsung 960 Pro 1024GB || XB270HU 1440p IPS G-Sync

Permalänk
Medlem
Skrivet av JoOngle:

Jag minns när folk asgarvade åt mig när jag sade att jag har alla mina lösenord på 3 x A4 papper (hundratals). Undras om dom fortsatt skrattar?

När man har arbetat med IT sen 80 talet - så vet man att det finns inget som är 100% säkert när det gäller lösenord eller kryptering, det finns alltid en möjlighet för en läcka eller nåt hål i mjukvaran eller ett annat svagt ledd.

När dina nycklar finns på datorn eller i molnet, finns det ALLTID möjligheter att kringgå säkerheten. Mina nycklar är gömda I ett brandsäkert skåp hemma, enda som kan hända är att nån stjäl skåpet - men när man är i molnet eller uppkopplat - finns miljoner av möjligheter att åtkomma nycklarna.

Det finns dock en liten smart grej, om du har t.ex. en Trezor, så kan du gömma dina lösenord på den, och dra den ur USB sladden när du inte använder datorn.

Håller med att det är ett sätt som gör det lite mer otillgängligt men det är också dess baksida. En annan är också, vad gör du när du nyser eller spiller kaffe på papperslappen?

Visa signatur

.:Wks: Cooler Master Silencio 650|Core i5 3570 3.4 GHz|Asus P8Z77-V|8 GB| GT 465|1xDell U2311H, 2xAlienware AW2210 2xEizo 19|OCZ Revo 3 Drive 120 + Raptor 150:.
.:Server: Har ett gäng :) :.
-Learn the system, Play the system, Break the system-

Permalänk
Medlem
Skrivet av Dr.Mabuse:

En gammal sanning som blivt s.a.s. "debunked". Svårigheten ligger i komplexitet och teckenlängd. Det FINNS lösningar och best practice för IT-administratörer hur man ska/kan hantera lösenord (samt åtkomster med med tier:ing och jump station/jump hosts). Sedan kan man diskutera nyttan med löjligt långa lösenord, se tabellen nedan som ger en ungefärligt indikation på tid som krävs för att knäcka en hasch med dagens teknologi.
<Uppladdad bildlänk>

Vad är det tabellen visar? Vad är det som knäcks och mot vad?

Om jag exempelvis SHA256-hashar följande lösenord + salt: UFoyeSUHUupG@9*hg8%J&$KT&^fLwm7 + asdfasdfasdfasdf

SHA256("*UFoyeSUHUupG@9*hg8%J&$KT&^fLwm7asdfasdfasdfasdf")

så får jag: f2206432d259f395325aa171c186b4fc3943860aded455e052d765a2845809d2

Hur ska denna hash "knäckas"? Det går ju inte att decoda hashen, så hittar man inte hashen i någon databas, så återstår vadå?

Känns som att jag missar något fundamentalt, så någon får hemskt gärna upplysa mig

Visa signatur

ASUS Prime Z690-P D4 | Intel i9 13900K | 64 GB RAM
NVIDIA GeForce GTX 1070 8 GB
WD Black SN850X 2 TB Gen 4 | 2 x 1 TB Samsung 970 EVO Plus
3 ASUS 27" @ 144 Hz

Permalänk
Medlem

Problemet med påtvingade specialtecken är att folk använder banan!, banan1, banan? osv. Fullkomligt meningslöst och icke-intiutivt.

Jag tolkar det som konsesus inom akademin att det är passphrases som gäller. Sen att diverse experter på TV fortfarande pratar om specialtecken säger väl en del om kompetensen inom IT generellt, eller att man blir "IT-konsult" efter 2 veckor Java som det stod så fint på anslagstavlan på högskolan...

Permalänk
Medlem
Skrivet av JoOngle:

Trezor my friend, Trezor!

Ok, tror det var ordningen i ditt inlägg som gjorde mig förvirrad. Tolkade det som att du endast använde papper som du låste in i skåpet och fick plocka ut varje gång du skall logga in någonstans. Trezor var mer av ett litet tips på slutet.

Men nu låter det mer som att papper och skåp mer är en fysisk backup och att din egentliga lösning är Trezor. Vilket låter klart mer logiskt.

Själv kör jag LastPass och är nöjd. Funderar mer över hur vi smidigt nu kan göra övergången från att mina + mina barns lösenord nu finns på mitt konto men att det inte är riktigt hållbart att de springer till mig hela tiden och ber mig logga in när de nu börjar bli tonåringar.

Permalänk
Medlem

Nackdelen med dessa tjänster. Och alla nätbaserade tjänster. Och alla andra sätt att spara eller komma på lösenord också. Det bästa vore om allt var lösenordsfritt. Var är den tjänsten?

Permalänk
Medlem

Hade lite problem med att radera mitt gamla konto då LastPass "råkar" ha lite buggar som gör det "svårt" att lyckas. Man kan dock nollställa kontot utan större problem.
Men vill man radera det är det värt att titta här:
Länk till reddit

Permalänk
Medlem

Har inte läst alla kommentarer så någon kanske redan skrivit det men om man vill göra det ännu säkrare kan man ju "manuellt" salta sina lösenord också genom att ha en del av lösenordet i bitwarden/KeePass/LastPass etc och sen ha en snutt som man alltid lägger till på slutet och denna sparar man inte i sin lösenordshanterare utan kommer ihåg bara. Kan ju vara samma för alla lösenord eftersom du slår ihop det med något unikt.
Lyckas någon hacka din lösenordshanterare funkar lösenordet ändå inte om man inte även har din salt

Permalänk
Medlem
Skrivet av Mr_Lazy:

Håller med att det är ett sätt som gör det lite mer otillgängligt men det är också dess baksida. En annan är också, vad gör du när du nyser eller spiller kaffe på papperslappen?

Det är därför man har flera lappar :). Jag har lapp i mitt gömda kassaskåp och sedan en lapp som ligger nära till hands och en annan i en slumpmässig låda. alla sitter i limmade plastfickor så dom är svåra om inte omöjliga att finna om man inte vet vad man letar efter. En sitter så du måste dra ut nedersta lådan och sedan leta efter lappen på undersidan av lådan över. Den jag har närmast är på en tunn skjutdörrsbyrå så sticker du inte in skallen så har du ingen aning om vad som sitter på baksidan av skjutdörren och den är så tunn att det inte finns någon anledning att kika in i den.

Sen skriver man såklart inte allt. skulle du få en av mina lappar skulle du då få det väldigt svårt att lista ut var det var om jag inte instruerade hur det ska tolkas och till vad det används.

På mina lappar står enbart delar av lösenord eller användarnamn så vet jag vad det är. finns bara en enda lapp som är fullt förståelig med allt och den är i det gömda kassaskåpet.

Visa signatur

Ryzen 5900X @ Stock, MSI Suprim X 3080 @ game mode.

Permalänk
Medlem

Gång på gång, därav jag bytte till bitwarden

Visa signatur

CPU: 5600x 4.7Ghz / Liquid Freezer II
GPU: 3080 TuF OC <3
RAM: 32GB 3200Mhz

Sluta gömma din identitet, skaffa en till istället

Permalänk
Medlem

Self-hostad bitwarden. Dumpade lastpass efter rykterna gick med betaljox, och litar aldrig på molnet... The Cloud = "someone elses server"... så varför inte min egen istället :).

Permalänk
Medlem

Jag är nöjd användare av LastPass. Har inga planer på byta. Jag litar på deras säkerhet.

Visa signatur

Chassi: Corsair 4000D CPU: Intel i7 11700K RAM: 32Gb DDR4 Moderkort: ASUS Z590-F
Grafik: RTX 3070 Ti OS: W11 SSD: M.2 1TB snabb som tusan

Permalänk
Medlem

Det är ganska intressant att fördjupa sig i diverse artiklar om olika lösenordshanterare. Om inte annat så kan det ju utgöra en grund för val av applikation.

https://en.wikipedia.org/wiki/List_of_password_managers

Dock vill jag med en dåres envishet fortfarande hävda att för många är säkra lösenord på olika sätt inte en stor utmaning.
Det är etter värre med system som inte stöder säkra lösenord. 16 tecken är numera för lite, 20 är ok och 30 blandade tecken borde vara ett minimum.

PS. Drog precis till med 64 tecken här på SweC: OKqiZmpsSIT4uwlpU8!A9@pdg3lhk$Fc^1aDAo5RcQHXHXT$f!sOzX5h3Q1s!qi&

Bra jobbat, SweC.

Visa signatur
Permalänk
Medlem
Skrivet av Cooling23:

Jag är nöjd användare av LastPass. Har inga planer på byta. Jag litar på deras säkerhet.

Jag med! Blir nästan bara mer nöjd när sådant här händer. De är direkt på bollen och direkt helt öppna med det.
Till skillnad från andra som är tysta om det fram till att läckan läcker, eller de inte ens märker att de blivit hackade.

Visa signatur

Fractal Design Define R3 | HP ZR24w & Hyundai L90D+ | Corsair HX520W | Asus P8P67 Pro | i5 2500k @ 4,0 | Samsung 850 Evo 500GiB | GTX960 | 16 GB

Permalänk
Medlem
Skrivet av Homdax:

Det är ganska intressant att fördjupa sig i diverse artiklar om olika lösenordshanterare. Om inte annat så kan det ju utgöra en grund för val av applikation.

https://en.wikipedia.org/wiki/List_of_password_managers

Dock vill jag med en dåres envishet fortfarande hävda att för många är säkra lösenord på olika sätt inte en stor utmaning.
Det är etter värre med system som inte stöder säkra lösenord. 16 tecken är numera för lite, 20 är ok och 30 blandade tecken borde vara ett minimum.

PS. Drog precis till med 64 tecken här på SweC: OKqiZmpsSIT4uwlpU8!A9@pdg3lhk$Fc^1aDAo5RcQHXHXT$f!sOzX5h3Q1s!qi&

Bra jobbat, SweC.

De flesta system tillåter nog betydligt fler tecken eftersom lösenordet, plus eventuellt salt, ändå hashas innan det sparas och då spelar längden inte så stor roll.

Sen spelar det väl ingen större roll om man har 16, 256 eller fler, tecken långa lösenord, så länge de består av blandade tecken liknande ditt exempel.

Att brute-forca igenom alla tänkbara kombinationer av 16 tecken kräver några iterationer och även om en sida drivs av extremt kraftfulla servrar, så betvivlar jag starkt att de tillåter någon försöka logga in mer än ett fåtal gånger, och med en automatiskt fördröjning som blir längre och längre för varje misslyckat försök. Så även den kraftfullaste datorn i världen lär få stå och tugga en stund

Visa signatur

ASUS Prime Z690-P D4 | Intel i9 13900K | 64 GB RAM
NVIDIA GeForce GTX 1070 8 GB
WD Black SN850X 2 TB Gen 4 | 2 x 1 TB Samsung 970 EVO Plus
3 ASUS 27" @ 144 Hz

Permalänk
Medlem
Skrivet av Homdax:

Det är ganska intressant att fördjupa sig i diverse artiklar om olika lösenordshanterare. Om inte annat så kan det ju utgöra en grund för val av applikation.

https://en.wikipedia.org/wiki/List_of_password_managers

Dock vill jag med en dåres envishet fortfarande hävda att för många är säkra lösenord på olika sätt inte en stor utmaning.
Det är etter värre med system som inte stöder säkra lösenord. 16 tecken är numera för lite, 20 är ok och 30 blandade tecken borde vara ett minimum.

PS. Drog precis till med 64 tecken här på SweC: OKqiZmpsSIT4uwlpU8!A9@pdg3lhk$Fc^1aDAo5RcQHXHXT$f!sOzX5h3Q1s!qi&

Bra jobbat, SweC.

16 tecken duger rätt bra, än så länge, så länge det är slumpat och inte består av bara siffror, helst inte siffror och bokstäver med förstås.

Problemet är inte att det är svårt att komma på och komma ihåg ett bra lösenord utan att man behöver hundratals och alla ska vara unika för att en brist på ett ställe inte ska ge tillgång till andra. En lösenordshanterare är den enda lösningen på det. MFA/2FA går förbi problemet i viss mån förstås, så länge det är en säker lösning, men många sidor/tjänster har ju inte stöd för det.

Sen är ju frågan vad man vill skydda sig emot. Få individer är så intressanta för en "bedragare" att de skulle sätta en fet (dyr) dator på att knäcka just deras lösenord liksom, och även om man är det så blir det ofta billigare att lura till sig lösenordet på något sätt än att brute-forcea det. För oss andra handlar det om att inte bli "lågt hängande frukt" om en tjänst man använder (speciellt en med dålig eller gammal säkerhet) blir hackad. Och då handlar det om att ens lösenord inte ska vara ett av de första av en stor mängd att bli knäckt, och då räcker 16 slumpade tecken väldigt långt.

Permalänk
Medlem

borde inte fingerprint vara bäst och enklast?

Permalänk
Medlem
Skrivet av Superfrog:

[...]

Känns som att jag missar något fundamentalt, så någon får hemskt gärna upplysa mig

Du missade att tabellen sträcker sig till max 20 tecken långa lösenord.

Visa signatur

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Permalänk
Medlem
Skrivet av highspeed:

borde inte fingerprint vara bäst och enklast?

Så som fingeravtrycksläsare används idag så är det enbart till lokal autentisering, man matchar det avlästa fingret mot ett avtryck man sparat på enheten och låser vid match upp någonting som redan finns sparat lokalt (ibland då någon annan form av nyckel som kan användas i något annat system).

Lösenord används ju däremot väldigt mycket till att logga in i andra system (mer jämförbart med den där sparade nyckeln i det tidigare exemplet i många avseenden), så det blir en rätt skev jämförelse på det viset.
T.ex. webauthn (serversida) + passkeys (klientsida) skulle vara ett mer jämförbart alternativ till lösenordsautentisering (som diskuterats tidigare i tråden), och man kan ju absolut kombinera en sådan lösning med fingeravtrycksläsare för att låsa upp sin "passkey" lokalt på klientdatorn.

Vad gäller att vara bäst så har ju fingeravtryck en del tydliga nackdelar, som bland annat leder till just det begränsade användingsområdet lokal autentisering. T.ex. då att det är svårt för användaren att byta fingeravtryck efter någon form av intrång, samt att det svårt att skapa en lösning där en tjänst som inte lever direkt på enheten med fingeravtrycksläsaren att veta om det faktiskt är ett fingeravtryck som lästs av just nu eller ett som någon fått tag på någons fingeravtryck och "skickar in det" det i efterhand utan deras närvaro (är inte ens oproblematiskt lokalt, men ännu värre om det inte ens är den lokala sensorn du ska lita på).

Visa signatur

AMD Ryzen9 5900X || Gigabyte X570 Ultra || RTX 3090 FE || Gskill Trident Z 3600 64GB || Samsung 950 Pro 512GB || Samsung 960 Pro 1024GB || XB270HU 1440p IPS G-Sync

Permalänk
Medlem
Skrivet av cyprox:

Har inte läst alla kommentarer så någon kanske redan skrivit det men om man vill göra det ännu säkrare kan man ju "manuellt" salta sina lösenord också genom att ha en del av lösenordet i bitwarden/KeePass/LastPass etc och sen ha en snutt som man alltid lägger till på slutet och denna sparar man inte i sin lösenordshanterare utan kommer ihåg bara. Kan ju vara samma för alla lösenord eftersom du slår ihop det med något unikt.
Lyckas någon hacka din lösenordshanterare funkar lösenordet ändå inte om man inte även har din salt

Har inte tänkt på det. Rätt smart.

Permalänk
Medlem
Skrivet av Superfrog:

Vad är det tabellen visar? Vad är det som knäcks och mot vad?

Om jag exempelvis SHA256-hashar följande lösenord + salt: UFoyeSUHUupG@9*hg8%J&$KT&^fLwm7 + asdfasdfasdfasdf

SHA256("*UFoyeSUHUupG@9*hg8%J&$KT&^fLwm7asdfasdfasdfasdf")

så får jag: f2206432d259f395325aa171c186b4fc3943860aded455e052d765a2845809d2

Hur ska denna hash "knäckas"? Det går ju inte att decoda hashen, så hittar man inte hashen i någon databas, så återstår vadå?

Känns som att jag missar något fundamentalt, så någon får hemskt gärna upplysa mig

Tabellen är troligtvis någon äldre version av tabellerna som Hive Systems brukar publicera, och de brukar vanligtvis visa tiden för att bruteforcea ett osaltat MD5-hash som en attackerare fått tag på.

Om man använder en säkrare hashalgoritm och saltning så blir det förstås oerhört mycket svårare att knäcka, de har några tabeller för det också, men problemet är att man inte kan anta att alla sidor på nätet använder det. Så enbart MD5-hash är något av en lägsta nivå man kan förvänta sig, en sida som inte ens använder det lär inte ha någon säkerhet ändå så då spelar det ingen roll hur långt lösenordet är.

Permalänk
Medlem

Vad skönt att man kör med lösenord enbart i datorn som är lagrade i en textfil.

Visa signatur

Grundregel för felsökning: Bryt och begränsa.

Permalänk
Medlem
Skrivet av griid:

Jag undrar om min kunskap är daterad eller om jag också missat något.
Fick för mig att SHA-1 hade 16 tecken, men nu när jag läser står det 40?

Båda siffrorna är fel. SHA-1 är en 160-bitars hash så den har 20 teckens längd, dock är ju varje tecken då 256 olika värden medan man t.ex i 7-bitars ascii har 95 olika värden per tecken så om man vill räkna vilken maxentropi man kan ha i ett lösenord innan man slår i taket på SHA-1 så blir det ju någonstans mellan 20 och 53 tecken, gissningsvis är det där din siffra på 40 kommer ifrån är någon har räknat ut ett hyfsat medelvärde som tar hänsyn till att det finns fler tecken i andra lokaler än 7-bitars ascii.

Skrivet av Superfrog:

Vad är det tabellen visar? Vad är det som knäcks och mot vad?

Om jag exempelvis SHA256-hashar följande lösenord + salt: UFoyeSUHUupG@9*hg8%J&$KT&^fLwm7 + asdfasdfasdfasdf

SHA256("*UFoyeSUHUupG@9*hg8%J&$KT&^fLwm7asdfasdfasdfasdf")

så får jag: f2206432d259f395325aa171c186b4fc3943860aded455e052d765a2845809d2

Hur ska denna hash "knäckas"? Det går ju inte att decoda hashen, så hittar man inte hashen i någon databas, så återstår vadå?

Känns som att jag missar något fundamentalt, så någon får hemskt gärna upplysa mig

Det som visas i tabellen är vilken tid det tar med den hårdvara som fanns vid tiden när tabellen skapades för att brute forca fram alla hashar för ett lösenord med längd X. Dvs man köra SHA256("aasdfasdfasdfasdf"), SHA256("basdfasdfasdfasdf") .. "SHA256("Öaasdfasdfasdfasdf") osv osv tills man får en sträng som ger samma hash som f2206432d259f395325aa171c186b4fc3943860aded455e052d765a2845809d2, du får ju då troligen inte ut exakt "UFoyeSUHUupG@9*hg8%J&$KT&^fLwm7" eftersom den är längre än hashen i sig, dock är det ju sällan som folk har lösenord av den digniteten.

Permalänk
Medlem
Skrivet av Aka_The_Barf:

Det är därför man har flera lappar :). Jag har lapp i mitt gömda kassaskåp och sedan en lapp som ligger nära till hands och en annan i en slumpmässig låda. alla sitter i limmade plastfickor så dom är svåra om inte omöjliga att finna om man inte vet vad man letar efter. En sitter så du måste dra ut nedersta lådan och sedan leta efter lappen på undersidan av lådan över. Den jag har närmast är på en tunn skjutdörrsbyrå så sticker du inte in skallen så har du ingen aning om vad som sitter på baksidan av skjutdörren och den är så tunn att det inte finns någon anledning att kika in i den.

Sen skriver man såklart inte allt. skulle du få en av mina lappar skulle du då få det väldigt svårt att lista ut var det var om jag inte instruerade hur det ska tolkas och till vad det används.

På mina lappar står enbart delar av lösenord eller användarnamn så vet jag vad det är. finns bara en enda lapp som är fullt förståelig med allt och den är i det gömda kassaskåpet.

oj
Är det här som kallas security through obscurity?

Visa signatur

.:Wks: Cooler Master Silencio 650|Core i5 3570 3.4 GHz|Asus P8Z77-V|8 GB| GT 465|1xDell U2311H, 2xAlienware AW2210 2xEizo 19|OCZ Revo 3 Drive 120 + Raptor 150:.
.:Server: Har ett gäng :) :.
-Learn the system, Play the system, Break the system-

Permalänk
Medlem
Skrivet av Mr_Lazy:

oj
Är det här som kallas security through obscurity?

Finns inga dåliga sätt. Hittar man ett system som funkar för en själv och som man tycker är enkelt och dessutom ett av de mest digitalt säkra i världen så varför inte?
Som med all säkerhet så handlar det ofta om fördröjningar. vill någon verkligen ha tag i just mina koder så kommer dom få det i sisomtid. Fast jag har inget som är såpass värt att någon vill lägga sådana resurser på det.

Visa signatur

Ryzen 5900X @ Stock, MSI Suprim X 3080 @ game mode.

Permalänk
Medlem
Skrivet av evil penguin:

Så som fingeravtrycksläsare används idag så är det enbart till lokal autentisering, man matchar det avlästa fingret mot ett avtryck man sparat på enheten och låser vid match upp någonting som redan finns sparat lokalt (ibland då någon annan form av nyckel som kan användas i något annat system).

Lösenord används ju däremot väldigt mycket till att logga in i andra system (mer jämförbart med den där sparade nyckeln i det tidigare exemplet i många avseenden), så det blir en rätt skev jämförelse på det viset.
T.ex. webauthn (serversida) + passkeys (klientsida) skulle vara ett mer jämförbart alternativ till lösenordsautentisering (som diskuterats tidigare i tråden), och man kan ju absolut kombinera en sådan lösning med fingeravtrycksläsare för att låsa upp sin "passkey" lokalt på klientdatorn.

Vad gäller att vara bäst så har ju fingeravtryck en del tydliga nackdelar, som bland annat leder till just det begränsade användingsområdet lokal autentisering. T.ex. då att det är svårt för användaren att byta fingeravtryck efter någon form av intrång, samt att det svårt att skapa en lösning där en tjänst som inte lever direkt på enheten med fingeravtrycksläsaren att veta om det faktiskt är ett fingeravtryck som lästs av just nu eller ett som någon fått tag på någons fingeravtryck och "skickar in det" det i efterhand utan deras närvaro (är inte ens oproblematiskt lokalt, men ännu värre om det inte ens är den lokala sensorn du ska lita på).

Ah okej make sense.