רוטר - הגיע הזמן להחליף סיסמה: LastPass מעדכנת על פריצה

האשכול	מחבר	תאריך כתיבה	מספר
לפי מה שהם אומרים שאם מצליחים לפענח את הססמה הראשית משיגים את כל הססמאות	The Slayer	23.12.22 21:49	1
yubikey	dj_boy	23.12.22 23:36	2
כן חשבתי לקנות כבר מזמן אבל כל פעם תירוץ אחר	The Slayer	23.12.22 23:43	3
לא כזה פשוט	galaxy	24.12.22 17:58	10
כבר לא בטוח	The Slayer	24.12.22 18:28	11
אני עובד עם BITWARDEN והם מאפשרים גיבוי מקומי ושמירת מפתחות מקומית ומזהירים שאם	ushai908	25.12.22 08:57	12
יפה לא הכרתי את זה	The Slayer	25.12.22 10:54	13
זאת כבר פעם שלישית שזה קורה להם ?	Oxygen87	24.12.22 10:31	4
נראה לי שבפעמים הקודמות רק זיהו ניסיונות אבל לא העתיקו את המידע	The Slayer	24.12.22 12:25	5
אוקיי תודה על העדכון!	Oxygen87	24.12.22 12:27	6
אם כבר לקחו להם סורסים זה מצב חמור חחח	The Slayer	24.12.22 12:44	8
לפי מה שנראה הסיכוי שיצליחו לפענח את המידע הוא אפסי	The Slayer	24.12.22 12:32	7
אני אחרי הפעם הראשונה הספיק לי, עברתי ל 1PASSWORD, גם הרבה יותר נוח ומסודר	Dj_XtA1	24.12.22 13:46	9
מה ההבדל? הם עובדים בשיטה שונה? או שפשוט עדיין לא פרצו אליהם?	yagiuda	25.12.22 11:33	14
כנראה שעדיין לא פרצו אליהם	The Slayer	25.12.22 13:25	15
איפה כתוב שכן?	Gnothi_seauton	24.04.23 22:18	18
אליהם בינתיים לא שמעתי שפרצו כמה פעמים תוך כמה שנים	Dj_XtA1	09.01.23 20:23	16
אני עובד עם גוגל מכניס סיסמאות רנדומליות	yoram180	16.01.23 07:50	17

The Slayer
חבר מתאריך 29.4.03
8470 הודעות, 2 פידבק, 0 נקודות

21:49 23.12.22

1. לפי מה שהם אומרים שאם מצליחים לפענח את הססמה הראשית משיגים את כל הססמאות
בתגובה להודעה מספר 0

אם הססמה הראשית לא חזקה מספיק ומריצים ברוטפורס כשכל הדאטא אצלם אז מצליחים לקחת את כל הססמאות
אני כבר שנים משתמש בהם
כנראה שאין מנוס אלא מלהחזיק ססמאות רק על התקן פרטי וכנראה גם עדיף מנותק מהמחשב

מספיק העפתי את הגוגל פוטוס וכמעט כל הגוגל דרייב ולא משתמש בשום שירותים כמו אמזון או דרופבוקס כנראה שחייב הכל פרטי

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

dj_boy
חבר מתאריך 16.4.18
466 הודעות, דרג אמינות חבר זה

23:36 23.12.22

2. yubikey
בתגובה להודעה מספר 1

זה הפתרון האולטמטיבי

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

The Slayer
חבר מתאריך 29.4.03
8470 הודעות, 2 פידבק, 0 נקודות

23:43 23.12.22

3. כן חשבתי לקנות כבר מזמן אבל כל פעם תירוץ אחר
בתגובה להודעה מספר 2

כרגע נראה לי שנתחיל מלעבור לkeypass

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

galaxy
חבר מתאריך 2.7.02
9257 הודעות

17:58 24.12.22

10. לא כזה פשוט
בתגובה להודעה מספר 1

הסיסמאות מוצפנות בaes 256bit ומאוכסנות כhash עם sha 256

צריך משאבים של מדינה כדי לנסות להריץ bf(ולהצליח)

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

The Slayer
חבר מתאריך 29.4.03
8470 הודעות, 2 פידבק, 0 נקודות

18:28 24.12.22

11. כבר לא בטוח
בתגובה להודעה מספר 10

כל השירותי ענן האלה שווים לתחת
אני כבר עברתי לשרת פרטי ועכשיו גם הkeepass מסונכרן לפרטי עם כונן מוצפן
כמה שיגידו לך שגוגל ופייסבוק לא יכולים לדעת את הססמה שלך והנתונים מוצפנים
עדיין יש לכולם באקדור וגם לlastpass
מספיק שיש להם כלים שיכולים לשנות לך את הססמה במקרה ו"שכחת" ואז עם השינוי הזה אפשר לראות את כל הנתונים אז יש להם אפשרות לפענח לך את המידע
בדיוק כמו שבקלי קלות פורצים לווינדוס פשוט משנים את הhash לhash הרצוי שאתה מכתיב
עכשיו Oxygen87 כתב פה למטה שהשיגו סורסים שלהם
מי יודע מה אפשר לעשות עם הקוד שהשיגו
העיקר כל ההגנות שהאתרים האלה דופקים זה אם אתה עושה קצת טעויות חוסמים אותך והלך לך המידע
אבל הם בעצמם לא מוגנים

@Oxygen87@
@galaxy@

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

ushai908
חבר מתאריך 12.11.17
90 הודעות

08:57 25.12.22

12. אני עובד עם BITWARDEN והם מאפשרים גיבוי מקומי ושמירת מפתחות מקומית ומזהירים שאם
בתגובה להודעה מספר 11

הולך לאיבוד, הם לא יכולים לשחזר את המפתחות, כך שסביר להניח שאם אתה משתמש בשירות כזה, עם אימות דו שלבי, אתה די מוגן בפני גניבה של הסיסמאות שלך לפחות במקרה כמו של KEEPASS

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

The Slayer
חבר מתאריך 29.4.03
8470 הודעות, 2 פידבק

10:54 25.12.22

13. יפה לא הכרתי את זה
בתגובה להודעה מספר 12

ערכתי לאחרונה בתאריך 25.12.22 בשעה 11:42 בברכה, The Slayer

נראה שזה קוד פתוח אז סביר להניח שלא יהיו שם באקדורס
מה שקצת מטריד זה הפיצ'רים שעולים כסף
אם זה כלכך קוד פתוח אז שיבקשו תרומות
בכל אופן אני בשנים האחרונות עובד רק עם קוד פתוח לגמרי
וכל פעם יוצא שאני מעיף עוד איזה שירות שאני משתמש בו

מקווה שאני אצליח להעיף את הכל לאופליין

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

Oxygen87

חבר מתאריך 19.9.08
7642 הודעות, 1 פידבק, 2 נקודות

10:31 24.12.22

4. זאת כבר פעם שלישית שזה קורה להם ?
בתגובה להודעה מספר 0

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

The Slayer
חבר מתאריך 29.4.03
8470 הודעות, 2 פידבק, 0 נקודות

12:25 24.12.22

5. נראה לי שבפעמים הקודמות רק זיהו ניסיונות אבל לא העתיקו את המידע
בתגובה להודעה מספר 4

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

Oxygen87

חבר מתאריך 19.9.08
7642 הודעות, 1 פידבק, 2 נקודות

12:27 24.12.22

6. אוקיי תודה על העדכון!
בתגובה להודעה מספר 5

כתבה מה--6 בדצבמבר שכרגע חיפשתי:

Last week, the popular password manager LastPass announced it had suffered its second security breach of 2022. “We have determined that an unauthorized party, using information obtained in the August 2022 incident, was able to gain access to certain elements of our customers’ information,” CEO Karim Toubba writes in a company blog post, referencing a prior incident from over the summer. In that breach, an unauthorized party “took portions of source code and some proprietary LastPass technical information.”

בקיצור אין סיכוי שאני שוב מתקרב ל-LP

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

The Slayer
חבר מתאריך 29.4.03
8470 הודעות, 2 פידבק, 0 נקודות

12:44 24.12.22

8. אם כבר לקחו להם סורסים זה מצב חמור חחח
בתגובה להודעה מספר 6

עם כל האבטחה שלהם לא יודע איך דבר כזה קורה
למרות שאני בטוח שזה שהסורסים שלהם בסדר ואין כלכך מה לעשות איתם
הרי יש הרבה הצפנות open source וזה שיש את הקוד מקור לא אומר שאפשר לפענח את ההצפנה
אבל גם אני כמוך
כבר התקנתי keepassxc שזה נראה אחלה והעברתי את כל הססמאות מlastpass לשם
וכמובן צריך למחוק את כל המידע שיש בlastpass

עכשיו רק צריך שיהיה מסונכרן לNAS

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

The Slayer
חבר מתאריך 29.4.03
8470 הודעות, 2 פידבק, 0 נקודות

12:32 24.12.22

7. לפי מה שנראה הסיכוי שיצליחו לפענח את המידע הוא אפסי
בתגובה להודעה מספר 0

https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

ופה השיטת הצפנה
https://www.lastpass.com/security/zero-knowledge-security

הם מן הסתם אמורים להיות רגועים אם כל המידע דלף כי הכל מוצפן
השאלה רק אם לתוקפים יש מספיק משאבים ורצון עכשיו להשקיע במיליוני יוזרים
והכותרת המפחידה של הגיע הזמן להחליף ססמה זה כזה שטויות
אם כבר צריך להחליף את הססמאות בפנים אחרי שכל הדאטא אצלם

אבל בכל מקרה נעיף אותם
יש להם הרבה הגנות שאם נכנסתי מIP או מחשב אחר ואם הקשתי ססמה לא נכונה אבל עם כל זה הצליחו להשיג את הדאטא שזה מוזר

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

Dj_XtA1

חבר מתאריך 21.1.12
3445 הודעות, 1 פידבק, 2 נקודות

13:46 24.12.22

9. אני אחרי הפעם הראשונה הספיק לי, עברתי ל 1PASSWORD, גם הרבה יותר נוח ומסודר
בתגובה להודעה מספר 0

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

yagiuda
חבר מתאריך 30.3.14
3781 הודעות, דרג אמינות חבר זה

11:33 25.12.22

14. מה ההבדל? הם עובדים בשיטה שונה? או שפשוט עדיין לא פרצו אליהם?
בתגובה להודעה מספר 9

@Dj_XtA1@

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

The Slayer
חבר מתאריך 29.4.03
8470 הודעות, 2 פידבק, 0 נקודות

13:25 25.12.22

15. כנראה שעדיין לא פרצו אליהם
בתגובה להודעה מספר 14

דבר ראשון זה עולה כסף
אז לא יודע כמה זה מומלץ כי זה קוד סגור
דבר שני אתה צריך לשאול אם שחכת את הססמה האם יש אפשרות להציל את המידע
אז פה כתוב שכן

https://support.1password.com/forgot-account-password/
זה אומר כמה דברים
1. מישהו יכול להתחזות ולהצליח לשנות לך את ההסמה
2. בעלי האתר יכולים לגשת לך לנתונים
המליצו פה על BITWARDEN שכנראה יותר הגיוני וגם חינם
בכל אופן מה שנראה הכי טוב כרגע זה keepass

@yagiuda@

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

Gnothi_seauton
חבר מתאריך 24.4.23
2 הודעות

22:18 24.04.23

18. איפה כתוב שכן?
בתגובה להודעה מספר 15

קראתי את העמוד ומה שאני מוצא זה את מיצוי האפשרויות של המשתמש להיכנס לחשבון שלו עם הפרטים שרק הוא יודע ושל 1password אין באמת.
למטה למטה, אחרי שמיצית את כל האפשרויות (כניסה ממכשיר אחר שטרם הסתנכרן לענן והחליף סיסמא, מכשיר אייפון שפתחת גישה לאפליקציה עם זיהוי פנים וכו׳) רשום שאין מה לעשות וזה בכוונה ככה כדי להגן על המשתמש מפני חדירת צד ג׳.

If you don’t know your account password or it isn’t accepted
For your security, your account password is:
never transmitted over the internet
never logged locally
never known to us at 1Password
only known to you
the only way to decrypt your data
This makes sure that your data is safe from intruders, but it also means that no one can reset your password. However, you might be able to recover access to your data.
ובגלל ש 1password מאפשר שימוש במשפחה עם מספר משתמשים אז אם יש משתמש אדמין, הוא יכול לאפס גישה למשתמש אחר. ואם שכחו את גישת האדמין ויש למשתמש רגיל גישה לכל המידע בכספת אז אפשר לגבות ולהוציא החוצה את כל המידע ולאפס את כל החשבון (ולמחוק את המידע) ואז להחזיר אליו את המידע מחדש אחרי שמאפסים את כל החשבון ומגדירים סיסמא מהתחלה.
אבל זה לא חור אבטחה..

מתנצל על התגובה המאוחרת

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

Dj_XtA1

חבר מתאריך 21.1.12
3445 הודעות, 1 פידבק

20:23 09.01.23

16. אליהם בינתיים לא שמעתי שפרצו כמה פעמים תוך כמה שנים
בתגובה להודעה מספר 14

בנוסף האפליקציה שלהם ל WIN/MAC הרבה יותר נוחה מאשר הפתרון נטו של תוסף לדפדפן
עצם זה שאתה יכול לבנות VAULT מסויימים ולסדר את זה איך שאתה רוצה הרבה יותח נוח מאשר מלא תיקיות ותתי תיקיות (לא הסתדרתי עם זה ב LASTPASS)

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

yoram180

חבר מתאריך 11.8.13
1609 הודעות, 2 פידבק, 4 נקודות

07:50 16.01.23

17. אני עובד עם גוגל מכניס סיסמאות רנדומליות
בתגובה להודעה מספר 0

והוא שומר לי הכל

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד