Lastpass használók figyelem: változtasd meg a mester jelszavad!

Sajnos
http://blog.lastpass.com/2011/05/lastpass-security-notification.html">meghackelték a Lastpass (egy felhő-alapú jelszókezelő szolgáltatás, 1 millió+ felhasználó) adatbázisát, ezért a mester jelszavak hash kódjai illetéktelen kezekbe kerültek.

Tehát aki gyenge mester jelszót használt, annak próbálgatással ki tudják találni a jelszavát, és onnantól mindenéhez hozzáférnek (az összes többi jelszavához).

Úgyhogy most több mint 1 millió embernek kell megváltoztatnia a mester jelszavát :(

De szerintem akinek erős mester jelszava volt, és még hardver kulcsot is használ, azt nem érinti a probléma.

Csak nem lehet elérni most az adatbázist, áll az egész. Mert 1 millióan akarják egyszerre elérni. De ez mért probléma egy Amazon EC2-n, S3-on futó alkalmazásnál?

Mesélj, te hogyan oldod meg? Feltételezem, hogy mindenhová más jelszavad van, és azok erős jelszavak. Tehát nem tudod megjegyezni őket. De remélem nem írtad fel valahová őket.

Tehát titkosítva kell tárolnod őket, mester jelszóval védve. Hol tárolod a titkosított adatbázist? A saját gépeden? Az miért biztonságosabb, mint egy szakemberek által felügyelt Amazon S3 tárhely?

Az mondjuk igaz, hogy az ilyen népszerű szolgáltatásokra kifejezetten utaznak a hackerek, a te gépedre viszont nem. De ez elég gyenge lábakon álló biztonság így.

Egyébként a mester jelszót természetesen nem tudja a Lastpass. Tehát a hackerek nem sokra mennek 1 millió hash kóddal. Hogyan törnek fel brute force-szal 1 millió hasht? Már egyetlen hash feltörése is évezredekbe kerülhet.

A gépeken, ahol ilyen jelszavakkal dolgozok, titkosítva van az egész diszk, úgyhogy ott egy sima szövegfájl elég. Ezt meg szinkronban lehet tartani mondjuk egy truecryptes pendrive-on lévő fájllal, és kész.
Van benne még néhány "kanyar", de a lényeg ez: csak titkosított eszközön, és minimum két, független példányban.

Olvassa nyugodtan, nincs vele gond, azért van. Meg az a pár "csavar" a dologban, hogy azért annyira mégse olvassa bármi és bármikor :-P

Ha nálam van, akkor még véletlenül sem merül fel senkiben az a rusnya gondolat, hogy itt ez a jó kis felhőcske, mi lenne, ha számoltatnánk vele egyet (vagy sokat...), és nem kezd el n+1 gép a titkosítottan tárolt jelszavaimmal játszadozni.

Egyébként meg csak idő és tréning kérdése, hogy 8-10 karakteres pwgen-es jelszavakat is meg tudjon jegyezni az ember...

Úristen!!!! Pendrájv!!!! és ha ellopják??????

De komolyra fordítva, az a jelszó ami le van írva, az már nem biztonságos.

Meg a többi se, mert ha nincs is leírva, akkor csak az a kérdés, hogy mennyire kell valakinek.

Személy szerint nekem is van lastpassom (bár az elmúlt órákban megbántam, annyit ugatott) és nem aggódok amiatt, hogy a netpincéres jelszavamat megtudják. Vagy bármelyiket, amelyiket a lastpass-ban tároltam.

Természetesen nem, ugyanis nem értek hozzá. Viszont a titkosított adathalmaz az én kezemben van, ergo ha ki is jön valamilyen sérülékenység, az egyrészt csak akkor fenyeget komolyan, ha idegen kézbe kerül az eszköz - ekkor egyébként is cserélném az így tárolt jelszavakat, úgyhogy emiatt nyugodtan alszom. (Jó, most sem alszom, de munka volt...)

Egy eve gontoltam egyete es egy virtualbox-ra telepitett rendszerbe (Xubuntu 10.04 LTS) pakoltam a leveleimet, FF profile-t es szoveges file-ba a FTP/SSH/DB jelszavakat, persze titkositott /home-al.
Termeszetesen csakis munkammal kapcsolatos celra hasznalom es barmi mast a gazda rendszeren csinalok.

Elonyok:
1. Egy pendrive-on hordozhato.
2. Egyszeru teljes biztonsagi masolatot kesziteni es barmikor, barmely verziot elindithatom. (Pl. tegnap reggel, kv elott, esett meg, hogy sietsegemben vagy 1000 mailt toroltem akaratlenul par spam helyett. Valahogy a CTRL-DEL elott megvolt a CTRL-a. Elovettem a tegnapelott esti masolatot es ment minden tovabb.)
3. A /home titkositott u.h. ha illetektelenek kezebe kerulne sokat nem tudnanak kezdeni vele. Ha meg valakinek megis sikerulne foltorni a titkositast, hat ez van, de szerintem meg mindig biztonsagosabb mint a sima rendszeren tartani a levelezest, ami raadasul XP SP3.
4. Mivel a guest az windows ezert nem kell nelkuloznom a linux elonyeit.
5. Beconfiguralt VPN (egy sima click meg jelszo) barhol, barmikor, barmilyen rendszeren ahova van jogom VB-t telepiteni es persze van internet hozzaferes.

Hatranyok:
1. Termeszetes, hogy a virtualis gep nem egy villamgyors gep, de ebben az esetben ez nem zavaro.
2. 512M memoriat foglal a gazda rendszerbol, de a mai vilagban mar a 2-3G RAM nem egy szenzacio.

Az a baj, hogy kb. az lenne a legbiztonságosabb...
Amit zeller mondott, az egy szempontból mindenképp biztonságosabb: security by obscurity; vagyis: mindenki másként tárolja a jelszavait, nem pedig egy uniformizált alkalmazásban, aminek csak egyszer kell megtalálni a gyenge pontjait; utána rászánni a megfelelő szaktudást és számítási kapacitást...és voilá!

"Hol tárolod a titkosított adatbázist? A saját gépeden? Az miért biztonságosabb, mint egy szakemberek által felügyelt Amazon S3 tárhely?"

Ha a sajat gepedet torik meg, akkor mar igyis-ugyis vege a dalnak, tehat ez mindket esetben ugyanakkora kockazat.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( uid_2813 | 2011. 05. 05., cs – 22:44 )

Csak nem lehet elérni most az adatbázist, áll az egész. Mert 1 millióan akarják egyszerre elérni. De ez mért probléma egy Amazon EC2-n, S3-on futó alkalmazásnál?

Az ellen nem ved.
A cloud-ban levo szolgaltatas is csak akkor skalazodik jol, ha ujabb node-okat inditasz, amire vagy veszik a faradtsagot es penzt vagy nem.
Ha jol tudom az Amazon-os node-oknak is fix eroforrasuk van es ha az teljesen ki van hasznalva ok nem inditanak helyetted plusz egy(vagy tobb) node-ot...