БЛОГ / КОММЕНТАРИИ

Очередные проблемы с LastPass

софт

19.09.2022 12:04

Комментарии 79

С менеджером паролей ротация сохраненных паролей – вещь тривиальная и вполне осуществимая даже каждые 3 месяца.

Если даже SSL сертификаты обновляют каждый год, почему вы думаете, что пароли могут оставаться неизменными годами?

elijahwoo

19.09.22 18:36

0 0

А чем вам поможет трехмесячная ротация, если свежеутянутая база будет задействована в течении пары часов?

DGNLTD

elijahwoo

20.09.22 03:17

0 0

Такого рода угрозы остановят другие меры, такие как MFA, mTLS. И за это время вы успеете среагировать.

elijahwoo

DGNLTD

20.09.22 09:25

0 0

1Password лучше. Разница в UX и удобстве пользования по сравнению с LastPass уже стоит того, чтобы платить больше.

elijahwoo

19.09.22 18:34

2 0

Менеджеры паролей всегда будут мишенью хакеров, слишком уж жирная добыча. Не пользуюсь никакими менеджерами, кроме бумажного блокнота. А самые важные пароли (банкинг, пейпал и т.д.) - только в голове плюс двойная аутентификация.

Felicitas

19.09.22 14:04

6 7

Плюсую.
Вот один в один.

_Serge

Felicitas

19.09.22 14:27

4 3

Пользуйтесь Keepass. Пусть ломают 256-битный ключ.

urix

Felicitas

19.09.22 14:33

0 5

"двойная аутентификация в голове"?! Круто!

micha_s

Felicitas

19.09.22 16:17

1 5

Зачем ломать, дать денег программисту компании, и хоть там 1024 ключ будет.

Camel1000

urix

19.09.22 18:07

2 2

"двойная аутентификация в голове"?! Круто!

Левое полушарие спрашивает правое: "Это ты сейчас вводило пароль или нет?"

Vinny_The_Poo

micha_s

19.09.22 18:11

0 3

полушарие ... правое

Нечто подобное было у Станислава Лема.

micha_s

Vinny_The_Poo

19.09.22 18:16

0 0

"Мир на Земле", да. Шикарная книга!

Vinny_The_Poo

micha_s

19.09.22 18:26

0 0

Не пользуюсь никакими менеджерами, кроме бумажного блокнота.

А когда куда-то едете, блокнот лежит в дипломате, прикованном к запястью наручником?

aldor

Felicitas

19.09.22 18:49

0 1

А когда куда-то едете, блокнот лежит в дипломате, прикованном к запястью наручником?

Мне не нужны в поездке абсолютно все пароли, а те, которыми пользуюсь чаше всего, я помню. Если совсем припечет, а пароль забыла, всегда можно восстановить.

Felicitas

aldor

19.09.22 19:57

0 3

Левое полушарие спрашивает правое: "Это ты сейчас вводило пароль или нет?"

Добро пожаловать в мир параноиков с СДВГ.
Я знаю такую барышню - она спустя 5 секунд после того, как закрывает дверь машины - возвращается и проверяет, закрыла ли.
Потом, отойдя 50 метров, спрашивает меня - закрыла ли она дверь? Я это видел? Могу подтвердить?

urix

Vinny_The_Poo

20.09.22 12:47

0 0

Во-первых, это совсем о другом. Вначале говорилось о расщеплении личности в результате нарушения связи между полушариями. И роман Лема это хорошо показывает.

Во-вторых, описанное вами состояние не имеет никакого отношения к СДВГ. Это один из ряда симптомов ОКР (обсессивно-компульсивное расстройство). Вот как описывается: Сомнения характеризуются постоянными мыслями о каком-либо уже совершенном действии. Пациент сомневается, закрыл ли дверь, выключил ли газ, заплатил ли за телефон. Особенность таких мыслей – они вновь возвращаются после перепроверки. Пациент никак не успокаивается и может много раз в день подходить к уже закрытой двери. Интересно, что в норме такие сомнения могут возникать у всех, проблема появляется тогда, когда они становятся мешающими, нелогичными и навязчивыми.

Наткнулся как-то на людей с таким синдромом, обсуждающих в инете свои проблемы. Очень полезный совет от одной участницы. Она перед выходом из дома фоткает все бытовые приборы, выключатели и т.д. И потом, едучи на работу, когда опять нахлынет, не выскакивает из автобуса, устремляясь обратно (а люди и так делают), а перебирает фотки и успокаивается.

В романе Стивена Кинга "Необходимые вещи" описана одна такая несчастная.

Vinny_The_Poo

urix

20.09.22 13:03

0 0

Потом, отойдя 50 метров, спрашивает меня - закрыла ли она дверь? Я это видел? Могу подтвердить?

Подарите барышне сигналку с брелоком. 😄

aldor

urix

20.09.22 13:10

0 0

Подарите барышне сигналку с брелоком. 😄

От дома тоже брелок нужен? 😄

urix

aldor

20.09.22 13:33

0 0

От дома тоже брелок нужен?

Если дом тоже на сигнализации - то да. Ну или банально вебкамеру поставить, направленную на дверь. В XXI веке живем, зачем мучаться от проблем, у которых есть несложные технические решения?

aldor

urix

20.09.22 23:30

0 0

Ну или банально вебкамеру поставить, направленную на дверь.

Вебкамеру изнутри дома, направленную на дверь... зачем?
Чтобы показать, что дверь закрыта (то есть не открыта физически)?
Как это поможет от тревожности, что человек забыл - повернул он ключ в замке или нет?
При том, что человек был снаружи.

urix

aldor

21.09.22 12:47

0 0

Знающие люди давно ушли на 1password.
Bitwarden тоже норм, но там блеск и нищета опенсорса.

gui_tar_gz

19.09.22 13:22

0 0

А в чём нищета?

urix

gui_tar_gz

19.09.22 14:33

0 0

Несколько лет назад я потерял всю базу паролей в 1password после апгрейда. Версия была лицензионная и куплена для личного пользования. После этого доверия как то к 1Password нету. С LastPass проблем вообще не возникало.

ilia_kv

gui_tar_gz

19.09.22 14:48

0 2

Знающие люди давно ушли на 1password.

Использую 1password на работе (корпоративная лицензия) и LastPass дома (соответственно, семейная лицензия).

Так вот. Убогое убожество этот 1password начиная с того, что каждый третий сайт оно не может толком сохранить, и заканчивая неуменеем работать с basicauth.

miwa

gui_tar_gz

19.09.22 15:19

0 1

Bitwarden - типичный случай опенсорс приложения с "дизайном интерфейса, разработанным профессиональными программистами". Но всё работает.
1password и работает, и чувство прекрасного не страдает.

gui_tar_gz

urix

19.09.22 15:55

0 0

Поводов не доверять людям, которые последние годы рекомендуют 1password, у меня нет - они прекрасные профессионалы.
Лично мне хватает стандартного Apple Keychain - меня не напрягает потенциальная возможность, что Эппл расшифрует мои пароли на устройстве.
Из того, что читал про LastPass, там есть проблемы и с шифрованием в облаке. Так что ими пользоваться в любом случае не стал бы.

gui_tar_gz

ilia_kv

19.09.22 15:59

0 2

Bitwarden - типичный случай опенсорс приложения с "дизайном интерфейса, разработанным профессиональными программистами". Но всё работает.

А, вы про это. Мне так гораздо спокойней, нежели видеть Очень Красивую Программу, написанную дизайнерами 😄

urix

gui_tar_gz

19.09.22 16:03

1 0

Ну если нету бэкдора то получить доступ к паролям практически невозможно в любом манеджере паролей в наше время. Я уверен что и 1Password работает нормально но просто не хочется проверять второй раз. Надежность паролей в LastPass ни чем не хуже чем в других. Все упирается только в удобство пользования.

ilia_kv

gui_tar_gz

19.09.22 16:19

0 0

Ушли не на 1password, а на Roboform.

Salvor

gui_tar_gz

19.09.22 17:08

0 0

Рекомендую использовать один из этих вариантов

1) KeepassXC (если локально или локально+ синхронизация через драйв,дропбокс и тд)

2) vaultwarden (форк bitwarden без ограничений) если нужно свое selh-hosted проверенное надежное решение.

Semela

19.09.22 13:17

0 1

KeePass + Dropbox. Связка работает на всех пользовательских операционных системах (от Android до IOS, от Windows до Linux). Бесплатная, надёжная, безопасная. Уже много лет пользуюсь

Xebec

Semela

19.09.22 16:28

0 1

"многоуровневый сетевой дизайн нашей системы и ограничительные элементы системы управления не позволили хакерам"

Читать так:

1) Паническая рассылка от сисадмина с временным отключением интернета и прекращением работы на местах.

2) Проверка антивирусом.

3) Сканирование всей внутренней сети на предмет уязвимостей, понимание, что рыться в 10-15 тыс. найденных уязвимостей из-за безнадежно устаревших программ - бессмысленно.

4) Указать шефу, какой именно дурень открыл фишинговую ссылку в письме, чтобы шеф наорал на дурня (попутно скрестив пальцы, чтобы шеф не догадался спросить, как такое письмо прошло фильтры).

5) Наскоро убедиться, что утянули только надежно зашифрованные дампы и никому не интересные документы вроде служебных записок, позвонить в пиар-отдел и сказать, что никакого ущерба не нанесли.

Daario Nahalis

19.09.22 12:53

4 11

А откуда вы все знаете в таких точных деталях? 😄

AImkI

Daario Nahalis

19.09.22 13:56

1 2

А откуда вы все знаете в таких точных деталях? 😄

как всегда из пальца 😄

Hastur

AImkI

19.09.22 14:42

1 1

Рыбак рыбака 😄

AImkI

Hastur

19.09.22 15:13

2 2

Читать так:

Да ладно истерить. Всего-то получили доступ с девелоперскими правами к внутренней сети. Если бы это позволяло украсть пароли - это означало бы, что любой девелопер в любой момент может украсть все пароли, просто зайдя под собственным логином. Если бы это было так - все пароли из LastPass утекали бы примерно раз в неделю. Примерно как бесчисленные "базы МВД" в России.

aldor

Daario Nahalis

19.09.22 18:44

1 1

пользуйтесь лучше BitWarden 😉

miklav

19.09.22 12:50

1 1

Блокнот. Шариковая ручка... Три или четыре пароля для разной степени секретности. Профит.

Нелексей

19.09.22 12:39

12 1

Хранить то их все равно где-то надо. Не вбивать же при каждом посещении сайтов и приложений.

azik_footbik

Нелексей

19.09.22 12:43

0 0

Для 400+ сайтов тяжеловато.

Daario Nahalis

Нелексей

19.09.22 12:48

0 2

а потом, если произойдет раскрытие пароля на одном сайте, это автоматически раскроет пароль еще на десятках сайтов.
Логины на разных сайтах могут отличаться, но часто это просто мейл пользователя

AlexSSS

Нелексей

19.09.22 12:50

0 10

На это есть система, солить пароль производной от доменного имени.

Пример - мастерпароль qwerty, на этом сайте будет qwertyRelxe_5

DGNLTD

AlexSSS

20.09.22 03:26

0 1

Не совсем по теме но спрошу: в настройках Хрома, там где Диспетчер паролей периодически пишется "N раскрытых пароля". По началу переживал и срочно всё менял, но потом такая страшилка вновь появлялась. Стоит заморачиваться? Или продолжать игнорировать?)
Как раз была мысль удалить все пароли из хрома и воспользоваться каким нибудь сторонним приложением.

azik_footbik

19.09.22 12:32

0 2

Стоит заморачиваться? Или продолжать игнорировать?)

Зависит от того, что за пароль,от чего и можно ли с его помощью попытаться ещё куда-нибудь зайти.

Как раз была мысль удалить все пароли из хрома и воспользоваться каким нибудь сторонним приложением.

Чтобы предупреждений не видеть больше? Немного страусиная тактика, не находите?

jbroid

azik_footbik

19.09.22 13:12

1 2

Чтобы предупреждений не видеть больше? Немного страусиная тактика, не находите?

Так я в этих делах не копенгаген, поэтому и интересуюсь: они раскрываются потому-что в хроме хранятся или потому что сами по себе ненадежные?
В списке раскрытых паролей есть в том числе и сгенерированые типа надежные)

azik_footbik

jbroid

19.09.22 16:04

0 1

Это означает, что хэш пароля можно нагуглить в радужных таблицах.

elijahwoo

azik_footbik

19.09.22 19:05

0 0

Это означает, что хэш пароля можно нагуглить в радужных таблицах.

Хэш, созданный кем? По идее, хэш, созданный Гуглом/Хромом/etc. должен быть уникальным, т.е. "привязан" к пользователю. Если это не так, то что мешает сделать именно так?

SergeyM

elijahwoo

19.09.22 21:13

0 0

Разумеется, хэши с так называемой "солью" - т.е. рандомными кусками данных, добавляемыми именно для уникальности - сверять никто не будет.

Тут речь о простом применении алгоритма хэширования к строке пароляь в чистом виде. Тоже актуально, потому что далеко не все сервисы пароли юзеров хэшируют с солью.

K0styan

SergeyM

19.09.22 22:58

1 0

Так я в этих делах не копенгаген, поэтому и интересуюсь: они раскрываются потому-что в хроме хранятся или потому что сами по себе ненадежные? В списке раскрытых паролей есть в том числе и сгенерированые типа надежные)

Нет, раскрываются они потому, что были утечки из ресурсов, от которых пароли. Не из-за того, что хранятся в Гугле. Гугл просто вам сообщает о том, что пароль скомпрометирован.

jbroid

azik_footbik

20.09.22 00:13

0 0

Хэш создаётся не Гуглом, а ресурсом для которого вы пароль указываете. И как именно он его создаёт - неизвестно. Алгоритмы хэширования могут применяться разные, поэтому когда идёт речь об утечках паролей, речь именно об утечках самих паролей, а не хэшей.

jbroid

SergeyM

20.09.22 00:17

0 0

Хэш создаётся не Гуглом, а ресурсом для которого вы пароль указываете. И как именно он его создаёт - неизвестно.

Вот об этом-то речь ― откуда Гугл знает о том, что пароль утёк? Значит, он хранит мои пароли в чистом виде.

SergeyM

jbroid

20.09.22 00:22

0 0

Вот об этом-то речь ― откуда Гугл знает о том, что пароль утёк? Значит, он хранит мои пароли в чистом виде.

Естественно, а как же ещё? Именно хранит, возможно и не в чистом, но в любом случае он может их получить в чистом виде.

jbroid

SergeyM

20.09.22 00:26

0 1

У LastPass регулярно такие проблемы, в этот раз исходный код приложения с компьютера разработчика слили (издержки работы из дома). Но тут как раз надо смотреть не на тех, кто о своих проблемах открыто говорит и рассказывает как они исправили ситуацию и стали в итоге лучше, а на тех кто молчит в тряпочку.

MaccKOT

19.09.22 12:29

1 12

не на тех, кто о своих проблемах открыто говорит и рассказывает

Вот тоже так думаю, так что с LastPass не уйду.

Camel1000

MaccKOT

19.09.22 13:09

1 1

Т.е., по умолчанию презумпция виновности, поэтому выбирать нужно того, кого больше всего ломали. Идиотизм.

Все молчат в тряпочку, а начинают говорить, когда упираться уже бесполезно.

Daario Nahalis

MaccKOT

19.09.22 13:33

0 4

Объясните старому гику - зачем нужен lastpass если гугл отлично справляется с этой задачей?

The_Xvost°

19.09.22 12:28

4 2

Потому что ЛастПасс менеджер паролей, там это удобно организовано, можно управлять целой организацией. Кроме того он работает на разных устройствах и отдельно от браузера.

MaccKOT

The_Xvost°

19.09.22 12:30

1 3

Гугл не справляется с этим:

1) Группировка учетных записей

Daario Nahalis

MaccKOT

19.09.22 13:00

0 2

С этим:

2) Расширенная информация про учетную запись

Daario Nahalis

The_Xvost°

19.09.22 13:01

0 4

С этим:

3) Настраиваемая генерация паролей:

Daario Nahalis

The_Xvost°

19.09.22 13:02

0 4

4) По мелочи расширение модулями: расширенная синхронизация, бэкап, проверка наличия двухфакторной аутентификации на ресурсе, проверка пароля в базах скомпрометированных паролей и т.д.

Daario Nahalis

The_Xvost°

19.09.22 13:03

0 1

Правда, это всё про KeePass, но LastPass вряд ли сильно отличается.

Daario Nahalis

The_Xvost°

19.09.22 13:04

0 0

Не понимаю зачем нужна группировка паролей при обычном сценарии использования, т.е. когда захожу в браузере на сайт и нужно, чтобы подставился пароль.

jbroid

Daario Nahalis

19.09.22 13:16

2 1

при обычном сценарии использования

Думаю, для понимания несложно представить, что "обычные сценарии" использования у всех свои. Например, в организации можно сгруппировать учетные записи по структурным подразделениям, уровням доступа и т.д. Пример приведен как группировка учетных записей вообще, а не конкретно интернет-сайтов.

Для сайтов же - см. выше, расширенная информация, её иногда редактирую, с чем бразуер как менеджер управления паролями сразу отлетает, а искать в 400+ сайтах без группировки не то.

Daario Nahalis

jbroid

19.09.22 13:31

0 1

Вообще, учётная запись и пароль это не одно и то же. Учётная запись может быть без пароля, равно как и пароль может быть без учётной записи.
Менеджер паролей использовать для управления УЗ... Можно, конечно, но зачем - мне трудно представить. Есть же специализированные инструменты. Хотя, может это и удобно, а я просто не понимаю сценария.

По расширенной информации понятно.

jbroid

Daario Nahalis

19.09.22 13:44

1 1

Он кроссплатформенный. Кроссбраузерный.
Мне например удобно знать пароли с десктопного Vivaldi на андроидном Firefox.

urix

The_Xvost°

19.09.22 14:32

0 1

У меня крайне негативное отношение к LastPass. Дважды я пыталась начать им пользоваться. Создавала мастер-пароль, тут же его записывала через ctrl c/v в файлик, чтобы не забыть (хотя он был достаточно легко запоминаемый для меня, но все же). Проходил месяц-другой беспроблемного пользования и внезапно мой мастер-пароль переставал подходить. Вообще никак! Выдает ошибку и всё тут. Хоть убейся. Подчеркну, что пароль не менялся. То есть вот вчера он подходил, а сегодня уже нет. И сделать с этим ничего нельзя. Восстановить его не получается, соответственно, доступа к паролям у меня нет. Красота, блин 😒

Старуха_Хоттабыч

19.09.22 12:23

0 2

Небось, копировали в ворд или что-то такое подробное с rich text formatting? При копировании могли захватываться лишние символы, обнаружить которые иногда довольно сложно.

rico

Старуха_Хоттабыч

19.09.22 16:47

1 2

могли захватываться лишние символы

То есть вот вчера он подходил, а сегодня уже нет.

xoxol

rico

19.09.22 18:46

1 0

>> могли захватываться лишние символы
> То есть вот вчера он подходил, а сегодня уже нет.

Вчера подходил, набранный по памяти, а сегодня ― скопированный из файла.

SergeyM

xoxol

19.09.22 21:17

0 1

Очень хороший пост, натолкнул меня на мысль - а как уничтожить безвозвратно все данные в lastpass и закрыть аккаунт? Кто знает? Несколько месяцев назад перешёл на Bitwarden, вроде все хорошо пока что, и что важно - совершенно бесплатно.

Ватник_на_минималках

19.09.22 12:18

0 1

Просто сделайте ротацию всех паролей.

elijahwoo

Ватник_на_минималках

19.09.22 19:02

0 0

не обнаружили доказательств того, что злоумышленники получили доступ к данным клиентов или зашифрованным хранилищам паролей.

а и не нужно.
достаточно оставить маленькую закладочку. добавляющую бэкдор при сборке проекта.

xoxol

19.09.22 12:16

1 1

Ну-ну-ну, контроль версий это сразу просечёт.

urix

xoxol

19.09.22 14:31

0 1

Если есть кому просекать. А это очень часто бывает индус, просто тыкающий в кнопку approve.

rico

urix

19.09.22 16:49

0 1

Ну-ну-ну, контроль версий это сразу просечёт.

...хакеры имели привилегированный доступ во внутреннюю сеть компании в течение четырёх суток. Только потом ИБ-специалисты LastPass их обнаружили, заблокировали и приступили...

xoxol

urix

19.09.22 18:45

0 0

Привилегии бывают разные.
Ничего не сказано про то, что эти привилегии могли сделать.

urix

xoxol

20.09.22 12:46

0 0

Любой продукт поглощенной компании сразу увеличивает риски. Ask me how do I know it 😄

AImkI

19.09.22 12:10