חזרה לפורום חומרה, רשתות ואבטחת מידע
ראשי
פורום חומרה, רשתות ואבטחת מידע אשכול 26766

ilanka 23.12.2221:27

הגיע הזמן להחליף סיסמה: LastPass מעדכנת על פריצה

שירות ניהול הסיסמאות עדכן הלילה על פריצה שחשפה פרטי משתמשים ומידע מוצפן, בו שמות משתמש וסיסמאות

פוסט בבלוג באתר ניהול הסיסמאות LastPass חושף שלאחרונה התרחשה פריצה לשירות ענן צד ג' בו LastPass משתמשת לאחסון גיבויים שונים. במהלך הפריצה, גורמים לא מורשים השיגו גיבויים של מידע מוצפן ומידע לא מוצפן על אודות לקוחות. המידע שאינו מוצפן כולל מידע בסיסי של חשבונות לקוחות כמו שמות לקוחות, כתובת לחיוב, כתובות דוא"ל, מספרי טלפון וכתובות IP מהן הלקוחות ניגשו לחשבונות ניהול הסיסמאות שלהם.

שירות ניהול הסיסמאות עדכן הלילה על ההתקדמות בחקירת פריצת האבטחה עליה דיווחה בתחילת החודש. LastPass מוכרת כספקית שירותי ניהול סיסמאות למשתמשים, ולפי אתר החברה היא משמשת מעל 33 מיליון משתמשים פרטיים ומעל 100,000 משתמשים עסקיים ברחבי העולם.

להמשך, במקור: https://www.tech12.co.il/index-worl?...
The Slayer 23.12.2221:49
1. לפי מה שהם אומרים שאם מצליחים לפענח את הססמה הראשית משיגים את כל הססמאות בתגובה להודעה מספר 0
אם הססמה הראשית לא חזקה מספיק ומריצים ברוטפורס כשכל הדאטא אצלם אז מצליחים לקחת את כל הססמאות

אני כבר שנים משתמש בהם
כנראה שאין מנוס אלא מלהחזיק ססמאות רק על התקן פרטי וכנראה גם עדיף מנותק מהמחשב

מספיק העפתי את הגוגל פוטוס וכמעט כל הגוגל דרייב ולא משתמש בשום שירותים כמו אמזון או דרופבוקס כנראה שחייב הכל פרטי
dj_boy 23.12.2223:36
2. yubikey בתגובה להודעה מספר 1
זה הפתרון האולטמטיבי
The Slayer 23.12.2223:43
3. כן חשבתי לקנות כבר מזמן אבל כל פעם תירוץ אחר בתגובה להודעה מספר 2
כרגע נראה לי שנתחיל מלעבור לkeypass
galaxy 24.12.2217:58
10. לא כזה פשוט בתגובה להודעה מספר 1
הסיסמאות מוצפנות בaes 256bit ומאוכסנות כhash עם sha 256


צריך משאבים של מדינה כדי לנסות להריץ bf(ולהצליח)
The Slayer 24.12.2218:28
11. כבר לא בטוח בתגובה להודעה מספר 10
כל השירותי ענן האלה שווים לתחת
אני כבר עברתי לשרת פרטי ועכשיו גם הkeepass מסונכרן לפרטי עם כונן מוצפן

כמה שיגידו לך שגוגל ופייסבוק לא יכולים לדעת את הססמה שלך והנתונים מוצפנים
עדיין יש לכולם באקדור וגם לlastpass

מספיק שיש להם כלים שיכולים לשנות לך את הססמה במקרה ו"שכחת" ואז עם השינוי הזה אפשר לראות את כל הנתונים אז יש להם אפשרות לפענח לך את המידע

בדיוק כמו שבקלי קלות פורצים לווינדוס פשוט משנים את הhash לhash הרצוי שאתה מכתיב

עכשיו Oxygen87 כתב פה למטה שהשיגו סורסים שלהם
מי יודע מה אפשר לעשות עם הקוד שהשיגו

העיקר כל ההגנות שהאתרים האלה דופקים זה אם אתה עושה קצת טעויות חוסמים אותך והלך לך המידע
אבל הם בעצמם לא מוגנים



@Oxygen87@
@galaxy@
ushai908 25.12.2208:57
12. אני עובד עם BITWARDEN והם מאפשרים גיבוי מקומי ושמירת מפתחות מקומית ומזהירים שאם בתגובה להודעה מספר 11
הולך לאיבוד, הם לא יכולים לשחזר את המפתחות, כך שסביר להניח שאם אתה משתמש בשירות כזה, עם אימות דו שלבי, אתה די מוגן בפני גניבה של הסיסמאות שלך לפחות במקרה כמו של KEEPASS
The Slayer 25.12.2210:54
13. יפה לא הכרתי את זה בתגובה להודעה מספר 12

ערכתי לאחרונה בתאריך 25.12.22 בשעה 11:42 בברכה, The Slayer

נראה שזה קוד פתוח אז סביר להניח שלא יהיו שם באקדורס
מה שקצת מטריד זה הפיצ'רים שעולים כסף
אם זה כלכך קוד פתוח אז שיבקשו תרומות

בכל אופן אני בשנים האחרונות עובד רק עם קוד פתוח לגמרי
וכל פעם יוצא שאני מעיף עוד איזה שירות שאני משתמש בו

מקווה שאני אצליח להעיף את הכל לאופליין
Oxygen87 24.12.2210:31
4. זאת כבר פעם שלישית שזה קורה להם ? בתגובה להודעה מספר 0
The Slayer 24.12.2212:25
5. נראה לי שבפעמים הקודמות רק זיהו ניסיונות אבל לא העתיקו את המידע בתגובה להודעה מספר 4
Oxygen87 24.12.2212:27
6. אוקיי תודה על העדכון! בתגובה להודעה מספר 5
כתבה מה--6 בדצבמבר שכרגע חיפשתי:

Last week, the popular password manager LastPass announced it had suffered its second security breach of 2022. “We have determined that an unauthorized party, using information obtained in the August 2022 incident, was able to gain access to certain elements of our customers’ information,” CEO Karim Toubba writes in a company blog post, referencing a prior incident from over the summer. In that breach, an unauthorized party “took portions of source code and some proprietary LastPass technical information.”

בקיצור אין סיכוי שאני שוב מתקרב ל-LP
The Slayer 24.12.2212:44
8. אם כבר לקחו להם סורסים זה מצב חמור חחח בתגובה להודעה מספר 6
עם כל האבטחה שלהם לא יודע איך דבר כזה קורה

למרות שאני בטוח שזה שהסורסים שלהם בסדר ואין כלכך מה לעשות איתם
הרי יש הרבה הצפנות open source וזה שיש את הקוד מקור לא אומר שאפשר לפענח את ההצפנה

אבל גם אני כמוך

כבר התקנתי keepassxc שזה נראה אחלה והעברתי את כל הססמאות מlastpass לשם
וכמובן צריך למחוק את כל המידע שיש בlastpass

עכשיו רק צריך שיהיה מסונכרן לNAS
The Slayer 24.12.2212:32
7. לפי מה שנראה הסיכוי שיצליחו לפענח את המידע הוא אפסי בתגובה להודעה מספר 0
https://blog.lastpass.com/2022/12/n?...


ופה השיטת הצפנה
https://www.lastpass.com/security/z?...


הם מן הסתם אמורים להיות רגועים אם כל המידע דלף כי הכל מוצפן

השאלה רק אם לתוקפים יש מספיק משאבים ורצון עכשיו להשקיע במיליוני יוזרים

והכותרת המפחידה של הגיע הזמן להחליף ססמה זה כזה שטויות
אם כבר צריך להחליף את הססמאות בפנים אחרי שכל הדאטא אצלם

אבל בכל מקרה נעיף אותם
יש להם הרבה הגנות שאם נכנסתי מIP או מחשב אחר ואם הקשתי ססמה לא נכונה אבל עם כל זה הצליחו להשיג את הדאטא שזה מוזר
Dj_XtA1 24.12.2213:46
9. אני אחרי הפעם הראשונה הספיק לי, עברתי ל 1PASSWORD, גם הרבה יותר נוח ומסודר בתגובה להודעה מספר 0
yagiuda 25.12.2211:33
14. מה ההבדל? הם עובדים בשיטה שונה? או שפשוט עדיין לא פרצו אליהם? בתגובה להודעה מספר 9
@Dj_XtA1@
The Slayer 25.12.2213:25
15. כנראה שעדיין לא פרצו אליהם בתגובה להודעה מספר 14
דבר ראשון זה עולה כסף
אז לא יודע כמה זה מומלץ כי זה קוד סגור

דבר שני אתה צריך לשאול אם שחכת את הססמה האם יש אפשרות להציל את המידע

אז פה כתוב שכן

https://support.1password.com/forgo?...

זה אומר כמה דברים
1. מישהו יכול להתחזות ולהצליח לשנות לך את ההסמה
2. בעלי האתר יכולים לגשת לך לנתונים

המליצו פה על BITWARDEN שכנראה יותר הגיוני וגם חינם

בכל אופן מה שנראה הכי טוב כרגע זה keepass


@yagiuda@
Gnothi_seauton 24.04.2322:18
18. איפה כתוב שכן? בתגובה להודעה מספר 15
קראתי את העמוד ומה שאני מוצא זה את מיצוי האפשרויות של המשתמש להיכנס לחשבון שלו עם הפרטים שרק הוא יודע ושל 1password אין באמת.

למטה למטה, אחרי שמיצית את כל האפשרויות (כניסה ממכשיר אחר שטרם הסתנכרן לענן והחליף סיסמא, מכשיר אייפון שפתחת גישה לאפליקציה עם זיהוי פנים וכו׳) רשום שאין מה לעשות וזה בכוונה ככה כדי להגן על המשתמש מפני חדירת צד ג׳.


If you don’t know your account password or it isn’t accepted
For your security, your account password is:

never transmitted over the internet
never logged locally
never known to us at 1Password
only known to you
the only way to decrypt your data
This makes sure that your data is safe from intruders, but it also means that no one can reset your password. However, you might be able to recover access to your data.

ובגלל ש 1password מאפשר שימוש במשפחה עם מספר משתמשים אז אם יש משתמש אדמין, הוא יכול לאפס גישה למשתמש אחר. ואם שכחו את גישת האדמין ויש למשתמש רגיל גישה לכל המידע בכספת אז אפשר לגבות ולהוציא החוצה את כל המידע ולאפס את כל החשבון (ולמחוק את המידע) ואז להחזיר אליו את המידע מחדש אחרי שמאפסים את כל החשבון ומגדירים סיסמא מהתחלה.
אבל זה לא חור אבטחה..

מתנצל על התגובה המאוחרת
Dj_XtA1 09.01.2320:23
16. אליהם בינתיים לא שמעתי שפרצו כמה פעמים תוך כמה שנים בתגובה להודעה מספר 14
בנוסף האפליקציה שלהם ל WIN/MAC הרבה יותר נוחה מאשר הפתרון נטו של תוסף לדפדפן
עצם זה שאתה יכול לבנות VAULT מסויימים ולסדר את זה איך שאתה רוצה הרבה יותח נוח מאשר מלא תיקיות ותתי תיקיות (לא הסתדרתי עם זה ב LASTPASS)
yoram180 16.01.2307:50
17. אני עובד עם גוגל מכניס סיסמאות רנדומליות בתגובה להודעה מספר 0
והוא שומר לי הכל

העבר לפורום אחר
העבר לפורום:
סיבה:
תגובה חדשה
כותרת:
תוכן:
סמיילים:
הצג
עריכת אשכול
כותרת:
תוכן:
סמיילים:
הצג