Адрес для входа в РФ: exler.wiki
Очередные проблемы с LastPass
Опять проблемы с безопасностью у LastPass. Далеко не в первый раз, насколько я помню. Руководство заявляет, что никакие данные пользователей не были похищены, но кто там знает, как оно на самом деле. Если вы пользуетесь LastPass, то я бы на вашем месте поменял бы пароли к критически важным данным.
Команда менеджера паролей LastPass раскрыла детали августовского взлома и рассказала, что хакеры имели привилегированный доступ во внутреннюю сеть компании в течение четырёх суток. Только потом ИБ-специалисты LastPass их обнаружили, заблокировали и приступили к устранению последствий взлома.
Гендиректор LastPass Карим Тубба (Karim Toubba) заявил, что эксперты по кибербезопасности из компании Mandiant в ходе расследования инцидента не обнаружили доказательств того, что злоумышленники получили доступ к данным клиентов или зашифрованным хранилищам паролей. По их данным, хакеры действовали внутри сети в течение четырёх суток. После их обнаружения и блокировки в компании не нашли больше свидетельств активности каких-либо злоумышленников сверх этих установленных сроков.
В ходе расследования эксперты выяснили, что злоумышленники получили доступ к среде разработки компании, используя скомпрометированную рабочую станцию одного из сотрудников. Они смогли получить и поддерживать постоянный доступ к системе, выдавая себя за разработчика, который ранее успешно вошёл в систему с помощью многофакторной аутентификации. Хакеры смогли скачать различную рабочую информацию по проектам.
«Несмотря на то, что злоумышленники смогли получить доступ к среде разработки, многоуровневый сетевой дизайн нашей системы и ограничительные элементы системы управления не позволили хакерам получить доступ к персональным и финансовым данным клиентов или зашифрованным хранилищам паролей», — пояснил Тубба. (Отсюда.)
Если даже SSL сертификаты обновляют каждый год, почему вы думаете, что пароли могут оставаться неизменными годами?
Чтобы показать, что дверь закрыта (то есть не открыта физически)?
Как это поможет от тревожности, что человек забыл - повернул он ключ в замке или нет?
При том, что человек был снаружи.
Во-вторых, описанное вами состояние не имеет никакого отношения к СДВГ. Это один из ряда симптомов ОКР (обсессивно-компульсивное расстройство). Вот как описывается: Сомнения характеризуются постоянными мыслями о каком-либо уже совершенном действии. Пациент сомневается, закрыл ли дверь, выключил ли газ, заплатил ли за телефон. Особенность таких мыслей – они вновь возвращаются после перепроверки. Пациент никак не успокаивается и может много раз в день подходить к уже закрытой двери. Интересно, что в норме такие сомнения могут возникать у всех, проблема появляется тогда, когда они становятся мешающими, нелогичными и навязчивыми.
Наткнулся как-то на людей с таким синдромом, обсуждающих в инете свои проблемы. Очень полезный совет от одной участницы. Она перед выходом из дома фоткает все бытовые приборы, выключатели и т.д. И потом, едучи на работу, когда опять нахлынет, не выскакивает из автобуса, устремляясь обратно (а люди и так делают), а перебирает фотки и успокаивается.
В романе Стивена Кинга "Необходимые вещи" описана одна такая несчастная.
Я знаю такую барышню - она спустя 5 секунд после того, как закрывает дверь машины - возвращается и проверяет, закрыла ли.
Потом, отойдя 50 метров, спрашивает меня - закрыла ли она дверь? Я это видел? Могу подтвердить?
Вот один в один.
Bitwarden тоже норм, но там блеск и нищета опенсорса.
Лично мне хватает стандартного Apple Keychain - меня не напрягает потенциальная возможность, что Эппл расшифрует мои пароли на устройстве.
Из того, что читал про LastPass, там есть проблемы и с шифрованием в облаке. Так что ими пользоваться в любом случае не стал бы.
1password и работает, и чувство прекрасного не страдает.
Так вот. Убогое убожество этот 1password начиная с того, что каждый третий сайт оно не может толком сохранить, и заканчивая неуменеем работать с basicauth.
1) KeepassXC (если локально или локально+ синхронизация через драйв,дропбокс и тд)
2) vaultwarden (форк bitwarden без ограничений) если нужно свое selh-hosted проверенное надежное решение.
Читать так:
1) Паническая рассылка от сисадмина с временным отключением интернета и прекращением работы на местах.
2) Проверка антивирусом.
3) Сканирование всей внутренней сети на предмет уязвимостей, понимание, что рыться в 10-15 тыс. найденных уязвимостей из-за безнадежно устаревших программ - бессмысленно.
4) Указать шефу, какой именно дурень открыл фишинговую ссылку в письме, чтобы шеф наорал на дурня (попутно скрестив пальцы, чтобы шеф не догадался спросить, как такое письмо прошло фильтры).
5) Наскоро убедиться, что утянули только надежно зашифрованные дампы и никому не интересные документы вроде служебных записок, позвонить в пиар-отдел и сказать, что никакого ущерба не нанесли.
Пример - мастерпароль qwerty, на этом сайте будет qwertyRelxe_5
Логины на разных сайтах могут отличаться, но часто это просто мейл пользователя
Как раз была мысль удалить все пароли из хрома и воспользоваться каким нибудь сторонним приложением.
Тут речь о простом применении алгоритма хэширования к строке пароляь в чистом виде. Тоже актуально, потому что далеко не все сервисы пароли юзеров хэшируют с солью.
В списке раскрытых паролей есть в том числе и сгенерированые типа надежные)
Все молчат в тряпочку, а начинают говорить, когда упираться уже бесполезно.
Мне например удобно знать пароли с десктопного Vivaldi на андроидном Firefox.
Менеджер паролей использовать для управления УЗ... Можно, конечно, но зачем - мне трудно представить. Есть же специализированные инструменты. Хотя, может это и удобно, а я просто не понимаю сценария.
По расширенной информации понятно.
Для сайтов же - см. выше, расширенная информация, её иногда редактирую, с чем бразуер как менеджер управления паролями сразу отлетает, а искать в 400+ сайтах без группировки не то.
3) Настраиваемая генерация паролей:
2) Расширенная информация про учетную запись
1) Группировка учетных записей
>> могли захватываться лишние символы
> То есть вот вчера он подходил, а сегодня уже нет.
достаточно оставить маленькую закладочку. добавляющую бэкдор при сборке проекта.
Ничего не сказано про то, что эти привилегии могли сделать.