Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Dziura w LastPass naraża miliony internautów

Rekomendowane odpowiedzi

Tavis Ormandy z Google'a informuje o znalezieniu dziury typu zero-day w popularnym menedżerze haseł LastPass. Dziura pozwala na całkowite przejęcie kontroli nad kontem użytkownika. Miliony internautów mogą narazić się na niebezpieczeństwo jeśli wejdą na witrynę zarażoną przez cyberprzestępców.

Na razie niewiele wiadomo o samej dziurze. Ormandy'emu można jednak wierzyć, gdyż jest to utytułowany specjalista ds. bezpieczeństwa. W przeszłości odkrył poważne dziury w oprogramowaniu antywirusowym takich firm jak Symantec, Avast czy Kaspersky.

Teraz Ormandy chce sprawdzić kolejnego popularnego menedżera haseł, 1Password.

Na razie nie zauważono, by przestępcy zaatakowali LastPass.


« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

E, wiemy. Wystarczy spreparowany URI. LastPass ujawnia wszystko wówczas, myśląc, że jest na zupełnie innej stronie. Przedszkolny błąd. Brr, nie wiem jak można tego w ogóle używać.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Brr, nie wiem jak można tego w ogóle używać.

Normalnie :)

 

 

Wystarczy spreparowany URI

A to skąd wiesz? Dla człowieka z pewnością wystarczy spreparowany URI a dla LastPass?

 

Na razie nie zauważono, by przestępcy zaatakowali LastPass.

Zaraz, zaraz. Dziura zero day a przestępcy nie używają? :D

Edytowane przez thikim

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
To co używać? Jakiego menadżera haseł?

 

Tylko lokalne. Nie chcę reklamować, ale dla mnie jest tylko jeden sensowny — KeePass. A sam plik z hasłami możemy sobie ewentualnie synchronizować. Oczywiście jeśli używamy „key file”, to nie trzymamy tego razem.

 

A to skąd wiesz?

 

Bo została opublikowana. https://bugs.chromium.org/p/project-zero/issues/detail?id=884

 

Oraz jest też coś takiego:https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/

 

Dziura zero day a przestępcy nie używają?

 

Został załatany. Kto nie zaktualizował sobie dodatku, ten będzie płakał.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Niestety, ale termin 0-day się nieco zdewaluował, od kiedy zaczęto robić marketingowo-PR-owy szum z dziur, przy których trzeba zrobić poczwórne salto, żeby poskutkowały, po wydmuszki, które muszą mieć chwytliwą nazwę i koniecznie ładne logo. W tym przypadku wydaje się, że to jedynie nietechniczni dziennikarze (źródło) określili to jako 0-day.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Znaczy się w mózgu też?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość Astro

:D

No ja zapisuję tylko tam. ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

A że tak zapytam o jakich ilościach haseł mniej więcej mówimy?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość Astro

Raczej niewielkiej. Niecałe trzydzieści. Niektóre muszę zmieniać regularnie. Wystarczają mi własne, tentegowane w głowie algorytmy. ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Rzeczywiście - niewielkiej.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

Wystarczają mi własne, tentegowane w głowie algorytmy.

 

Pewnie zatem tworzysz w oparciu o pewien rdzeń plus znaczki zależne od serwisu. W przypadku ogólnych wycieków ma to jeszcze sens, bo nawet jeśli zostanie odtworzone, to wyglądać może dość losowo, ale przy ataku personalnym wyciek jednego może oznaczać wyciek wszystkich.

  • Pozytyw (+1) 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość Astro
Pewnie zatem tworzysz w oparciu o pewien rdzeń

 

Rdzeni jest kilka. :)

Podobnie jak algorytmów. ;)

 

Ed. Przypomniał mi się sposób na najlepszy immobilizer. Sam zrobiłem coś takiego (nie pytajcie tylko jaki, bo nie będzie już najlepszy). ;):D

Edytowane przez Astro

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Najlepszy jest taki, który wszyscy znają, a i tak nie potrafią obejść  ^_^

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość Astro

Świnta prawda, ale nie zdarzył się chyba jeszcze samochód na miarę AES256. ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

Pewnie zatem tworzysz w oparciu o pewien rdzeń plus znaczki zależne od serwisu

Widzę że wiele osób wpadło na ten pomysł :D

ale można go trochę udoskonalić :)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Pewnie zatem tworzysz w oparciu o pewien rdzeń plus znaczki zależne od serwisu

Niektórzy jako rdzenia używają pinu karty karty bankowej, bo i tak muszą go pamiętać. Żeby złodziejowi było łatwiej. Już tak nie robię :)

 

Dodam, że to IT security sprowadziło na ludzi ten los. Minimalna długość hasła 8 znaków (a mogłoby być 32) wymuszona zmiana co 90 dni, wymagane użycie wielkich i małych liter, cyfr i znaków specjalnych skutkuje karteczką z hasłem. Pół biedy jeśli przyklejoną pod klawiaturą, bo zwykle jest gdzieś na widoku ;)

Edytowane przez Jajcenty

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Kurcze - wiecie, że nie wpadłem na to z tym rdzeniem - genialne :) - ale człowiek coraz starszy, dzięki temu da radę odciążyć trochę mózg. ;)

Co do samych haseł - statystycznie człowiek może zapamiętać na raz około 7 znaków - wydłużenie haseł do 8 i kombinacje cyfrowo-literowe plus znaki specjalne spowodowały konieczność zapisywania.

stosowanie takich zabezpieczeń na mało istotnych portalach spowodowało, uważam spadek skuteczności zabezpieczeń z uwagi na dublowanie haseł i zapisywanie ich. To klasyczny przypadek "wylania dziecka z kąpielą" ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Dodam, że to IT security sprowadziło na ludzi ten los. Minimalna długość hasła 8 znaków (a mogłoby być 32) wymuszona zmiana co 90 dni, wymagane użycie wielkich i małych liter, cyfr i znaków specjalnych skutkuje karteczką z hasłem. Pół biedy jeśli przyklejoną pod klawiaturą, bo zwykle jest gdzieś na widoku

Dokładnie.

Większość ludzi patrzy dość "wąsko".

Administrator widzi tylko swój serwis: nakazałem użytkownikom hasło 15 znaków, małe i wielkie, cyfry i znak specjalny, zmieniane co miesiąc. Jest bardzo bezpiecznie.

Użytkownik widzi wiele serwisów: nakazano mi pamiętać 25 różnych haseł, po 15 znaków, małe i wielkie litery, cyfry i znak specjalny i muszę to zmieniać. A w d*pie to mam. Naklejam kartkę :D (BTW. Jak widzę kobietę przy komputerze to jakoś automatycznie szukam kartki :D ) Panie są mądre, robią po swojemu, i nie zajmują się pierdołami.

Rdzenie są pewnym rozwiązaniem. Nawet bardzo dobrym w porównaniu do haseł sporej części populacji w rodzaju: tatata, qwerty1, aaaaaa, 12345 :D

Kiedyś pewien admin dał mi hasło do mojego zasobu na ftp: bodajże 12345

No to spróbowałem: user: admin, password: 12345 - poszło :D

Ludzie są leniwi i słusznie (do tego mamy mocno ograniczone poza wyjątkami możliwości zapamiętywania). Bo to oznacza postęp. A nie biurokracja.

Ale generalnie chyba nie unikniemy biometrii, bo to jest w miarę wygodne i jednak bezpieczniejsze niż hasła: aaaaaa

BTW2. A w sieciach akademickich to jeden pies czy hasło jest aaaaa czy ;jkfdsbvjdpoifj8o0dsugae98fue09gerjjg9reifwerp0g9erkjgf9iregejag

sniffer da radę :D tzn. dawniej dawał radę :)

Edytowane przez thikim

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Problem z biometrią jest taki, że jak „ukradną ci palec” czy cokolwiek innego, na czym dostęp jest oparty (czyli zdobędą wzorzec i technologia pozwoli na odtworzenie modelu), to jesteś przegrany już do końca życia.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

;jkfdsbvjdpoifj8o0dsugae98fue09gerjjg9reifwerp0g9erkjgf9iregejag

Miałem do wifi 31415926535897932384626433832795 rodzina mnie przeklinała bo trzeba mieć odpowiedni calc.exe. Taka tam zemsta geeka:)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

Problem z biometrią jest taki, że jak „ukradną ci palec” czy cokolwiek innego, na czym dostęp jest oparty (czyli zdobędą wzorzec i technologia pozwoli na odtworzenie modelu), to jesteś przegrany już do końca życia.

Pomógłby dostęp dwu etapowy - biometria i np. karta dostępu - taki klucz z "Limes Inferior".

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jak ukradną „palec”, to nie będzie już taki dwuetapowy. ;) A niech no wycieknie (na wzór dyskusji w innym temacie) baza kilku milionów skanów… Token czy hasło można wymienić. Ponowne zeskanowanie palca czy siatkówki do bazy nie zmieni już niczego.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...