LastPass-hvelv er lekket – passordene dine kan være på avveie

[Diskusjon.no]

Dette bør du gjøre om du er LastPass-bruker.

Les hele artikkelen på Tek.no her

[Sidekick]

Enda en god grunn til å ikke bruke slike tjenester

[The Very End]

2 minutes ago, Sidekick said:

Enda en god grunn til å ikke bruke slike tjenester

Generaliserer du alle passord-tjenester? Og, hvis du tar den generelle befolkningen, tenker du at slike tjenester ikke er styrkende for den overordnede sikkerheten? I så fall, hvorfor?

[Kakeshoma]

"Det som i utgangspunktet var kildekode og teknisk informasjon på avveie, ble anvendt målrettet mot en ansatt for å skaffe til veie legitimasjon og nøkler."

Så... spear phishing? I så fall er det helt utrolig.

[Zlatzman]

I alle fall bra at de behøver master-passord for å dekryptere passordene, men totalt ser ikke dette bra ut for LastPass.

[nomore]

Sidekick skrev (25 minutter siden):

Enda en god grunn til å ikke bruke slike tjenester

Kan du utdype? Ta og gjerne med de andre grunnene.

[The Avatar]

The Very End skrev (25 minutter siden):

Generaliserer du alle passord-tjenester? Og, hvis du tar den generelle befolkningen, tenker du at slike tjenester ikke er styrkende for den overordnede sikkerheten? I så fall, hvorfor?

Eg tenkjer at det kjem veldig ann på kva sikkerheitsnivå befolkning flest har. Å bruke slike passordtenester for å samle alle passord bak eit masterpassord er å putte alle egga i same kurv.
Om folk flest har passord av typen "gmail123", "facebook123" og "bankid123" så blir sjølvsagt sikkerheitsnivået heva svært mykje med ei passordteneste som genererer sterke passord til slike tenester, eller enda verre om alle passord på alle tenester er "iloveyou".
Men om sikkerheitsutfordringa er at ein er lettlurt og lett blir offer for phising så er det sjølvsagt mykje verre om folk flest heilt ukritisk oppgir master-passordet slik at svindlarane kan ta over heile det digitale livet til folk samtidig.
Då er det betre at ein har unike passord til kvar enkelt teneste slikk at ein berre mister tilgang til ei teneste om gangen om passordet kjem på avvege, eg reknar likevel med at det er dei alle færraste som er så disiplinerte at dei ikkje brukar oppigjen passord.

[Arve Synden]

4 minutes ago, The Avatar said:

eg reknar likevel med at det er dei alle færraste som er så disiplinerte at dei ikkje brukar oppigjen passord.

Jeg er en av dem som bruker unike passord på alt. For de fleste tjenestene noterer jeg passord i en kryptert lokal passorddatabase. For uviktige tjenester som jeg besøker sjelden og ikke gidder notere ned bruker jeg "Glemt passord?"-lenka og genererer noe nytt. Fungerer greit 😆

[MrL]

The Avatar skrev (4 timer siden):

Eg tenkjer at det kjem veldig ann på kva sikkerheitsnivå befolkning flest har. Å bruke slike passordtenester for å samle alle passord bak eit masterpassord er å putte alle egga i same kurv.
Om folk flest har passord av typen "gmail123", "facebook123" og "bankid123" så blir sjølvsagt sikkerheitsnivået heva svært mykje med ei passordteneste som genererer sterke passord til slike tenester, eller enda verre om alle passord på alle tenester er "iloveyou".
Men om sikkerheitsutfordringa er at ein er lettlurt og lett blir offer for phising så er det sjølvsagt mykje verre om folk flest heilt ukritisk oppgir master-passordet slik at svindlarane kan ta over heile det digitale livet til folk samtidig.
Då er det betre at ein har unike passord til kvar enkelt teneste slikk at ein berre mister tilgang til ei teneste om gangen om passordet kjem på avvege, eg reknar likevel med at det er dei alle færraste som er så disiplinerte at dei ikkje brukar oppigjen passord.

Forsåvidt sant, men hvorfor skal man da puttene pengene sine i en kurv? Hele samfunnet i dag er bygget rundt MinID. 

Å ha unike passord til hver tjeneste krever enten ekstrem god hukommelse eller at man oppbevarer listen et sted. Og å oppbevare den listen et sted mot Lastpass er vel omtrent som å argumentere for å ha penger i madrassen fremfor nettbanken. 

Til syvende sist er kunnskap om phising problemet, og om du ikke lærer deg det kan du like greit gå personlig konkurs - så du er fucked uansett. Man når du får den kunnskapen vil denne tjenesten være 99% sikrere enn alt annet. 

Det fine med denne skandalen er at det beviser poenget som alltid har vært med å bruke Lastpass, at om tjenesten hackes spiller det liten rolle da det er så og si umulig å benytte dataene uansett. 

 

[The Very End]

20 minutes ago, MrL said:

Forsåvidt sant, men hvorfor skal man da puttene pengene sine i en kurv? Hele samfunnet i dag er bygget rundt MinID. 

Å ha unike passord til hver tjeneste krever enten ekstrem god hukommelse eller at man oppbevarer listen et sted. Og å oppbevare den listen et sted mot Lastpass er vel omtrent som å argumentere for å ha penger i madrassen fremfor nettbanken. 

Til syvende sist er kunnskap om phising problemet, og om du ikke lærer deg det kan du like greit gå personlig konkurs - så du er fucked uansett. Man når du får den kunnskapen vil denne tjenesten være 99% sikrere enn alt annet. 

Det fine med denne skandalen er at det beviser poenget som alltid har vært med å bruke Lastpass, at om tjenesten hackes spiller det liten rolle da det er så og si umulig å benytte dataene uansett. 

 

Enig i det som sies her. En annen tanke som er verd å drodle rundt; LastPass har vært noenlunde åpne om hendelsene og at de her vært problematisk. Spørsmålet er om de er dårligere enn alternativene eller at alternativene ikke er like åpne om sine hendelser? Litt som med avvikskultur; antallet avvik trenger ikke være negativt, vær heller mer på vakt mot de som sier de har få eller ingen avvik.

[Runar]

The Very End skrev (20 minutter siden):

LastPass har vært noenlunde åpne om hendelsene og at de her vært problematisk. Spørsmålet er om de er dårligere enn alternativene eller at alternativene ikke er like åpne om sine hendelser?

Det sies at angrepet i august var rettet mot et testmiljø, men at LastPass unnlot å skifte ut krypteringsnøkler på de andre miljøene, noe som gjorde det nyeste angrepet mulig. Hvis dette stemmer gjør det utvilsomt LastPass til en dårligere og mindre sikker tjeneste enn alternativene, basert på hvordan selskapet bak opererer.

[HansiBanzi]

MrL skrev (2 timer siden):

Forsåvidt sant, men hvorfor skal man da puttene pengene sine i en kurv? Hele samfunnet i dag er bygget rundt MinID. 

Å ha unike passord til hver tjeneste krever enten ekstrem god hukommelse eller at man oppbevarer listen et sted. Og å oppbevare den listen et sted mot Lastpass er vel omtrent som å argumentere for å ha penger i madrassen fremfor nettbanken. 

Til syvende sist er kunnskap om phising problemet, og om du ikke lærer deg det kan du like greit gå personlig konkurs - så du er fucked uansett. Man når du får den kunnskapen vil denne tjenesten være 99% sikrere enn alt annet. 

Det fine med denne skandalen er at det beviser poenget som alltid har vært med å bruke Lastpass, at om tjenesten hackes spiller det liten rolle da det er så og si umulig å benytte dataene uansett. 

 

Jeg har hverken en liste lagret noe sted eller ekstremt god hukommelse, men jeg har unike passord for absolutt alle innlogginger. Bruker et system som baserer seg på at jeg har et ord for hver bokstav i alfabetet, og et ord jeg assosierer med tjenesten. Tar da "alfabetordet" for hver bokstav i "assosiasjonsordet" og slenger på noen regler om tall, store bokstaver og spesialtegn, og vips! unike passord som er lange, og vanskelige å gjette, men kjempelette å huske.

[Emsal]

Ser egentlig ikke problemet. Er det ikke å bare lage nye passord på alle tjenestene og lagre de på nytt? De burde bare hatt en knapp for å generere nytt passord på alt som ligger lagra til en bruker.

[Inge Rognmo]

Emsal skrev (16 minutter siden):

1: Ser egentlig ikke problemet. Er det ikke å bare lage nye passord på alle tjenestene (...)?

2: De burde bare hatt en knapp for å generere nytt passord på alt som ligger lagra til en bruker.

1: Jo, det er "bare" å gjøre det. Så spørs det bare hvor mange hundre passord du har lagret, og hvor mange nettsider du må innom for å endre dem.

2: Så du sitter med en mengde passord i databasen din som ikke matcher passordene på nettsidene de er til, mener du? Kjempelurt. 😉

[Nukleosid]

HansiBanzi skrev (1 time siden):

Jeg har hverken en liste lagret noe sted eller ekstremt god hukommelse, men jeg har unike passord for absolutt alle innlogginger. Bruker et system som baserer seg på at jeg har et ord for hver bokstav i alfabetet, og et ord jeg assosierer med tjenesten. Tar da "alfabetordet" for hver bokstav i "assosiasjonsordet" og slenger på noen regler om tall, store bokstaver og spesialtegn, og vips! unike passord som er lange, og vanskelige å gjette, men kjempelette å huske.

Jeg gjør noe lignende som deg (en slags passord-mal), men har tatt det et steg lenger.

Kjøp et domene, sett opp slik at alle e-poster til *@dittdomene.no går til én epostadresse, så kan du ha unike brukernavn for hvert sted du logger inn også (hvis e-post er brukernavn, noe det om oftest er). F.eks [email protected], [email protected].

[HansiBanzi]

Nukleosid skrev (15 minutter siden):

Jeg gjør noe lignende som deg (en slags passord-mal), men har tatt det et steg lenger.

Kjøp et domene, sett opp slik at alle e-poster til *@dittdomene.no går til én epostadresse, så kan du ha unike brukernavn for hvert sted du logger inn også (hvis e-post er brukernavn, noe det om oftest er). F.eks [email protected], [email protected].

Daaamn.

Digger det! Må vurdere å gjøre det samme.

[Emsal]

57 minutes ago, Inge Rognmo said:

1: Jo, det er "bare" å gjøre det. Så spørs det bare hvor mange hundre passord du har lagret, og hvor mange nettsider du må innom for å endre dem.

2: Så du sitter med en mengde passord i databasen din som ikke matcher passordene på nettsidene de er til, mener du? Kjempelurt. 😉

Blitt litt mye akvavit på meg ser jeg nå 😅

[Zeph]

Eg har brukt Lastpass ein del år no og kjem vel ikkje til å skifte. Har ein del titals passord lagra, så eg får vel skifte på i alle fall dei viktigaste tenestene, der det for øvrig ofte er tofaktorautentisering, som hjelper på.

[Bing123]

Det som var dumt med Lastpass var vel at URLene ikke var kryptert, så da vet plutselig noen alle stedene du har konto. Så kan de ta et veldig kvalifisert valg om hvilke passord de vil prøve å knekke basert på om det er nettsteder med potensielle verdier å hente.
Burde jo bare kryptere alt.

[MrL]

attz skrev (2 timer siden):

Det som var dumt med Lastpass var vel at URLene ikke var kryptert, så da vet plutselig noen alle stedene du har konto. Så kan de ta et veldig kvalifisert valg om hvilke passord de vil prøve å knekke basert på om det er nettsteder med potensielle verdier å hente.
Burde jo bare kryptere alt.

Selv om URL vises er alle sensitive felt kryptert med samme master passordet - til og med brukernavnet. Du kan derfor ikke knekke passordet til et enkelt nettsted, man må knekke masterpassordet - som i så fall vil gi tilgang til alt. 

Man kan jo anta at Lastpass eposten er brukernavn på alle URL nettsidene som lekket. Samtidig er ikke brukernavn akkurat vanskelig å få tak i i dag eller gjette seg til med alle de uendelige andre lekkasjene, og poenget med Lastpass er jo nettopp at man skal ha et sterkt passord på alle nettsider. Hvis lekkasje av brukernavnet på en nettside anses som en sikkerhetsrisiko så har man gjort noe feil: Det er jo en risiko for nettopp alle som ikke bruker Lastpass og samme eller tilsvarende passord over alt. 

 

Endret 29. desember 2022 av MrL