The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Утечка резервных копий с данными пользователей LastPass"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от opennews (??), 23-Дек-22, 12:52 
Разработчики менеджера паролей LastPass, которым пользуется более 33 млн человек и более 100 тысяч компаний, уведомили пользователей об инциденте, в результате которого атакующим удалось получить доступ к резервным копиям хранилища с данными пользователей сервиса. Данные включали такие сведения, как имя, адрес, email, телефон и IP-адреса с которых был вход в сервис, а также непосредственно база паролей с незашифрованными именами сайтов и зашифрованными паролями к ним. Для защиты паролей использовалось шифрование AES с 256-разрядным ключом, генерируемым с использованием функции PBKDF2 на основе известного только пользователю мастер-пароля, размером минимум 12 символов (шифрование и расшифровка паролей осуществляется только на стороне пользователя)...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58379

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (1), 23-Дек-22, 12:52 
>33 млн человек

По количеству неуникальных загрузок считали?

Ответить | Правка | Наверх | Cообщить модератору

2. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от axsmak (?), 23-Дек-22, 12:55 
Тут о пользователях, скорее, нежели о загрузках
Ответить | Правка | Наверх | Cообщить модератору

3. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (3), 23-Дек-22, 12:56 
На сайте у них не уточняется, пишут
33+ million People secure passwords with LastPass
100,000+ Businesses choose LastPass
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Утечка резервных копий с данными пользователей LastPass"  +6 +/
Сообщение от mumu (ok), 23-Дек-22, 13:00 
Скоро узнаем у какого числа пользователей были сложные генерируемые пароли к сервисам и пароль двенадцать единичек на базу lastpass.
Ответить | Правка | Наверх | Cообщить модератору

19. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от FSark (?), 23-Дек-22, 13:49 
Вы хотели сказать, скоро узнаем, как быстро пачка 4090 покажет подбор паролей?)
Ответить | Правка | Наверх | Cообщить модератору

164. "Утечка резервных копий с данными пользователей LastPass"  –3 +/
Сообщение от Аноним (164), 23-Дек-22, 22:47 
Не сильно быстрее чуть большей пачки 3090. Квантовой революции и даже кратного превосходства не случилось, меньше читайте советских газет.
Ответить | Правка | Наверх | Cообщить модератору

205. "Утечка резервных копий с данными пользователей LastPass"  +2 +/
Сообщение от Бывалый смузихлёб (?), 24-Дек-22, 15:06 
Так тО буржуинские газеты обещали

Хотя реальный прирост производительности вычислений 4090 против 3090 ti пока не раскрыт
Похоже, что чаша весов снова у амуде - медленней, но хоть памяти больше

Ответить | Правка | Наверх | Cообщить модератору

251. "Утечка резервных копий с данными пользователей LastPass"  –1 +/
Сообщение от Аноним (-), 25-Дек-22, 22:22 
> даже кратного превосходства не случилось,

Глава роскосмоса тоже так думал...

Ответить | Правка | К родителю #164 | Наверх | Cообщить модератору

173. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от абв (?), 24-Дек-22, 01:09 
Каким образом? Или метод получения шифра общеизвестен?
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

175. "Утечка резервных копий с данными пользователей LastPass"  –1 +/
Сообщение от Аноним (175), 24-Дек-22, 01:30 
Погодь, ща он 100 миллионов хешей брутанёт и всё расскажет.
Ответить | Правка | Наверх | Cообщить модератору

203. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от абв (?), 24-Дек-22, 14:15 
Да я не об этом.

Ну вот шифруются данные на стороне клиента по известному алгоритму - ок, по этим шифрованным данным можно прогнать брут.

Но почему подразумевается, что в базе эти шифрованные данные лежат как есть без дополнительной криптографии над ними? Т.е. данные которые слили шифрованы дважды (на клиенте и на сервере).

Ответить | Правка | Наверх | Cообщить модератору

209. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (209), 24-Дек-22, 19:42 
А с чего Вы решили, что бекаповской базе эти данные лежат еще раз зашифрованные?
Кому это надо?
Вам? Вот Вы и шифруйте!
Ответить | Правка | Наверх | Cообщить модератору

232. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от абв (?), 25-Дек-22, 00:51 
Не понял, где я что-то решил?

Я спрашиваю - каким образом вы (вернее, mumu), собирается скоро узнать количество пользователей, которые используют "пароль двенадцать единичек на базу lastpass"?

А он либо а) решил, что данные не зашифрованы; либо б) у него есть алгоритм получения шифра для данных, которые лежат в бд.

Ответить | Правка | Наверх | Cообщить модератору

254. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от товарищ майор (?), 26-Дек-22, 14:15 
Просто пройти брутом по базе с таблицей наиболее популярных паролей.

Даже если данные дополнительно шифровались на стороне сервера, то пароль должен лежать там же, в бэкапах. Ну может быть в бэкапе не БД, а самого приложения, но он там должен быть! Тупо для того, чтобы не вводить этот пароль ручками при каждой перезагрузке app-сервера.

Ответить | Правка | Наверх | Cообщить модератору

260. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от абв (?), 26-Дек-22, 22:48 
Ничто не мешает разработчикам дополнительно сделать таблицу "пароли_для_бд" и там хранить всякое дерьмо (как раз на случай, если база утечёт), а реально шифровать в несколько прогонов, используя пароль по типу "ид_записи:ид_пользователя:время_регистрации_пользователя:время_изменения_записи:и_т_д" + соль, где соль - запись из таблицы "пароли_для_бд" (придумать можно всякого).

И если утекла кодовая база (т.е. как я сказал ранее - метод получения шифра общеизвестен), то этот вопрос снимается - именно его я и задавал.

Если же у вас чёрный ящик, то можно бесконечно строить догадки и гонять брут впустую.

Ответить | Правка | Наверх | Cообщить модератору

5. "Утечка резервных копий с данными пользователей LastPass"  +3 +/
Сообщение от Шарп (ok), 23-Дек-22, 13:04 
>имя, адрес, email, телефон и IP-адреса

А зачем они это хранили у себя?

Ответить | Правка | Наверх | Cообщить модератору

11. "Утечка резервных копий с данными пользователей LastPass"  +2 +/
Сообщение от Аноним (11), 23-Дек-22, 13:19 
Как — зачем? Письмо для восстановления аккаунта посылать. Бумажное. В довесок к электронному. Половина ответа там, половина там.
Ответить | Правка | Наверх | Cообщить модератору

34. "Утечка резервных копий с данными пользователей LastPass"  –1 +/
Сообщение от Аноним (34), 23-Дек-22, 14:53 
Олухи, надо было по биометрии.
Ответить | Правка | Наверх | Cообщить модератору

85. "Утечка резервных копий с данными пользователей LastPass"  +6 +/
Сообщение от пох. (?), 23-Дек-22, 17:29 
Ага, присылаешь им свое ухо, или там - пару пальцев - тебе отправляют твой пароль.
Ответить | Правка | Наверх | Cообщить модератору

88. "Утечка резервных копий с данными пользователей LastPass"  –4 +/
Сообщение от Аноним (88), 23-Дек-22, 17:35 
В банкоматах уже можно снимать деньги без карты по фейс айди. На работе двери по отпечатку пальцев.
Ответить | Правка | Наверх | Cообщить модератору

93. "Утечка резервных копий с данными пользователей LastPass"  +4 +/
Сообщение от Злой по Пятницам (?), 23-Дек-22, 18:21 
> В банкоматах уже можно снимать деньги без карты по фейс айди. На
> работе двери по отпечатку пальцев.

Ну, теперь плохиши тебе не только палец оттяпают, да ещё и морду отпилят!

Ответить | Правка | Наверх | Cообщить модератору

105. "Утечка резервных копий с данными пользователей LastPass"  +3 +/
Сообщение от плохиш (?), 23-Дек-22, 19:18 
В лайт-варианте - дам ему в табло - и он еще и денег хер снимет!

Ответить | Правка | Наверх | Cообщить модератору

149. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от prokoudineemail (ok), 23-Дек-22, 22:14 
С чужим оттяпанным пальцем ты нигде не залогинишься. Это только в кино так работает.
Ответить | Правка | К родителю #93 | Наверх | Cообщить модератору

153. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Плохиш (?), 23-Дек-22, 22:20 
Если нагреть?
Ответить | Правка | Наверх | Cообщить модератору

155. "Утечка резервных копий с данными пользователей LastPass"  –1 +/
Сообщение от prokoudineemail (ok), 23-Дек-22, 22:24 
> Если нагреть?

Это не вопрос температуры, это вопрос наличия электрических импульсов в тканях.

Алсо, фокус с вырванным глазом тоже не работает — он вне глазницы быстро деформируется. Плюс там есть проверка на то, живой ли человек.

Ответить | Правка | Наверх | Cообщить модератору

157. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Её гёрлфрендендка (?), 23-Дек-22, 22:25 
А можно для самых мальенких? Эдектрошоком не выйдет?
Ответить | Правка | Наверх | Cообщить модератору

177. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от vitalif (ok), 24-Дек-22, 02:17 
Каких импульсов? Там вроде аналогично емкостному экрану всё. Т.е. просто утечка тока в палец.

А как стилус на емкостном экране прекрасно работает, например, сосиска.

Кроме емкостного ещё есть ультразвуковой, но один хрен он просто поверхность сканирует. А не "наличие электрических импульсов в тканях".

Ответить | Правка | К родителю #155 | Наверх | Cообщить модератору

183. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от prokoudineemail (ok), 24-Дек-22, 03:25 
Емкостные сенсоры активируются электрическим током в пальце. Нет тока - нет активации.
Ответить | Правка | Наверх | Cообщить модератору

194. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Первая Буква (?), 24-Дек-22, 10:09 
Колись, сколько ампер у тебя в пальце?
Ответить | Правка | Наверх | Cообщить модератору

198. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от vitalif (ok), 24-Дек-22, 11:33 
> Емкостные сенсоры активируются электрическим током в пальце. Нет тока - нет активации.

А в сосиске?

Ответить | Правка | К родителю #183 | Наверх | Cообщить модератору

214. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (214), 24-Дек-22, 21:36 
Это ток зарядки ёмкости. Достаточно добиться электрического контакта между обрубком пальца и телом преступника и такой же ток будет.
Ответить | Правка | К родителю #183 | Наверх | Cообщить модератору

272. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (272), 30-Дек-22, 19:20 
> Емкостные сенсоры активируются электрическим током в пальце. Нет тока - нет активации.

Этот ток возникает от перезаряда емкостей. И самому по себе сенсору похрен что там на самом деле. Хоть железка, если за ней достаточная емкость. Другое дело что в кнопках с сканером пальца еще подобие камеры есть, сканирующее рисунок на пальце.

Если задаться такой целью и то и другое вполне реально обмануть. А что до фэйсid во первых не понятно насколько это сложно подделать. Во вторых иногда может быть проще отдать карту и даже пин сказать если там не сильно много - и свалить восвояси пока цел. А с фэйсайди придется заложником быть, что сильно менее  круто.

Ответить | Правка | К родителю #183 | Наверх | Cообщить модератору

253. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от X86 (ok), 26-Дек-22, 09:32 
С пальцем то какие проблемы? Он и оторванный от прежнего владельца проводит электричество, в том числе импульсы к новому владельцу и в землю)
Ответить | Правка | К родителю #155 | Наверх | Cообщить модератору

273. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (-), 30-Дек-22, 19:48 
> С пальцем то какие проблемы? Он и оторванный от прежнего владельца проводит
> электричество, в том числе импульсы к новому владельцу и в землю)

А вон кстати прикольные примеры как нейросетки можно обламывать. Вон чуваки свитер-невидимку сделали, который нейросети в антикражной системе дурачит. С этим свитером система вообще это за человека не считает - что хотите то и делайте, железному церберу уже пофиг.

А вот пальто-невидимка. Вроде ничерта особого, но охранка с нейросеткой вот там подписывает что человек, а вот это - считает элементом пейзажа. В общем кто там шапку-невидимку хотел? Првда, оказались свитер и пальто, но мало ли, может и шапка прокатит если постараться.

Ответить | Правка | Наверх | Cообщить модератору

255. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от товарищ майор (?), 26-Дек-22, 14:44 
Это зависит от модели считывателя и реализованных функций на стороне ПО.
Видел одну СКУД на картах Mifare (которая считалась тогда безопасной), которая из всего стандарта взяла только идентификацию по номеру карты. В итоге я пару дней ходил по территории завода с копией карты генерального директора (допуск у меня и так был, просто в логах были чужие ФИО). Потом надоело, сдал безопасникам.
Так эти удоды сказали, что я слишком умный и ни кто эту уязвимость применять не будет (разрабам естественно ни слова не написали), а там химии всякой интересной на территории...
В общем, к чему я это? К тому, что наличие возможности оборудования проверять, живой ли палец\глаз или это всего-лишь силиконовый болван, вовсе не означает того, что конкретный банкомат\СКУД реализует его в полной мере. И даже если железо+софт позволяют, то из-за высокой доли ошибок, могут в админке отключить (как это в последних pixel-ях делают).
Ответить | Правка | К родителю #149 | Наверх | Cообщить модератору

107. "Утечка резервных копий с данными пользователей LastPass"  +3 +/
Сообщение от анон (?), 23-Дек-22, 19:33 
>В банкоматах уже можно снимать деньги без карты по фейс айди.

Ага, и присутствие владельца не обязательно.

Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

166. "Утечка резервных копий с данными пользователей LastPass"  +5 +/
Сообщение от Аноним (164), 23-Дек-22, 22:55 
А потом утечёт биометрия. Отпечаток пальца ты поменять не сможешь, а банкиры/владельцы магазинов не будут менять старые сканеры по финансовым причинам.
На форумах будут гулять базы "где какой сканер используется и какая дешёвая техника эмуляции пальца/глаза работает", а виновным, крайним и одновременно жертвой сделают пользователя.
Удачи выжить в этом биометрическом мире.
Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору

168. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (168), 23-Дек-22, 23:33 
блжад ты так говоришь как будто это я биометрию придумал
Ответить | Правка | Наверх | Cообщить модератору

6. "Утечка резервных копий с данными пользователей LastPass"  +54 +/
Сообщение от Аноним (6), 23-Дек-22, 13:10 
LostPass.
Ответить | Правка | Наверх | Cообщить модератору

7. "Утечка резервных копий с данными пользователей LastPass"  –2 +/
Сообщение от Аноним (7), 23-Дек-22, 13:12 
Процентов 10 действительно хорошие пароли, а все остальные наверняка что-то типа qwerty или 12345. Иногда тоже думаю может и мне стоит поменять свой пароль на вход в систему из 38 символов на что-то полегче.
Ответить | Правка | Наверх | Cообщить модератору

37. "Утечка резервных копий с данными пользователей LastPass"  +3 +/
Сообщение от Аноним (37), 23-Дек-22, 14:59 
38 символов "A" в ряд? :D
Ответить | Правка | Наверх | Cообщить модератору

207. "Утечка резервных копий с данными пользователей LastPass"  +3 +/
Сообщение от Аноним (207), 24-Дек-22, 15:19 
Это наверное для _ввода_ похуже, чем строчка на 38 символов из стишка или рассказа какого. Эту "A" ведь пересчитывать надо при вводе.
Ответить | Правка | Наверх | Cообщить модератору

9. "Утечка резервных копий с данными пользователей LastPass"  +4 +/
Сообщение от pashev.ru (?), 23-Дек-22, 13:16 
Зачем кейлогеры, если люди сами свои пароли сливают?
Ответить | Правка | Наверх | Cообщить модератору

16. "Утечка резервных копий с данными пользователей LastPass"  +6 +/
Сообщение от Аноним (16), 23-Дек-22, 13:39 
Уязвимость by design случилась-таки. Лет эдак десять назад тоже пользовался, но потом поумнел немножко.
Ответить | Правка | Наверх | Cообщить модератору

145. "Утечка резервных копий с данными пользователей LastPass"  +5 +/
Сообщение от Аноним (145), 23-Дек-22, 22:10 
Ни разу не пользовался, был умным с самого начала ☝
Ответить | Правка | Наверх | Cообщить модератору

152. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (145), 23-Дек-22, 22:19 
Пароли все разные, на бумажке, в огнеупорном сейфе.
Ответить | Правка | Наверх | Cообщить модератору

156. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Её гёрлфрендендка (?), 23-Дек-22, 22:24 
МЫ же конечно изучил состав чернил и как они поведут себя в закрытом пространстве?
Ответить | Правка | Наверх | Cообщить модератору

206. "Утечка резервных копий с данными пользователей LastPass"  +2 +/
Сообщение от Бывалый смузихлёб (?), 24-Дек-22, 15:13 
Пиши карандашом
Судя по старым бумагам, они лишь пожелтеют, а графиту с глиной - и вовсе ничего не будет
Ответить | Правка | Наверх | Cообщить модератору

22. "Утечка резервных копий с данными пользователей LastPass"  –9 +/
Сообщение от Аноним (22), 23-Дек-22, 14:02 
gitlab/github + KeePass шифрованный файл с паролями + alias на команды git commit && git push и git pull. Все можно завернуть в cron. Несколько репозиториев git как резервные копии.
Ответить | Правка | Наверх | Cообщить модератору

27. "Утечка резервных копий с данными пользователей LastPass"  +6 +/
Сообщение от Аноним (27), 23-Дек-22, 14:29 
и чем это отличается от того, что у lastpass?
Ответить | Правка | Наверх | Cообщить модератору

42. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (88), 23-Дек-22, 15:10 
KepassXC в Dropbox и настроенная KeeShare.
Ответить | Правка | Наверх | Cообщить модератору

47. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Аноним (27), 23-Дек-22, 15:13 
это не ответ. в чем принципиальная разница? точно так же хранишь зашифрованные данные в облаке, как и у lastpass
Ответить | Правка | Наверх | Cообщить модератору

63. "Утечка резервных копий с данными пользователей LastPass"  –1 +/
Сообщение от Аноним (88), 23-Дек-22, 15:43 
Нет это ты мне ответь, в чем проблема?
Ответить | Правка | Наверх | Cообщить модератору

94. "Утечка резервных копий с данными пользователей LastPass"  +7 +/
Сообщение от Злой по Пятницам (?), 23-Дек-22, 18:24 
> Нет это ты мне ответь, в чем проблема?

Как сказал один мудрый человек: Облако это термин придуманный маркетолухами, если читать на человеческом это просто значит - чужой компьютер.
Следствие сам выведешь или тоже треба пояснять?!

Ответить | Правка | Наверх | Cообщить модератору

106. "Утечка резервных копий с данными пользователей LastPass"  –4 +/
Сообщение от Аноним (168), 23-Дек-22, 19:24 
Ну а если у меня нет денег или времени делать своё облако со своим впн но я надеюсь что мой дропбокс аккаунт не взламают а если взламают то не смогут взламать базу? Конечно селфхост предпочтителен, но не всегда оправдан.
Ответить | Правка | Наверх | Cообщить модератору

250. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 25-Дек-22, 18:49 
> Ну а если у меня нет денег

Тогда возвращаемся к исходному вопросу?

lastpass вероятно не НАСТОЛЬКО плох.

> со своим впн но я надеюсь что мой дропбокс аккаунт не
> взламают

просто сопрут, ага.

> а если взламают то не смогут взламать базу? Конечно селфхост

могут повредить или удалить. Тоже интересное приключение.

> предпочтителен, но не всегда оправдан.

Нет. Твой компьютер в стойке и сети чужих дядей. Или не совсем даже и твой. А еще он может сломаться или залиться водой при пожаре.
Опять же можно предположить что лист в лесу не найдут именно твой, особенно если ты неуловимый джо, а не какой-нибудь разработчик palemoon, например, которым специально интересуются.

Но с тем же если не большим успехом можно предположить что твой ластьпась не найдут или не взломают в обозримое время даже если и нашли. Просто не используй 12 символов A как пароль - набирать неудобно.
А когда и если - то пусть паролем от порнхаба подавятся.

Ответить | Правка | Наверх | Cообщить модератору

257. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от товарищ майор (?), 26-Дек-22, 14:56 
Дропбокс, как и любое удалённое хранение файла keepass-а, плох тем, что позволяет собрать н-ное количество версий файла keepass, зашифрованных одним и тем же ключом. Как следствие, увеличивается шанс подобрать пароль.
Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

68. "Утечка резервных копий с данными пользователей LastPass"  +4 +/
Сообщение от Аноним (68), 23-Дек-22, 16:00 
Не тот анон, но отвечу.

Не надо давать адреса, имена, номера кредиток и вот это вот всё.

Шифрование и дешифрование происходит локально и только локально без всяких "мы обещаем".

Гибкие настройки (в плане той же функции преобразования ключа, например, у KeePass есть Argon2, который устойчив ко всем этим элкомсофтам с их ГПУ и асикам за счёт использования настраиваемо-больших объёмов памяти в отличие от PBKDF2)

Легко можно переносить данные и хранить дополнительные бэкапы на внешних носителях и дополнительных серверах. Интернет вообще не обязателен.

KeePass (оригинальный клиент) проходил секьюрити ревью.

Весь софт необходимый софт опенсорсен и прозрачен.

Телеметрия сведения к минимуму, если вообще есть.

А, и как я понимаю, ластпасс не полностью шифровал данные - какие-то из них оставались в открытом виде для "удобства использования" и, соответственно, попали в руки злоумышленников. Даже утечка незашифрованных данных вроде логинов (который часто имейл или телефонный номер) или URLов (используемые сервисы) представляют ценность для спамеров и мошенников. База KeePass полностью зашифрована.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

134. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (134), 23-Дек-22, 21:29 
KepassXC довольно легко модифицировать так, чтобы при потере базы никто не знал в какую часть пароля добавлена "соль". Элементарное действие, но такая база будет интересна для нападающего только в том случае, если речь идёт о каком-нибудь реально крупном потенциальном "доходе". Иначе, стоимость взлома небольшого количества паролей может оказаться соизмеримой с бюджетом отдельных государств.
Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

142. "Утечка резервных копий с данными пользователей LastPass"  –1 +/
Сообщение от Аноним (168), 23-Дек-22, 22:05 
>KepassXC довольно легко модифицировать

И что делать? Я нехочу чтобы мой KepassXC модифифировали.

Ответить | Правка | Наверх | Cообщить модератору

176. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (134), 24-Дек-22, 01:55 
> И что делать? Я нехочу чтобы мой KepassXC модифифировали.

Не хочешь, не модифицируй. В чём проблема то?.... Пользуйся тем, который дают готовым. Если захочешь - возьми исходники и поправь...

Ответить | Правка | Наверх | Cообщить модератору

185. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (185), 24-Дек-22, 03:49 
> в Dropbox
> в Dropbox
> в Dropbox
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

240. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (88), 25-Дек-22, 13:32 
А чем плох?
А чем плох?
А чем плох?
Ответить | Правка | Наверх | Cообщить модератору

258. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от товарищ майор (?), 26-Дек-22, 15:00 
Тем, что при утечке пароля или бэкапов dropbox-а, возможно собрать несколько версий твоего kdbx-файла и гораздо быстрее взломать его, чем делать тоже самое по одной единственной версии.
Более того, если кражу флешки из своего кармана ты заметишь, то кражу аккаунта dropbox можно и прозевать.
Ответить | Правка | Наверх | Cообщить модератору

259. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Аноним (68), 26-Дек-22, 21:44 
>возможно собрать несколько версий твоего kdbx-файла и гораздо быстрее взломать его, чем делать тоже самое по одной единственной версии.

Это вряд ли. Plain text для "внешнего" AES - это не сами данные, а данные,  уже зашифрованные меняющимся при каждом сохранении случайным ключом с помощью шифра Salsa20/ChaCha20, так что даже если просто пересохранить файл базы без изменений, то новый файл не будет иметь с предыдущим ничего общего.

Ответить | Правка | Наверх | Cообщить модератору

276. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от товарищ майор (?), 09-Янв-23, 11:52 
>>возможно собрать несколько версий твоего kdbx-файла и гораздо быстрее взломать его, чем делать тоже самое по одной единственной версии.
> Это вряд ли. Plain text для "внешнего" AES - это не сами
> данные, а данные,  уже зашифрованные меняющимся при каждом сохранении случайным
> ключом с помощью шифра Salsa20/ChaCha20, так что даже если просто пересохранить
> файл базы без изменений, то новый файл не будет иметь с
> предыдущим ничего общего.

Кроме мастер-ключа... В этом и суть атаки. С каждой новой копией файла Вы сокращаете время атаки брутфорсом.

Ответить | Правка | Наверх | Cообщить модератору

178. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от vitalif (ok), 24-Дек-22, 02:20 
Вероятно тем, что таким образом БАЗЫ ВСЕХ ПОЛЬЗОВАТЕЛЕЙ не лежат в ОДНОМ месте))
Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

66. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Аноним (-), 23-Дек-22, 15:48 
Syncthing между двух и более СВОИХ устройств.
Главное сохранять после редактирования и закрывать приложение.
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

262. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Анонимemail (262), 27-Дек-22, 00:00 
Это опасно: если синкфинг затупит, можно остаться без паролей. Нужна диверсификация по технологиям, т. е. обязательно хранить пару бекапов на другой технологии.
Ответить | Правка | Наверх | Cообщить модератору

265. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (265), 27-Дек-22, 23:27 
В общем согласен с вами. Хотя вероятность мала.

Syncthing позволяет версионирование (или как там его). И прочие плюшки.
Самое простое, скриптом по крону, chattr -i filename.verN на все предыдущие версии файлов. Но тогда syncthing не сможет ими управлять.

И не только по технологиям, но и по носителям, и по разным домам на случай пожара :(

А еще https://www.opennet.dev/opennews/art.shtml?num=55773
ну так, на всякий случай. А то забудешь мастер пароль, с утра в понедельник. Вот хохма то будет ;)

Спс.

Ответить | Правка | Наверх | Cообщить модератору

266. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Анонимemail (262), 28-Дек-22, 01:11 
> В общем согласен с вами. Хотя вероятность мала.

В принципе да, я тоже согласен. Просто у меня лично уже syncthing один раз испортил файл. Так-то ничего страшного, но потерять пароли из-за такого не хочется.

> А еще https://www.opennet.dev/opennews/art.shtml?num=55773
> ну так, на всякий случай. А то забудешь мастер пароль, с утра
> в понедельник. Вот хохма то будет ;)

Ну та штука -- это вообще круто :) Правда, очень далеко от конечного пользователя, никто не будет таким заморачиваться. Если постоянно вводишь пароль от базы паролей, то забыть его сложно...

Ответить | Правка | Наверх | Cообщить модератору

267. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (267), 28-Дек-22, 10:04 
Надеюсь у Вас все в достаточной степени под контролем, и здоровье тоже желаю!
А конечный пользователь, он подойдет к админу, и админ ему поможет. Чем сможет ;)

У меня, к счастью, нет такой серьёзности в жизни, что бы все это так серьёзно настраивать.

Ответить | Правка | Наверх | Cообщить модератору

268. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Анонимemail (262), 28-Дек-22, 13:30 
> Надеюсь у Вас все в достаточной степени под контролем, и здоровье тоже
> желаю!
> А конечный пользователь, он подойдет к админу, и админ ему поможет. Чем
> сможет ;)
> У меня, к счастью, нет такой серьёзности в жизни, что бы все
> это так серьёзно настраивать.

И вам добра :)

Ответить | Правка | Наверх | Cообщить модератору

95. "Утечка резервных копий с данными пользователей LastPass"  +4 +/
Сообщение от Мимокрокодил (?), 23-Дек-22, 18:26 
> gitlab/github + KeePass шифрованный файл с паролями + alias на команды git
> commit && git push и git pull. Все можно завернуть в
> cron. Несколько репозиториев git как резервные копии.

На щитхабах и прочих АБЛАКАХ можно хранить только то, что ты и так будешь кому-то показывать, то бишь - опенсорц.
Хранящие там что-то чувствительное - ССЗБ!

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

23. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (-), 23-Дек-22, 14:16 
Пользуйтесь менеджерами паролей, говорили они.
Ответить | Правка | Наверх | Cообщить модератору

96. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Yakorinmouseduppa (?), 23-Дек-22, 18:28 
> Пользуйтесь менеджерами паролей, говорили они.

А причём тут менеджер паролей, если в стетье какой-то говносервис, который честно-честно пообещал суперсикурно хранить чужие данные, мамой и Аллахом поклялись.

Ответить | Правка | Наверх | Cообщить модератору

143. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (145), 23-Дек-22, 22:07 
> Разработчики менеджера паролей LastPass

Действительно, при чём

Ответить | Правка | Наверх | Cообщить модератору

179. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (164), 24-Дек-22, 02:42 
Петров и Сидоров неправильно составили термодинамическое уравнение. Они обещали что все у них правильно.
Не пользуйтесь физикой - она сломана.
Действительно, при чем здесь физика?
Ответить | Правка | Наверх | Cообщить модератору

263. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Анонимemail (262), 27-Дек-22, 00:03 
Если сформулировать в общем плане: используйте разные пароли для разных сервисов и храните их надёжно, что бы их не потерять.

Как эту задачу решить? Есть разные методы, некоторые очень экзотические. Но самое лучшее для обывателя -- менеджер паролей. А от себя добавлю: лучше не какой-то мутный сервис от дяди, а keepass.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

24. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Аноним (24), 23-Дек-22, 14:19 
Никогда не пользовался менеджерами паролей и не буду.
Ответить | Правка | Наверх | Cообщить модератору

43. "Утечка резервных копий с данными пользователей LastPass"  +4 +/
Сообщение от Аноним (88), 23-Дек-22, 15:11 
В браузере хранишь парольчики?
Ответить | Правка | Наверх | Cообщить модератору

52. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от ИмяХ (?), 23-Дек-22, 15:23 
У многих людей есть такая штука, называется "Мозг". В нём можно хранить не только пароли, но и другую информацию.
Ответить | Правка | Наверх | Cообщить модератору

64. "Утечка резервных копий с данными пользователей LastPass"  +4 +/
Сообщение от Аноним (88), 23-Дек-22, 15:44 
И сколько паролей ты хранишь в своём мозгу и какая у них энтропия и как часто ты их меняешь? Что там про мозг?
Ответить | Правка | Наверх | Cообщить модератору

108. "Утечка резервных копий с данными пользователей LastPass"  –1 +/
Сообщение от ip1982 (ok), 23-Дек-22, 19:34 
Тебе зачем?
Ответить | Правка | Наверх | Cообщить модератору

124. "Утечка резервных копий с данными пользователей LastPass"  +3 +/
Сообщение от Аноним (168), 23-Дек-22, 20:02 
Ну чтобы было наглядно ясно, что челвоеческий моск это так себе носитель информации. Уже сохраненную информацию можно потерять очень легко, перезапись информации тоже очень затруднительный процесс. Сколько раз надо было в детстве повторить стих чтобы запомнить? А на дискеты один раз записал, убрал и все.
Ответить | Правка | Наверх | Cообщить модератору

189. "Утечка резервных копий с данными пользователей LastPass"  –1 +/
Сообщение от Аноним (185), 24-Дек-22, 04:01 
У меня на mail.ru (ну да, ошибки молодости) более десяти лет был пароль из пяти строчных латинских символов.  О его энтропии я даже говорить боюсь.
Если бы мейлру не вскобенился по поводу «безопасности», этот пароль был бы у меня и по сию пору. Надо сказать следующее: никто, вообще никто ни разу его не «ломал». Как и все мои остальные пароли, которые были чуть посложнее, но лишь чуть.
Свою энтропию засуньте в одно место, там ей и место (Хокинг не даст соврать).
Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

76. "Утечка резервных копий с данными пользователей LastPass"  +7 +/
Сообщение от пох. (?), 23-Дек-22, 16:49 
Ныкаемся, ныкаемся пацанчики - опять тот мальчик с феноменальной памятью!

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

87. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (88), 23-Дек-22, 17:34 
Я не знаю сколько паролей можно запомнить и какая энтропия у них будет.
Ответить | Правка | Наверх | Cообщить модератору

278. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (278), 13-Янв-23, 19:41 
"ПРЕДУПРЕЖДЕНИЕ: В сообщении используется неприемлемая лексика."
И где же? Опять гуглоязъ. рим перешёл черту и был сломан!

Я помню как я в детстве обос_рался, и не раз. И каждый кто не помнит, на его словах, лжец. Всё помнит, просто делает вид... А память это то, что есть, внезависимости от хотения. Так как и есть всё.

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

264. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от burjui (ok), 27-Дек-22, 02:57 
Например, в мозге можно хранить информацию о местоположении бумажки со сложными паролями. Но лучше, конечно, пароль от зашифрованной базы KeePassXC.
Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

53. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Аноним (53), 23-Дек-22, 15:23 
В бумажке, приклеенной снизу лотка CD-ROM
Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

61. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (61), 23-Дек-22, 15:37 
Хм, а это мысль!
Ответить | Правка | Наверх | Cообщить модератору

65. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Аноним (88), 23-Дек-22, 15:45 
И как часто ты достаешь эту бумажку?
Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

77. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 23-Дек-22, 16:50 
Лоток у подставки под кофе давно отломан и на столе лежит.

(потому что комп с сидиромом да еще работающим сейчас найти - надо старатцо)

Ответить | Правка | Наверх | Cообщить модератору

86. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Аноним (88), 23-Дек-22, 17:32 
Ты не ответил на вопрос. Вас этому обучают?
Ответить | Правка | Наверх | Cообщить модератору

89. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 23-Дек-22, 17:56 
Ну я, во-первых, другой аноним.
Во-вторых, чего тебе непонятно - если лоток на столе валяется, то доставать ничего не надо, уже достался окончательно и бесповоротно.

В принципе, я пожалуй применю идею - а то валяющиеся на столе бумажки с паролями то сквозняк сдувает, то пылесосом засосет. Надо клеить к чему-то надежному.

Ответить | Правка | Наверх | Cообщить модератору

110. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (168), 23-Дек-22, 19:37 
Я всё тот же аноним, я к тому что надо же переодически менять пароли. С бумажкой как быть? От руки пишите или для лучше распознования на печатной машинке набираете текст?
Ответить | Правка | Наверх | Cообщить модератору

128. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (53), 23-Дек-22, 20:27 
Записывать ручкой на бумажке страницу и строку из советского энциклопедического словаря
Ответить | Правка | Наверх | Cообщить модератору

141. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (168), 23-Дек-22, 22:04 
не знаком с такой шифрограммой.
Ответить | Правка | Наверх | Cообщить модератору

163. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от пох. (?), 23-Дек-22, 22:45 
> Я всё тот же аноним, я к тому что надо же переодически менять пароли.

Зачем? Один из паролей у меня не меняется уже 20 лет. Другие системы или учетки просто не жили так долго.

Но я тебе подскажу вариант от знакомых тетенек из не-ит конторы которых горе-админ заставил менять пароли раз в неделю, еще и с требованиями "неповторяемости": мойсуперсисюрныйпароль1234567890
Дальше тетеньки просто зачеркивали цифры по одной. Да-да, на стикере приклееном к монитору.
Ну да, раз в три месяца вешали посвежее. Может даже меняли первую часть...хотя, конечно, вряд ли.

Кстати, у нас весь офис так делает. Хотя по идее они никогда не должны были пересечься с теми тетками.

Ответить | Правка | К родителю #110 | Наверх | Cообщить модератору

99. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (53), 23-Дек-22, 18:53 
Никогда - настоящие пароли в кактусе
Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

104. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 23-Дек-22, 19:17 
О, спасибо, хорошая идея! Пожалуй, подожду еще выбрасывать опунцию.

(не, не в том смысле что не найдут)

Ответить | Правка | Наверх | Cообщить модератору

125. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Анони (?), 23-Дек-22, 20:03 
Для одного-единственного пароля действительно незачем.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

29. "Утечка резервных копий с данными пользователей LastPass"  +9 +/
Сообщение от th3m3 (ok), 23-Дек-22, 14:34 
>На скомпрометированных облачных серверах размещались полные резервные копии данных рабочего сервиса.

Облака это круто, говорили они)

Ответить | Правка | Наверх | Cообщить модератору

33. "Утечка резервных копий с данными пользователей LastPass"  +4 +/
Сообщение от Аноним (34), 23-Дек-22, 14:52 
А в сочетании с closed source ваще огонь!
Ответить | Правка | Наверх | Cообщить модератору

213. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от InuYasha (??), 24-Дек-22, 21:36 
Облака угарного газа, практически.
Ответить | Правка | Наверх | Cообщить модератору

45. "Утечка резервных копий с данными пользователей LastPass"  –2 +/
Сообщение от Аноним (88), 23-Дек-22, 15:12 
Храню в Dropbox базы KepassXC, что я делю не так?
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

51. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от . (?), 23-Дек-22, 15:21 
Надо свою базу делать и шифровать, а потом хоть в яндекс диськ
Ответить | Правка | Наверх | Cообщить модератору

69. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (88), 23-Дек-22, 16:03 
В Keepass xc можно не свою базу сделать?
Ответить | Правка | Наверх | Cообщить модератору

70. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (68), 23-Дек-22, 16:09 
Вот это как раз плохой совет. Делать работу связанную с компьютерной безопасностью надо, имея для этого соответствующие знания, а также код ревью со стороны.
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

71. "Утечка резервных копий с данными пользователей LastPass"  –2 +/
Сообщение от Аноним (88), 23-Дек-22, 16:11 
Ну так что плохого то в Dropbox хранить базу Keepass XC?
Ответить | Правка | Наверх | Cообщить модератору

72. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (68), 23-Дек-22, 16:15 
> Ну так что плохого то в Dropbox хранить базу Keepass XC?

Это не ко мне вопрос, я не утверждал, что это плохо. Я говорю, что плохо пытаться изобрести свой собственный менеджер паролей, который никто со стороны не смотрел.

Ответить | Правка | Наверх | Cообщить модератору

181. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (164), 24-Дек-22, 02:51 
Это зависит от многих факторов. Думаю все что сложнее xor для личного пользования без доступов на миллионы денег вполне примененимо. Что же касается продакшена, то там скорее работает принцип коллективной ответственности наоборот: "это не мы виноваты, это ращраьричики либы, которую даже в гугл используют, накосячили; все так делают и мы так делали".
Ответить | Правка | Наверх | Cообщить модератору

98. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от oficsu (ok), 23-Дек-22, 18:52 
Не используешь syncthing, позволяющий синхронизировать данные лишь p2p, не храня на чужих серверах, и не позволяющий забанить тебя со стороны сервиса, если покажешься им подозрительным
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

169. "Утечка резервных копий с данными пользователей LastPass"  –1 +/
Сообщение от пох. (?), 23-Дек-22, 23:40 
Как у сцынкфигни самой-то с аудитом безопасности, надежностью работы, переносимостью, кстати?

Правильный ответ - а никак. 100меговая игогошная (т.е. работает только там где есть игого распоследней версии) блоатварь с миллиардом зависимостей-зависимостей скачивающихся наполовину напрямую с шитхаба.

Лично мне это запускать-то на своей системе было бы стремно, не то что пользоваться для паролей.

> и не позволяющий забанить тебя со стороны сервиса, если покажешься им подозрительным

еще как позволяющий, если ты не озаботишься, конечно, собственным релеем и собственным discovery сервером (в версии для ведроида переключиться на них можно только после того как оно уже подключится к чужим и как минимум засветит тебя там). И еще чем-то уже забыл что там такое, кстати, не входящее в комплект.

Причем в любом из этих чудес светящих с твоей машины куче посторонних лиц (сквозь все наты и фиревалы, кто бы мог подумать), может оказаться и случайная дыра, и технологическое отверстие благодаря миллиарду зависимостей и модулей.

p2p такое вот p2p.

Ни для чего кроме прона (причем идеологически выверенного - никакой лгбт, учти!) в принципе непригодно.

Ответить | Правка | Наверх | Cообщить модератору

212. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от InuYasha (??), 24-Дек-22, 21:35 
Это тот, что раньше был BTSync?
Ответить | Правка | Наверх | Cообщить модератору

223. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 24-Дек-22, 22:27 
нет, они врали что у них aн@логo3нетные протоколы собственного изобретения.

Вот например требующие аж ТРЕХ разных серверов для пробивания nat.
При этом два из трех у них ана...этосамое тоже, а третий stun и в комплект поставки не входит вообще и что там используется - ясно что дело темное (возможно стандартный rfc 3489, но это неточно).

Ответить | Правка | Наверх | Cообщить модератору

225. "Утечка резервных копий с данными пользователей LastPass"  +2 +/
Сообщение от oficsu (ok), 24-Дек-22, 23:08 
> Как у сцынкфигни самой-то с аудитом безопасности, надежностью работы, переносимостью, кстати?

Делаю apt install — ставится, pacman -S — тоже ставится. Даже из F-Droid ставится, так что переносимость абсолютная, 100% ОС поддержано. И не только ОС — даже на винде запускалось. С надёжностью последнее время вопросов никаких не было — если не считать проблемой (настраиваемую) 10-секндную задержку синхронизации. Безопасность? Ну, с учётом протокола, мне сложно придумать, как там какую-то уязвимость можно проэксплуатировать — если даже что-то и есть, то вы... сами себе собрались подкидывать правильно сформированный вредоносный файл? Есть опасения — можно изолировать

> Правильный ответ - а никак. 100меговая игогошная (т.е. работает только там где
> есть игого распоследней версии) блоатварь с миллиардом зависимостей-зависимостей скачивающихся
> наполовину напрямую с шитхаба.

Не видел, чтобы мой пакетный менеджер что-то с него качал, так что всё отлично

> Лично мне это запускать-то на своей системе было бы стремно, не то
> что пользоваться для паролей.

У вас пароли будут шифрованные и syncthing про содержимое файла базы данных знать не будет. В принципе, при максимальной сложности алгоритма шифрования, базу паролей даже публично хранить будет относительно безопасно. А уж синхронизировать только между вашими девайсами — просто приятный бонус; да, более приятный, чем проприетарный закрытый неконтролируемый сервис на чужом хосте

>> и не позволяющий забанить тебя со стороны сервиса, если покажешься им подозрительным
> еще как позволяющий

Технически, забанить пользователя-то можно. Только откуда же релешка знает пользователя в л̶и̶ц̶о̶ ip? А лишние данные релешке вы и не светите. По крайней мере, я так запомнил

Ответить | Правка | К родителю #169 | Наверх | Cообщить модератору

229. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 24-Дек-22, 23:33 
> Не видел, чтобы мой пакетный менеджер что-то с него качал, так что всё отлично

пааанятна...

> Есть опасения — можно изолировать

угу, адову хрень торчащую в интернет назло всем натам и фильтрам, изолировать, угу.

> Технически, забанить пользователя-то можно. Только откуда же релешка знает пользователя в
> л̶и̶ц̶о̶ ip? А лишние данные релешке вы и не светите. По крайней мере, я так запомнил

хреново ты запомнил.
У каждого устройства там уникальный idшник (даже не uuid а что-то опять свое такое что хватит на все звезды на небе и все песчинки в океане).

А что ты там еще светишь и нет ли в нем бэкдоров - знает только автор воооон того стопиццотого пакета двестиписятой вложенной зависимости вчера что-то куда-то закомитивший на шитхаб.
Безусловно твой "пакетный менеджер" тебя заsshitит от этого.

> У вас пароли будут шифрованные и syncthing про содержимое файла базы данных знать не будет.
> В принципе, при максимальной сложности алгоритма шифрования, базу паролей даже публично
> хранить будет относительно безопасно.

в принципе, ты уже начинаешь потихоньку подозревать, что да,сцынкфигнь - совершенно тут лишняя, и только добавляет всей конструкции ненадежности и скорее всего - откровенной уязвимости.

Безумству пользующихся поем мы песнь.

Ответить | Правка | Наверх | Cообщить модератору

234. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от oficsu (ok), 25-Дек-22, 01:18 
> хреново ты запомнил.
> У каждого устройства там уникальный idшник

"Он меня посчитал!"

> добавляет всей конструкции ненадежности и скорее всего - откровенной уязвимости

Как хорошо, что есть кексперты опеннета, которые всегда меня поправят

Ответить | Правка | Наверх | Cообщить модератору

244. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 25-Дек-22, 18:11 
>> хреново ты запомнил.
>> У каждого устройства там уникальный idшник
> "Он меня посчитал!"

Ты т-пой или да?
Ты зачем цитату-то обрезал? Речь о том что забанить тебя - вовсе не по айпишнику, можно с легкостью необыкновенной. (Кстати, похоже сервера используемые на самом деле - разительно отличаются от упомянутых в документации. И...тадам - централизованные и принадлежат одним и тем же людям. Может раньше и было иначе, но им, видимо, надоело как раз что функционирование софтины зависит от неведомых кривых рук.)

И ты - поскольку т-пой - ничего вообще с этим сделать не сможешь, потому что - т -пой и не понимаешь вообще как работает эта штука. И если б я тебе носом не ткнул - даже и не знал бы ни про какие id.

Остальное тебе разжевывать смысла нет, не в коня корм. apt install.

Откуда вы такие на опеннете завелись-то? Раньше хоть больные но грамотные приходили. Теперь - просто парад идиотии...

Ответить | Правка | Наверх | Cообщить модератору

252. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от AHOHNM (?), 25-Дек-22, 23:30 
А всего то нужно использовать (**простой советский**) способ строить сеть syncthing самому, не надеясь на дядю и его сервера. Хотя, для андроида через LTE сойдёт и дядя.
Ответить | Правка | Наверх | Cообщить модератору

261. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 26-Дек-22, 23:42 
дядины серверы - это лишь одна из упомянутых мной проблем, и да, сколько ты уже таких простых советских сетей построил?

Причем мне было бы достаточно любой из первых трех, чтобы ничего подобного никогда рядом с критичными данными не ставить в принципе.

И уж тем более - синхронизировать (зачем?!) крошечный файлик с паролями этим монстром точно не нужно.

Ответить | Правка | Наверх | Cообщить модератору

269. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от oficsu (ok), 29-Дек-22, 16:50 
> вовсе не по айпишнику

Для начала нужно вас идентифицировать, чтобы забанить. И я указал, что уже здесь есть трудности — релешки, STUN/TURN сервера не особо-то знают, кто их клиент, как и содержимое передаваемых данных — данные вообще обычно не через них передаются

> разительно отличаются от упомянутых в документации

Хорошо, и что же дальше? С точки зрения ИБ, мы всегда должны относиться к серверам, подконтрольным третьей стороне, как к потенциальной угрозе. Поэтому угрозы принято минимизировать с клиентской стороны, минимизируя поверхность атаки. Так вот, вы готовы определить эту самую поверхность атаки, чтобы спор был хоть каплю предметным?

Ответить | Правка | К родителю #244 | Наверх | Cообщить модератору

271. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 30-Дек-22, 17:15 
> Для начала нужно вас идентифицировать, чтобы забанить.

Д-л. Повторяю для феноменально т-пых - ты уже идентифицирован после первого же запуска. Уникальным айдишником. Сюрприз? В привязке к ip если кому-то захочется последить чтобы ты не поменял то о чем узнал от меня-  потому что ты его тоже засветил уже на трех чужих серверах, два из которых знают и id, про третий лень выяснять.

> Хорошо, и что же дальше?

Дальше берем игогошную трэшварь двумя пальчиками в перчатке от зимзащиты и - в мусоропровод.

Потому что с момента ее запуска уже твое корыто "подконтрольно" соврешенно феерическому числу "сторон". Количество персоналий, способных подбросить тебе троянца намеренно или просто случайно оставить дырку размером с тоннель метро - не поддается даже приблизительной оценке.

А учитывая что она специально заточена обходить примитивные файрволы - это точно не для слабых мозгами.

Умные мальчики очень теоретически могли бы попробовать применять в мирных целях, заменив всю инфраструктуру своей, но поскольку пункт про неимоверное количество чужой блоатвари никуда не девается, умные поищут и для этого случая что-то попроще, понадежней и без ненужных им возможностей.

А эту штуку оставят любителям жить в доме со стеклянными стенами.

Ответить | Правка | Наверх | Cообщить модератору

274. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от oficsu (ok), 02-Янв-23, 03:07 
Ни ip, ни хеш сертификата (он же id) не идентифицирует никакую личность хотя бы ввиду того, что ни по отдельности, ни даже вместе, они не позволяют определить, кем является пользователь. Ведь под одним ip может скрываться больше одного пользователя одновременно, и будет на практике. Промолчу и про то, что они оба легко меняются, делая невозможной слежку за пользователем, если у того терминальная стадии паранойи... Просто обращу внимание, что фразы по типу "неимоверное количество чужой блоатвари" на вопрос о поверхности атаки... мгновенно выдают некомпетентность с головой. Да, некомпетентность того же уровня, что и у плоскоземельщиков или каких-нибудь сжигателей 5g вышек

> Умные мальчики очень теоретически могли бы попробовать
> применять в мирных целях, заменив всю инфраструктуру своей,
> но поскольку пункт про неимоверное количество чужой блоатвари
> никуда не девается, умные поищут и для этого случая что-то
> попроще, понадежней и без ненужных им возможностей

Также замечу, что комментатору не хватило интеллекта погуглить уже готовые (и не привязанные к тому же стеку) FOSS реализации STUN/TURN, упомянутые мной, но он при этом считает себя достаточно умным, чтобы изобрести их альтернативу самостоятельно. Очень забавный экземпляр

Ах да, совет на будущее...

> А учитывая что она специально заточена обходить примитивные
> файрволы - это точно не для слабых мозгами

Не стоит NAT всерьёз называть файрволом, втаптывая себя в грязь позора окончательно

Ответить | Правка | Наверх | Cообщить модератору

275. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 02-Янв-23, 14:04 
> Ни ip, ни хеш сертификата (он же id) не идентифицирует никакую личность

твоя лишность никого не интересует. Интересует бирка. Она к тебе приклеена. Задержание под предлогом "установления личности" тоже не для установления, а чтоб швабру тебе засунуть.

Поменять ты ничего не сможешь, потому что не умеешь.


> мгновенно выдают некомпетентность с головой.

да, твою.

Больше с дураком я не спорю, иди одноклассницам рассказывай про файрволы.

Ответить | Правка | Наверх | Cообщить модератору

277. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от oficsu (ok), 11-Янв-23, 22:55 
Надо же, сколько беспокойства, думал, наш тред ещё в прошлом году завершён

Нет никакой бирки в обсуждаемом примере. Ибо с таким же успехом любой самостоятельно выбранный публичный ключ можно считать приклеенной биркой. И он никак не помогает и не мешает использовать швабру, во благо или во вред, протв вас или против кого-то ещё

Ответить | Правка | Наверх | Cообщить модератору

241. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (241), 25-Дек-22, 17:20 
> (т.е. работает только там где есть игого распоследней версии)

А зачем для работы скомпилированной программы ставить компилятор? Тем более, последней версии.

И зачем скачивать зависимости откуда либо вообще для работы уже скомпилированной программы?

Или ты хочешь собрать её сам - так тогда собирай и не ори про блоатварь, а вырезай лишние куски и валидируй зависимости.

Ответить | Правка | К родителю #169 | Наверх | Cообщить модератору

62. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Liinemail (ok), 23-Дек-22, 15:37 
Честно говоря, от менеджера паролей ожидаешь какую-то хитрую и безопасную систему хранения данных. А в реале вот так, из-за банальной утечки обычного разработчика получают аж целые базы, пусть и шифрованные. Причем самое смешное, что текущая утечка основана на утечке 4-х месячной давности. Ну то есть они даже не озаботились сменить все пароли и ключи после того факапа. Вообще не учатся на своих ошибках.
Ответить | Правка | Наверх | Cообщить модератору

74. "Утечка резервных копий с данными пользователей LastPass"  –1 +/
Сообщение от Аноним (74), 23-Дек-22, 16:32 
Это твои проблемы, что ты там что-то ожидаешь от проприетарщины.
Ответить | Правка | Наверх | Cообщить модератору

82. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от пох. (?), 23-Дек-22, 17:15 
От фирмы менеджера паролей у которой уже один раз сперли все пароли в общем-то чего-то такого вот и ожидаешь.

Интересно, сколько у них вообще разработчиков для этой примитивной софтины - один и тот, другой - или первого как раз после первого раза вып..ли, и наняли второго олуха?

Остальное, надо полагать - менеджеры. Безопасник в штате если и числится, то аутсорсер без права голоса.

Пипл хавает, чего уж там...

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

117. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Liinemail (ok), 23-Дек-22, 19:52 
> От фирмы менеджера паролей у которой уже один раз сперли все пароли
> в общем-то чего-то такого вот и ожидаешь.
> Интересно, сколько у них вообще разработчиков для этой примитивной софтины - один
> и тот, другой - или первого как раз после первого раза
> вып..ли, и наняли второго олуха?
> Остальное, надо полагать - менеджеры. Безопасник в штате если и числится, то
> аутсорсер без права голоса.
> Пипл хавает, чего уж там...

В 2021-м там числилось 350 человек. Полагаю, там нашлось место и безопаснику и даже не одному.

Ответить | Правка | Наверх | Cообщить модератору

121. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Аноним (168), 23-Дек-22, 19:53 
Сервис облачного хранения баз паролей от ООО Рога и копыта Defective by Design.
Ответить | Правка | Наверх | Cообщить модератору

165. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от пох. (?), 23-Дек-22, 22:49 
Да ну, брось. Такой конторе одних бухгалтеров надо десяток (транзакций-то много на самом деле).
Присматривать за ними, опять кто-то должен. Присматривать за присматривающим?

Ну и да, я ж еще забыл девляпса (трех?) и его начальника (кто-то ж вот ту всю хрень настроил как-то).

А веслателя и одного хватит. Кнутователей можно нанять и трех - чтоб если один выдохнется, а второй в отпуске, было кому подменить.


Откуда тут деньги и время на безопасника (еще ж и слушать его бредни что чужие облачка небезопастны и давайте уберем и прекратим)?

Ответить | Правка | К родителю #117 | Наверх | Cообщить модератору

115. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Аноним (168), 23-Дек-22, 19:49 
Шанс атаки на облако хранящее базы паролей в разы больше шанса атаки на обыкновенное облако  неуловимого Джо.
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

116. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (168), 23-Дек-22, 19:50 
Самая по себе идея сервиса облачного хранения баз паролей это плохая идея, учитывая что это сервис это  контора уровня рога и копыта а не корпорация вроде гугл или эпл.
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

120. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Liinemail (ok), 23-Дек-22, 19:53 
> Самая по себе идея сервиса облачного хранения баз паролей это плохая идея,
> учитывая что это сервис это  контора уровня рога и копыта
> а не корпорация вроде гугл или эпл.

$200 млн в год дохода - как-то многовато для контор уровня рога и копыта.

Ответить | Правка | Наверх | Cообщить модератору

122. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (168), 23-Дек-22, 19:57 
Это всего лишь твое мнение.
Результат их коммерческой деятельности говорит о том что это LTD Horns & hooves.
Мне кажется что у Гугл и Эпл всё же поменьше утечек паролей.
Ответить | Правка | Наверх | Cообщить модератору

118. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (168), 23-Дек-22, 19:52 
Уж лучше самому сделать базу паролей с хорошей энтропишей и сохранить в каоком-нибудь облаке, в идеале в self-host. Просто если ты неуловимый Джо, то и меньше шансов попасть под случайную атаку, я не говорю про целевую.
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

150. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от prokoudineemail (ok), 23-Дек-22, 22:17 
Я тебе даже больше скажу. После августовской утечки гендир ластпасса всем говорил "Посоны, бояться нечего, ничего не случилось, все спите спокойно, это изолированный инцидент".
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

170. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от пох. (?), 23-Дек-22, 23:43 
Не, ну а что он еще должен был тебе сказать - "срочно удалите нашу фигню, поменяйте все пароли и приходите на площадь, наш персонал сделает там массовую сепукку"?

Он же не хочет банкротства, он хочет премию.

Ответить | Правка | Наверх | Cообщить модератору

73. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от YetAnotherOnanym (ok), 23-Дек-22, 16:31 
Хе... 33 миллиона рядовых легковерных лопухов и ещё сто тысяч легковерных лопухов, наделённых полномочиями принимать решения.
Ответить | Правка | Наверх | Cообщить модератору

78. "Утечка резервных копий с данными пользователей LastPass"  –1 +/
Сообщение от пох. (?), 23-Дек-22, 16:51 
Ну выбор-то между двумя стульями... Оба так себе.

А ты никакой свой ластпась не напишешь, потому что не умеешь кодить.

Ответить | Правка | Наверх | Cообщить модератору

90. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от YetAnotherOnanym (ok), 23-Дек-22, 18:14 
Не умею, не умею.
И вообще, мне openssl enc хватает.


Ответить | Правка | Наверх | Cообщить модератору

103. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 23-Дек-22, 19:15 
А дальше что с этим делать? Расшифровать все пароли разом в файлик на диске? Или даже на экран (что хуже?)
Ответить | Правка | Наверх | Cообщить модератору

167. "Утечка резервных копий с данными пользователей LastPass"  –1 +/
Сообщение от YetAnotherOnanym (ok), 23-Дек-22, 23:12 
В файлик, только не на диске, а в tmpfs.
Ответить | Правка | Наверх | Cообщить модератору

171. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от пох. (?), 23-Дек-22, 23:44 
я и говорю - непонятно даже, что тут хуже.

ластпась может хоть mlock делает.

Ответить | Правка | Наверх | Cообщить модератору

201. "Утечка резервных копий с данными пользователей LastPass"  +2 +/
Сообщение от YetAnotherOnanym (ok), 24-Дек-22, 13:15 
Ещё тарьщсталин говорил - "оба хуже".
Ответить | Правка | Наверх | Cообщить модератору

215. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от InuYasha (??), 24-Дек-22, 21:41 
Ящитаю, хоть 10 раз в памяти изолируйся, а копипастить в бровсер всё равно нужно. Так что, экстракт в _свой_ РАМовый темп - это, возможно, не так плохо.
Ответить | Правка | Наверх | Cообщить модератору

246. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от пох. (?), 25-Дек-22, 18:27 
> Ящитаю, хоть 10 раз в памяти изолируйся, а копипастить в бровсер всё
> равно нужно.

ластпасть сделает это с _единственным_ паролем. Остальные в млокнутой памяти и может даже не расшифровываемой зазря. (Хотя, конечно, кто бы верил... впрочем, какие-то клоны кипасса хвастались чем-то подобным)

> Так что, экстракт в _свой_ РАМовый темп - это, возможно, не так плохо.

но и нехорошо совсем. В смысле - не так далеко ушло от просто использования готового чужого решения, как казалось бы.

Хороших и надежных, видимо, нет. Продолжим клеить листики к монитору.

Ответить | Правка | Наверх | Cообщить модератору

233. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от 123321 (?), 25-Дек-22, 01:11 
ну можно и на диск. только по окончании работы файлик затирать dd или srm. Но ram-диск однозначно рулит в данной ситуации.
Ответить | Правка | К родителю #167 | Наверх | Cообщить модератору

75. "Утечка резервных копий с данными пользователей LastPass"  +2 +/
Сообщение от Аноним (75), 23-Дек-22, 16:36 
Малолетние дeбилы, оставляющие пароли в облаке - должны страдать
Ответить | Правка | Наверх | Cообщить модератору

80. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 23-Дек-22, 16:52 
А пароли не в облаке рано поздно либо накроются, либо будут сп-жены.
На одном стуле...

И да, яндекс-яда передает тебе привед.

Ответить | Правка | Наверх | Cообщить модератору

81. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Васяemail (??), 23-Дек-22, 17:00 
Открой для себя KeePass или KeePassXC. База паролей хранится локально. Если даже её украдут, она зашифрована и к ней нужен один пароль по любому. В остальном бэкапы решают, конечно. Эту базу хоть в облака заливай, шифрованной она от этого быть не перестанет как бы.
Ответить | Правка | Наверх | Cообщить модератору

83. "Утечка резервных копий с данными пользователей LastPass"  –1 +/
Сообщение от пох. (?), 23-Дек-22, 17:21 
> Открой для себя KeePass или KeePassXC. База паролей хранится локально.

поэтому ты даже и не узнаешь, сп-ли ее или нет.

> Если даже её украдут, она зашифрована

ты, конечно, умеешь кодить и даже посмотрел в код, что не ксором со словом )|(опа?
И да, у этих вот лохов - тоже была зашифрована. Кажется, даже и хорошо. А даже если и не очень - надо не только уметь кодить чтобы восстановить алгоритм.

Но пользуемые почему-то не рады. Почему?

Ответить | Правка | Наверх | Cообщить модератору

91. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Аноним (91), 23-Дек-22, 18:19 
> > Открой для себя KeePass или KeePassXC. База паролей хранится локально.
> поэтому ты даже и не узнаешь, сп-ли ее или нет.

В отличие от облака, где можно всегда с уверенностью сказать - да, сп-ли.

Ответить | Правка | Наверх | Cообщить модератору

101. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 23-Дек-22, 19:09 
Воот! Одна проблема - успешно решена!

Теперь осталась вторая - неопределенная возможность еще и прое..ть.
В случае чужого облака тоже наличествует - начиная от внезапного банкротства облаковладельца и заканчивая хакерской атакой.

Нет, можно все это накостылить и с keypassxc (заодно сделав самостоятельно code review) - но ЧТО чорд побери, у тебя хранится с теми паролями ТАКОГО?

(товарищмайор просто интересуются, для статистики)

Ответить | Правка | Наверх | Cообщить модератору

135. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (91), 23-Дек-22, 21:40 
Тут ничего нового - бекапы и еще раз бекапы. Которые один фиг надо делать, независимо от наличия облака.
Ответить | Правка | Наверх | Cообщить модератору

138. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (168), 23-Дек-22, 22:02 
люблю теоретиков экспертов, ни одного примера из жизни,теоритеческого
Ответить | Правка | Наверх | Cообщить модератору

172. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (91), 24-Дек-22, 00:24 
Если тебе надо объяснять необходимость бекапов, то у меня для тебя очень плохие новости.
Ответить | Правка | Наверх | Cообщить модератору

100. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от oficsu (ok), 23-Дек-22, 19:02 
Я не только умею кодить, но даже видел, что там есть возможность выбора алгоритма шифрования и его сложности. Даже хуже, как настоящий программист, я умею гуглить и таки нагуглил информацию о прохождении первым из них аудита безопасности от сторонней компании, с отчётом которой можете ознакомиться и вы. А ещё то, что федеральные агентства нескольких стран рекомендуют его или даже сами используют
Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

102. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 23-Дек-22, 19:13 
В смысле ты про "настоящий" keypass нагуглил? Э... ну... у меня для тебя хреновая новость...
Ответить | Правка | Наверх | Cообщить модератору

227. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от oficsu (ok), 24-Дек-22, 23:17 
> В смысле ты про "настоящий" keypass нагуглил? Э... ну... у меня для
> тебя хреновая новость...

Точно ли стоит оценивать новости, относящиеся к софту, название которого вы даже скопировать не можете верно?

Ответить | Правка | Наверх | Cообщить модератору

112. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (168), 23-Дек-22, 19:43 
А что насчем Kepass XC? Можешь погуглить за меня, пожалуйста?
Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

226. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от oficsu (ok), 24-Дек-22, 23:15 
Он способен использовать тот же формат базы данных, что и оригинальный KeePass, так что к формату хранения вопросов уже, полагаю, никаких? Увы, не на Расте написан, так что эксперты опеннета однозначно заявят, что сам клиент состоит из сишных дыреней в большей степени, чем из фич, так что тут хорошего мне нечего сказать. Впрочем, если у вас есть деньги на оплату независимого аудита — вы принесёте пользу всему сообществу, так что удерживать вас не стану от этого и даже готов компенсировать вам доллар-другой
Ответить | Правка | Наверх | Cообщить модератору

174. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Ананимаз (?), 24-Дек-22, 01:27 
А ежели я проксорю и проrcr,rclрю не жоГIой, а войной и миром. Долго будешь ломать?
Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

256. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (-), 26-Дек-22, 14:47 
Компьютеры нынче быстрые, ксорка войной и миром еще раз для отмены этого действа долго не займет.
Ответить | Правка | Наверх | Cообщить модератору

111. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (111), 23-Дек-22, 19:38 
Можете что-то порекомендовать в качестве менеджера паролей? Если не секрет, чем пользуетесь сами?
Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

113. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Аноним (168), 23-Дек-22, 19:45 
Kepass XC использую для личных нужд и внедряю на работе. Кто бы мог подумать, что сисадмины хранят пароли в гугл табилцах
Ответить | Правка | Наверх | Cообщить модератору

216. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от InuYasha (??), 24-Дек-22, 21:43 
пфффф! в гугл-таблицах... скажешь тоже. на жыдхабе!
Ответить | Правка | Наверх | Cообщить модератору

247. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 25-Дек-22, 18:30 
> пфффф! в гугл-таблицах... скажешь тоже. на жыдхабе!

вооо! Надежна! Не этот вам гугль, а распределенная система!

P.S. но, кстати, учитывая последние веяния, пользоваться станет настолько неудобно, что волей-неволей переберутся в гуглотаблицы.
Либо на бумажку. Ксерить опять же удобно...


Ответить | Правка | Наверх | Cообщить модератору

114. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (168), 23-Дек-22, 19:45 
А ну при этом не хранить пароли в браухере или в гугл таблицах.
Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

130. "Утечка резервных копий с данными пользователей LastPass"  +2 +/
Сообщение от . (?), 23-Дек-22, 20:56 
>  Если не секрет, чем пользуетесь сами?

Честно, я пользуюсь бумажным блокнотом.

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

137. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (168), 23-Дек-22, 22:01 
А какие чернила в ручке иль карандаш?
Ответить | Правка | Наверх | Cообщить модератору

139. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 23-Дек-22, 22:02 
Ну то есть одним выстрелом трех зайцев? И спереть могут (включая - сфоткать могильником так что ты еще дооолго будешь не в курсе), и прое..ть можешь, и бэкап скорее всего отсутствует в виду чудовищного неудобия?

Ооок!

Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

192. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от ivan_erohin (?), 24-Дек-22, 07:03 
> И спереть могут

из внутреннего кармана жилетки ? не верю.

> (включая - сфоткать могильником так что ты еще дооолго будешь не в курсе),

вы позволяете себя фотграфировать кому попало ? если да то у меня для вас плохие новости.
более реальный сценарий - посмотрят с камеры виденаблюдения в сверхвысоком разрешении.

> и прое..ть можешь

потерять можно вообще все.

Ответить | Правка | Наверх | Cообщить модератору

197. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 24-Дек-22, 11:13 
> из внутреннего кармана жилетки ? не верю.

Даже в бане не снимаешь? Молодец, хвалю! А поскольку ты постоянно вынужден лазить в этот карман - все окружающие в курсе что там что-то интересное.

Ну и полицаи при задержании, тоже, будь уверен, найдут.

>> и прое..ть можешь
> потерять можно вообще все.

домашний адрес и телефон прое...ть необратимо надо все же суметь постараться.

Ответить | Правка | Наверх | Cообщить модератору

200. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от ivan_erohin (?), 24-Дек-22, 13:14 
> Даже в бане не снимаешь?

не хожу в баню. моюсь дома в ванне ежедневно.
в советское время ходил раз в неделю, а сейчас зачем ?

> А поскольку ты постоянно вынужден
> лазить в этот карман - все окружающие в курсе что там
> что-то интересное.

в карманах у всех людей всегда есть что-то интересное.

> Ну и полицаи при задержании, тоже, будь уверен, найдут.

полицаям я солью вообще все, когда начнут пытать.
но лучше не попадаться конечно.

> домашний адрес и телефон прое...ть необратимо надо все же суметь постараться.

есть такие люди - бомжи. у них получилось.

Ответить | Правка | Наверх | Cообщить модератору

228. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от oficsu (ok), 24-Дек-22, 23:22 
> потерять можно вообще все.

Потерять вообще все бэкапы могу, пожалуй, лишь потеряв память. Но тогда и доступ к паролям будет наименьшей из проблем

Ответить | Правка | К родителю #192 | Наверх | Cообщить модератору

191. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от ivan_erohin (?), 24-Дек-22, 06:57 
наш человек !
Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

119. "Утечка резервных копий с данными пользователей LastPass"  +2 +/
Сообщение от Аноним (111), 23-Дек-22, 19:53 
Уважаемый пох, можете что-то порекомендовать в качестве менеджера паролей? Если не секрет, чем пользуетесь сами?
Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

160. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 23-Дек-22, 22:27 
Я ж уже тут сто раз писал - пишу на стикере и клею к монитору. Когда отваливаются - ну и х...с ним, все равно я уже не помню от чего этот пароль (только что выкинул очередной).

Пользуюсь в основном периметром безопасности (при попытке пройти к тому монитору - постороннего человека могут и сожрать) и здравым рассудком.

По сути, чего за пароли у тебя не привязаны еще к номеру мабилы и их невозможно восстановить?
А какие при этом еще и не должны попасть в чужие руки (хаха, с номером-то...) и сколько их таких остается? А то логином от порнхаба я, наверное, не особенно дорожу.
Понятно что парочка таких наверное все же есть, но их-то все же можно как-нибудь и запомнить?

Остальное можно хранить прямо в браузере. Все равно их сопрут прямо с сайта от которого пароль. Т.е. тут как раз важнее длинна (вдруг сайт все же хранит их нормально шифрованными) и бессмысленность. Запоминать незачем, особо беречь тоже незачем.

Гораздо важнее, по-моему, не светить свои идентити где ни попадя. Что там вон у этих - адрес, email, телефон... ну прекрасно же ж? Небось еще и номер кредитки, сервис платный, соблюдать pci/dss не собирался и не планирует. А пойти найух они не хочут?

Ну и в совсем клиническом случае - пользуюсь otp. Не модным-современным-гуглевым-в телефоне, а офлайновым.

К счастью, там где мне очень уж надо, еще работает. Забыть фразу я смогу не раньше чем в полный маразм впаду, а постороннему она ничего не скажет.

Ответить | Правка | Наверх | Cообщить модератору

217. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от InuYasha (??), 24-Дек-22, 21:48 
Отклей с ЖК-монитора слой поляризационного фильтра - и тогда без спецочков вообще никто не подсмотрит )

Я что-то с койки не могу понять, ты реально топишь за паролинг с могильного телефона или троллируешь незрелые мозги?

Вот, запоминать пароли к паре тыщ серверов я вообще не согласен. Хотя, если научите запоминать всё с первого раза - я за.

Ответить | Правка | Наверх | Cообщить модератору

220. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 24-Дек-22, 22:10 
> Отклей с ЖК-монитора слой поляризационного фильтра - и тогда без спецочков вообще никто не
> подсмотрит )

а я как буду в него смотреть? При этом троянцу оттуда, изнутря - отлично видно.

> Я что-то с койки не могу понять, ты реально топишь за паролинг с могильного телефона

нет, я реально пытаюсь намекнуть что если пересчитать пароли которые у тебя НЕ получится восстановить с помощью sms'ки (ну или хотя бы доброго старого немодного email) и которые по этой причине стремно потерять - их останется не так уж и много.

Если выкинуть еще и те которые бесполезны посторонним или гроша ломанного не стоят и поэтому вполне могут быть q123456&*()_ - остальные в принципе уже можно запомнить.

> Вот, запоминать пароли к паре тыщ серверов я вообще не согласен.

сочувствую. У меня это один пароль. К AD.
(истиные любители приключений конечно могут настроить свой ана-внетный керберос или вообще nis+ но я предпочитаю простые решения)
А то уже сама процедура поиска пароля к серверу #1342 несколько утомительна.

Ответить | Правка | Наверх | Cообщить модератору

222. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от InuYasha (??), 24-Дек-22, 22:20 
извините, я IPMI к АД подключать точно не согласен )
Ответить | Правка | Наверх | Cообщить модератору

224. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 24-Дек-22, 22:31 
Если тебе понадобился ipmi, в общем-то уже неважно какой у того сервера был пароль.
Переустановится с новым.

Ответить | Правка | Наверх | Cообщить модератору

109. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от анон (?), 23-Дек-22, 19:36 
А зачем кому-то хранить пароли, когда всех насильно подсаживают на подтверждение логина по карте, биометрии, мобиле, отпечатку кала?
Ответить | Правка | Наверх | Cообщить модератору

127. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Анони (?), 23-Дек-22, 20:08 
Затем, что эти твои фантазии не соответствуют действительности. Ну и пара других причин, но они менее важные.
Ответить | Правка | Наверх | Cообщить модератору

133. "Утечка резервных копий с данными пользователей LastPass"  –2 +/
Сообщение от Аноним (168), 23-Дек-22, 21:18 
в банкомате face id, на работе отпечаток пальца. Да конечно никакой биометрии не существует.
Ответить | Правка | Наверх | Cообщить модератору

184. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от GOrilla (?), 24-Дек-22, 03:46 
Рисковать частями тела так себе.
Ответить | Правка | Наверх | Cообщить модератору

188. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от GOrilla (?), 24-Дек-22, 03:58 
Я думаю смарт-карты и ключи лучше. Потеряешь - сменишь. А отнимут - брутфорс, но меньший.
Ответить | Правка | К родителю #133 | Наверх | Cообщить модератору

238. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (22), 25-Дек-22, 12:14 
face id подделывается очень постро, лепкой из какого-нибудь воска или силикона, обычный лидар на улице в телефоне или машине Tesla сделает 3D скан твоей мордочки
Ответить | Правка | К родителю #133 | Наверх | Cообщить модератору

161. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от prokoudineemail (ok), 23-Дек-22, 22:27 
> А зачем кому-то хранить пароли, когда всех насильно подсаживают на подтверждение логина
> по карте, биометрии, мобиле, отпечатку кала?

Пока всех везде не пересадят на биометрию, QR-коды и мэджиклинки, придется хранить.

Ответить | Правка | К родителю #109 | Наверх | Cообщить модератору

218. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от InuYasha (??), 24-Дек-22, 21:49 
так говоришь, будто с нетерпением ждёшь...
Ответить | Правка | Наверх | Cообщить модератору

221. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 24-Дек-22, 22:11 
> так говоришь, будто с нетерпением ждёшь...

ммм... ожерелья из пальцев и глаз неудачников... стильно...

Ответить | Правка | Наверх | Cообщить модератору

231. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от prokoudineemail (ok), 25-Дек-22, 00:02 
> так говоришь, будто с нетерпением ждёшь...

Чтобы что?

Ответить | Правка | К родителю #218 | Наверх | Cообщить модератору

129. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (129), 23-Дек-22, 20:55 
Это потому что не на расте писали. И сервера наверно без системд
Ответить | Правка | Наверх | Cообщить модератору

132. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от . (?), 23-Дек-22, 20:58 
И без вейленда
Ответить | Правка | Наверх | Cообщить модератору

182. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Аноним (182), 24-Дек-22, 03:16 
Вместо того, чтобы где-то хранить пароли придумал такой способ: пишу строку типа "пароль Сидорова Вани от сайта mail.ru", получаю md5-хеш этой строки, беру из него первые 16 символов, и чтобы удовлетворить требования усиленной безопасности в конце добавляю "Q!". Одни плюсы:
1) пароль длинный,
2) нет ни в одном словаре
3) нигде не хранится, кроме головы автора
Но и один минус: под рукой всегда должно быть средство типа md5.
Ответить | Правка | Наверх | Cообщить модератору

187. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (185), 24-Дек-22, 03:53 
https://xkcd.ru/936/
Ответить | Правка | Наверх | Cообщить модератору

195. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Первая Буква (?), 24-Дек-22, 10:29 
Хмммм... Батарея со скобой, говорите?
"У отставного генерал-майора Булдеева разболелись зубы. Он полоскал рот водкой, коньяком, прикладывал к больному зубу табачную копоть, опий, скипидар, керосин, мазал щеку йодом, в ушах у него была вата, смоченная в спирту, но всё это или не помогало, или вызывало тошноту..."
Ответить | Правка | Наверх | Cообщить модератору

196. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Первая Буква (?), 24-Дек-22, 10:37 
Минус есть. Это алгоритм. Его утечка, или раскрытие одного из паролей, по которому можно восстановить алгоритм - и всё. Можно добавить хаоса о котором знаешь только ты, но он должен выглядеть естественно.
А по картинке выше из журнала - для одного пароля "да", а для сотней? ))))
Ответить | Правка | К родителю #182 | Наверх | Cообщить модератору

186. "Утечка резервных копий с данными пользователей LastPass"  +3 +/
Сообщение от Аноним (185), 24-Дек-22, 03:51 
Внезапно, доверили дяде пароли, а они стали общедоступны. Ну кто бы мог подумать! Ведь ни разу такого не было!
Ответить | Правка | Наверх | Cообщить модератору

199. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Волк (?), 24-Дек-22, 11:51 
Шо? Опять?
Ответить | Правка | Наверх | Cообщить модератору

202. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (202), 24-Дек-22, 13:39 
Норм, отставить панику. Все эти хэши за всю жизнь не сломать.
Ответить | Правка | Наверх | Cообщить модератору

204. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (204), 24-Дек-22, 14:26 
Насколько безопасно использовать pass? Там gnupg используется, как оно с надежностью хранить в облаке такие зашифрованные пароли.
Ответить | Правка | Наверх | Cообщить модератору

208. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от . (?), 24-Дек-22, 17:18 
Это точно безопаснее любых готовеньких решений. Пришла идея только что, просто впихнуть это туда где никто не будет искать.
Ответить | Правка | Наверх | Cообщить модератору

210. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от BrainFucker (ok), 24-Дек-22, 20:50 
ССЗБ. У меня существование облачных менеджеров паролей всегда вызывало только удивление. А потом всем будут внедрять ищё более глубокие анальные зонты типа FIDO2/U2F под предлогом что пароли плохо и приводя в пример такие фейлы.
Ответить | Правка | Наверх | Cообщить модератору

211. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от InuYasha (??), 24-Дек-22, 21:33 
> какой-то изъян, снижающий сложность подбора ключа

ага, например, плохой мастер-пароль.

Если надо таскать пароли, есть ну сааааааамый полевой, доступный всем, способ же - запароленный rar/7z-архив (zip sux). Но там уже главное - чтобы во временных файлах не застряло...

Ответить | Правка | Наверх | Cообщить модератору

219. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Аноним (-), 24-Дек-22, 22:04 
> рассматривается как нереалистичный на современном оборудовании

....
> Дополнение: Начали появляться сведения о компрометации учётных записей

Походу достаточно сказать что нечто невозможно и кто-то назло это заимплементит.

Может, хрен с ними с паролями? Лучше покажите такой фокус с варп-драйвом или термоядерным синтезом.

Ответить | Правка | Наверх | Cообщить модератору

248. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пох. (?), 25-Дек-22, 18:34 
>> рассматривается как нереалистичный на современном оборудовании
>> Дополнение: Начали появляться сведения о компрометации учётных записей
> Может, хрен с ними с паролями? Лучше покажите такой фокус с варп-драйвом
> или термоядерным синтезом.

НЕ НАДО! А то фокус закончится "несмотря на предположения о полной безопасТности эксперимента, и мнения уважаемых экспертов что образовавшаяся вопреки этим предположениям миниатюрная черная дыра рассосется в ближайшее время самостоят...аааа...."

Ответить | Правка | Наверх | Cообщить модератору

230. "Утечка резервных копий с данными пользователей LastPass"  –2 +/
Сообщение от Николайemail (??), 24-Дек-22, 23:37 
Очередное доказательство, того, что то, что имеет закрытый код, является более интересным, злоумышленникам любителям взламывать.
Так же еще одно доказательство, что проги, приложения не важно ос, имеющие закрытый код, не такие у ж и крутые и продуманные по безопасности!
Интересно и то, что за время существования lastpass, который не неоднократно взламывали, но разрабы, так и не учатся на ошибках, и не улучшают защиту и шифрование, наверное lastpass, уже не спасти..
Ответить | Правка | Наверх | Cообщить модератору

235. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Анон.email (?), 25-Дек-22, 05:24 
Эксперты поясните почему нельзя юзать такие символы в паролях .̨̡̢̢̧̧̨̨̧̢̧̛͙̟̮̩̥̻̬̱̝͔̝̼̗͖͎̪̲͓͔̝̤͖̫̳̟̪͎̳̭̞̝̣̗̝̱̱̮̠̙̟̙͖̤͔͇̩͍͙̰̭̝̫̜̺̝͓̻̱̤̲͉͙̦͕̰̣̬̣̺̖̘̘̮͈̭̫͍̻̰͍̼̤̙̩͖͇̒̌͆̔̄̔̓̏͛̉͛̈́̑̑̎̈́̑͂̾͑͆̑͂͂́̋͂̄̂̒̃̆̓̐̉̀̾̽͒̎̓͐͆͑̊̉͋͋̀̈́̓̎͛̌͌̂̽̔͆̍̊̓̽̂̆̀̿̀̋̍̃̔̉̇̎̋̈́͆̈́̚͘̚̕̚͘̕͘̚̚͘̚͝͝͠͠͝͝͝ͅͅͅ ?
Ответить | Правка | Наверх | Cообщить модератору

237. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от Аноним (237), 25-Дек-22, 11:07 
Нужно заставить фирму каждому пользователю выплатить по $10 000. Нужен такой закон.
Ответить | Правка | Наверх | Cообщить модератору

239. "Утечка резервных копий с данными пользователей LastPass"  +1 +/
Сообщение от Аноним (22), 25-Дек-22, 12:16 
А если пользователь придумал короткий или простой пароль, то он платит $10 000 фирме
Ответить | Правка | Наверх | Cообщить модератору

249. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от пользователь (?), 25-Дек-22, 18:36 
> А если пользователь придумал короткий или простой пароль, то он платит $10
> 000 фирме

погоди, но я ведь уже за софтину им заплатил чтобы она за меня все придумывала безопасТно?!

Причем они меня заставили каждый раз вводить это идиотское aaaaaaaaaaaA - чудовищно долго и неудобно! Говорили что это надежно и безопастно!

Ответить | Правка | Наверх | Cообщить модератору

270. "Утечка резервных копий с данными пользователей LastPass"  +/
Сообщение от vineremail (?), 30-Дек-22, 09:57 
Одному мне bright past показалось.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру