Forum » Informacijska varnost » Passwordi me ubijajo!
Passwordi me ubijajo!
SeMiNeSanja ::
Uporabljate LastPass? Čim prej obvezno preberite tole!, Ponedeljek, 3. 4. 2017
Snovalci enega izmed bolj priljubljenih programov za upravljanje gesel uporabnikom svetujejo previdnost, dokler ne odpravijo velike ranljivosti v programu.
Mislim, da so to spet ene zastarele 'novice', da je bila težava že zdavnaj odpravljena.
Slaba stran interneta je ta, da se novice replicirajo še dneve in tedne, ko sploh niso več novice.
Na splošno pravijo, da pri LastPass-u varnost baje jemljejo zelo resno, tako da bi zagotovo našel opozorilo na njihovi strani, če bi bilo še aktualno.
lambda ::
SeMiNeSanja > tako da bi zagotovo našel opozorilo na njihovi strani, če bi bilo še aktualno.
Incident Report: March 31, 2017 (8:10 PM): https://blog.lastpass.com/2017/03/secur...
Incident Report: March 31, 2017 (8:10 PM): https://blog.lastpass.com/2017/03/secur...
SeMiNeSanja ::
SeMiNeSanja > tako da bi zagotovo našel opozorilo na njihovi strani, če bi bilo še aktualno.
Incident Report: March 31, 2017 (8:10 PM): https://blog.lastpass.com/2017/03/secur...
Tako kot sem rekel - 'lanski sneg' - Javni disclosure so naredili šele potem, ko je bil update že na voljo in so ga preko autoupdate procedure že posredovali uporabnikom.
Obvestilo je pomembno predvsem za tiste uporabnike, ki nimajo vključenega samodejnega posodabljanja, da to izvedejo ročno.
Skratka ni panike - imeli so problemček, ki ga je odkril raziskovalec, ki ni bil zlorabljen (vsaj ne da bi se za to vedelo) in je bil že odpravljen, ko se je javnost o zadevi obvestilo.
Csharp ::
Jaz imam nekje okoli v glavi okoli 60 različnih passwordov - niti 2 računa nimata istega gesla. Vsa gesla pa imajo vsaj 16 "naključnih" znakov.
Kako si vse to zapomnim: Uporabim formulo, po kateri pridem do pravega gesla. Spremenljivke v formuli datum rojstva, hišna št, prve 3 črke storitve (kamor se prijavljam) itd., poleg tega so vsi znaki kriptirani - zamik za nekaj znakov. Master password (t.j. od maila s katerim sem odpiral račune) pa ima v formuli še dodatne spremenljivke, tako da je geslo še nekaj znakov daljše.
Kako si vse to zapomnim: Uporabim formulo, po kateri pridem do pravega gesla. Spremenljivke v formuli datum rojstva, hišna št, prve 3 črke storitve (kamor se prijavljam) itd., poleg tega so vsi znaki kriptirani - zamik za nekaj znakov. Master password (t.j. od maila s katerim sem odpiral račune) pa ima v formuli še dodatne spremenljivke, tako da je geslo še nekaj znakov daljše.
Egidij88 ::
Kakšno pretiravanje. Jaz imam tri gesla: eno za nepomembne stvari, npr. forumi. Drugo za ebay, mimovrste ipd. medium zadeve...nimam pa nikjer kakšne kreditne kartice dodane...pa tudi sicer imam predplačniško. Pa še najmočnejše za google itd.
Zgodovina sprememb…
- spremenilo: Egidij88 ()
Saul Goodman ::
Jaz imam nekje okoli v glavi okoli 60 različnih passwordov - niti 2 računa nimata istega gesla. Vsa gesla pa imajo vsaj 16 "naključnih" znakov.
Kako si vse to zapomnim: Uporabim formulo, po kateri pridem do pravega gesla. Spremenljivke v formuli datum rojstva, hišna št, prve 3 črke storitve (kamor se prijavljam) itd., poleg tega so vsi znaki kriptirani - zamik za nekaj znakov. Master password (t.j. od maila s katerim sem odpiral račune) pa ima v formuli še dodatne spremenljivke, tako da je geslo še nekaj znakov daljše.
Torej gres cez vse te preglavice, da si se vedno manj varen kot z bilokaterim password managerjem? Zanimivo. Btw, ne si domisljat da je tvoja formula kaj tezkega za pogruntat odlocnemu napadalcu.
Csharp ::
ymxbxcylmn3adk%J7
To je primer mojega gesla. Ni več aktualno, ker sem ga iz preventive pred kratkim zamenjal. Na prvi pogled so znaki povsem naključni, če pa jih vstavim v svojo formulo, dobijo določen pomen. Namesto master passworda si zapomnem formulo in to je to. Ne rabim nobenega password managerja ali kakšnega drugega softverja, da pridem do določenega gesla - to imam v glavi. Ko isto geslo vpišeš nekajkrat dnevno, ga že podzavestno poznaš, v primeru pozabe pa uporabiš formulo.
Kar je v glavi, je v glavi - tega nihče ne more vzet. Kar pa je v password managerjem, je pod vprašajem.
To je primer mojega gesla. Ni več aktualno, ker sem ga iz preventive pred kratkim zamenjal. Na prvi pogled so znaki povsem naključni, če pa jih vstavim v svojo formulo, dobijo določen pomen. Namesto master passworda si zapomnem formulo in to je to. Ne rabim nobenega password managerja ali kakšnega drugega softverja, da pridem do določenega gesla - to imam v glavi. Ko isto geslo vpišeš nekajkrat dnevno, ga že podzavestno poznaš, v primeru pozabe pa uporabiš formulo.
Kar je v glavi, je v glavi - tega nihče ne more vzet. Kar pa je v password managerjem, je pod vprašajem.
DOOM_er ::
andromedar je izjavil:
Jaz uporabljam "formulo", ki sem si jo sam izmislil. Prednost je v tem, da si mi ni potrebno zapomniti posameznih passwordov, ampak si samo zapomnim formulo, po kateri si lahko "izračunam" password za karkoli.
enako je pri meni, uporabljam 2 formuli za več ali manj vse. Katera izmed njiju pride v poštev je pa vezana na moj spomin na spletno stran.
Robots will steal your job. But that's OK
blackbfm ::
Kar je v glavi, je v glavi - tega nihče ne more vzet
meni se je zgodilo da sem pozabil geslo od nekega starega arhiva.. recimo prvih 15 znakov vem, po formuli, ostalo se mi nekaj sanja sam ne dovolj
MTm2H37rqt7B ::
keeweb
kompatibilen z keepass bazami, laufa v electronu za vse desktop platforme lahko pa tudi preko browserja. autotype dela lepo :)
kompatibilen z keepass bazami, laufa v electronu za vse desktop platforme lahko pa tudi preko browserja. autotype dela lepo :)
MrStein ::
Kak že gre slogan? Pametni zapišejo? 
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
gregorinho ::
Sam sem si na Dropbox naložil Excelovo datoteko, kjer imam zapisana vsa nepomembna gesla. Od družbenih omrežij (FB, Twitter...) do trgovinskih storitev (Mercator, Spar, DM...). Nekatera gesla so povsem enaka, ne bi bilo pa nič narobe, če bi bila kar vsa. Razen morda za Gmail ali FB. Pomembno mi je, da do gesel dostopam tudi s pametnim telefonom, saj tudi tu rabim večino gesel.
Kam pa si shranjujete bolj pomembna in delikatna gesla kot so npr. gesla do spletne banke?
Kam pa si shranjujete bolj pomembna in delikatna gesla kot so npr. gesla do spletne banke?
Jerry000 ::
Jaz imam kar v password managerju.
EDIT: oziroma sorry, ker imam samo abamobi si tisto 4 mestno geslo zapomnim :)
EDIT: oziroma sorry, ker imam samo abamobi si tisto 4 mestno geslo zapomnim :)
Zgodovina sprememb…
- spremenil: Jerry000 ()
MrStein ::
Na pamet.
Oziroma po novem nikamor, ker imajo one-time-password, ki ga generira aplikacija na telefonu.
Oziroma po novem nikamor, ker imajo one-time-password, ki ga generira aplikacija na telefonu.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
SeMiNeSanja ::
Presneto, tle jamrate zaradi parih 'enostavnih' gesel.... poglejte si, kakšne zahteve za gesla imajo po novem v DoD!
rook912 ::
Da ne bi kdo preveč resno vzel :)
Duffel Blog is an American military news satire organization featuring satirical articles reporting on national security and US military topics. It is often described as "the military version of The Onion."
Zgodovina sprememb…
- spremenil: rook912 ()
RejZoR ::
Ta "exploit" v LastPass se gre zahvalit glupemu delovanju extensionov, ki izgledajo kot spletna stran. Dokler so extensioni izgledal kot ločen program v svojem okenčku ni bilo šans, da bi zamešal z vsebino prikazano znotraj browser polja. Zdej pa so extensioni praktično spletne strani v browserju je pa ta clusterfuck. Da ne omenjam kako štorasto je vse. Firefox je prej imel dejansko menuje kot se zagre, zdej pa je vse tko štorasto narejeno v LastPass, da je joj.
Angry Sheep Blog @ www.rejzor.com
Saul Goodman ::
dokler bodo tako hitro odpravljali napake kot jih do sedaj, naj jim bo. govorim za lastpass. ko in če lastpass leakne vsa gesla, bo res clusterfuck. "cloud is just someone elses computer". dober rek, ki si ga je potrebno večkrat ponovit. še vedno sem happy lastpass user, vendar me malo mineva, da bi svoja gesla še naprej gostil "v oblaku". still, boljših rešitev je malo, ali pa so pretirano neuporabne napram trenutnemu leaderju na tem področju.
RejZoR ::
Še vedno bolj varno kot gesla shranjena na disku v obliki fajla, ki ga enostavno ugradeš z diska z malwarom. Enkrat sem videl en tak incident in od takrat naprej ne zaupam nobenemu password managerju v browserju.
Angry Sheep Blog @ www.rejzor.com
JeBelaCesta ::
ali še komu ne deluje Lastpass 2phase autentication? ne dobim passcode na SMS..Operater je Telekom
lep pozdrav iz višav ;-)
DeeJay ::
že 100x rečeno da je 2 step verifikacija z SMSom nevarna.
http://blog.kraken.com/post/15320910584...
Nalož si Last Pass Authenticator App na telefon in bo najbolj varna opcija.
Kjerkoli uporabljaš SMS si spremen in začni uporabljat APP.
http://blog.kraken.com/post/15320910584...
Nalož si Last Pass Authenticator App na telefon in bo najbolj varna opcija.
Kjerkoli uporabljaš SMS si spremen in začni uporabljat APP.
JeBelaCesta ::
sej tu (pri mobilni apl.) rabim sms passcodes da sploh lahko pridem do mojih gesel.... Kliknem send SMS passcodes pa nic ne pride
lep pozdrav iz višav ;-)
harmony ::
shintaro ::
Imam ze toliko razlicnih racunov.
Preko roke jih je ziher vec kot 10+ ki so vazni kolikor toliko. Gor so igre in ves shit.
Ni mozno da ne uporabljam isti password na vecini le teh.
Potem pa mali miljon passwordov za razne strani bedne.
Kako vi to obvaldate?
zvezek
pisalo
dober spomin
end.
GrX ::
Imam ze toliko razlicnih racunov.
Preko roke jih je ziher vec kot 10+ ki so vazni kolikor toliko. Gor so igre in ves shit.
Ni mozno da ne uporabljam isti password na vecini le teh.
Potem pa mali miljon passwordov za razne strani bedne.
Kako vi to obvaldate?
Za manj pomembno zadeve kot so naprimer forumi, portali, twitter, itd uporabljam LastPass, za bolj pomembne zadeve kot je recimo spletno bančništvo pa vsekakor spomin.
Zgodovina sprememb…
- spremenilo: GrX ()
GummyBear ::
Password managerji so sicer dobra stvar, ampak povprečni uporabniki niti ne vejo, da taka programska oprema obstaja.
Dobil sem že v roke računalnik, ki je imel v namizju beležnico, v njej pa vsa možna gesla. Uporabnik je imel zavarovan windows account, ampak nekega dne se je računalnik sesul in tako sem ga dobil jaz - z njim pa tudi vsa uporabnikova gesla.
Še več pa je takih, ki obkljukajo možnost "zapomni si geslo" in gesla pozabijo. Varnostnega maila ali telefonske številke pa marsikdo sploh nima v accountu. Ko se računalnik oz. telefon totalka sesuje pa je treba ustvarit nove accounte, ker je do takšnih gesel včasih nemogoče priti.
Toliko o tem, kako povprečni uporabnik skrbi za svoja gesla.
Dobil sem že v roke računalnik, ki je imel v namizju beležnico, v njej pa vsa možna gesla. Uporabnik je imel zavarovan windows account, ampak nekega dne se je računalnik sesul in tako sem ga dobil jaz - z njim pa tudi vsa uporabnikova gesla.
Še več pa je takih, ki obkljukajo možnost "zapomni si geslo" in gesla pozabijo. Varnostnega maila ali telefonske številke pa marsikdo sploh nima v accountu. Ko se računalnik oz. telefon totalka sesuje pa je treba ustvarit nove accounte, ker je do takšnih gesel včasih nemogoče priti.
Toliko o tem, kako povprečni uporabnik skrbi za svoja gesla.
predi ::
KeePass in Keepass2Android (offline). Baza na USB/OTG zunanji periferni napravi, ki ima samo en namen. Uporaba zgolj na treh zaupanja vrednih napravah. Kompozitni master key in več backupov. Včasih je tečno, ampak to služi kot opomnik, da delaš pravo stvar.
Jst ::
>Dobil sem že v roke računalnik, ki je imel v namizju beležnico,
Boljše to, da imaš neka random gesla lokalno v beležnici, kot pa "password123", in podobne enostavne variacije na različnih straneh.
Kot je že nekdo na začetku teme napisal, tudi jaz uporabljam "algoritem" za vsako stran/storitev posebej. Sicer moram vsako leto spremeniti gesla, ampak ni panike. Gesla so odvisna nekaj parametrov, kot so recimo: od leta, od imena spletne strani,... Če je geslo prekratko, (zame to pomeni manj kot 12 znakov), grem še enkrat po istem postopku.
Včasih tečno, ampak jaz ne zaupam password managerjem.
Boljše to, da imaš neka random gesla lokalno v beležnici, kot pa "password123", in podobne enostavne variacije na različnih straneh.
Kot je že nekdo na začetku teme napisal, tudi jaz uporabljam "algoritem" za vsako stran/storitev posebej. Sicer moram vsako leto spremeniti gesla, ampak ni panike. Gesla so odvisna nekaj parametrov, kot so recimo: od leta, od imena spletne strani,... Če je geslo prekratko, (zame to pomeni manj kot 12 znakov), grem še enkrat po istem postopku.
Včasih tečno, ampak jaz ne zaupam password managerjem.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
BorutK-73 ::
vostok_1 ::
Tega nisem štekal. To je prime tarča za dictionary attack ali ne?
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21
Yacked2 ::
Tega nisem štekal. To je prime tarča za dictionary attack ali ne?
Point tega je, da je bolj varno "abcabcabcabcabcabcabcabcabcabcabcabc" kot pa "!/7@ghAŽ"
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!
vostok_1 ::
Ja to štekam, ampak to samo velja,, če ugibaš totalno naključno.
There will be chutes!
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21
It came from the lab.
Like tears in rain. Time to die. v_1 2012-21
Yacked2 ::
Ja to štekam, ampak to samo velja,, če ugibaš totalno naključno.
Kolikokrat si že crackal 37 mestno geslo ?
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!
Saul Goodman ::
geslo rabi entropijo. človek da premalo entropije svojim geslom. premalo ste random. zato se uporablja password managerje. ali vsaj generatorje. pa si tisto potem zapomnite, če ste mazohisti.
password manager je trenutno pač najvarnejši kompromis. v kombinaciji z dvostopenjsko avtentikacijo oz. yubi key-om.
password manager je trenutno pač najvarnejši kompromis. v kombinaciji z dvostopenjsko avtentikacijo oz. yubi key-om.
Kaj ::
Pa še tole druga gre z didictionary napadom skozi....
Torej bolje daljše geslo, sestavljeno iz zgolj malih črk, kot malo krajše geslo, sestavljeno iz vsega živega? Zakaj nas potem strani še vedno pri vsakem ustvarjanju gesel opominjajo, da naj bodo vmes številke in velike črke. Enostavno potem izbereš nek dolg stavek?
Saul Goodman ::
z več "familjami" znakov (A-Z a-z 1-9 + specialni) znatno otežiš delo bruteforce crackanju. isto z dolžino. oboje je bolje kot samo ena ali nobena rešitev.
bobby ::
V obwh primwrih jenodvisno, v katerem hashu je shranjeno.
Wpa2 hash geslo na gtx1070 ima 370000 poizkusov v sekundi, ce je MD5 pa med 1 od 1,2 MILJONA v sekundi. Zato imamo pa Hashcat.
V prvem primeru imas 14znakov random z vsemi karakterji. To bo malo tezko. Premetanka TRUBADORJA, ku je na slikci primer, je lazje, ce se lotis razbijanja s pravilom. Lahko doma pogledam, ce imam v bazi ta Trubador in ce je, so samo se pravila/maske za nastavit. S tem mocno zozas jakost gesla.
Tretji primer pa so vse 4 besede iz slovarja brez premetenk, ta del je se skoraj najlazji, ker so med bolj bogostimi besedami v slovarju in ce razbijas s slovarjem potem je za hashcatena beseda dejansko samo en karakter kar pomeni, da imas geslo sestavljeno samo iz stirih karakterjev ampak kolicina karakterjev pa je definirana z velikostjo slovarja. Torej ce je v slovarju 300000 besed je to 3000004 ce me matematika ne moti.
Wpa2 hash geslo na gtx1070 ima 370000 poizkusov v sekundi, ce je MD5 pa med 1 od 1,2 MILJONA v sekundi. Zato imamo pa Hashcat.
V prvem primeru imas 14znakov random z vsemi karakterji. To bo malo tezko. Premetanka TRUBADORJA, ku je na slikci primer, je lazje, ce se lotis razbijanja s pravilom. Lahko doma pogledam, ce imam v bazi ta Trubador in ce je, so samo se pravila/maske za nastavit. S tem mocno zozas jakost gesla.
Tretji primer pa so vse 4 besede iz slovarja brez premetenk, ta del je se skoraj najlazji, ker so med bolj bogostimi besedami v slovarju in ce razbijas s slovarjem potem je za hashcatena beseda dejansko samo en karakter kar pomeni, da imas geslo sestavljeno samo iz stirih karakterjev ampak kolicina karakterjev pa je definirana z velikostjo slovarja. Torej ce je v slovarju 300000 besed je to 3000004 ce me matematika ne moti.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
Kaj ::
Prejle sem se lotil ustvarjanja formule za geslo za vse pomembnejše spletne prijave.
Sestavim krasno cca 24 mestno geslo z zapomljivo a na videz neugotovljivo formulo.
Krasno, vesel začnem menjavati gesla.
In nato pridem na Paypal in vidim, da omogočajo max 20 mestno. Totalna bedarija.
Super, pa pojdimo spet na začetek, k sestavljanju druge, očitno krajše formule.
Ob tem pa me še nekaj zanima. Komu vse je geslo lahko vidno? Meni ob prijavi, morebitnemu nepridipravu ob vdoru, to že. Kaj pa upravljalcem spletne strani? Recimo za primer kar slo-tech - nimam toliko znanja - se geslo da kako pogledati? google, facebook, je tam kaj drugače?
harmony ::
Ob tem pa me še nekaj zanima. Komu vse je geslo lahko vidno? Meni ob prijavi, morebitnemu nepridipravu ob vdoru, to že. Kaj pa upravljalcem spletne strani? Recimo za primer kar slo-tech - nimam toliko znanja - se geslo da kako pogledati? google, facebook, je tam kaj drugače?
Najlazje bos izvedel, ko das na "pozabil sem geslo". Ce dobis geslo v plejn tekstu taksno stran odjebi ali jo hitro prijavi...je nek sajt, kjer take luzerje lahko prijavis.
Kaj ::
Ok, če je res samo to merilo.
Pa še eno vprašanje, kolikšno varnostno tveganje pomeni omogočeno shranjevanje gesel bsrkalnika? (Chrome, Firefox)
Je problem le, če nekdo fizično dostopi do moje kište?
Pa še eno vprašanje, kolikšno varnostno tveganje pomeni omogočeno shranjevanje gesel bsrkalnika? (Chrome, Firefox)
Je problem le, če nekdo fizično dostopi do moje kište?
Saul Goodman ::
ne, tudi sicer. pač ne uporabljaj shranjevanja gesel v brskalnikih, ker jih je trivialno pobrat dol. also, če ima tvoje geslo formulo, ni dovolj varno za 2017. ni dovolj random. :-P
Lonsarg ::
Pač če nekdo ima dostop do računalnika boš z varnostnimi mehanizmi zgolj oteževal da ti ukrade gesla, več kot to ne moreš, če ne preprečiš vstopa na računalnik. Tudi če otežiš do te mere, da niti v windows ne more logirat ima napadalec še vedno na voljo precej precej opcij. Dosti tudi takih, ki jih navadni 12letni geek zna uporabit. Tudi password managerji, ki zahtevajo vnos gesla kar naprej so zgolj otežitev in ne preprečitev. Sicer ta je že kar huda, tuka se več na simpl potem ne da.
Za pravo varnost pa se uporablja system-wide kriptiranje, npr. bitlocker.
Za pravo varnost pa se uporablja system-wide kriptiranje, npr. bitlocker.
Zgodovina sprememb…
- spremenil: Lonsarg ()
harmony ::
poweroff ::
Ajej. Mislis na "backdoorlocker"?
Ja, če verjameš v chemtraile.
Ali si mislil točno določeno implementacijo?
Bitlocker je čisto OK. Opcija na Windtendo sistemih je še VEraCrypt, sicer pa Linux in Cryptsetup, ane?
sudo poweroff
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Varna gesla, ki to niso: ji32k7au4a83 (strani: 1 2 )Oddelek: Novice / Varnost | 19079 (15398) | SeMiNeSanja |
| » | LastPass odslej omogoča brezplačno sinhronizacijo med napravamiOddelek: Novice / Varnost | 8924 (6120) | PARTyZAN |
| » | Autofill Siol mailOddelek: Omrežja in internet | 2470 (2178) | bosmla |
| » | Google želi tvoriti in hraniti vaša gesla (strani: 1 2 )Oddelek: Novice / Zasebnost | 28106 (24725) | antonija |
| » | Sum vdora v LastPass povzročil množično menjavo geselOddelek: Novice / Varnost | 14034 (12933) | poweroff |