Vlákno názorů k článku Co se stalo LastPass a jak vytvářet silná a zapamatovatel­ná hesla od fd - Autor pise nicim nepodlozene blaboly. "protože šance, že mu...

Autor pise nicim nepodlozene blaboly.

"protože šance, že mu v tlačenici v tramvaji někdo flashku z kapsy vytáhne, je větší, než že někdo získá přístup k zašifrovaným datům na disku LastPassu. "

Sanci ukrast mu tu flasku ma nekolik maximalne stovek lidi, pricemz pravdepodobnost, ze by jeden z nich umel vyuzit data na ni se limitne blizi nule. Mimochodem, kolikrat nekdo autorovi ukradl flashku v tramvaji?

Sanci dostat se k heslu na lastpass ma naprosto kdokoli a to, ze jeden z tech miliard lidi ta data bude umet vyuzit je 100% jiste.

lastPass je mainstream, nikoliv profi řešení. Být útočníkem, napadnu jejich systémy, změním aplikaci tak, aby mi master heslo někam posílala nebo ukládala v čitelné podobě do databáze. Scénářů je hodně, lastPass je o důvěře, ale jeho úroveň zabezpečení je pro mnoho mých věcí dostatečná.

Ano, pokud selžou všechny bezpečnostní opatření u lastpass, tak to nikdo vědět nebude, ale to je strašně extrémní příklad.

Stejně se to dá hnát do extrému, že někdo tu flashku okopíruje a hned vrátí a ty to nemůžeš poznat :D.

Nicméně je tu jedno ale - ač můžem spekulovat co je bezpečnější, tak lastpass je nepředstavitelně použitelnější, takže i kdyby to bylo "méně bezpečné", tak je to stále lepší. Alespoň z mého pohledu.

souhlas, funguje dobře, nemám s tím práci a s nevýhodami jsem smířený. Mám tam 300+ hesel a prostě ho používám.

Každopádně jak je v článku zmíněno, rozhodně bych nedoporučoval dávat do lastpass heslo na hlavní emailovou schránku. Mám asi 5 důležitých služeb, u kterých si složitá hesla pamatuji, zbytek je v lastpass.

V lastPass udělali snad maximu, ale systém, kde js plugin v prohlížeči řeší bezpečnost není moc košér. Lastpass plugin má právo upravit jakoukoliv stránku, další slabé místo. Opakovaně mají problém s bezpečnostní v případě pamatování master hesla, ale komu se chce pokaždé heslo zadávat?

BTW: Jasně, k ničemu, nebo mi stačí získat přístup do tvého emailu a pomocí super formulářů u lastpass odstranit 2FA a mobil si můžeš nechat v kapse...

Já tam mám i heslo na hlavní mail a jak se dále dočteš, tak by ti bylo k ničemu, protože zase nemáš můj foun. Já mám taktiku jednoduchou - je to důležitý = two factor a reálně je to velice efektivní. Protože heslo můžeš nakonec jednoduše uhádnout, ať je sebedelší a ať má entropii sebevětší.

Ten plugin do prohlížeče se mě fakt líbí, generování náhodných hesel a následný vyplňování... To je hned zábava používat nekonečnej počet dlouhých náhodně generovaných hesel se speciálníma znakama :). Ideální z pohledu bezpečnosti to není, ale jak říkáš, je to super, takže kašlat na bezpečnost :D.

BTW: Nestačí, já mám 2FA i na mail, mám google apps, kde máš ošetřený i přístup přes imap a smtp tak, že heslo se na tyhle služby generuje specificky pro konkrétního klienta, tudíž potřebuješ 2FA i na přihlášení na IMAP či SMTP. Myslím si, že moje kombinace je celkem hodně odolná a aniž by si sehnal můj telefon, tak si můžeš leda číst zprávy na facebooku a to klidně si posluž :D

ok, google apps to řeší ;), takže ti opravdu musím na android vloudit nějakou úžasnou appku...

Takovéhle řešení doporučuji lidem v okolí, použivat to je jednoduché a výrazně to zvedne bezpečnost oproti jednomu heslo pro vše.

Čím dál častěji mi poslední dobou třeba chodí spam z českých firemních účtů nejspíš právě lidí, kterým uniklo heslo na schránku...

Hacknout lastpass může kdokoliv, ale 99,999999% těchto lidí to nedokáže, protože k tomu nemá ani z daleka dostatečně schopnosti. Vytáhnout flashku z kapsy naopak dokáže kdokoliv, aniž by měl jakékoliv schopnosti. Další velmi častá situace je, že flashku ztratím či někde zapomenu - takže co se týče přístupu, tak je flashka horší. Prostě se k ní reálně dostane více lidí.

Zda "útočník" ty data zneužije je jiná věc. Pravděpodobně ne. Ale u flashky je ta pravděpodobnost větší, protože jde lehce udělat cílený útok. Vím, že pepa si ty hesla dává na flashku, tak mu jí prostě seberu. Ale pokud si je dává na lastpass... Tak hacknu lastpass? To si ne...

LastPass je rozhodně horší v tom, že je mnohem větší počet útočníků a všichni "útočí" na jeden cíl, nicméně i kdyby jeden útočník ten jackpot vyhrál, tak by těžko zneužil můj mail, protože by měl k dispozici tolik účtů, že by v nich ani moje heslo nenašel. Šance, že útočník dokázal cracknout, analyzovat a případně zneužít milióny účtů v krátké době je prakticky nulová. Je toho prostě moc. A každý lastpass účet se šifruje sám za sebe, takže cracknutím jejich úložiště by jen dostal další zašifrovaná data...

U flashky je ale velice pravděpodobné, že ztrátu velice brzy zjistím. Obdobně u mobilu/notebo­oku/... Pak se podle toho můžu zařídit a hesla si změnit.

Oproti tomu o hacku cloudové služby (nebo o tom, že si někdo odněkud moje úložiště hesel stáhnul a offline si ho crackuje) se nedozvím.

Na druhou stranu, když už někdo crackuje takovou velkou službu, v 99,9999 % případů neútočí na určitou osobu. Takže potom je i ten papírek pod monitorem bezpečnější varianta.

*většina našich hesel chrání naši virtuální identitu ve smyslu sociálním - málokdo má desítky bankovních účtů.

Mě je upřímně jedno, zda to je či není profi řešení, protože je to funguje skvěle, ušetří mě to spoustu práce a to žádný jiný "bezpečnější" způsob ukládání hesel neumí a to je to, co mě osobně zajímá.

Samozřejmě, to by si teoreticky mohl udělat, ale reálně to neuděláš, stejně tak to neudělá nikdo jiný. Bereš to snad tak, že lastpass je společnost plná idiotů, co nemají tušení o bezpečnosti? Nevím nevím, spíš asi ne.

BTW: moje master heslo je ti k ničemu, dokud nezískáš můj telefon :)

Zasadni omyl. Pujdete vykrast trafiku nebo svoz penez z marketu?

Podobne sluzby funguji presne stejne jako magnet - jejich hackem je mozne ziskat miliony uctu. To je o nekolik radu lakavejsi cil nez kapsa nejakeho pepika. Proto je naprosta hloupost necemu takovemu sverovat hesla. Protoze i zcela nezabezpeceny textovy soubor na disku je daleko bezpecnejsi.