maybe_elf Aug 26 2022 at 10:44

LastPass заявила о взломе и краже исходного кода менеджера паролей

1 min

3.8K

Information Security*Development Management*Product Management*Cloud services*

Comments 19

Einherjar Aug 26 2022 at 11:00

Лучшая рекомендация по безопасности - не пользоваться всеми этими сторонними онлайн хранилищами паролей, тогда все ваши ваши пароли не будут одновременно под угрозой из за хакерских атак на чьи то чужие сервера, доступ ко всем паролям одновременно не потеряется по щелчку пальцев от санкций итд итп

SnikeMK Aug 26 2022 at 11:20

У меня онлайн хранилищем интересовался коллега, потому что это удобный менеджмент паролей на команду - массовый шаринг, массовое обновление пароля у всех, можно отзывать пароли и т.д.

Для компаний очень соблазнительно иметь такие фичи.

K0styan Aug 26 2022 at 12:09

Есть сетевые же, но on-premise решения. Именно с централизованным шифрованным хранилищем.

GTD01 Aug 29 2022 at 13:23

KeePassXC + NextCloud

shtykovv Aug 26 2022 at 11:01

Я ни на что не намекаю.

shark14 Aug 26 2022 at 11:08

Используйте keepass и не привязывайтесь к облачным хранилищам паролей.

blind_oracle Aug 26 2022 at 12:15

Кипасс неудобен для использования более чем одним человеком или на более чем одном устройстве.

Тогда уж BitWarden захостить. А лучше его серверный форк VaultWarden.

arteast Aug 26 2022 at 12:24

KeePass одному человеку на нескольких устройствах вполне удобен - он умеет WebDAV. Или, как его использую я, положить файл с ключами в шареную (через Nextcloud, например), папку, чтобы потеря интернета/сервера не означала потерю паролей.

blind_oracle Aug 26 2022 at 12:38

Я жил долгое время с Keepass + Nextcloud на ~5 устройствах. Периодически вылезали конфликты синхронизации базы и подобное (если, например, что-то изменил на 2+ устройствах, но на одном из них не было сети).

Поэтому не вижу смысла натягивать сову на глобус - у BitWarden работа через нормальное API и локальный кеш базы на случай отсутствия инета. Жить стало сильно приятнее.

ilyapirogov Aug 26 2022 at 20:52

Предлагаю посмотреть в сторону pass, с ним никогда не будет проблем синхронизации, поскольку пароли находится в обычном Git репозитории.

mr_iamam Aug 26 2022 at 11:13

Слишком частые плохие новости для менеджера паролей.

stalinets Aug 26 2022 at 12:15

Блокнотик и карандаш, лежащий в бумажнике, не взломают, если сам не потеряешь.

-1

polearnik Aug 27 2022 at 11:08

а что насчет кражи или фотографирования?

stalinets Aug 27 2022 at 19:44

Тут всё зависит от личной аккуратности. То есть если приучить себя следить за своим кошельком (в котором документы, деньги, карты и - пароли), то вероятность кражи паролей минимальна. А в случае всевозможных пассхолдеров кража уже зависит не от меня, что и подтверждается всевозможными взломами и утечками. Вы же бережно храните те же банковские карты, не бросаете их где попало, не светите CVC? Значит, и за паролями в блокнотике можно так же бережно следить.

polearnik Aug 28 2022 at 18:06

вероятность утери или кражи или фотографирования блокнотика во много раз выше чем вероятность утери базы вместе с мастер паролем. а менеджером паролей тупо удобнее пользоватся. Ведь если у вас пароли хранятся на бумаге это охначает что или вы каждй раз на логин тратите кучу времени вводя пароли или то что они у вас сохранены в браузере что вообще за гранью безопасности

stalinets Aug 28 2022 at 18:40

Ну у меня мнение противоположное. Не будь разиней, и твой кошелёк со всем ценным останется в целости. А пароли, хранящиеся где-то электронно - это не Ваши пароли. Пароль и так может быть скомпрометирован (кейлоггеры), а с электронными кошельками вероятность выше. Ведь это очевидная и желанная цель для хакеров - хакнуть одну систему и получить пароли сотен тысяч и миллионов людей. А сфоткать мой блокнотик - это дорогая, сложная, целевая атака на меня одного, что едва ли кому надо.

andreymal Aug 28 2022 at 19:07

хакнуть одну систему и получить пароли сотен тысяч и миллионов людей

Это невозможно. Вы тоже из тех, кто не понимает, как работает e2e?

Ну, можно разве что выкатить обновление клиента с вшитым в него вредоносным кодом, но это нужно сперва незаметно хакнуть систему, потом незаметно выпустить обновления клиентов для всех интересующих платформ, и потом ещё дождаться, пока обновления прилетят пользователям и при этом чтобы никто из специалистов не успел заметить появление вредоносного кода в обновлениях, и после этого ещё дождаться, пока пользователи введут мастер-пароли после обновления. Мне кажется, что вероятность такого лютого везения для хакера стремится к нулю

stalinets Aug 28 2022 at 22:45

Я знаю только то, что практическая реализация любого идеального алгоритма шифрования - зачастую неидеальна, и происходящие то и дело взломы, утечки и кражи данных тому подтверждение. И каждый раз говорят "Ой! Ну так получилось, вот тут была ошибка в коде, или вот тут обнаружилась уязвимость, нам очень жаль". А у карандашика и бумаги нет ошибок в коде... Не надо усложнять то, что успешно работает тысячи лет.

tortevuydu Aug 26 2022 at 17:07

Пфф, я конечно ни на что не намекаю, но после того как его с какого-то перепугу купил Logmein, у которого основной софт это впн, эти так называемые "взломы" и "кражи" у них ежегодно и каждый раз примерно в одно и то же время. Валить надо было ещё в 2015.

Перед тем как удалить свою учётку обязательно перезапишите логины-пароли-мэйлы на фейковые.

Не факт что поможет, но это всё что в ваших силах.