Злам LastPass: зловмисники отримали бекап-базу паролів

У серпні цього року зловмисники вже намагалися зламати LastPass, тоді вони отримали частину вихідного коду. А зараз, ймовірно за допомогою соціальної інженерії, отримали доступ до бази паролів через співробітника. Про це йдеться в телеграм-каналі «Цифролаба Інформ».

Зловмисники скопіювали інформацію з резервної копії, яка містила основну інформацію про акаунти клієнтів та метадані: назви компаній, імена користувачів, платіжні адреси, адреси електронної пошти, номери телефонів та IP-адреси клієнтів.

Зловмисники також скопіювали резервну копію даних сховища клієнтів із зашифрованого контейнера, включно із паролями та нотатками.

Дані зі сховища (паролі, нотатки) залишаються захищеними 256-бітним шифруванням AES і можуть бути розшифровані лише за допомогою унікального ключа шифрування — вашого пароля до LastPass. Якщо цей пароль унікальний та надійний, малоймовірно, що зловмисники його розшифрують. (Чергове нагадування, чому паролі — це важливо).

Що робити, якщо я користуюся LastPass

Оскільки інцидент доволі критичний, рекомендуємо змінити паролі, які ви зберігаєте у LastPass (принаймні на важливі акаунти) та змінити головний пароль до LastPass, навіть якщо він надійний.

Чи переходити мені на інший парольний менеджер

Це рішення лише ваше: оцініть ризики, зважаючи на останні новини, чи готові ви надалі довіряти сервісу, чи готові приділити час перенесенню паролів і т.д.

▪️Більше про парольні менеджери та огляд на різні сервіси за посиланням.

Якщо ви вирішите переходити на інший сервіс і плануєте експортувати паролі, тоді їх варто змінити. Новий парольний менеджер без зміни самих паролів не матиме ефекту.

▪️Як експортувати паролі з LastPass.

Як зберігаєте паролі?

57%
15%
21%
6%
214 голосів  ·  показати результати
👍ПодобаєтьсяСподобалось6
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Просто один пароль везде, и так норм. Всё равно денег нет и фотки скучные.

Використовую трирівневу систему:

Перший рівень паролів — ті, що вводяться локально, ніде не зберігаються і ніколи не використовуються онлайн. Це — паролі на зашифровані диски та локальні акаунти.

Другий рівень — для онлайн-банкінгів, важливої пошти та акаунта в браузері — теж ніде не зберігаються, але передаються мережею (хоч і тільки через SSL).

Третій рівень — все інше. Автоматично згенеровані, унікальні доя кожного ресурса. Зберігаються в браузері або в іншому зашифрованому сховищі паролів, захищених паролями із 2-го рівня.

Тож, достатньо пам’ятати 3-5-10 надійних паролів, а вся решта — підтягується із autofill :)

Ну і, звісно,, там, де можливо — 2-х та 3-х факторна авторизація.

Щось не знайшов там ніяку базу в дропбокс.

Коротше шо хочу сказати — на доу не всі спеціалісти які звух слів можуть створити аналог 1Password. І не всі спеціалісти хочуть витрачати години (дні?) на це.

що треба

Повна пошагова інструкція. Або якщо можна, просто імедж в докері щоб заінсталив і все працює. Інакше це лиш подєлка-пєрдєлка на колінах якогось розумного девопса і запитувати з покерфейсом «чому всі дебіли і ніхто так не робить» трохи не в тему. Без наїзду, просто факт :)

Ще раз уважно читайте.

Та ні, ніде нема.

Так і не читачі всі, це ясно, тут макіни котлетолюбці сидять, яким треба готовий варіант давати, інакше ще образяться.

Називаючи людей дебілами (навіть узагальнено) і пропонувати якусь подєлку словами «все ж так просто, що ще треба»... Дуже розумно

Ну ти знаєш з таким відношенням при діалозі гугли!

Аби ще воно гуглилось.

Ну не всі, а один так точно знайшовся.

О так

Починав із KeePass + DropBox. Мав там дуже багато паролів, але якось в процесі все одно всі паролі збергіались в Safari чи Chrome. Якийсь час я оновлював у KeePass паролі, але останні роки забив. Недавно змінив роботу, а у них там 1Password, сподобалось, то змігрував усе із Safari, Chrome, KeePass туди) LastPass був на одній із робіт, щось не дуже сподобався.

для звичайних сайтів юзаю менеджер, для важливих ( банки і тд) тримаю в голові. перейшла з lastpass на 1password. але все одно намагаюсь кожен рік змінювати критичні паролі

для важливих ( банки і тд) тримаю в голові

По-факту це менш надійно ніж менеджер паролів:

1. В голові ти будеш тримати те, що легше запам’ятати, те, що має якийсь паттерн, а значить такий пароль буде простіший ніж те, що ти зазвичай генериш менеджером паролей. Тому вірогітність забрутфорсити набагато вище ніж той пароль, який би був в менеджері паролів.
2. Ти постійно руками вводиш а значить є шанс нарватися на key logger.
3. Є шанс забути пароль чи заблочити аккаунт (із-за невірного пароля введенного кілька раз), а це гемор по відновленню доступа.
4. Більші шанси повестись на фішинг (в той же час плагіни менеджерів паролей просто відмовляться автозповняти фішинговий сайт).

Скоріше всього нічого із вище перечисленного не відбудеться так як ти тупо нікому не потрібна, але все-рівно, це менш безпечно ніж менеджер паролей. Не говорячи вже про те що менш зручно.

Для важливих сервісів я просто двухфакторку добавляю і все. Для супер важливих трьохфакторку.

для 99% сервісів таких як інтернет магазини можна використовувати один і той же не складний пароль...ну зламають його і що вони зроблять?)
а важливі паролі лише в голові

для 99% сервісів таких як інтернет магазини можна використовувати один і той же не складний пароль...ну зламають його і що вони зроблять?)

Відповідь, достойна справжнього айтішника) Забудемо ще про таку дрібничку, що магазини часто мають прив’язані банківські картки, а той же амазон взагалі не вимагає навіть підтвердження в банку для списання) Але то таке, дрібнички. Та й взагалі справжній айтішник тільки тим і любить займатися, що відновлювати свої крадені акаунти чи створювати нові)

а важливі паролі лише в голові

Найдурніший спосіб збереження важливих паролів) З прекрасною можливістю забути їх одного дня, зазвичай з гіршою надійністю (дуже сумніваюся, що ви запам’ятовуєте і набираєте повністю рандомні паролі по 30+ символів), той же шанс нарватися на фішинг... Все як Трамп написав зверху.

Ще до речі у Амазона є така «фіча», що всі цифрові покупки можна видалити з особистого кабінету. І ця операція безповоротна та без компенсації (рефанду). Я це випадково вияснив коли чистив кабінет від своїх особистих файлів (туди можна закинути документи наприклад щоб на кіндлі читати) і помилково видалив куплену книжку, так в мене її більше і немає. Це я до того що можна зайти в кабінет до старого юзера амазону, та вичистити там все взагалі за годину.

Використовую Bitwarden, всім раджу, тому що Open source, free, 2FA

вже не в перше, але я залишусь, т.к. на важливих сервісах вже давно використовується 2FA

є ж KeePass, нащо оці всі сервіси невідомої якості?

Бо KeePass — досить примітивне подєліє, яке з коробки навіть синхронізувати паролі через клауд не вміє. Нормальний пасворд менеджер — це набір апок для різних платформ, написаних згідно зі спільними гайдлайнами, з однаковим набором фіч, з клауд синхронізацією бай дефолт, і розробкою таких апок займається одна компанія. А KeePass є зоопарком різних аплікух від ноунейм девів з гітхаба, з різним юаєм і фічами, і цих аплікух об’єднує лише формат.

Те, що конкретно LastPass дирявий — ні для кого не секрет вже купу років. Юзайте 1Password, який на ринку вже 16 років, і який себе дуже добре зарекомендував, і проблем не буде.

Бо KeePass — досить примітивне подєліє, яке з коробки навіть синхронізувати паролі через клауд не вміє.

Так це ж фіча, а не баг. Тримаєш базу KeePass у своєму улюбленому клауді — і от вже тому, хто захоче у тебе вкрасти паролі, треба зламати, по-перше, клауд і по-друге, твій KeePass. До клауда можна додати двофакторку, а до KeePass крім паролю ще файл з ключем. Чорта з два хтось це все поламає. А навіть якщо зможе — то для іншого користувача це не спрацює, бо у нього комбінація клауда і захисту бази буде інша.
А он ластпасс що — якщо вже зламали, то вкрали все у всіх. І чим в цій ситуації виявиться краще 1Password теж не зрозуміло.

А он ластпасс що — якщо вже зламали, то вкрали все у всіх. І чим в цій ситуації виявиться краще 1Password теж не зрозуміло.

LastPass ламали вже мабуть десяток разів. 1Password — ні разу, хоч він і один з найстаріших. Фанатики KeePass щоразу бачать взломи LastPass і екстраполюють це на всі інші cloud based password managers.

Рекомендувати KeePass замість будь-якого нормального менеджера типу 1Password, бо LastPass зламали — це як рекомендувати всім їздити на велосипеді Україна замість поїздок на Лексусі, бо когось на жигулях перемололо в фарш під час ДТП (а отже всі машини зло і однаково небезпечні в ДТП).

Я бачу Ваші емоції, однак не розумію аргументів. KeePass дає більше гнучкості в налаштуванні безпеки, Ви можете зав’язати його на будь-який клауд і прикрутити зверху/збоку від нього ще скільки завгодно додаткових слоїв шифрування чи аутентифікації. У 1Password та LastPass ідеологія інша — ти просто віриш, що їх розробники все зробили вірно. Ну, а після того, як їх зламають — ну, засмучуєшся, що помилився, та і все. А зламають рано чи пізно всіх.

KeePass дає більше гнучкості в налаштуванні безпеки, Ви можете зав’язати його на будь-який клауд і прикрутити зверху/збоку від нього ще скільки завгодно додаткових слоїв шифрування чи аутентифікації

Нафуя це звичайному користувачу?

У 1Password та LastPass ідеологія інша — ти просто віриш, що їх розробники все зробили вірно.

А ти віриш що розробники KeePass, он тих кривих клієнтів для хрома і телефона зроблених на колінках, розробники гугл клауда все зробили правильно? 1Password та LastPass хоча б проходять аудити, і у них набагато більше відповідальності. Да і все-рівно, до-поки вони юзають наскрізне шифрування — пофіг, можуть базу з паролями хоть у відкритий доступ викласти. Без доступа до твоєї двухфакторки з надійним мастер паролем це просто набір байтів.

Якщо ти комусь настільки цікавий (насправді ніт) що взломали твою двухфакторку і розвідали твій мастер пароль, то взламати твій гугл клауд їм буде набагато простіше ніж взламати lastpass.

Нафуя це звичайному користувачу?

Ми на форумі звичайних користувачів?
KeePass has been audited in the European Commission’s Free and Open Source Software Auditing (EU-FOSSA 1) project. No security issues were found, see the Project Deliveries (KeePass Summary and the full Code Review Results Report).
keepass.info/help/kb/trust.html

Я б не довіряв сервісу, у якого на морді сайту написано ось так:
1password.com/ru/tour

1Password — запомни всего один пароль
С 1Password вам нужно запомнить всего один пароль.
Все остальные пароли и важная информация будут защищены пароля от аккаунта, который знаете только вы.

Мінус замість тире, «пароля» замість «паролем». Ну такоє. Неуважність до дрібниць на сайті — хаос всередині.

А що ви взагалі забули на руснявій сторінці, мені цікаво?) Якось все одно, як вони там локалізували для русаків. В англомовній версії все супер. І аплікуха теж зроблена дуже грамотно, а я тестив немало пасворд менеджерів. В мене від нього набагато кращі враження, ніж від Bitwarden, Enpass і тим більше KeePass.

Ти впевнений що lastpass, який як ні як спеціалізується на безпеці, який аудітять компанії які спеціалізуються на безпеці, взламати легше ніж general purpose клауд?

Всі рази, коли взламували lastpass (ну як взламували, банальна соціальна інженерія від якої ніхто не застрахований), паролі користувачів не постраждали. Всі взломи були із розряду що інформацію про клієнтів стирили чи зашифровану базу незрозумілої давності. Тобто найгірше що тобі грозить це можливі фішингові атаки. Тобто навіть «самий дирявий» менеджер паролів достатньо надійний в плані основного функціоналу — ховати твої plain паролі від зловмисників.

Ти же ІТшник а не домогосподарка яка читає жовті заголовки, маєш розуміти суть взлома і можливі наслідки.

Ти впевнений що lastpass, який як ні як спеціалізується на безпеці, який аудітять компанії які спеціалізуються на безпеці, взламати легше ніж general purpose клауд?

Так. Ти, хто хоче зламати загальнодоступний і загальновикористовуваний клауд на декілька порядків більше, за тих, хто хоче зламати базу паролів.

А KeePass є зоопарком різних аплікух від ноунейм девів з гітхаба,

github.com/...​c/blob/develop/INSTALL.md
KeePassXC
где там зоопарк? там лишь зависимость от qt и нескольких стандартных либ

где там зоопарк?

Я про відсутність компанії чи дева, яка би займалася апками для всіх платформ. Наприклад, я от не бачу від даного дева аплікухи для айос. А отже, треба шукати апку від іншого дева, в якої юай точно буде написаний з трохи іншим підходом. А це і є зоопарк. Зі спільного у всіх кіпасів тільки формат бази даних.

Для порівняння можна глянути 1Password для macOS/iOS — вони ззовні ну дуже схожі, і в них навіть галочки в налаштуваннях мають однакові назви, бо девелопер в них один і той самий.

Я про відсутність компанії чи дева, яка би займалася апками для всіх платформ. Наприклад, я от не бачу від даного дева аплікухи для айос. А отже, треба шукати апку від іншого дева, в якої юай точно буде написаний з трохи іншим підходом. А це і є зоопарк.

О, а знаєте ще один такий же зоопарк? Лінукс! То взагалі жах, хто тіки то не пише, у деяких розробників, може, і диплома то немає! Треба тікати з цієї небезпечної платформи.

Так, лінукс і є зоопарком. Але в лінуксі ти собі вибираєш один дистрибутив на свій смак і юзаєш. Якщо в тебе убунту — тебе не цікавить, шо там зробили у федорі. А от у випадку з кіпасом від різних девів ти будеш стикатися з тим, що на маку аплікуха зроблена в одному стилі, а на айос — в іншому. А я, як юзер продукції Apple, ціную відповідність софту гайдлайнам і наявність екосистеми, коли одна і та ж апка виглядає схоже для macOS/iOS.

Є KeeWeb, що використовує алгоритм KeePass, але гарно виглядає, може синхронізуватися через клауд на ваш вибір, працює майже на будь-якій платформі.

Не всі айтішники достатньо айтішники, щоб налаштувати собі там синхронізацію з хмарами :)

Не всі айтішники достатньо айтішники

«Не всі айтішники достатньо *пердолики*», поправив. Тому що займатися пердолінгом з напівсирим софтом і допилювати його, замість покупки 100% юзабельного і готового до використання продукту — то треба бути героєм інтернет-мемів про червонооких лінуксоїдів і компіляцію ядра. Айтішник же робить те, за що йому платять бабки. Купив собі платний пасворд менеджер, де дяді вже давно все сконфігали як треба і клауд прикрутили, і пішов пилити свої таски за $$$/год.

Та, залежить від :)

Виходячи з того що в нас зазвичай є два варіанти атаки (а: йдем туди де простіше й берем шо попало, б: йдем конкретно туди й берем конкретно це) і того що умовний пересічний користувач пароль менеджерів цікавий трохи менше ніж нікому, таки безпечніше накрутити собі багатошаровий захист. Пройшли перший? Вперлися в другий. Далі третій. Щоб це обійти, потрібно дуже мотивовано цікавитись конкретною людиною (і взагалі прийти в гості з ректальним криптоаналізатором). Бо

«мені не треба бігти швидше ведмедя. Досить бігти швидше за тебе» (ц) итатко

А чим KeePass принципово відрізняється? Те саме що «сервіси невідомої якості» тільки ти це все руками робиш, і відповідальність за безпеку зашифрованого файла з паролями кладеш на себе. Тобто безпеку не покращуєш, а ось user experience погіршуєш на порядок.

А якщо ти комусь знадобишся (а в реальності нікому ти не потрібен), то взламати твій дропбокс чи гугл клауд , через який ти будеш синхронізувати паролі між девайсами — набагато простіше ніж lastpass.

Ну, мені, як програмісту, принципово не подобається принцип сильної зв’язності компонентів. Ластпасс і аналоги кажуть «ось вам блекбокс, ми там все вже за вас порішали, надійно 100%, не влазьте». KeePass та аналоги кажуть «ось тобі компонента безпеки, інтегруй її як хочеш» — і ти вже вирішуєш чи це буде файлик на флешці, чи в клауді, чи аплікуха в телефоні. Хочеш — роби собі зручно, хочеш — упорюйся і роби супер-надійно. В оцю тезу про «взламати твій гугл клауд легко» я теж не дуже вірю, бо все ж Гугл вклав неймовірну кількість ресурсів в безпеку свого клауда, куди більше, ніж могла собі дозволити компанія типу ластпасс.

Я цілком розумію бажання людей «щоб було зручно», у мене теж є певні сфери, де я обираю не заморочуватися і заплатити пару баксів, щоб не мудохатися з налаштуваннями, а щоб мені зробили зручно. Просто зберігання паролів — це не та сфера, де я готовий це обрати.

Підписатись на коментарі