Что не скрывает LastPass?

[crea7or]

Ой не зря у меня самописный хранитель паролей…

[r21514]

Лучший хранитель паролей это голова.

[ishua]

Да, да пара сотен ресурсов, везде уникальные пароли и все это в голове :)

[r21514]

Достаточно придумать для себя алгоритм завязанный на доменном имени и всё.

[iXCray]

Или пользоваться чужими логином-паролем… зачем нагружать ресурс лишней учеткой?) и если утащат, не так жалко будет)

[Stalker_RED]

bugmenot 4ever :)

[hx0]

Ещё PasswordCard

[ishua]

Единый алгоритм для паролей, в плане безопасности вещь не менее спорная ;)

[Rombl4]

И вбивать логин/пароль пальчиками, на радость кейлоггеру.

[imwode]

кейлоггеры бывают трех типов:
а) программные
б) аппаратные
в) другие

[Rombl4]

Перечислите другие способы, если не трудно.

[numark]

Есть особо хитрые люди, которые вводят пароль с экранной клавиатуры. Причем человек этот даже не IT-шник :)

[Rombl4]

Да я и сам вбиваю мастер-пароль в ластпассе только через виртуальную клавиатуру.

Дайте пример виртуальных клавиатур которые работают со всеми полями. С удовольствием буду пользоваться, ибо сколько ни искал, ничего хорошего найти не удалось.

[numark]

Человек пользовался обычной виндовской… Поэтому примера, к сожалению, не могу привести.

[dollar]

За исключением случая, когда браузер запущен на виртуальной машине, с гарантированно чистой системой.

[antivir]

Передайте ему, чтобы сильно не обольщался на этот счет. Есть и мышиные снифферы.

[Rombl4]

Мышиный сниффер уж очень трудоемок в плане ловли паролей, поэтому его опасность невелика.

[LaggyLuke]

Вы заблуждаетесь. Если кому-то действительно понадобится ваш пароль, то он не пожалеет лишние полчаса на то, чтобы вручную его восстановить из мышиного лога.

[bondbig]

Типовая функция большинства кейлоггеров — скриншот активного окна по клику мыши. На выходе получаем серию скриншотов с вашим паролем.

[numark]

Спасибо, не знал. Таким образом, виртуальные клавиатуры отнюдь не панацея…

[mihmig]

я б даже сказал — профанация (судя по тому что для Вас и многих пользователей скриншот по клику был неочевиден)

[datacompboy]

типовая функция «безопасной» скринклавиатуры — нажатие по задержке мыши над кнопкой, а не по щелчку

[bondbig]

сильно снижает юзабилити, т.к. более-менее приличный пароль запаришься набирать

[datacompboy]

Вам шашечки или ехать? :)

[bondbig]

мне — ехать, а вот эти шашечки в виде хитрых onscreen keyboard — не нужны. Три составляющие ИБ, как известно — конфиденциальность, целостность, доступность. Так вот, такая вот клавиатура сильно дискриминирует доступность, выпячивая конфиденциальность. Необходимо соблюдать баланс, иначе это не ИБ, а цирк.

[datacompboy]

Не спорю. Тем не менее они весьма эффективны против текущих стандартных руткитов.
Понятное дело, что если они станут массовыми и популярными — то руткиты начнут просто писать экран в момент остановки мыши после движения. А куда деваться.

[bondbig]

А руткиты при чем? )

[datacompboy]

Ну да. Кейлоггеры :)

[yul]

А если пароль к какому-нибудь ресурсу будет скомпрометирован и его нужно будет поменять?

[adamant]

«Доверяй, но проверяй» — хороший принцип. Особенно для сторонних сервисов, которые хранят критически важную информацию.

Спасибо за обзор.

[kbr]

Lastpass? Одинаковые логины\пароли!!?

[Nerten]

Одинаковые пароли — меня это тоже удивило :) Смысл плагина отпадает сразу. А с одинаковыми логинами вроде все логично.

[kbr]

Ну да, ну да. Про логины это я так, заодно.

[Shark]

Например, пароли, созданные до ЛастПасса, которые просто лень поменять.

[kbr]

Где созданные? В голове? Тогда зачем их записывать?
Если в другой генерилке, то они не будут одинаковыми.

[Shark]

Да, в голове. Вот заходит человек на сайт, вбивает старый пароль, а у него спрашивают «сохранить или нет?» Зачем ему отвечать «нет»? Пускай пока хранится такой, а потом как нибудь поменяет.

[kbr]

А отвечать нет затем, что он его и так знает, и нечего «светить» один свой любимый пароль от 1002302103021 сайтов в какой-то подозрительной программе.

[Shark]

Если человек доверяет ЛастПассу сохранять и генерить свои пароли, вряд ли он считает его подозрительным :)

[kbr]

Ну если он доверяет ему сохранять и генерить пароли для важных ресурсов, то ему вообще ничего в этой жизни подозрительным не кажется.

[kbr]

Вы это дропбоксу расскажите!

[drjohnes]

И не лень же ЛастПасс использовать.

[b0b1k]

И не лень же каждый раз пароли вбивать.

[akoK]

Думаю, для рядового юзера такая уязвимость не настолько критична, чтоб он заметил. Были ли случаи утечек?

[imwode]

Там не то что утечки были, но какой-то инцидент был около двух месяцев назад. По результатам меняли способ аутентификации и форсили ввод номера мобильника что ли. Как всегда проблема была связана с мобильной версией.

[Rastler]

перешел несколько месяцев назад на 1password, после этой статьи окончательно удалил аккаунт lastpass

[imwode]

вот она, рефлекторная деятельность.

[Rastler]

да аккаунт давно пустой, сработало как напоминание удалить :)

[imwode]

Кроме всех уже сделанных автором выводов надо сделать еще один — необходимо не полениться и
а) использовать средство аудита паролей и безжалостно истребить дубликаты
б) можно скипнуть п.а и просто поменять пароли на всех сервисах. Займет около 10 минут, после этого дубликатов не останется.

[alexxxst]

Roboform. Синхронизируются с онлайн-хранилищем уже полностью зашифрованные файлы пасскарт.

[EugeneSukhov]

Приватности в интернете нет. Google со своими сервисами знает про нас все. Реальная кривизна это передавать логин и пароль в отдельных полях и не использовать при шифровании вектор инициализации.

[root_sashok]

Лучший хранитель паролей — оффлайновый хранитель паролей.

[Denny]

С идентификацией по отпечатку пальца и сетчатке глаза, запрятанный в сейфе подземного бункера. Вот только все равно от прецельной атаки на необходимые данные такие меры полностью спасти не могут :)

ИМХО, даже использование хранителя паролей не убирает необходимость менять свои пароли с определенной периодичностью, чего я и советую всем сознательным пользователям интернета.

P.S. Продолжаю использовать LastPass, генерирую пароли по своему алгоритму, который, как и пароли, тоже меняется с определенной периодичностью.

[Didget]

Тогда нужно пожертвовать синхронизацией.

[lolmaus]

А по-моему, все это не так уж плохо. Продолжу пользоваться LastPass.

[maqdev]

«Таким образом, совершенно случайно, на сервер LastPass в открытом виде передается информация о том, на каких сайтах вы зарегистрированы.»

Ну все таки не совсем в открытом виде, а через HTTPS. Т.е. простым прослушиванием эту информацию не получить.

[aig]

Я имел ввиду в открытом (нешифрованном) для сервиса виде.

[stboris]

Реквестирую подобный анализ для 1Password и Roboform. Ну или к другим достойным альтернативам.

[stboris]

Извиняюсь, как оказалось оба являются отдельными программами, а соответственно не так интересны.

Есть правда какой-то RoboForm Lite Password Manager. Но рейтинг у него — «неочень».

[smok]

Не зря у меня KeePass + Wuala

[kostik450]

Меня буквально вчера научили одному хитромудрому способу по работе с паролями.
Придумываете или генерируете длинный пароль и храните его на бумаге.
А чтобы каждый раз не вбивать — набираете его с неправильной последней буквой.
Далее, сохраняете в сохранялке паролей, которая встроена в браузер.
А когда заходите на ресурс — меняете последнюю букву пароля, показываемую звездочкой, на нужную.

[ComputerPers]

И как вы думаете сколько продержится Ваш «пароль»?

[kostik450]

Довольно долго, потому что если завелся кейлоггер, то он ничего не поймет. А если это граббер, он утянет пароль себе в базу, но этот пароль не откроет ресурс. Вряд ли граббер будет брутфорсить последний символ.

[datacompboy]

Тогда уж лучше добавить в сохранении каждый второй символ лишним, и потом через одну звездочку удалить

[kostik450]

Точно! Или же удалять каждый символ на позиции 0 в битовом представлении числа 0xdeadbeef

[rengel_system]

Статья хороша.

Рекомедую сделать анализ при использовании двухфакторной аутентификации (например yubikey) — должно получится интересно если что-нибудь раскопаете.

P.S. Укажите точно в статье что lastpass все передает по https, но не шифрует часть данных ключом пользователя. Сразу из текста это не понятно.

[aig]

Добавил про https.

[kuzvac]

Ну он и показывает, перед сохранением все данные, чтоб можно было исправить.

[Novikov]

Я вот вообще не понимаю граждан, хранящих пароли на каких-то там сервисах в интернете. KeePass есть для винды, мака, андроида и мобильников с джавой. Есть всякие там дропбоксы, через которые можно синхронизировать, если так уж охота.

[Novikov]

А что именно «неудобно»? Автоматически синхронизировать Keepass? А пароли — только в браузере вводить? И только на компьютере? А что будете делать, если нет интернета?

[blabla]

Если нет интернета — открываем Saved Passwords в браузере.

[Novikov]

А, ну конечно, пароли же только в интернете :-)))))))))))))))))))))

[blabla]

Обидно что Xmarks (LastPass) не поддерживают механизм BYOS, т.е. своего сервера. Функция как бы есть, но она работает через раз и не понятно в чем загвоздка. А с паролями наверно было бы удобно если в каждом браузере была возможность синхронизировать пароли и закладки через WebDav over https.

[dollar]

Если дело дошло до трояна, то лучше сразу форматировать диск, а не надеяться на «авось».

Лучший способ хранения паролей — на нетбуке, и использовать его исключительно для почты, браузера, офисных приложений (ворд, эксель). То есть набор текста и чтение текста. Никаких лишних программ. Его желательно не выпускать из рук. Пароли можно копипастить, либо хранить в менеджере паролей (чтобы не подсмотрели в кафе). На сомнительные ресурсы (которые могут воспользоваться дырами в браузере) — не ходить. В самом браузере максимально ограничить интерактивность (отключить плагины, флеш) для всех ресурсов, кроме доверенных.

Также, чтобы спать спокойно, есть хорошая программа True Crypt. Даже если ноутбук будет утерян, — вор не вытащит из него данные. На случай кражи в режиме сна — нужен нетривиальный пароль при выходе из этого режима. Это единственный пароль, который придется держать в голове, и набирать часто и быстро.