Hirdetés
- Gurulunk, WAZE?!
- GoodSpeed: Segway-Ninebot F3 E elektromos roller.
- eBay-es kütyük kis pénzért
- eldiablo: Mennyire strapabíró egy GShock?
- Elektromos rásegítésű kerékpárok
- Luck Dragon: Asszociációs játék. :)
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- gerner1
- gban: Ingyen kellene, de tegnapra
- sziku69: Szólánc.
Új hozzászólás Aktív témák
-
Egon
nagyúr
Ez nem bizalom, hanem ténykérdés: [link]
Már vannak olyan jelszóhash és egyéb titkosítási technikák, amiket úgy terveztek, hogy kvantumszámítógépeknek is ellenálljanak (ahogy pl. a videokártyás törést is megnehezíti , illetve konkrétan lehetetlenné teszi mondjuk egy bcrypt hash használata), ergo én nem vagyok ezzel kapcsolatban ilyen pesszimista.
A blokklánc technológia más tészta, abba nem ástam bele magam olyan mélyen, hogy megalapozott véleményt tudjak alkotni.
Nem mellesleg a kvantumszámítógép még mindig csak pár cég játékszere, kb. mint a fúziós reaktor: még jó pár év, mire a gyakorlatban is használható lesz. -
Spec
őstag
Igen, én is ebben bízom. Bár mióta egyre több hír jelenik meg az egyre magasabb qubites kvantum számítógépekről, amik félelmetesen gyorsan képesek egyes algoritmusok szerinti kódokat feltörni, már nem vagyok olyan magabiztos. Konvencionális számítógépeknek lehet hogy év-billiókba kerülne, de megfelelő célhardverrel, vagy akár kvantum számítógéppel előbb utóbb eljutunk oda, hogy a jelenlegi hagyományos matematikai alapú titkosítások nem fognak sokat érni.
Én pl. emiatt jósolok rossz véget éveken belül a crypto pénzeknek is, mert ha sikerülne mondjuk feltörni a bitcoin, vagy az ethereum blockchaint, onnantól már értelmét is veszti az egész, és pillanatok alatt válna teljesen értéktelenné (bár sokan most is annak tekintik) az egész kripto piac. -
Egon
nagyúr
Bízom benne, hogy a 17 karakteres mester jelszó, ami elég komplikált is volt ráadásul, azért meggátolja a vaultom feltörését. Vagy legalábbis bízom benne, hogy megnehezíti annyira feltörést, hogy ne érje meg vele bajlódni, mert van másik amit egyszerűbb feltörni
LOL. Ez még akkor is elég jó, ha MD5 hasht használnak: akkor úgy pár billió évig jó vagy brute force alapú törés ellen, a jelen elérhető számítási kapacitást tekintve...
![;]](//cdn.rios.hu/dl/s/v1.gif)
-
adika4444
addikt
+1 a Bitwarden-re. Én eleinte a csak PC-re elérhető PassWordSafe nevű offline cucccal toltam, de hamar beleütköztem a limitációiba. Nehézkes szinkronizálás, ha nyitva volt egyszerre több gépen megkavartam az adatbázist, nem volt egyszerű iPhone-app hozzá, a böngészővel sem sikerült összeboronálni.
Itt jött a Bitwarden, de ők meg ott vágták el magukat, hogy telepítési kulcs kell a self-hosted megoldáshoz, így egy évig felé sem néztem. Végül a VaultWarden nevű projektre rátalálva értem célba. Tud mindent, egyszerű, gyors, multiplatform. Annyi csavart vittem bele, hogy nincs kiengedve a netre, csak WireGuard VPN-ben érhető el, hogy ne is tudják próbálgatni a mail-cím jelszó párosokat. Ezen felül csináltam saját CA-t és azzal aláírt certet, amit kézzel felvettem az eszközeimben, a mobilapp iPhone-on csak így hajlandó megfelelően működni. Megoldás lett volna egy netre kirakott domain-nel megoldani, és LetsEncrypt-tel, de szempont számomra, hogy a VPN-en kívülről ne is lehessen elérni. Így számomra jó kompromisszum, egyszer ugyan be kell lőni, meg ha eszköz / OS csere, reinstall van akkor a certekkel szórakozni kell, cserébe viszont elég biztonságos és még is egyszerűen használható.
-
Spec
őstag
Igen, egyet értek. Vitázni nem érdemes róla, csak számomra teljesen érthetetlen a jelenség. De ettől még elhiszem, hogy előfordulhat.
Hát sajnos én is befejeztem LastPass pályafutásomat, pedig szerintem 8-10 éve használom gond nélkül, de elegem lett ebből a sok security problémából, ami van mostanában. Átmentem és is BitWardenre, mint sokan mások is.
Lekopogom, eddig úgy tűnik nem volt kompromittálódott jelszavam, de jobb félni, mint megijedni. Bízom benne, hogy a 17 karakteres mester jelszó, ami elég komplikált is volt ráadásul, azért meggátolja a vaultom feltörését. Vagy legalábbis bízom benne, hogy megnehezíti annyira feltörést, hogy ne érje meg vele bajlódni, mert van másik amit egyszerűbb feltörni
No meg a legtöbb fiókomon rajta van valamilyen 2FA azonosítás is, így ha sikerrel is járnának, akkor se nagyon férnének hozzá. -
dqdb
nagyúr
A titkosítatlanul tárolt URL már önmagában is hordoz valamekkora biztonsági kockázatot, ha ügyfelek belső céges rendszereinek címeit tartalmazza, mert megkönnyítheti egy támadó tájékozódását adott helyen, és ugyebár a LastPass felhasználóinak egy jelentős része céges felhasználó.
Amúgy azt valahol publikusan elérhetően dokumentálták, hogy mit tárolnak titkosítva és mit nem? Itt a 8-9 évvel ezerlőtti állapothoz képest már legalább algoritmusokat említenek, de ilyen "apróságokra" nem térnek ki.
-
Spec
őstag
A password reset linkek (legalábbis amit én eddig valaha is láttam) olyan egyedi tokeneket tartalmaznak, amik alapján valamilyen időkorlátot rendel hozzájuk a szerver. Vagyis a linkkel korlátozott ideig, mondjuk 1-2 óráig lehetséges egyáltalán új jelszót generálni. Ha lejár, utána nem jó semmire. Deaktiválja a szerver, és kérni kell újat.
Arról nem beszélve, hogy az az idióta, aki a jelszó széfben letárol egy ideiglenes jelszó megújító url-t, az meg is érdemli, hogy ezzel feltörjék bármilyen fiókját. -
bullseye
addikt
-
Úgy látom, ezt jobban kellett volna megfogalmaznom.
Tehát: minden jelszókezelőben van lehetőség arra, hogy URL-t csatolj a felhasználónév+jelszó pároshoz. Ha ez az URL password reset link, ami valid, a támadónak semmi mást nem kell tennie, mint meglátogatni ezt az URL-t. Így anélkül veszi át a kontrollt az adott website-hoz tartozó user account felett, hogy fel kellett volna törnie a vault mesterjelszót.
-
bullseye
addikt
Mondjuk ez viszont nekem zavaros kicsit:
"Már megjelentek panaszok az ügyfelek részéről, miszerint a 16 karakteres LastPass mesterjelszavukat feltörték. Azt gondolom, inkább megkerülték, a titkosítatlanul tárolt URL-ek egy része biztosan okolható ezért, pláne, ha van olyan jelszócserés link, ami még valid (igen, van ilyen...). "
De hát a mesterjelszóhoz elméletben nincs jelszócserés link, ez az összes hasonló jelszószéf alapja. A cég sem tudja mi az, cserélni sem lehet, max. új adatbázis kezdeni egy újjal (mondjuk 1Passwordnél van valami helyreállító kód szerűség).
-
bullseye
addikt
+1 a +1-re.
Amikor bevezették, hogy fizetős lesz a több gépes szinkron, nagyon mehetnékem volt, de egy csomó ékezetes karakter volt az oldalnevekben meg kiegészítő szövegben, és egy program sem tudta értelmesen behúzni az exportált csv-t, így maradtam. Most elhatároztam, hogy váltok, ha egyenként is kell beírnom mindent (meg úgyis jelszót kell váltanom a fontosabb oldalakon...) és Bitwardennél csv-ből most sem ment, de kimásolva vágólapra összejött nagyjából. Úgyhogy most nagy a szercsi-lávcsi!
-
#17
sh4d0w
félisten
szaszayanou
#15
válasz
szaszayanou
#15
üzenetére
"...The threat actor was also able to copy a backup of customer vault data from the encrypted storage container which is stored in a proprietary binary format that contains both unencrypted data, such as website URLs, as well as fully-encrypted sensitive fields such as website usernames and passwords, secure notes, and form-filled data..."
Ebbol nemigen lehet mas kovetkeztetest levonni, minthogy nincs titkositva. Ha egy ilyen URL password resetre mutat, ami valid, akkor oda az account. Mielott azt gondolod, hogy ilyen nincs: de, van.
-
#15
szaszayanou
aktív tag
sh4d0w
#14
szaszayanou
aktív tag
Figyelmesen olvasok, ezért nem értem, hogy lett a sima url-ből (ami bármi lehet) account restoration link.
A közleményből nem következik, hogy az összes url-t titkosítatlanul tárolják. A megoldás valószínűleg annyi, hogy a jelszó széfben tárolt adatok (jelszavak és url-ek) titkosítva vannak, de voltak olyan url-ek (pl. egy céges ügyfél honlapja, amit megadott a szerződéskötés miatt) amit nem titkosítottak, mert nem a vault része, csak számlázási adat mondjuk.
-
#14
sh4d0w
félisten
szaszayanou
#13
válasz
szaszayanou
#13
üzenetére
Tevedes, az URL-eket nem taroljak titkositva - ne hidd el nekem, hidd el a LastPass-nak, mert a sajat PR kozlemenyuk szol errol.
Egyebkent meg sokat segit a leirtak ertelmezeseben, ha figyelmesen olvasol.
-
-
#11
sh4d0w
félisten
szaszayanou
#10
válasz
szaszayanou
#10
üzenetére
URL-eket tudsz elmenteni LastPassba.
A tobbirol csak annyit, hogy nem csak az en velemenyem, hanem tobb mas szakembere is.
-
#10
szaszayanou
aktív tag
szaszayanou
aktív tag
A jelszócserés link, amiről beszélsz a cikkben, micsoda? Szerintem nincs ilyen a LastPass-ban. OTP van, de az nem url.
Hogy a cikkhez is hozzászóljak a nagyrésze találgatás. Attól hogy mondatonként reagálsz egy közleményre, és néha próbálsz belemagyarázni valamit, még nem lesz a dolog sumákolás.
-
Syl
nagyúr
Nekem a desktop a fő platform (utálom a mobil(oka)t, csak muszájból használom) és sokáig én is offline keepass-eltem. Az adatbázist alkalmanként backupoltam / másoltam a mobilra.
Utána jött a Synology korszakom. Minden vackot arra pakoltam. De a távoli eléréshez nem nagyon akaródzott portokat nyitni a routeren, így végül győzött a kényelem
és a kdbx fájlt beraktam OneDrive-ba. -
Polllen
nagyúr
Én úgy vagyok vele, hogy nekem megfelel offline. Mobil a főplatform (keepass2android offline) és a gépre készítek rendszeresen backup-t. Ha tableten valahová be kell lépni, ott a mobil.
Persze nem utazok rendszeresen hosszabb utakra, így ha elveszne a mobil, ott a gépen a backup.
-
Syl
nagyúr
Én is KeePass-t használok (már sok-sok éve).
Adatbázis OneDriveban, kulcs minden eszközre direkt másolva.
Mac-en KeeKassXC, iOS-en KeePass Touch, Androidon KeePassDX - mindegyik oda-vissza automatikusan szinkronizál a OneDrive-on keresztül.
Desktopon böngészőben KeePassXC kiegészítő. -
dqdb
nagyúr
Ha Androidra és egyetlen eszközre kell, akkor KeePassDX és az adatbázis csak a telefonra kerül fel (és persze külső biztonsági másolatok róla).
Ha több eszközre kell, akkor KeePassDX az Androidokra, KeePassXC a desktop gépekre, adatbázis valamilyen felhős tárhelyre, jelszó a fejedbe, kulcsfájl csak az eszközökre második faktorként (ez felhő közelébe ne kerüljön).
---
A LastPass mindig is szeretett maszatolni, 8-9 évvel ezelőtt rengeteget ekéztem őket az Opera topikban ezért (csak buzzwordök és csillámpónik, többek között ezt írtam akkoriban róluk), és úgy nézem, dokumentációs téren azóta sem javultak, az évenkénti egy sikeres behatolás hozzájuk pedig azóta is megvan.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
és a kdbx fájlt beraktam OneDrive-ba.
Új hozzászólás Aktív témák
lo PR közlemény, vagy sem - érdemes körbejárni....
- Elmondta a Nintendo, hogy mennyi Switch 2-t vihetnek haza az emberek
- Milyen okostelefont vegyek?
- NVIDIA GeForce RTX 3080 / 3090 / Ti (GA102)
- Nem állnak jól az Apple Watch számai
- Milyen asztali (teljes vagy fél-) gépet vegyek?
- 80% vs. 100% – Tönkreteszed az aksit, ha mindig feltöltöd? – Tech Percek #6
- Kerékpárosok, bringások ide!
- Revolut
- Háztartási gépek
- A fociról könnyedén, egy baráti társaságban
- További aktív témák...
- Honor 400 Lite,új 0 perces, 2év garival
- XPS 15 9500 15.6" 4K+ IPS érintő i7-10750H GTX 1650Ti 16GB DDR4 512GB NVMe ujjlolv IR kam gar
- Logitech g920 váltóval
- Lenovo ThinkPad P51s, P52s, T570, T580 eredeti Lenovo, belső akkumulátor eladó
- Legion 5 15ACH6H 15.6" FHD IPS Ryzen 5 5600H RTX 3060 16GB 512GB NVMe gar
- AKCIÓ! ASUS MAXIMUS VIII HERO Z170 chipset alaplap garanciával hibátlan működéssel
- ÁRGARANCIA! Épített KomPhone Ryzen 7 5800X 16/32/64GB RAM RTX 5070 12GB GAMER PC termékbeszámítással
- BESZÁMTÁS! Dell Optiplex 7050 SFF asztali számítógép - i7 7700 16GB RAM 256 SSD Intel HD 630 Win10
- BESZÁMÍTÁS! MSI B450M R7 5700X 16GB DDR4 512GB SSD RX 5700 XT 8GB Rampage SHIVA Zalman 600W
- LG 27CN650N-6A - Felhő Monitor - 1920x1080 FHD - 75Hz 5ms - USB Type-C - Quad Core - BT + WiFi
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest