Lastpass utsatt för ytterligare dataintrång

Bättre än "inget annat", förstås.

Håller med att det är ett sätt som gör det lite mer otillgängligt men det är också dess baksida. En annan är också, vad gör du när du nyser eller spiller kaffe på papperslappen?

Vad är det tabellen visar? Vad är det som knäcks och mot vad?

Om jag exempelvis SHA256-hashar följande lösenord + salt: UFoyeSUHUupG@9*hg8%J&$KT&^fLwm7 + asdfasdfasdfasdf

SHA256("*UFoyeSUHUupG@9*hg8%J&$KT&^fLwm7asdfasdfasdfasdf")

så får jag: f2206432d259f395325aa171c186b4fc3943860aded455e052d765a2845809d2

Hur ska denna hash "knäckas"? Det går ju inte att decoda hashen, så hittar man inte hashen i någon databas, så återstår vadå?

Känns som att jag missar något fundamentalt, så någon får hemskt gärna upplysa mig

Nackdelen med dessa tjänster. Och alla nätbaserade tjänster. Och alla andra sätt att spara eller komma på lösenord också. Det bästa vore om allt var lösenordsfritt. Var är den tjänsten?

Hade lite problem med att radera mitt gamla konto då LastPass "råkar" ha lite buggar som gör det "svårt" att lyckas. Man kan dock nollställa kontot utan större problem.
Men vill man radera det är det värt att titta här:
Länk till reddit

Det är därför man har flera lappar :). Jag har lapp i mitt gömda kassaskåp och sedan en lapp som ligger nära till hands och en annan i en slumpmässig låda. alla sitter i limmade plastfickor så dom är svåra om inte omöjliga att finna om man inte vet vad man letar efter. En sitter så du måste dra ut nedersta lådan och sedan leta efter lappen på undersidan av lådan över. Den jag har närmast är på en tunn skjutdörrsbyrå så sticker du inte in skallen så har du ingen aning om vad som sitter på baksidan av skjutdörren och den är så tunn att det inte finns någon anledning att kika in i den.

Sen skriver man såklart inte allt. skulle du få en av mina lappar skulle du då få det väldigt svårt att lista ut var det var om jag inte instruerade hur det ska tolkas och till vad det används.

På mina lappar står enbart delar av lösenord eller användarnamn så vet jag vad det är. finns bara en enda lapp som är fullt förståelig med allt och den är i det gömda kassaskåpet.

Gång på gång, därav jag bytte till bitwarden

Self-hostad bitwarden. Dumpade lastpass efter rykterna gick med betaljox, och litar aldrig på molnet... The Cloud = "someone elses server"... så varför inte min egen istället :).

Det är ganska intressant att fördjupa sig i diverse artiklar om olika lösenordshanterare. Om inte annat så kan det ju utgöra en grund för val av applikation.

https://en.wikipedia.org/wiki/List_of_password_managers

Dock vill jag med en dåres envishet fortfarande hävda att för många är säkra lösenord på olika sätt inte en stor utmaning.
Det är etter värre med system som inte stöder säkra lösenord. 16 tecken är numera för lite, 20 är ok och 30 blandade tecken borde vara ett minimum.

PS. Drog precis till med 64 tecken här på SweC: OKqiZmpsSIT4uwlpU8!A9@pdg3lhk$Fc^1aDAo5RcQHXHXT$f!sOzX5h3Q1s!qi&

Bra jobbat, SweC.

Jag med! Blir nästan bara mer nöjd när sådant här händer. De är direkt på bollen och direkt helt öppna med det.
Till skillnad från andra som är tysta om det fram till att läckan läcker, eller de inte ens märker att de blivit hackade.

De flesta system tillåter nog betydligt fler tecken eftersom lösenordet, plus eventuellt salt, ändå hashas innan det sparas och då spelar längden inte så stor roll.

Sen spelar det väl ingen större roll om man har 16, 256 eller fler, tecken långa lösenord, så länge de består av blandade tecken liknande ditt exempel.

Att brute-forca igenom alla tänkbara kombinationer av 16 tecken kräver några iterationer och även om en sida drivs av extremt kraftfulla servrar, så betvivlar jag starkt att de tillåter någon försöka logga in mer än ett fåtal gånger, och med en automatiskt fördröjning som blir längre och längre för varje misslyckat försök. Så även den kraftfullaste datorn i världen lär få stå och tugga en stund

borde inte fingerprint vara bäst och enklast?

Du missade att tabellen sträcker sig till max 20 tecken långa lösenord.

Så som fingeravtrycksläsare används idag så är det enbart till lokal autentisering, man matchar det avlästa fingret mot ett avtryck man sparat på enheten och låser vid match upp någonting som redan finns sparat lokalt (ibland då någon annan form av nyckel som kan användas i något annat system).

Lösenord används ju däremot väldigt mycket till att logga in i andra system (mer jämförbart med den där sparade nyckeln i det tidigare exemplet i många avseenden), så det blir en rätt skev jämförelse på det viset.
T.ex. webauthn (serversida) + passkeys (klientsida) skulle vara ett mer jämförbart alternativ till lösenordsautentisering (som diskuterats tidigare i tråden), och man kan ju absolut kombinera en sådan lösning med fingeravtrycksläsare för att låsa upp sin "passkey" lokalt på klientdatorn.

Vad gäller att vara bäst så har ju fingeravtryck en del tydliga nackdelar, som bland annat leder till just det begränsade användingsområdet lokal autentisering. T.ex. då att det är svårt för användaren att byta fingeravtryck efter någon form av intrång, samt att det svårt att skapa en lösning där en tjänst som inte lever direkt på enheten med fingeravtrycksläsaren att veta om det faktiskt är ett fingeravtryck som lästs av just nu eller ett som någon fått tag på någons fingeravtryck och "skickar in det" det i efterhand utan deras närvaro (är inte ens oproblematiskt lokalt, men ännu värre om det inte ens är den lokala sensorn du ska lita på).

SHA256("*UFoyeSUHUupG@9*hg8%J&$KT&^fLwm7asdfasdfasdfasdf")

Tabellen är troligtvis någon äldre version av tabellerna som Hive Systems brukar publicera, och de brukar vanligtvis visa tiden för att bruteforcea ett osaltat MD5-hash som en attackerare fått tag på.

Om man använder en säkrare hashalgoritm och saltning så blir det förstås oerhört mycket svårare att knäcka, de har några tabeller för det också, men problemet är att man inte kan anta att alla sidor på nätet använder det. Så enbart MD5-hash är något av en lägsta nivå man kan förvänta sig, en sida som inte ens använder det lär inte ha någon säkerhet ändå så då spelar det ingen roll hur långt lösenordet är.

Båda siffrorna är fel. SHA-1 är en 160-bitars hash så den har 20 teckens längd, dock är ju varje tecken då 256 olika värden medan man t.ex i 7-bitars ascii har 95 olika värden per tecken så om man vill räkna vilken maxentropi man kan ha i ett lösenord innan man slår i taket på SHA-1 så blir det ju någonstans mellan 20 och 53 tecken, gissningsvis är det där din siffra på 40 kommer ifrån är någon har räknat ut ett hyfsat medelvärde som tar hänsyn till att det finns fler tecken i andra lokaler än 7-bitars ascii.

SHA256("*UFoyeSUHUupG@9*hg8%J&$KT&^fLwm7asdfasdfasdfasdf")

Det som visas i tabellen är vilken tid det tar med den hårdvara som fanns vid tiden när tabellen skapades för att brute forca fram alla hashar för ett lösenord med längd X. Dvs man köra SHA256("aasdfasdfasdfasdf"), SHA256("basdfasdfasdfasdf") .. "SHA256("Öaasdfasdfasdfasdf") osv osv tills man får en sträng som ger samma hash som f2206432d259f395325aa171c186b4fc3943860aded455e052d765a2845809d2, du får ju då troligen inte ut exakt "UFoyeSUHUupG@9*hg8%J&$KT&^fLwm7" eftersom den är längre än hashen i sig, dock är det ju sällan som folk har lösenord av den digniteten.

oj
Är det här som kallas security through obscurity?

Finns inga dåliga sätt. Hittar man ett system som funkar för en själv och som man tycker är enkelt och dessutom ett av de mest digitalt säkra i världen så varför inte?
Som med all säkerhet så handlar det ofta om fördröjningar. vill någon verkligen ha tag i just mina koder så kommer dom få det i sisomtid. Fast jag har inget som är såpass värt att någon vill lägga sådana resurser på det.