Nevím jestli bych si na to zvykl… pořád mít po ruce mobil, teď ho odemknout, najít tam tu aplikaci, spustit ji (u starších mobilů to už něco zabere) a pak dlouze ostřit na ten QR kód (zase horší kamera na mobilu = delší čas). Všechno docela zdlouhavé a já jsem táááák líný :D
K takovému přihlašování by si aplikace musela pamatovat heslo na všech místech odkud jsem přihlášený alespoň 2 roky, abych do toho šel.
Autor pise nicim nepodlozene blaboly.
"protože šance, že mu v tlačenici v tramvaji někdo flashku z kapsy vytáhne, je větší, než že někdo získá přístup k zašifrovaným datům na disku LastPassu. "
Sanci ukrast mu tu flasku ma nekolik maximalne stovek lidi, pricemz pravdepodobnost, ze by jeden z nich umel vyuzit data na ni se limitne blizi nule. Mimochodem, kolikrat nekdo autorovi ukradl flashku v tramvaji?
Sanci dostat se k heslu na lastpass ma naprosto kdokoli a to, ze jeden z tech miliard lidi ta data bude umet vyuzit je 100% jiste.
Přesně tak, autor zcela pomíjí motivaci útočníka. Aby někdo trávil čas tím, že bude lámat moje heslo, je docela nepravděpodobné. Zatímco lámat LastPass, kde při úspěchu získá miliony různých účtů, je řádově vyšší.
Další věc - i když jsou hesla v centrálním úložisti šifrovaná a tím pádem (snad) dobře zabezpečená, už jen ta centralizace představuje slabinu - co když si utočníci z minulého útoku odnesli seznam IP adres a teď se budou snažit stroje uživatelům hacknout a nahradit binárku LastPassu vlastním malwarem? Vím, že to zní dost ulítle, ale stále mi to přijde jako reálnější scénář, než že někdo bude lámat hesla z flash disku.
Suma sumárum - KeePass se zálohou v cloudu mi furt přijde lepší.
lastPass je mainstream, nikoliv profi řešení. Být útočníkem, napadnu jejich systémy, změním aplikaci tak, aby mi master heslo někam posílala nebo ukládala v čitelné podobě do databáze. Scénářů je hodně, lastPass je o důvěře, ale jeho úroveň zabezpečení je pro mnoho mých věcí dostatečná.
1.co si myslite o pouzivani hesiel ktore maju nejaku spojitost s majitelom avsak na prvy pohlad sa zdaju ze maju velku entropiu. Napr som chemik a tak ako heslo pouzijem zapis nejakej oblubenej molekuly: CH3-CH2-CH=OH
2.co si myslite o pouzivani dvojzlozkovych hesiel kde jedna cast ma zabezpecit nahodnost a druha zas aby sa to iste heslo nepouzivalo vo viacerych sluzbach. napr:
%wyt.| ZEX~ebay
%wyt.| ZEX~mojabanka
%wyt.| ZEX~gmail
3.niektore sluzby pouzivaju viacfaktorovu autentifikaciu (hlavne statna sprava). Ako si uchovat grid kartu? (neviem si predstavit ze v pripade jej straty obehavat urady so ziadostami)
4.moj lajcky nazor je ze vynucovanie castej zmeny hesla moze paradoxne znizit celkovu bezbecnost. aky je vas nazor
samozřejmě lze předpokládat, že tím dojde k získání přístupu ke všem webům, na které se přihlašuješ pomocí mojeid, prakticky ale dosah a působnost bude velice omezená a krátkodobá (nonstop podpora, několikanásobné jištění, možnost službu kompletně vypnout v případě kompromitace).
Bezpečnost je věc důvěry a znalostí. Mojeid je transparentní protokol (každý ví jak funguje) s jasně danou bezpečnostní úrovní. Spravují ho lidé, kteří se v oboru pohybují, je to jejich práce a jejich znalosti vysoce převyšují autory většiny projektů. Já jim třeba důvěřuji víc než všem českým eshopům dohromady.
keyPass, 1Password jsou podobné služby a nemusí být cloudové, ale pouze lokální, můžeš si tam spravovat hesla a poté si je tisknout, abys je měl i u sebe...
LastPass a podobné věci nejsou jediným řešením, ale jsou dostatečné pohodlné, bezpečné a jednoduché na používání, že se dají hromadně doporučovat lidem místo používání jediného hesla nebo nějakých složitých vymyšlených vlastních mechanismů.
Jsem z IT oboru a samozřejmě mám řadu jiných způsobů jak pracovat bezpečně se systémy a daty vč. možnosti jak nastavit firemní politiku, ale to je pro úzký okruh s patřičnou znalostí.
V službách podobných lastPass je budoucnost, mít omezené množství míst, vůči kterým se prokazuji a zbytek je jen o tom, že s nějakým přístupem souhlasím nebo nesouhlasím. Na řadu projektů se dá často použít twitter, facebook, google přihlášení, LastPass je pro ty, které mají pouze přihlašování přes heslo...
1- myslim ze keby sa uz niekto chcel zamerat na lamanie mojich hesiel tak uz moze rovno pouzit tu gumennu hadicu pred ktorou ma ziadne dobre heslo neochrani...
2-nemalo by byt heslo zahasovane uz na strane klienta?
3-nie, fuguje to takto: uzivatel zada meno a heslo a nasledne este dostane vyzvu na zadanie pola XY z grid karty. cize grid kartu potrebujes pri kazdom prihlaseni
4-suhlasim, vynucovanie zmeny hesla povazujem za najotravnejsiu vec na tom vsetkom
Dříve jsem používal na ukládání hesel program Roboform, pak jsem přešel na LastPass a jsem s ním spokojen.
Jedna věc mi ale vadí. V Roboformu byla možnost, používat vybraná hesla bez nutnosti přihlášení do programu pomocí master hesla.
U LastPassu údajně tato možnost dle jejich helpdesku není, obcházím to trochu nešikovně tím, že jsem trvale přihlášen do LastPassu, většinu hesel mám nastavenou tak, že při jejich použití musím znovu zadat master heslo.
Těch pár bezvýznamných hesel, co používám víceméně kvůli automatickému vyplnění, nemám chráněno znovuzadáním hlavního hesla, vyplním tedy přihlašovací stránku jedním kliknutím.
Neexistuje nějaké elegantnější řešení?
špatné řešení. Stojí tě to příliš sil a jak prosímtě postupuješ, když potřebuješ z jakýkoliv důvodů heslo změnit? Přidáš "2" na konec a pamatuješ si to? :)
V lastPass mám teď 267 hesel. Na některé služby i více a některé služby za svoji existenci změnily doménu, jak bys řešil tyhle případy? V momentě, kdy někde unikde více tvých hesel, nejspíš tvůj vzorec bude možné odvodit, neudělají to anonymní "hackeři", ale někdo z tvého okolí, co budeš dělat potom?
Blíží se doba, kdy hesla skončí, je to špatný způsob zabezpečení, jen tahle evoluce ještě nějakou dobu potrvá.
Na tohle by mohl pomoct Password hasher… aplikace v zásadě podobná jako LastPass, ale s tím rozdílem, že si hesla nepamatuje, ale pokaždé je znovu generuje z 'master hesla' (a dalších faktorů). Dělá vlastně takový hash názvu webu (aplikace/služby/vlastního textu) a master password.
Výhoda je pak jasná, že nejde cracknout či jinak z ní vytáhnout hesla, když v ní vlastně nejsou… nevýhoda pak, že si člověk hesla nemůže sám napsat jak ho napadne (což může být i výhoda, protože generuje silná hesla).
Má to aplikaci pro android ( https://play.google.com/store/apps/details?id=com.ginkel.hashit ) , html (+javascript) verzi, pluginy pro Chrome ( https://chrome.google.com/webstore/detail/password-hasher-plus-pass/glopbmohkffbnplcjbbbfmmimfhfnhgd ) a FF ( https://addons.mozilla.org/en-US/firefox/addon/password-hasher/ ) … podrobně princip fungování popisuji zde: http://icweb.eu/clanky/o-heslech
Jj, přihlášení pomocí QR kódu ještě chvíli potrvá, ale už se blýská na lepší časy :-)
http://cointelegraph.cz/news/114635/sqrl-zapomente-na-login-a-heslo-k-online-prihlaseni-bude-stacit-qr-kod
http auth podporuje hmac pro hešování na straně klienta, bohužel podpora v prohlížečích je děsivá, oni to sice umí, ale okna a způsoby jak s tím pracují je neuživatelský.
Samozřejmě, ideální je prostě neposílat heslo, ať žije oauth, přes google se také můžete na různých webech přihlašovat a vaše heslo zná jen google...
2) Hesla u klienta rozhodně… nejlepší způsob, pak si člověk může být i jistý, že heslo nezmizí po cestě (další lidi na stejné nezabezpečené síti, všichni ISP, …).
Zase ale na stránkách hashování javascriptem je naprostý unikát a je to na jedné z tisíců a zároveň může být javascript podvržený, takže by si ho měl klient sám prověřit (těžko představitelné že by to fakt někdo dělal, to je asi jako kontrola technického stavu vozidla před jízdou). Nebo v ideálním případě si musí uživatel hashovat sám svým vlastním programem (hrozná nuda a zdržení).
Změna hesla je taky velice snadná… je tam na to 'Bump' tlačítko které přidá za první řetěze pro hashování číslo, čímž samozřejmně vznikne úplně jiný hash a tedy úplně jiné heslo.
Aplikace (všechny aplikace) si to může ukládat v sobě, které weby mají 'bumpnuté' heslo, aby tím nezatěžovali uživatele.
Ale ještě se mi nestalo, že by mi uniklo heslo… ono když je pro každý web/službu/aplikaci jiné, tak když to ukradne poskytovatel (což je možné), tak zná jen to heslo pro jeho samotného, což je mu k ničemu.
Horší by bylo určitě kdyby někdo zjistil hlavní heslo (a private key, pokud je použit), to by pak bylo na změnu všech hesel na všech službách, pořádné peklo.
Neznáte někdo solidní password manager, co podporuje i vkládání hesel do programů, teda spíše her? Jedna věc je mít hesla v prohlížeči, ale třeba zmiňovaný lastpass ani 1password neumí programy. Chápu, že to asi není triviální, ale když už bych na něco takového přecházel, rád bych aby to zvládlo i tohle...
V základu by ty programy/hry k tomu musely mít nějaké api, podle nějaké specifikace… a nic takového jsem zatím nikde neviděl.
Takže takový program může tak maximálně načíst si název aplikace, najít/udělat příslušné heslo a pak udělat CTRL+C za tebe, to je asi tak jediná možnost. Nějaký čas by to ušetřilo, ale žádný zázrak.
Pokud jde o ukládání databáze s hesly (třeba KeePas) na flešku či
jejich zálohu na Dropbox či vlastní server vs LastPass, já pro zvýšení bezpečí (používám KeePas a synchronizuji přes vlastní server) používám metodu ukrytí databáze mezi desítky jiných podobně velkých souborů s náhodným obsahem. Potřebuji si tedy pamatovat master heslo a název konkrétního souboru.
Co myslíte, jak asi případný útočník bude louskat hesla z těch desítek různých náhodných souborů?
Ad 2 – mělo, ale v praxi se to skoro nepoužívá. Takže by si to heslo musel zahashovat uživatel sám a vůči serveru pak jako heslo používat až ten hash.
Ad 3 – pokud jsou ty kódy na kartě vytištěné, stačí si jí přece okopírovat. Ale to opravdu dneska někdo používá? Já jsme popisoval dvoufaktorovou autentizaci na základě sdíleného klíče, např. TOTP nebo HOTP, která se dnes používá nejčastěji.
2) Sice nezmizí původní heslo, ale pokud se útočník dostane k hashi,tak může použít ten hash pro přihlášení. JavaScript navíc zrovna neumí nejlíp hashovat, trvá to příliš dlouho a WebCryptoAPI je teprve v přípravě, takže se pro přenos spíš používá HTTPS, které chrání nejenom přenos hesla, ale i session id a dalších celkem důležitých věcí. NAvíc je potřeba hashovat stejně zase na serveru, nehledě na to, jestli se hashuje na klientu nebo ne.
Na klientu se pak hashuje spíš jen ve speciálních případech, jako třeba LastPass.
Autor o motivaci útočníků opravdu nepsal, do už tak dlouhého článku by se to nevešlo, omlouvám se.
Pravděpodobnost, že někdo bude lámat autorovo heslo je zase celkem pravděpodobná. Ačkoliv, i podle tohoto článku by mělo být jasné, že je to celkem zbytečné ;-)
"Cloud" může být častějším cílem útočníků, už třeba jen proto, že v něm může být spousta jiných zajímavých dokumentů, nejenom zašifrované trezory.
Jasné, javascriptové hashe jsou vždycky pomalejší než stejný hash v jiném jazyce. Ale dají se nají i docela použitelné… třeba i BCrypt https://github.com/dcodeIO/bcrypt.js
Tomu aby se ale útočník se odchytnutým hashem mohl přihlásit se dá ale docela pěkně zabránit server vegeneruje pokaždé jiný náhodný token a ten pošle na klienta, ten provede hash(token+hash(heslo)) a tohle vrátí místo hesla serveru k tomu samozřejmně i uživatelské jméno a ten token. Server pak napřed zkontroluje jestli je to ten token co vygeneroval, a až pak jestli sedí heslo. No a zneplatní token, aby ho nebylo možné použít znovu.
Díky tomu bude ten hash co se posílá místo hesla pokaždé jiný a odchytnutá komunikace už takhle k přihlášení nepomůže. Útočník by musel mít dopředný přístup ke komunikaci server klient, ještě v průběhu přihlašování, pak nejsnáze upraví javascript tak, aby hash vůbec nedělal a heslo si normálně přečte, na tohle je popisovaný postup krátký.
"To trochu vypadá na Security through Obscurity."
Možná to tak někdo může vnímat, mě to ale nestojí žádný čas ani námahu, je to jen pojistka, která má případnému útočníkovi znesnadnit práci.
Jinak je to samozřejmě uděláno tak, aby nešlo poznat, který soubor je ten pravý, pokud tam vůbec je. Opak by postrádal smysl.
Myslím, že tímto k porušení principu jedno heslo pro jednu službu nedojde. Když si klikneš na přihlášení přes MojeID, lupa tě pošle na stránku MojeID kde zadáš to své heslo unikátní právě a jen pro MojeID, toto heslo pak už servery MojeID neopouští a lupě příjde jen informace, 'ano, je to tent a ten', nebo 'přihlášení se nepovedlo' (+ nějaké doplňující info, pokud o něj lupa zažádá), ale k heslu se nikdy nedostane.
ano, tohle řešení je jen pro tebe a neměl bys ho šířit. Nemůžeš ho ani použít do žádné aplikace.
Věřím, že tam máš řadu slabin, na soubor s hesly často přistupuješ, nejspíš bude uložen v diskové cache. To se dělá tak, že se pokusím načíst první bajt každého souboru a sleduji, který soubor se jak rychle načetl :).
Takovýhle způsob ukládání tajných informací je častá úloha různých crypto soutěží.
Pravda, KeePass má auto-type https://keepass.info/help/base/autotype.html , ten by mohl jít použít. Mám pocit, že by to mohlo fungovat i bez schránky.
Ano, pokud selžou všechny bezpečnostní opatření u lastpass, tak to nikdo vědět nebude, ale to je strašně extrémní příklad.
Stejně se to dá hnát do extrému, že někdo tu flashku okopíruje a hned vrátí a ty to nemůžeš poznat :D.
Nicméně je tu jedno ale - ač můžem spekulovat co je bezpečnější, tak lastpass je nepředstavitelně použitelnější, takže i kdyby to bylo "méně bezpečné", tak je to stále lepší. Alespoň z mého pohledu.
ok, google apps to řeší ;), takže ti opravdu musím na android vloudit nějakou úžasnou appku...
Takovéhle řešení doporučuji lidem v okolí, použivat to je jednoduché a výrazně to zvedne bezpečnost oproti jednomu heslo pro vše.
Čím dál častěji mi poslední dobou třeba chodí spam z českých firemních účtů nejspíš právě lidí, kterým uniklo heslo na schránku...
Interní kroky v případě napadení jsou daleko složitější než vypnutí služby, tohle jsem navodil opravdu jen pro zjednodušení. Bohužel řada firem třeba ani nemá žádný manuál co v případě kompromitace udělat a prostě jdou googlit :).
Jasně, ti lidé jsou bohové s nadliskými dovednosti. Samozřejmě, ale v případě internetu jsem ale odkázaný pořád jen někomu věřit nebo ho nepoužívat.
Pokud si mám vybrat jestli budu věřit czc.cz nebo mojeid, jednoznačně volím mojeid a o tom to je. Ani jedno není spásné řešení, ale nějak musím přihlašování řešit. Uvázat se jedné službě je blbost a stejná blbost je mít všechna hesla podle nějakých pravidel.
souhlas, funguje dobře, nemám s tím práci a s nevýhodami jsem smířený. Mám tam 300+ hesel a prostě ho používám.
Každopádně jak je v článku zmíněno, rozhodně bych nedoporučoval dávat do lastpass heslo na hlavní emailovou schránku. Mám asi 5 důležitých služeb, u kterých si složitá hesla pamatuji, zbytek je v lastpass.
V lastPass udělali snad maximu, ale systém, kde js plugin v prohlížeči řeší bezpečnost není moc košér. Lastpass plugin má právo upravit jakoukoliv stránku, další slabé místo. Opakovaně mají problém s bezpečnostní v případě pamatování master hesla, ale komu se chce pokaždé heslo zadávat?
BTW: Jasně, k ničemu, nebo mi stačí získat přístup do tvého emailu a pomocí super formulářů u lastpass odstranit 2FA a mobil si můžeš nechat v kapse...
Já tam mám i heslo na hlavní mail a jak se dále dočteš, tak by ti bylo k ničemu, protože zase nemáš můj foun. Já mám taktiku jednoduchou - je to důležitý = two factor a reálně je to velice efektivní. Protože heslo můžeš nakonec jednoduše uhádnout, ať je sebedelší a ať má entropii sebevětší.
Ten plugin do prohlížeče se mě fakt líbí, generování náhodných hesel a následný vyplňování... To je hned zábava používat nekonečnej počet dlouhých náhodně generovaných hesel se speciálníma znakama :). Ideální z pohledu bezpečnosti to není, ale jak říkáš, je to super, takže kašlat na bezpečnost :D.
BTW: Nestačí, já mám 2FA i na mail, mám google apps, kde máš ošetřený i přístup přes imap a smtp tak, že heslo se na tyhle služby generuje specificky pro konkrétního klienta, tudíž potřebuješ 2FA i na přihlášení na IMAP či SMTP. Myslím si, že moje kombinace je celkem hodně odolná a aniž by si sehnal můj telefon, tak si můžeš leda číst zprávy na facebooku a to klidně si posluž :D
Celkem pekny clanek. Jen trochu skoda, ze je psanej pro opravdovy zacatecny, kdyz ma autor tak velky potencial (alespon podle toho co sam pise ;-) ).
Ja osobne pouzivam mSecure.
Libi se mi moznost synchronizace s dropboxem a pro ty lehce paranoidni je moznost zvolit synchronizace v ramci lokalni site, takze hesla jsou jenom lokalne na siti a nikde "venku".
Aktualni kombinaci mam MAC, Windows, Andoroid Mobil, iPad. Jen se obavam ze master heslo bude v pripade Androidu a jejich klavesnic asi odchytitelne, coz se da resit tim, ze na kazdem zarizeni mate jine master heslo.
já právě myslím, že to překonal tady zmiňovaný lastPass :).
Přepisovat složitá hesla ručně je prostě nepohodlné a náročné, nemluvě o jejich vyhledávání v notýsku v případě, kdy jich opravdu mám stovky.
Mně by ale na notýsku právě hodně vadilo to, že si to můžeš přečíst kdokoliv, kdo se dostane k mým věcem. Na druhou stranu si hesla z lastPass pravidelně tisku a archivuji, abych nebyl tak příliš závislý na jedné službě.
Příslušné kvantum dat jim ovšem nemusíte psát, ale můžete jen povolit MojeID, aby je předalo za vás.
To náhodné heslo musíte nějak vytvořit a někam si ho zapsat. Drtivá většina lidí to bude dělat způsobem, který je řádově méně bezpečný, než dobré kvalitní služby třetích stran umožňující přihlášení. Drtivá většina lidí ve skutečnosti ani nebude řešit náhodné heslo, ale použijí své oblíbené slovníkové heslo.
Je skutečně vynikající styl psaní preventivně urazit čténáře větami jako "věřím, že v komentářích pod tímto článkem se také najde hrstka minimálně stejně kvalitních odborníků...".
Mnohem zajímavější by byla třeba informace, co znamená v případe uniklých LastPass hashů slabý master password. Na slabším GPU se třeba človek dostane jen na 2500 pokusů za sekundu, ale se slovníkem, Markovovy řetězci a mutacemi může stačit na hesla do délky 12 znaků.
Vtip je v tom, že síla hesla a jeho entropie závisí od toho, co útočník očekává, že to heslo bude. Útočník se bude snažit přizpůsobit svůj cracker způsobu jakým si uživatelé vybírají hesla (třeba klidně metodě diceware). Silné heslo včera nemusí být silné heslo zítra. Nejlepší kriterium zapamatovatelnosti je heslo používat co nejčastěji - zapomenete ho, když ho používat nebudete.
Zajímavým vedlejším efektem jsou různá udělátka, která se snaží posoudit sílu hesla a jeho entropii - a je vidět, jak moc se jejich výsledky liší kvůli jejich definici "očekávatelnosti" hesla. Zrovna zmiňovaný KeePass má estimator udělaný celkem solidně, ale je vidět, že je cílený na anglický slovník.
Omlouvám se, pokud vás ta věta urazila, to nebyl její cíl.
Díky za odkaz na článek od Roberta Grahama, ale asi bych si z něj vzal něco jiného, než že slabší GPU může stačit na hesla do délky 12 znaků. Resp. to číslo může být klidně 20 nebo 30. Nebo i víc, záleží na heslu. Pokud budu mít heslo "correcthorsebatterystaple" (25 znaků), tak i slabší GPU takové heslo rozlouskne celkem rychle, záleží samozřejmě na použitém slovníku a typu útoku. Proto jsem slabá hesla spíš jen naznačil (Pepicek92, correcthorsebatterystaple ani Pat&Mat) a soustředil se na to, jak vymyslet silná hesla tak, aby nějakou dobu vydržela.
Útočník může svůj nástroj přizpůsobit a také se to děje (viz třeba algoritmus PRINCE https://github.com/jsteube/princeprocessor), ale přizpůsobením pro Diceware si moc nepomůže. U Diceware nejde o použitá slova, ostatně jejich seznam je veřejný, ale o to, že na každém místě může být 7776 kombinací (bez toho nahrazování speciální znakem), narozdíl od 62 při použití A-Za-z0-9. A také o to, že výsledných X slov je za sebou řazeno opravdu náhodně, takže se ke zrychlení nedá použít ani slovník, hybridní útoky ani Markov chains.
O tom, že si mozek po určitém tréninku umí zapamatovat (maximálně) pár silných hesel v článku píšu.
Souhlasím, že "password strength meters" jsou většinou tragédie. Zatím asi nejlepším na webu je ten od Dropboxu (https://blogs.dropbox.com/tech/2012/04/zxcvbn-realistic-password-strength-estimation/), ale také nemá "heslo" ve slovníku , ačkoliv se do něj dá jednoduše přidat.
Co říkáte na bezpečnost open source správců hesel obecně? A máte někdo nějakou větší, než uživatelskou zkušenost se službou Encryptr (https://encryptr.org/)?
Mitro opravdu končí: August 31st: Mitro will be turned off.
https://www.mitro.co/shutdown.html
Podle aktualizovaných informací na https://blog.lastpass.com/2015/06/lastpass-security-notice.html/ se LastPass chystá přidat scrypt k hashování na serveru, takže v článku uvedený algoritmus již nebude brzy zcela aktuální.
Já doufám, že běžné weby jednoho dne přestanou nabízet přihlášení pouze jménem a heslem a nabídnou i něco bezpečnějšího. Třeba přihlášení přes QR kód.
Jeden open source projekt najdete u mně. Zkuste to
Pískoviště zde:
http://forum.novacisko.cz/ucp.php?mode=login
(tlačítko QRlogin)
Hacknout lastpass může kdokoliv, ale 99,999999% těchto lidí to nedokáže, protože k tomu nemá ani z daleka dostatečně schopnosti. Vytáhnout flashku z kapsy naopak dokáže kdokoliv, aniž by měl jakékoliv schopnosti. Další velmi častá situace je, že flashku ztratím či někde zapomenu - takže co se týče přístupu, tak je flashka horší. Prostě se k ní reálně dostane více lidí.
Zda "útočník" ty data zneužije je jiná věc. Pravděpodobně ne. Ale u flashky je ta pravděpodobnost větší, protože jde lehce udělat cílený útok. Vím, že pepa si ty hesla dává na flashku, tak mu jí prostě seberu. Ale pokud si je dává na lastpass... Tak hacknu lastpass? To si ne...
LastPass je rozhodně horší v tom, že je mnohem větší počet útočníků a všichni "útočí" na jeden cíl, nicméně i kdyby jeden útočník ten jackpot vyhrál, tak by těžko zneužil můj mail, protože by měl k dispozici tolik účtů, že by v nich ani moje heslo nenašel. Šance, že útočník dokázal cracknout, analyzovat a případně zneužít milióny účtů v krátké době je prakticky nulová. Je toho prostě moc. A každý lastpass účet se šifruje sám za sebe, takže cracknutím jejich úložiště by jen dostal další zašifrovaná data...
lastPass začíná testovat automatickou změnu hesla, učí se formuláře jednotlivých služeb a poskytuje v betě tlačítko na rychlo změnu hesla, to může být zajímavá věc.
I tak mi to připadá zvrhlé, heslo se dá odposlouchat přes wifi jak nic. Mít potřebu občas heslo zadat třeba přes mobil nebo cizí počítač je také v tom případě dost složité. Raději bych šel do yubico či jiného HW.
Hezke, ale ciste teoreticke. Zkuste si predstavit, ze dojde ke kompromitaci. Mate rekneme milion uzivatelu. Vy vypnete sluzbu, kterou denne pouziva milion(nebo jeste mnohonasobne vic, trebas v pripade google) lidi? Prijdou vas ukamenovat.
"Spravují ho lidé, kteří se v oboru pohybují, je to jejich práce a jejich znalosti vysoce převyšují autory většiny projektů. "
Vira, rekl bych na urovni viry ve spagetove monstrum. Naopak, po internetu se pohybuji lide, kteri maji schopnosti a prakticke dovednosti, o kterych si vetsina provozovatelu podobnych systemu muze nechat leda zdat. Ovsem pokud pujdeme do dusledku ... prectete si Mitnika. Zdaleka nejvetsi riziko je spojeno vubec s tim, delegovat autorizaci na treti osobu.
U flashky je ale velice pravděpodobné, že ztrátu velice brzy zjistím. Obdobně u mobilu/notebooku/... Pak se podle toho můžu zařídit a hesla si změnit.
Oproti tomu o hacku cloudové služby (nebo o tom, že si někdo odněkud moje úložiště hesel stáhnul a offline si ho crackuje) se nedozvím.
Na druhou stranu, když už někdo crackuje takovou velkou službu, v 99,9999 % případů neútočí na určitou osobu. Takže potom je i ten papírek pod monitorem bezpečnější varianta.
*většina našich hesel chrání naši virtuální identitu ve smyslu sociálním - málokdo má desítky bankovních účtů.
Mě je upřímně jedno, zda to je či není profi řešení, protože je to funguje skvěle, ušetří mě to spoustu práce a to žádný jiný "bezpečnější" způsob ukládání hesel neumí a to je to, co mě osobně zajímá.
Samozřejmě, to by si teoreticky mohl udělat, ale reálně to neuděláš, stejně tak to neudělá nikdo jiný. Bereš to snad tak, že lastpass je společnost plná idiotů, co nemají tušení o bezpečnosti? Nevím nevím, spíš asi ne.
BTW: moje master heslo je ti k ničemu, dokud nezískáš můj telefon :)
Souhlasím, že nepohodlné to někdy je. Nicméně nemusím řešit problém s tím, zda mi nějaké zařízení umožní připojení flashky, nebo zda flashku v kapse nezlomím. U "cloudových" služeb pak třeba otázku, zda se k nim vůbec dokáži připojit (stačí přísně nastavený firemní firewall a prostě je člověk v háji). Notes toto řeší! :)
Samozřejmě hrozí ztráta a pak "totální zneužití", to bez debaty je hlavní, ale také jediná hrozba, kterou však lze vlastních chování eliminovat. Tedy vynechám-li případ, že si na mě někdo cíleně počká někde v průchodu a po domlácení basellovou pálkou mi prohledá sako ;-)
Zasadni omyl. Pujdete vykrast trafiku nebo svoz penez z marketu?
Podobne sluzby funguji presne stejne jako magnet - jejich hackem je mozne ziskat miliony uctu. To je o nekolik radu lakavejsi cil nez kapsa nejakeho pepika. Proto je naprosta hloupost necemu takovemu sverovat hesla. Protoze i zcela nezabezpeceny textovy soubor na disku je daleko bezpecnejsi.
Útok na LastPass a vůbec na jakékoli služby je vždy cílený. Útočník si prostě řekne, že se pokusí napadnout LastPass, a vyhradí si na to čas.
A to je stejný případ i s tím kradením flašky v tramvaji. Útočník si vytipuje jedince, a zjistí si o něm, že v kapse nosí flašku s hesly. Ve vhodnou dobu pak provede cílený útok - ukradne flašku v tramvaji. No a zde jde o to, jak složité to bude mít. Dostat se do databáze LastPass je složitější než ukradnout flašku v tramvaji.
Prostě porovnáváš neporovnatelné. Pleteš si cílený a necílený útok. Ten tvůj příklad s krádeži v tramvaji je necílený útok, a tam je jasný, že šance na využití dat je mizivé, protože o ty hesla mu nešlo. Jenže tady jde o cílený útok, a tady se karty otáčí. Zloděj měl důvod, proč ho okrást v tramvaji, tudíž využití je 100% nikoli nulové.
Na vyplňování hesel, instalačních sériových čísel a dalších věcí v programech používám... LastPass. Stačí si jen do kompu nahodit jejich aplikaci, která je zatím bohužel jen pro Windows.
Na této stránce https://lastpass.com/misc_download2.php stačí kliknout na záložku Windows, zarolovat dolů a stáhnout "LastPass pro aplikace"
Ad 1 – pokud někdo bude útočit přímo na vás, ty informace si snadno zjistí a takovéhle heslo určitě zařadí na seznam žhavých kandidátů.
Ad 2 – dnes se bohužel při registraci a prakticky při každém přihlášení předává heslo serveru v otevřeném tvaru. Tedy musíte počítat s tím, že správce serveru to vaše heslo zná. Správce serveru eBay, který uvidí heslo %wyt.| ZEX~ebay
, si velice snadno domyslí, že má na GMailu zkusit %wyt.| ZEX~gmail
.
Ad 3 – to přece nesouvisí s vícefaktorovou autentizací, ale se způsobem, jak se řeší ztracené přístupové údaje. Pokud se používají jednorázová hesla, bývá to vyřešené tak, že při registraci klíče dostanete několik kódů, které můžete použít v případě, že nedokážete získat jednorázové heslo. Tyhle klíče byste měl uchovat někde na bezpečném místě (buď v té obálce s master heslem popisované v článku, nebo – pokud chcete využít té dvoufaktorovosti – v jiné obálce umístěné stejným způsobem – tedy např. master heslo v trezoru a kódy u rodičů). V případě ztráty klíče pro generování jednorázových hesel se přihlásíte tím vygenerovaným kódem uchovávaným v obálce a klíč změníte.
Např. pro Android existuje aplikace Authenticator Plus, která slouží právě pro generování jednorázových hesel, a umí klíče synchronizovat např. přes Dropbox. Ovšem pozor na to, že pak zase bezpečnost závisí na tom, zda je dostatečně silné heslo, kterým jsou ta data chráněná.
Ad 4 – myslím, že tohle vědí všichni, kteří to s bezpečností myslí opravdu vážně. Vynucování změn hesla má zřejmě „vyřešit“ situace, kdy by někdo získal vaše heslo a vy se o tom nedozvíte – určitou dobu ho bude moci zneužívat, ale po změně hesla bude mít smůlu. Už samotný fakt, že bude mít nějakou dobu přístup k vašemu účtu a nezjistí se to, je obrovský průšvih. Ale hlavně, když se to nezjistilo, je velice pravděpodobné, že útočník dokáže stejným způsobem získat i nové heslo. Případně to heslo odvodí z toho předchozího stejným způsobem, jako to dělá uživatel. Takže bezpečnostní přínos je velmi malý (funguje to vlastně jen pro málo pravděpodobný případ, že někdo to heslo zjistí omylem), za to je velmi velké riziko, že taková politika povede k používání slabých hesel (bez ohledu na to, že jiná politika může vyžadovat formálně složitá hesla).
Díky za dotaz a starost, autora znám osobně. V tramvaji mu zatím nikdo flashku neukradl, flashku v kapse nenosí a pokud nějakou má u sebe, tak je v naprosté většině vždy prázdná, není na ní žádný soubor, ani hesla.txt, ani zašifrovaný trezor. Autor se navíc snaží vyhýbat jakýmkoliv tlačenicím, nejen v tramvaji. Autor s touto pravděpodobností počítá a ztráta flashky ho nijak neohrozí.