Användardata på vift efter intrång hos Lastpass

Permalänk
Medlem
Permalänk
Avstängd

Allt det säger är att ett dåligt master password är dåligt, och att hur säker ens data i denna läcka är är beroende av hur bra eller dåligt det är. Det borde inte vara några nyheter.

Jag känner mig rätt säker, mitt lösenord där är 13 tecken blandat stora och små bokstäver, siffror och symboler, och finns inte i något dictionary.

Permalänk
Medlem

@snajk

Det var snarare mer negativ publicitet jag tänkte på. Det är nog inte alla som kommer att läsa den artikeln i detalj och förstå vad vi begriper.

Visa signatur
Permalänk
Medlem

Jag har gjord det jag kan för att minimera skaderisken för min del.

Mitt lösenordsfras hos Lastpass var 21 tecken med stora och små bokstäver, siffror och specialtecken. Nu har jag bytt till Bitwarden, bytt lösenordsfras samt bytt ut alla 80 lösenord som jag hade sparade.

Mer än så kan jag väl inte göra?

Permalänk
Medlem
Skrivet av kalle-anka:

Mer än så kan jag väl inte göra?

Nej, fast jag vet ännu ganska lite om inställningar och sånt i Bitwarden..

Visa signatur
Permalänk
Medlem

Det som är lite skrämmande är att jag hittar min gamla lösenordsfras på https://haveibeenpwned.com/ . Inte som jag hade skrivit den, men utan alla specialtecken. Ifall någon hackare har kommit på det, så kan dem säkert också komma på min variant av frasen.

Men ifall de knäcker mitt gamla lösenord så är de sparade lösenorden ändå inaktuella.

Permalänk
Medlem
Skrivet av snajk:

Allt det säger är att ett dåligt master password är dåligt, och att hur säker ens data i denna läcka är är beroende av hur bra eller dåligt det är. Det borde inte vara några nyheter.

Jag reagerade likadant på 9to5mac-länken, men det finns lite mer substans i genomgången som länkas (bloggen "Almost Secure"): https://palant.info/2022/12/26/whats-in-a-pr-statement-lastpa...

Den tar upp tidigare brister i lösenordspolicyn, som kan ha resulterat i att användare har sämre lösenord än nödvändigt ännu idag.

I övrigt ser mycket ut att vara upprepning av tidigare kritik, oberoende av läckan. En del av kritiken är ganska orättvis imo (kursiv text = citat av Lastpass pressmeddelande):

Skrivet av Almost Secure (blogg):

These encrypted fields remain secured with 256-bit AES encryption and can only be decrypted with a unique encryption key derived from each user’s master password using our Zero Knowledge architecture.

Lots of buzzwords here. 256-bit AES encryption, unique encryption key, Zero Knowledge architecture, all that sounds very reassuring. It masks over a simple fact: the only thing preventing the threat actors from decrypting your data is your master password. If they are able to guess it, the game is over.

Min fetning. Detta säger väl sig självt? De kanske menar att nu efter läckan så kan man räkna ut övriga användaruppgifter, men att lita på att de hålls hemliga är ju redan security-through-obscurity. En hacker som redan har en målperson kan ju ofta lätt räkna ut eller testa sig fram till detta.

Skrivet av Almost Secure (blogg):

As a reminder, the master password is never known to LastPass and is not stored or maintained by LastPass.

Unless they (or someone compromising their servers) decide to store it. Because they absolutely could, and you wouldn’t even notice. E.g. when you enter your master password into the login form on their web page.

But it’s not just that. Even if you use their browser extension consistently, it will fall back to their website for a number of actions. And when it does so, it will give the website your encryption key. For you, it’s impossible to tell whether this encryption key is subsequently stored somewhere.

None of this is news to LastPass. It’s a risk they repeatedly chose to ignore. And that they keep negating in their official communication.

Detta är ju skillnaden mellan zero-knowledge och zero-trust som jag tog upp ovan. Men det följer ju av licensmodellen (closed-source klient) och det faktum att de alls har ett webbgränssnitt, jag förstår inte vad Lastpass skulle ha gjort annorlunda givet att vi redan visste att de valt closed source. Borde de lägga till att "vad vi skriver är bara relevant i den mån du litar på oss"? Även detta är lite för självklart för att lyfta som kritik, särskilt som många andra tjänster gör likadant

Visa signatur

Här hade jag en historik sen 1990-talet, men den blev tillslut för lång. Aktiva maskiner 2022-framåt:
Work/Play/Everythingstation: AMD Epyc 7443p, Pop OS host, Win10 + Linux guests (KVM/Qemu)
Work/Play nr 2: AMD Phenom II 1090t, Debian + Win 10 (dual boot)
Server x3: Epyc 7252 (TrueNAS Core), Atom 2550 (FreeBSD, backup), Opteron 6140 (Ubuntu, off prem backup)
Retrohörna under uppbyggnad: Dual Pentium Pro 200MHz, Pentium P54C 90MHz, Gravis Ultrasound MAX

Permalänk
Medlem

jag/vi (frugan) använder 1Password... antagligen den dyraste, men funkar skitbra
dom la ut en kaxig post på deras blogg:
https://blog.1password.com/not-in-a-million-years/
gillar punkterna på slutet haha "And the consequence of 4 is that it is not going to be guessed"

Visa signatur

i9 13900KS, RTX 4090,64GB DDR5 7000MHz CL34, 2 + 2 TB NVMe Gen4 x4 - Win11 @ LG OLED42C3 💦 - kyld
Lenovo Legion 5 Pro - 16" | Ryzen 7 5800H | 32GB | RTX 3070 | 1 + 2 TB NVMe | 165Hz | QHD
Xbox Series X - 3 TB intern, Nintendo Switch <- dammsamlare
HTPC - Mac mini M1 | 16 GB | 2 TB SSD, sovrum: i7 2600K 1080 Ti

Permalänk
Medlem
Skrivet av DarkzideR 84:

Självhostad Bitwarden säger jag bara, gratis och har aldrig strulat för mig under alla dessa år... Var inga problem med att använda deras moln heller men det känns bättre att undvika en sån här situation helt och hållet om man har möjlighet.

Några frågor från en nyfiken:

Hostar du på egen server eller på någon simpel AWS-burk?

Hur tänker du kring att den egna hostingen kan hackas?

Visa signatur

//Bacon