Комментарии 106
PS Если перевод части про механизм защиты покажется странным, вот оригинал
PBKDF2 (Password-Based Key Derivation Function) using SHA-256 on the server with a 256-bit salt utilizing 100,000 rounds.
Не уверен, что в полной мере владею терминологией, так что, если поправите — внесу в пост.
PBKDF2 (Password-Based Key Derivation Function) using SHA-256 on the server with a 256-bit salt utilizing 100,000 rounds.
Не уверен, что в полной мере владею терминологией, так что, если поправите — внесу в пост.
НЛО прилетело и опубликовало эту надпись здесь
Сегодня он мне постоянно выдает красное сообщение «При попытке связаться с сервером произошла ошибка. Пожалуйста, проверьте ваше интернет подключение» Обычно это появляется если связи нет, но я залогинен, а ошибка все равно периодически появляется. Перелогивание не помогает, надоело уже, отключил LP. У кого-то еще есть такое?
Что-то похожее + редирект на страницу с резетом пароля. Сменил пароль и всё ок.
В принципе, бояться нечего, если был адекватный пароль.
В принципе, бояться нечего, если был адекватный пароль.
Решил сменить пароль, у меня не получается залогиниться на сайте в хранилище! Пароль точно подходить должен, страница восстановления пароля не грузиться, ОМГ
Может, у них перебои из-за большого количества желающих сменить пароль, не паникуйте.
Такая же проблема. Ждём.
При входе в хранилище раньше была надпись об ошибке что не правильный пароль или логин, теперь пишет «Произошла ошибка при обращении к серверу LastPass. Пожалуйста, повторите попытку позже.»
Видимо поправили описание, теперь более корректно написано.
Видимо поправили описание, теперь более корректно написано.
В апдейте к посту в официальном блоге указано временное решение проблемы. Вы можете использовать LastPass в offline режиме (для этого советуют отсоединить кабель интернета во время логина) или использовать LastPass Pocket
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
С утра он зачем-то заставил меня поменять мастер-пароль. Теперь понятно почему.
Пароль? А может пора менять все пароли в хранилище? Это же ппц… Я паникую.
Использую его год. Сотни паролей криптостойких — только через него. удобство, кроссплатформенность… что делать?
Использую его год. Сотни паролей криптостойких — только через него. удобство, кроссплатформенность… что делать?
У них что-то происходит. Ласт пасс не может соединиться… и переодически выдает ошибку.
Где мастер пароль кстати сменить, друзья? lastpass.com/index.php?ac=1 тут не входит по данным реквизитам((((
Где мастер пароль кстати сменить, друзья? lastpass.com/index.php?ac=1 тут не входит по данным реквизитам((((
За что минусуем господа? :)
На данный момент плагин к хрому выдает
«При попытке связаться с сервером произошла ошибка. Пожалуйста, проверьте ваше интернет подключение.».
Я параноик.
На данный момент плагин к хрому выдает
«При попытке связаться с сервером произошла ошибка. Пожалуйста, проверьте ваше интернет подключение.».
Я параноик.
Находятся идиоты которые хранят пароли в онлайн-менеджере паролей?
Я думал комментарий подобный Вашему будет первый, ан нет, маразм крепчает и среди пользователей хабра.
конечно! наплевать на безопасность! зато это очень удобно и вебдванольно! а если контора вдруг просрёт данные — не страшно, восстановим все пароли и зарегаемся в новом стартапе!
А что такого? Хотя я, конечно, не в ЛастПасс'е храню, а в обычной синхронизации от Хрома.
некритичные — конечно. а по-вашему лучше иметь один-два пароля на все сайты «зато его никто не знает»? (кроме этих всех сайтов). Гораздо больше вероятность что ломанут один из тех трекеров на котором ты вчера зарегался скачать… хм пособие по анатомии. И если пароль на himari@gmail.com окажется вдруг таким-же…
А хранить в голове десятки паролей мало кто в состоянии. А так все просто. Траф по https. Пароли хешированы мастер-паролем. В голове хранятся пароли к основным e-mail аккаунтоам да мастер-пароль.
А хранить в голове десятки паролей мало кто в состоянии. А так все просто. Траф по https. Пароли хешированы мастер-паролем. В голове хранятся пароли к основным e-mail аккаунтоам да мастер-пароль.
p.s. ну и сразу хочу заметить что ни полька-бабочка с менеджером паролей, который надо синкать туда-сюда эври дэй после еды и молиться, чтобы не потерять ту самую флешку/телефон, которую я в прошлый раз нешёл через полтора года (кот сука) и наконец достал свои 300 баксов с еголда, ни листочек в комоде, который лежал прямо вот тут, то есть как ты наводила порядок и думала он был ненужный — все такие варианты идут лесом
KeepAss (пароль+keyfile) + Dropbox. Не теряется, всегда синхронизирован.
Если дропбокс сломают — база keepass бесполезна без keyfile и пароля.
Если дропбокс сломают — база keepass бесполезна без keyfile и пароля.
Во-первых интерфейс этой программы оставляет желать лучшего и сильно отличается между МакОсью (дома) и Виндой (на работе).
Во-вторых — где держать keyfile? Снова флешка? Или снова валяется под диску? Сильно много компонентов.
Хешированые данные ластпасса тоже бесполезны без мастер-пароля. Так что по-сути получается то же самое, только без унылого кейфайла и надежно интегрировано в браузер.
Во-вторых — где держать keyfile? Снова флешка? Или снова валяется под диску? Сильно много компонентов.
Хешированые данные ластпасса тоже бесполезны без мастер-пароля. Так что по-сути получается то же самое, только без унылого кейфайла и надежно интегрировано в браузер.
Ну, весёлость или унылость интерфейса — как фломастеры: дело вкуса.
Что касается key-файла, он один раз копируется на каждый комьютер (флешкой, да), и про него можно забыть. Keepass запоминает путь к базе и key-файлу, так что ручками вводить нужно только пароль.
Как бы то ни было, онлайновые и офлайновые менеджеры паролей имеют ряд концептуальных различий. (Сравнение на примере lastpass и keepass, но многие пункты применимы и к другим подобным программам).
Keepass может заполнять login/password не только в браузере, но и в других программах (например, FTP клиентах).
Keepass не просит денег за отсутствие рекламы и доступ с мобильника (LastPass — $1/месяц).
Далее, смотрим в LastPass' terms of service:
Наконец, самое главное: Keepass никогда не скажет вам «Sorry! We are a bit overloaded right now. Try again in a few hours.»
Что касается key-файла, он один раз копируется на каждый комьютер (флешкой, да), и про него можно забыть. Keepass запоминает путь к базе и key-файлу, так что ручками вводить нужно только пароль.
Как бы то ни было, онлайновые и офлайновые менеджеры паролей имеют ряд концептуальных различий. (Сравнение на примере lastpass и keepass, но многие пункты применимы и к другим подобным программам).
Keepass может заполнять login/password не только в браузере, но и в других программах (например, FTP клиентах).
Keepass не просит денег за отсутствие рекламы и доступ с мобильника (LastPass — $1/месяц).
Далее, смотрим в LastPass' terms of service:
LastPass has the right [...] to terminate or deny access to and use of the Website to any individual or entity for any reason, in LastPass' sole discretion.
LastPass may terminate your access to all or any part of the Website at any time, with or without cause, with or without notice, effective immediately.Keepass не оставит вас безо всех паролей просто потому что кому-то так захотелось.
LastPass Standard (free edition) is intended for personal, non-commercial use only.Keepass бесплатен для любого использования.
Наконец, самое главное: Keepass никогда не скажет вам «Sorry! We are a bit overloaded right now. Try again in a few hours.»
Хранить key-файл на всех машинах, а не в криптоконтейнере — это конечно молодцом. Получилась такая классическая псевдобезопасность.
Складывается впечатления что к сожалению непользовались этим сервисом, lastpass хранит криптоконтейнер с паролями в облаке и локально у вас.
Его так же можно с чуть меньшим функционалом использовать для локальных приложения. Lastpass сделан для web-паролей в отличии от keepassx (который проигрывает в это, но лучше смотрится для локальных приложений)
Keepassx — это GPL, что есть не бесплатно.
Наконец, я заплатил 3$ хорошим по парням (посмотри как они классно отработали этот инцидент с низкой вероятностью взлома, даже ценой ухода клиентов) за мобильность на android и двухфакторную аунтентификацию с yubikey (его кстати и с keepassx можно использовать в режиме «статического пароля»), которая в отличии от вашего key-файла действтельно повышает безопасность.
Складывается впечатления что к сожалению непользовались этим сервисом, lastpass хранит криптоконтейнер с паролями в облаке и локально у вас.
Его так же можно с чуть меньшим функционалом использовать для локальных приложения. Lastpass сделан для web-паролей в отличии от keepassx (который проигрывает в это, но лучше смотрится для локальных приложений)
Keepassx — это GPL, что есть не бесплатно.
Наконец, я заплатил 3$ хорошим по парням (посмотри как они классно отработали этот инцидент с низкой вероятностью взлома, даже ценой ухода клиентов) за мобильность на android и двухфакторную аунтентификацию с yubikey (его кстати и с keepassx можно использовать в режиме «статического пароля»), которая в отличии от вашего key-файла действтельно повышает безопасность.
Данные конкретные идиоты хранят в онлайне симметрично зашифрованные логинные данные.
Все пароли расшифровываются только на стороне клиента, у сервера их нет.
Поэтому прогорят только те, у кого пароль 12345.
А таких там, наверное, не так уж и много.
Все пароли расшифровываются только на стороне клиента, у сервера их нет.
Поэтому прогорят только те, у кого пароль 12345.
А таких там, наверное, не так уж и много.
В хранилище не подошел пароль. Пару часов назад нормально залогинился… Посмотрим что будет, единственный критически-важный пароль — от почты — храню в мозге.
LastPass — единственный пароль, который вам нужно знать… чужой…
специально пошёл проверил: аномального исходящего трафика из ящика комода, где лежит листочек с паролями не зафиксировано.
Днем не было времени разбираться, а сейчас мне lastpass просто не дает залогиниться, сообщая что мыло/пасс не верные. По ссылке восстановить отдает ошибку. Приплыле)
blog.lastpass.com/2011/05/lastpass-security-notification.html
Залогиниться в хранилище на сате тоже не дает, хотя в браузере еще утром зашел. Теперь вот боюсь выходить :)
UPDATE 1: We're overloaded handling support and the sheer load of password changes is slowing us down. We've implemented a way for you to verify your email and then not be immediately forced to change your password for that IP, access from any other IP would bring you back to email verification. You can now wait a few days if you know you'll be on the same IP without loss of security, and due to this overloading we think that's prudent to wait.
We're asking if you're not being asked to change your password then hold off — we're protecting everyone.
You can access your data via LastPass in offline mode (pull the cable out of the wall then login) or by downloading LastPass Pocket: lastpass.com/misc_download.php (choose your OS)
Залогиниться в хранилище на сате тоже не дает, хотя в браузере еще утром зашел. Теперь вот боюсь выходить :)
вот блин… ведь и блокнот специальный завел, но решил, блин, чтоб удобно было вопсользоваться достижениями народного хозяйства…
несколько десятков сайтов, 12 страниц блокнота… вечер удался короче :(
несколько десятков сайтов, 12 страниц блокнота… вечер удался короче :(
У меня не открылась страница с восстановлением пароля. Однако докопался вот до этого:
lastpass.com/recover.php
Может, кому-то полезно будет…
lastpass.com/recover.php
Может, кому-то полезно будет…
На сайте не залогиниться, правда расширение для хрома работает. Ну ничего страшного, починят, а своруют пароли и хрен бы с ними, надеюсь никто не хранит у них ничего важного? :)
Сейчас:
We are experiecing extremely high load. We're intentionally logging you in using offline mode.
Подозреваю, что эта фраза как-то объясняет невозможность войти и поменять мастер-пароль :)
В пост.
We are experiecing extremely high load. We're intentionally logging you in using offline mode.
Подозреваю, что эта фраза как-то объясняет невозможность войти и поменять мастер-пароль :)
В пост.
LaatPass в нокауте, но chromeplus авторизуется с разных апи. мазилла, опера и сафарик нет(
говорила мне мама, ой говорила)
говорила мне мама, ой говорила)
Update 2, 2:15pm EST:
Рекордный уровень трафика плюс огромное количество людей, пытающихся сменить свой пароль, превысили нашу скорость обработки запросов.
Мы меняем тактику — если Вы уже успели сменить пароль, Ваш запрос будет обработан в обычном режиме.
Если Вы еще не сменили пароль, Ваш запрос будет обработан в оффлайновом режиме, таким образом, Вы все еще можете использовать LastPass как обычно. Пострадает только синхронизация паролей + Вы будете видеть предупреждающую панель.
Как только нагрузка уменьшится, мы увеличим посылаемый в обработку процент заявок на изменение пароля/проверку e-mail.
Для тех, у кого возникли какие-либо проблемы — напишите нам на support@lastpass.com
Мы видели несколько сообщений о неудачных изменениях паролей, мы думаем, что это происходит из-за загрузки старой версии.
Нажмите на иконку LastPass-> Clear Local Cache и попробуйте ещё раз, должно сработать.
Рекордный уровень трафика плюс огромное количество людей, пытающихся сменить свой пароль, превысили нашу скорость обработки запросов.
Мы меняем тактику — если Вы уже успели сменить пароль, Ваш запрос будет обработан в обычном режиме.
Если Вы еще не сменили пароль, Ваш запрос будет обработан в оффлайновом режиме, таким образом, Вы все еще можете использовать LastPass как обычно. Пострадает только синхронизация паролей + Вы будете видеть предупреждающую панель.
Как только нагрузка уменьшится, мы увеличим посылаемый в обработку процент заявок на изменение пароля/проверку e-mail.
Для тех, у кого возникли какие-либо проблемы — напишите нам на support@lastpass.com
Мы видели несколько сообщений о неудачных изменениях паролей, мы думаем, что это происходит из-за загрузки старой версии.
Нажмите на иконку LastPass-> Clear Local Cache и попробуйте ещё раз, должно сработать.
В общем, мастер-пароль 20 символьный, keepass говорит, что 119 бит. Сейчас уж что-то менять и смысла нет же.
Не думаю что мой 50-и символьный мастер пароль будет подобран. У ластпасса все зашифровано. Даже если зашифрованные данные утекли пусть попробую подобрать мастер пароль ).
У ластпасса есть ещё замечательная функция — бэкап. Регулярно бакаплю базу паролей на шифрованный диск, на случай вот такого вот песца, когда ластпасс в дауне.
Попросил сменить пароль, что я и сделал. Система написала, что всё ок
После этого залогинится ни с новым ни со старым, Я уже не смог, страничка восстановления пароля не работает. Особой паники нет, но бекапа Я точно не сделал, а значит если после окончания атаки восстановить доступ не выйдет, придется вручную менять пароли к минимум полусотне сайтов, а это не есть очень хорошо.
Удачно, что рабочий фаерфокс не перевел на Lastpass, там пока царит FyrefoxSync с 50-символьным ключом шифрования и FEBE 7.0b в качестве оперативного переноса всех настроек с одного ПК на другой.
После этого залогинится ни с новым ни со старым, Я уже не смог, страничка восстановления пароля не работает. Особой паники нет, но бекапа Я точно не сделал, а значит если после окончания атаки восстановить доступ не выйдет, придется вручную менять пароли к минимум полусотне сайтов, а это не есть очень хорошо.
Удачно, что рабочий фаерфокс не перевел на Lastpass, там пока царит FyrefoxSync с 50-символьным ключом шифрования и FEBE 7.0b в качестве оперативного переноса всех настроек с одного ПК на другой.
НЛО прилетело и опубликовало эту надпись здесь
А еще с ростом вычислительных мощностей пароли будут подбираться в облаке очень быстро…
Вспомнилось даже хранение пароля на бумажке… Основного пароля, производными от которого пользовался на разных сайтах…
Вспомнилось даже хранение пароля на бумажке… Основного пароля, производными от которого пользовался на разных сайтах…
Вот статья в помощь тому, кто решит что надо менять все пароли, которые хранились в ластпассе http://www.ghacks.net/2011/05/05/the-lastpass-security-incident-what-i-did/
Статья на английском, но с картинками :)
Статья на английском, но с картинками :)
Настройка -> Инструменты -> Расширения -> LastPass -> Удалить :)
Ну отлично. У меня даже в оффлайн режиме не входит.
Я ж на все нужные мне сайты паролей не знаю. Сюда зашел только по куке )
Я ж на все нужные мне сайты паролей не знаю. Сюда зашел только по куке )
Надо их переименовать в LostPass
Спасибо за PR сервиса. Пойду зарегистрируюсь. А то KeePass неудобно на чужих компах и мобильных устройствах юзать (даже с Dropbox).
А то, что их могли взломать — нестрашно, ведь все данные в БД зашифрованы мастер-паролем, который есть только у вас :)
А то, что их могли взломать — нестрашно, ведь все данные в БД зашифрованы мастер-паролем, который есть только у вас :)
А если выбирать офлайновые альтернативы, то что можно использовать под Оперу? Это первый вопрос.
Второй — что кто знает об www.stickypassword.com/?
Второй — что кто знает об www.stickypassword.com/?
Топик почитайте с самого начала, под Windows: KeePass + Dropbox.
Сам пользуюсь KeePass и LastPass одновременно. LastPass альтернатив нет, как приложение под Opera точно.
Сам пользуюсь KeePass и LastPass одновременно. LastPass альтернатив нет, как приложение под Opera точно.
Опера мне нужна однозначно. Под нее KeePas экстеншена не имеет. Поэтому он отметается. Мне именно хотелось что-то локальное, но с поддержкой Оперы. Ибо для платежных данных я использую passwordsafe.sourceforge.net/ И очень им доволен.
KeePassX по идее умеет интеграцию с любым браузером. Правда только под линь
НЛО прилетело и опубликовало эту надпись здесь
А кто-нибудь может что-то сказать о paranotic.com
Вроде как просто и удобно. И по-моему они были платные (когда я около полугода назад тестил триал версию)
Вроде как просто и удобно. И по-моему они были платные (когда я около полугода назад тестил триал версию)
Про paranotic уже кое-что рассказал его автор, einsturzende.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Возможно, был взломан LastPass