LastPass sechole mar megint

Security-all

Rajuk jar a rud...

https://twitter.com/taviso/status/845717082717114368

https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-exte…

  • 3033 megtekintés

( prion | 2017. 03. 29., sze – 20:27 )

Azért durva lehet a kísértés és ellenállni, hogy ne használja :D

Miért használná?

Van elég fizuja a Google-nál és az e-pénisze is szép nagyra megnőtt e nagyszerű felfedezéstől.

Általában a pénz és a hírnév bőven elég egy embernek, hogy elégedett legyen és ne akarjon se a haverja fészbukjába belenézni, se az amerikai elnökébe.

Ne haragudj, de ez tipikus balkani-magyar felfogas!
A "normalisabbja", vagy aki mar latott nyugati peldat is, az kicsit hosszabbtavon gondolkodik:
- ha ellopom a kajat a boltbol, akkor lehet, hogy most jollakok vele, es rovidtavon megoldottam egy problemat, de NEM FENNTARTHATO, mert elobb-utobb a boltok fogynak el
- ha dolgozok, kifizetem, akkor abbol a bolt is fenn tudja tartani magat, es kesobb is barmikor is tudok menni a boltba utanpotlasert. Na ez a modell hosszutavon is fenntarthato.

Nálunk a sarki Tesco előterébe vannak kitéve használt könyvek, amiből 1 font becsületkasszába bedobása után lehet elvileg egyet hazavinni. (A bedobott pénzeket nem lehet kivenni vandálkodás nélkül)
Meg van a másik utcában egy charity shop. Amit megunsz otthon, régi játék, kinőtt ruha, azt elviszed, leadod nekik, ők meg kirakják az utcára.
Aztán ha valakinek megtetszik, felvesz valamit, bemegy a boltba és kifizeti. Ez nem pont becsületkassza, de azért simán el lehetne sétálni egy-két dologgal, ha valaki úgy gondolkozna, mint prion kolléga.

Isle of Wight - isten hata mogotti egysavos uton kis bode. Benne hutoszekreny, polcok. Tojas, lekvar, mez, kenyer, hazikolbasz, felvagott, fagyasztoban fagyi... Bolt elott egy badogdoboz es folotte egy kifuggesztett lista mi mibe kerul... A farm kb 1 km-re bent a bekotouton... Az autok jonnek-mennek - en is megallok - "veszek" ezt-azt... Azt hiszem ha nem dobtam volna be az arat sokaig rosszul aludtam volna... A kolcsonos bizalom csodakra kepes...

+1

Hasonlo pelda, ami tokeletesen mutatja mennyire nincsenek a nyugat-europai emberek felkeszulve a balkaniakra:

Lejart a motoromrol a muszaki, elkezdtem utanajarni hogy tudnek elmenni labon vele muszakira itt Angliaba. Odahaza ugye erre van az utvonalengedely, kerelmezed, kifizeted (mert nem igyenes), Mancika lepecseteli, szokasos ugymenet.
Itt Angolban igy nez ki: foglalj le magadnak valahol muszakira idopontot, utana pedig menj oda. Ennyi. Se Mancika, se pecset, se onkormanyzat/okmanyiroda, se fizetnivalo, se bejelentes, se semmi.
Bonusz: ha megbuksz a muszakin akkor ugyanigy haza is mehetsz
Bonusz 2: ha nincs muszakid es mesz vizsgara akkor az sem baj ha nincs befizetve az utadod

Miutan ezt elolvastam az volt az elso gondolatom hogy ha ezt bevezetnek K-europaban barhol, masnap a fel orszag muszaki + utado nelkul jarna, es eppen mindenki menne vagy jonne vizsgara/vizsgarol.

Egyszeruen nincs megoldas arra hogyha a vasfuggony K-i oldalan 80 eve mindenki arra van nevelve hogy:
- az allam azert van hogy lopjon meg szivasson meg az utolso filleredet is elvegye
- te pedig azert vagy hogy lopjal csaljal hazudjal maskulonben luzer vagy es meggebedhetsz, aki meg lop csal hazudik az hulyere rohogi magat rajtad

( Swifty v | 2017. 03. 31., p – 14:11 )

Lastpass lost pass... :)
--
Debian Linux rulez... :D
RIP Ian Murdock

( nagylzs v | 2017. 04. 04., k – 21:31 )

Van egy idegesítő hiba benne, amit two factor auth-nak mondanak az valójában nem az. Offline is tudja tárolni a jelszavakat, és hiába van beállítva two factor auth, valójában a titkos jelszóval hozzá lehet férni a többi jelszóhoz. Elég idegesítő, főleg mert "two factor auth"-nak reklámozzák, és mert úgy van összerakva a browser extension hogy azt próbálja meg elhitetni a user-rel hogy ha nem jó a second factor akkor nem dekódolja a jelszavakat. Pedig de. Idegesít.

Mondom ezt úgy, hogy évek óta a fizetős verziót használom.

Nem ezzel van a baj. Tudom, hogy van ilyen feature. A probléma ott kezdődik, hogy:

* online vagy
* megnyitsz egy lapot amire egyébként magától kitöltené a jelszót, de nem tölti mert nem vagy bejelentkezve lastpass-ba
* belépsz a jelszavaddal lastpass-ba
* elkezdi bekérni a második faktort, DE KÖZBEN A LAPRA MÁR BEÍRJA A JELSZÓT
* ezek után ha direkt elrontod a second factort, akkor úgy csinál mintha nem sikerült volna a bejelentkezés

Tehát még félre is vezeti a felhasználót, mert megpróbálja elhitetni, hogy szükség van a második faktorra.

A második faktorra akkor van szükség, amikor szinkronizálni akarod a jelszavakat. A jelszavak dekódolásához ilyen nem kell! Ha korrektek akarnának lenni, akkor:

* offline módban (ha nincs net) be se kérnék a második faktort mert semmi értelme
* ha online vagy és elrontod a second factor részt, akkor nyitva hagyná a lokális jelszó db-t, és kiírná hogy a szinkronizálás nem sikerült

A jelenlegi működési mód rendkívül félrevezető, főleg ha valaki nem figyel, és a second factorban megbízva engedélyezi az offline működést.

Hát én ezt nem tudtam reprodukálni.
Chrome, LP extension Version: 4.1.45
Google Authenticator és Yubikey van konfigurálva MFA-ként. Default MFA option: Yubikey
Permit Offline Access Allow-ra van állítva mindkettő MFA option-nál.
Nekem nem írja be a lapra a jelszót, miközben még egy másik lapon kéri a Yubikey-t. Csak akkor, miután megtörtént a Yubikey azonosítás.

Javaslom, nyiss egy ticket-et náluk vagy egy fórum topic-ot, és jelezd nekik, kiváncsi lennék a válaszukra.

Egyébként ha csak annyit csinálnak hogy nem tölti ki a jelszót, az akkor még mindig nem jó. Mert mi TUDJUK, hogy a háttérben addigra decrypt-elte a jelszavakat. A jó megoldás az, hogy meg se próbál úgy viselkedni mintha a 2FA kellene a dekódoláshoz. Akkor legalább mindenki tudni fogja, hogyan működik és mindenki tisztában lesz a biztonsági kockázatokkal.

Nem azzal van a bajom, hogy dekódolja 2FA nélkül - azt nem is lehetne máshogy offline elérésnél. Azzal van a bajom, hogy megtévesztő.

Az nem lehet, hogy a telefon egyedi hw saját azonosítójával függ össze, ami egy reset után nem változik meg?

Gondolom ha nem csak egy reset+restore-t csinálsz hanem tényleg új telefonon próbálod, akkor kérni fogja. (De igazából nem tudom, meg a hw azonosítót is talán lehet hamisítani emulátorral.)

SAASPASS csinál olyat, hogy fölrakod az appot, és induláskor ellenőrzi a licenszet. Ha azt látja hogy root-olt a telefon, vagy emulátor vagy főzött ROM ami nincs aláírva akkor javasolja hogy egyáltalán ne használd. Ez a helyes módja szerintem: ha tájékoztatnak a kockázatokról.

( manfreed (nem ellenőrzött) | 2017. 04. 05., sze – 10:24 )

Melyik alternatíva jobb/megbízhatóbb?

Ezt úgy kell érteni, hogy:

* használ erős jelszót mindenhol, és ne használd ugyan azt a jelszót több helyen
* PC-n: csak olyan helyen használd a lastpass-t ahol az egész lemez kódolva van, ez az alap (luks vagy geli stb.)
* telefonon: ne használd root-olt telefonon, és a lastpass telepítése ELŐTT kódold be a telefont (annak a filesystem-je is encrypted legyen), ezen felül kapcsold be az auto képernyő zárat is.
* a kritikus helyeken használj második faktort, OTP-t vagy ilyesmit (tehát a laspass kitölti neked a jelszót, de az önmagában ne legyen elég a bejelentkezéshez) Ez alatt nem azt értem, hogy a lastpass-t védd meg második faktorral, hanem hogy a weblapot ahová be akarsz jelentkezni
* soha ne telepítsd olyan gépre amiben nem bízol meg - akkor inkább vedd elő a telefonodat, és az azon levő lastpass-ból olvasd ki a jelszót

Ez már önmagában elég körülményes, nekem naponta 5-10 percem elmegy arra hogy a számítógép indításhoz egy jelszó, a képernyőzárhoz TOTP, a lastpass-ba bejelentkezéshez meg egy mester jelszón kívül egy olyan TOTP ami a mobilról egy olyan appból jön, amibe a képernyőzár feloldása után még be kell jelentkezni még egy jelszóval. Az emberi lustaság meg a tudatlanság az ami első szinten veszélyeket hordoz. Ha ez nincs rendben, akkor mindegy milyen jelszó manger-t használsz.

Egy jelszó manager felfedezett biztonsági hibái (amit 1-2 napon belül javítanak) még mindig sokkal kisebb kockázatot jelentenek, mit pl. az hogy nem kódolod be a lemezed, ellopják a laptopodat vagy telefonodat. Be se kell jelentkezni sehová, mert kiveszi a lemezt vagy az SD kártyát és máris megvan a baj. A root-olt telefon néha úgy van beállítva hogy USB debugging-on keresztül is root jogokat ad.

Ha elég elővigyázatos vagy, akkor normál felhasználás mellett nem a 2 nap alatt javított security hole lesz rád veszélyes, hanem az emberi tényező. Ha az alapok rendben vannak, akkor az a bevett metódus valaki rádküld egy bérbarátnőt aki ellesi a jelszavadat amikor nem figyelsz. Vagy megzsarolnak valamivel (pl. kutyád/macskád/gyereked életével) és akkor tökmindegy hogy mit használsz, mert önként adod át az infót. Egy szint fölött az emberi tényező a nagyobb kockázat.

Még magasabb szinten meg mindegy hogy mit teszel, hárombetűs szervezetek hardware backdoor-on keresztül azt csinálnak amit akarnak. De egy halandó HUP taggal ők nem foglalkoznak. :-)

Ja igen, és ha biztonságra törekedsz akkor a kényelmet felejtsd el. A kettő nem fér össze. :-) De Te is ezt írtad. Sokat lehet rajta segíteni a rendszerezéssel (a jelszó manager is ezt teszi), de alapvetően ami nagyon kényelmesen használható az nem lesz biztonságos.

Szerintem a lastpass inkább növeli a biztonságot, és nem csökkenti. Azáltal, hogy minden helyen más (biztonságos, nehezen kitalálható) jelszót tudsz használni, és ha az egyik helyen feltörik a jelszavad, akkor a többi helyre nem tudnak vele bejelentkezni.

Ilyen szempontból a lastpass egy "single point of failure", de ha betartod az óvintézkedéseket akkor a lastpass feltörése a saját gépeiden még mindig kevésbé valószínű.

Egyébként tök jó lenne hozzá egy Challenge-Response védelem a jelenlegi PIN kódos/jelszavas védelem mellé. :-)

Köszi, nagyon jó tanácsok. Úgy látszik nem állok rosszul, telefonom és az összes gépem titkosítva, sd kártya nincs, jelszavakat is egyéniket használok a legfontosabb dolgokhoz, azért is akarom rávenni magam a jelszókezelőkre, hogy használhassam mindenhez különbözőt.

Ezt mondjuk lastpass is tudja mindet, kivéve talán a dropbox/google drive/akármi más cloud sync-et. De ez nem is feltétlen előny - nekem konkrétan nincs kedvem még dropbox-ot is telepíteni a telefonomra meg minden PC-mre csak azért, hogy szinkronizálva legyenek a jelszavak.

( zrubi v | 2017. 04. 10., h – 16:03 )

Rajuk jar a rud...

Szerintem az egész "broken by design"

- rábízom a jelszavaimat egy 3rd party cégre,
- aki számomra ismeretlen titkosítással,
- a zintetneten "tárolja" őket,
- nagyon nagy valószínűséggel nem csak nekem adja őket oda.
- a kliens oldal egy böngésző plugin,
- telefonra és minden egyéb szarra kitálalja a jelszavakat.

Ez maximim kényelmes, de semmiképp nem biztonságos jelszókezelés => adtunk a szarnak egy nagy pofont.

Szerintem a jelszótárolás alapelvei:
- lokálisan legyen tárolva,
- független legyen a böngészőtől, és minden más apptól.
- semmilyen más app ne tudjon hozzányúlni (böngésző se!), csak copy-paste-tel lehessen kivenni belőle adatot.
- tudjon generálni variálható ficsöröket tartalmazó jelszavakat
- "emlékezzen" a korábbi jelszavakra is.

Biztonságtól távol álló vackokra (telefon, tablet, iot kütyü) maxmimum egy külön jelszó adatbázis, amiben csak az adott eszközön használt jelszavak vannak. Innentől meg nem vagyunk sokkal előrébb annál, hogy maga az eszköz/alkalmazás megjegyezze.

Szerintem.

--
zrubi.hu

Én úgy csinálom, hogy a keepass titkosított fájlja fent van a felhőben.

Így ahol tárolom, ott nem férnek hozzá.
Böngésző, ez-az, nem fér hozzá.

Csak az általam futtatott app fér hozzá, és onnan másolom ahová kell.

Persze magában a keepass alkalmazásban meg kell bíznom. Abban, hogy rendesen implementálták a titkosítást, abban, hogy a lokálban futtatott app nem küldi el máshová a jelszavaimat. Stb.

> rábízom a jelszavaimat egy 3rd party cégre,
>- aki számomra ismeretlen titkosítással,

Nem ismeretlen, AES-t használ.

>- a zintetneten "tárolja" őket,

Ha szinkronizálni akarod őket, akkor ez elkerülhetetlen. Lastpass-ban lehet backup-ot file-ba menteni, és adnak offline működő eszközt amivel garantáltan bármikor elő tudod szedni a backup-ból a jelszavaidat akkor is, ha a lastpass cég csődbe megy.

>- nagyon nagy valószínűséggel nem csak nekem adja őket oda.

A náluk (vagy bárhol) tárolt adatbázist a titkos kulcsod védi, ami csak neked van meg. Nem adják oda senkinek (kivéve hárombetűs cégek), de ha odaadják akkor is védi a kulcs (kivéve hárombetűs cégek, de ellenük úgysem tudsz mit tenni).

> - a kliens oldal egy böngésző plugin,
> - telefonra és minden egyéb szarra kitálalja a jelszavakat.

A lastpass az telefonon egy külön alkalmazás ami böngészőként is működik. Jól van megírva. Ha attól félsz hogy egy mobil app ellopja a jelszavad, akkor nem pont ettől az apptól kellene félned...