Dataintrång hos LastPass

Spånar lite vad det kan leda till:

LastPass behöver göra om sin kod för nu har någon allt de behöver för att låtsas vara en användare.

Det kan komma massa 0days på LastPass.

Ingenting alls.

Alla behöver byta lösenord, kanske överallt.

Incidenter som denna kommer alltid att hända, därför bör alla memorera de viktigaste lösenorden i huvudet och lagra övriga på papper i sådan form att andra inte förstår.

Eftersom diskussionen redan var igång här så hakade jag på nyheten på framsidan med den här tråden.

Använder Lastpass och masterlösenordet är krypterat och Lastpass själva ska inte ens ha tillgång till att kunna ta reda på det i klartext.

Om det nu varit någon attack där de mot förmodan lyckats komma över det krypterad masterlösenordet, har jag svårt att se att de skulle kunna dekryptera det.

Jag tror att det enkla svaret är enkelheten. Enkelhet kommer alltid att vinna över säkerhet dessvärre för den stora massan. Det är fortfarande en läskigt liten andel som ens använder lösenordshanterare utanför vår entusiastbubbla, där många fortfarande har samma lösenord för alla tjänster de använder.

Definitivt inte denna. Har man ett starkt masterlösenord är man säker även om den krypterade datan skulle bli stulen (vilket de påstår att den inte blivit).
Modern kryptering är ofattbart stark. Du kan sätta alla jordens datorer på att knäcka en enda persons AES-krypterade lösenord i 10 miljarder år och sannolikheten att lyckas är ändå EXTREMT låg.

Ni som skriver och klankar ned på lösenordshantering i molnet och rekommenderar papper(!), vet ni ens hur det fungerar?

Du loggar in med ett masterlösenord som är krypterat (lastpass kan inte dekryptera detta) och du använder dig av en MFA på det. Det är väldigt säkert. Dessutom säger ju Lastpass att de inte hittat några bevis på att lönsenord kommit på vift. Skulle de ljuga om detta skulle hela företaget gå under.

Ett masterlösenord brukar vara på minst 16 tecken med siffror, bokstäver, specialtecken, stora/små bokstäver.
Vi pratar om miljarder år att knäcka med "brute force"

Nu var det här ett sidospår med enbart lösenord, men tyckte den passade bra här.
Min åsikt är att det är säkrare att ha svåra, långa lösenord i en lösenordshanterar än att skriva upp, enkla lösenord på papper som ändå knäcks "instantly" enligt diagram nedan.

Du talar som att lösenord är på vift, har du läst det de skriver ens och vet du hur lastpass fungerar? För det du skriver talar på att du inte vet något om det.
Även om de fått tillgång till källkod så betyder det inget för säkerheten för masterlösenorden.

Har man många datorer, flyttar sig mellan många platser, använder mobiler och har hundratals konton då är det inte möjligt att komma ihåg det själv. Eftersom man inte ska ha ett gemensamt lösenord. Visst kan du ha allt lokalt men då måste man antingen ha med sig ett usb minne (som jag inte får köra på jobbet), hosta lösenorden själv över internet (kan lika gärna använda cloud tjänster då) eller minnas alla konton du har i huvudet eftersom du helt plötsligt kan glömt synka ett.

Det är enkelt, och därför gör folk det

Det beror ju väldigt mycket på algoritm som lösenord är lagrade i. Ta lösenord lagrade i ett Active Directory till exempel. Den följer tabellen rätt bra, lite snabbare skulle jag säga. Medan nyare algoritmer, tex. PBKDF2 kan till och med vara designade för att vara svårare (ta mer tid) att bruteforca. Cisco med sina Type 7 password-lagringar överallt däremot är i princip knäckbart på en gång.

Men det finns många sätt att skära ner tiden även om lösenorden är långa.
Om det är fraser i lösenordet förenklar det attacker endel eftersom man kan kombinera ordliste-attacker med maskning då folk tenderar att t.ex sätta specieltecken före eller efter varje ord eller först eller sist. Eller att folk använder "leet-speak" i sina lösenord för att få in specialtecken och siffror.

Eftersom master-lösenord till en lösenordsdatabas kan vara något man behöver skriva in på en mobiltelefon eller dator kan man också minska ner antalet tecken att bruteforca rätt rejält då man vet att det är rätt få specieltecken som är enkla att skriva på ett tangentbord.

Edit: Man ska också komma ihåg att matar man in master-lösenord i ett fält på en hemsida eller något som skickas till ett API för att låsa upp sin molnlagrade krypterade "nyckelknippa" så kan payloaden loggas i klartext på mottagarsidan. Inte helt ovanligt at sådant läcker vid attacker mot webbfrontar. Någon som också lyckas ta sig in i servern kan dessutom annars enabla mer loggning för att plocka ner det. Finns ju också risken att sådant kan loggas eller exfiltreras genom javascript.

Jag gillar färgskalan. "202 000 år - vi sätter gult på den för säkerhets skull, det är först 92 miljarer år och högre som vi grönar".

Jag kör på Bitwarden, där är källkoden redan ute - https://github.com/bitwarden

Fast det är ju krypterat. Om de lyckas knäcka krypteringen så kan de ju komma in i valfri dator på planeten om den är uppkopplad. LastPass kan gärna ha allas masterlösen publikt. Gör ingen skillnad på säkerheten.

Tror du missuppfattat hur det hela fungerar.