Адрес для входа в РФ: exler.wiki
Очередные проблемы с LastPass
Опять проблемы с безопасностью у LastPass. Далеко не в первый раз, насколько я помню. Руководство заявляет, что никакие данные пользователей не были похищены, но кто там знает, как оно на самом деле. Если вы пользуетесь LastPass, то я бы на вашем месте поменял бы пароли к критически важным данным.
Команда менеджера паролей LastPass раскрыла детали августовского взлома и рассказала, что хакеры имели привилегированный доступ во внутреннюю сеть компании в течение четырёх суток. Только потом ИБ-специалисты LastPass их обнаружили, заблокировали и приступили к устранению последствий взлома.
Гендиректор LastPass Карим Тубба (Karim Toubba) заявил, что эксперты по кибербезопасности из компании Mandiant в ходе расследования инцидента не обнаружили доказательств того, что злоумышленники получили доступ к данным клиентов или зашифрованным хранилищам паролей. По их данным, хакеры действовали внутри сети в течение четырёх суток. После их обнаружения и блокировки в компании не нашли больше свидетельств активности каких-либо злоумышленников сверх этих установленных сроков.
В ходе расследования эксперты выяснили, что злоумышленники получили доступ к среде разработки компании, используя скомпрометированную рабочую станцию одного из сотрудников. Они смогли получить и поддерживать постоянный доступ к системе, выдавая себя за разработчика, который ранее успешно вошёл в систему с помощью многофакторной аутентификации. Хакеры смогли скачать различную рабочую информацию по проектам.
«Несмотря на то, что злоумышленники смогли получить доступ к среде разработки, многоуровневый сетевой дизайн нашей системы и ограничительные элементы системы управления не позволили хакерам получить доступ к персональным и финансовым данным клиентов или зашифрованным хранилищам паролей», — пояснил Тубба. (Отсюда.)
Если даже SSL сертификаты обновляют каждый год, почему вы думаете, что пароли могут оставаться неизменными годами?
Вот один в один.
Я знаю такую барышню - она спустя 5 секунд после того, как закрывает дверь машины - возвращается и проверяет, закрыла ли.
Потом, отойдя 50 метров, спрашивает меня - закрыла ли она дверь? Я это видел? Могу подтвердить?
Во-вторых, описанное вами состояние не имеет никакого отношения к СДВГ. Это один из ряда симптомов ОКР (обсессивно-компульсивное расстройство). Вот как описывается: Сомнения характеризуются постоянными мыслями о каком-либо уже совершенном действии. Пациент сомневается, закрыл ли дверь, выключил ли газ, заплатил ли за телефон. Особенность таких мыслей – они вновь возвращаются после перепроверки. Пациент никак не успокаивается и может много раз в день подходить к уже закрытой двери. Интересно, что в норме такие сомнения могут возникать у всех, проблема появляется тогда, когда они становятся мешающими, нелогичными и навязчивыми.
Наткнулся как-то на людей с таким синдромом, обсуждающих в инете свои проблемы. Очень полезный совет от одной участницы. Она перед выходом из дома фоткает все бытовые приборы, выключатели и т.д. И потом, едучи на работу, когда опять нахлынет, не выскакивает из автобуса, устремляясь обратно (а люди и так делают), а перебирает фотки и успокаивается.
В романе Стивена Кинга "Необходимые вещи" описана одна такая несчастная.
Чтобы показать, что дверь закрыта (то есть не открыта физически)?
Как это поможет от тревожности, что человек забыл - повернул он ключ в замке или нет?
При том, что человек был снаружи.
Bitwarden тоже норм, но там блеск и нищета опенсорса.
Так вот. Убогое убожество этот 1password начиная с того, что каждый третий сайт оно не может толком сохранить, и заканчивая неуменеем работать с basicauth.
1password и работает, и чувство прекрасного не страдает.
Лично мне хватает стандартного Apple Keychain - меня не напрягает потенциальная возможность, что Эппл расшифрует мои пароли на устройстве.
Из того, что читал про LastPass, там есть проблемы и с шифрованием в облаке. Так что ими пользоваться в любом случае не стал бы.
1) KeepassXC (если локально или локально+ синхронизация через драйв,дропбокс и тд)
2) vaultwarden (форк bitwarden без ограничений) если нужно свое selh-hosted проверенное надежное решение.
Читать так:
1) Паническая рассылка от сисадмина с временным отключением интернета и прекращением работы на местах.
2) Проверка антивирусом.
3) Сканирование всей внутренней сети на предмет уязвимостей, понимание, что рыться в 10-15 тыс. найденных уязвимостей из-за безнадежно устаревших программ - бессмысленно.
4) Указать шефу, какой именно дурень открыл фишинговую ссылку в письме, чтобы шеф наорал на дурня (попутно скрестив пальцы, чтобы шеф не догадался спросить, как такое письмо прошло фильтры).
5) Наскоро убедиться, что утянули только надежно зашифрованные дампы и никому не интересные документы вроде служебных записок, позвонить в пиар-отдел и сказать, что никакого ущерба не нанесли.
Логины на разных сайтах могут отличаться, но часто это просто мейл пользователя
Пример - мастерпароль qwerty, на этом сайте будет qwertyRelxe_5
Как раз была мысль удалить все пароли из хрома и воспользоваться каким нибудь сторонним приложением.
В списке раскрытых паролей есть в том числе и сгенерированые типа надежные)
Тут речь о простом применении алгоритма хэширования к строке пароляь в чистом виде. Тоже актуально, потому что далеко не все сервисы пароли юзеров хэшируют с солью.
Все молчат в тряпочку, а начинают говорить, когда упираться уже бесполезно.
1) Группировка учетных записей
2) Расширенная информация про учетную запись
3) Настраиваемая генерация паролей:
Для сайтов же - см. выше, расширенная информация, её иногда редактирую, с чем бразуер как менеджер управления паролями сразу отлетает, а искать в 400+ сайтах без группировки не то.
Менеджер паролей использовать для управления УЗ... Можно, конечно, но зачем - мне трудно представить. Есть же специализированные инструменты. Хотя, может это и удобно, а я просто не понимаю сценария.
По расширенной информации понятно.
Мне например удобно знать пароли с десктопного Vivaldi на андроидном Firefox.
>> могли захватываться лишние символы
> То есть вот вчера он подходил, а сегодня уже нет.
достаточно оставить маленькую закладочку. добавляющую бэкдор при сборке проекта.
Ничего не сказано про то, что эти привилегии могли сделать.