Parhaat ohjelmat salasanojen säilytykseen

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
6 940
Toimii silti hyvänä muistutuksena, että pilvipalveluiden kanssa pääsalasanasta ja kaksivaiheisesta autentikoinnista on hyvä pitää huolta.
2FA:ta tulisi käyttää AINA jos ja kun vain on mahdollista. Ihan sama mistä palvelusta ja järjestelmästä kyse. Tämä koskee kaikkia käyttäjiä, eikä ainostaan ylläpitäjiä tai muuten laajoilla oikeuksilla varustettuja tunnuksia.

Lähinnä varmaan kertoo siitä että on viisaasti käytetty samaa sähköpostia + salasanaa kuin jossain toisessa palvelussa josta sitten vuotaneet.
Ettei vaan kyse olisi jostain tälläisestä asiasta?

1640763782195.png

 
Liittynyt
28.10.2016
Viestejä
1 944
Lähinnä varmaan kertoo siitä että on viisaasti käytetty samaa sähköpostia + salasanaa kuin jossain toisessa palvelussa josta sitten vuotaneet.
Näissä tapauksissa onkin erikoista se, että ihmiset sanovat pääsalasanan olevan sellainen mitä eivät ole käyttäneet missään muualla. Osa on generoinut sen ja tallentanut KeePass-tietokantaan, josta sitä on sitten kopioitu LastPassiin leikepöydän kautta (ei niin fiksua). Monet kokeilivat jo sitäkin, että ovatko LastPassin sähköpostit ns. false positiveja, eli samanlainen ilmoitus tulee, vaikka väärää salasanaa olisi käytetty. Näin ei kuitenkaan ollut, ja tilanteen alkuperäinen postaaja näki LastPassin access-logista nämä kirjautumisyritykset.
 
Liittynyt
10.01.2019
Viestejä
5 160
Näissä tapauksissa onkin erikoista se, että ihmiset sanovat pääsalasanan olevan sellainen mitä eivät ole käyttäneet missään muualla. Osa on generoinut sen ja tallentanut KeePass-tietokantaan, josta sitä on sitten kopioitu LastPassiin leikepöydän kautta (ei niin fiksua). Monet kokeilivat jo sitäkin, että ovatko LastPassin sähköpostit ns. false positiveja, eli samanlainen ilmoitus tulee, vaikka väärää salasanaa olisi käytetty. Näin ei kuitenkaan ollut, ja tilanteen alkuperäinen postaaja näki LastPassin access-logista nämä kirjautumisyritykset.
Tuossa linkissä ei puhutta KeePassista, mutta muualla voi olla, liittyykö tapaukset toisiinsa.

Ymmärrän että salasanoja jaetaan eri holveihin, mutta idea vähän kärsiin jos toisessa holvissa säilöö toisen holvin pääsyy koodeja sellaisenaan.

kaksivaiheinen on joissain käyttötarkoituksissa todella ärsyttävä tai jopa estää ideaa, joissain se on ehdoton.
 
Liittynyt
19.10.2016
Viestejä
1 434
Ainakin osa LastPassin ilmoituksista on lähetetty virheen vuoksi aiheetta:

As previously stated, LastPass is aware of and has been investigating recent reports of users receiving e-mails alerting them to blocked login attempts.
We quickly worked to investigate this activity and at this time we have no indication that any LastPass accounts were compromised by an unauthorized third-party as a result of this credential stuffing, nor have we found any indication that user’s LastPass credentials were harvested by malware, rogue browser extensions or phishing campaigns.

However, out of an abundance of caution, we continued to investigate in an effort to determine what was causing the automated security alert e-mails to be triggered from our systems.
Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.

These alerts were triggered due to LastPass’s ongoing efforts to defend its customers from bad actors and credential stuffing attempts. It is also important to reiterate that LastPass’ zero-knowledge security model means that at no time does LastPass store, have knowledge of, or have access to a users’ Master Password(s).
We will continue to regularly monitor for unusual or malicious activity and will, as necessary, continue to take steps designed to ensure that LastPass, its users and their data remain protected and secure.
Lähde: LastPass users warned their master passwords are compromised
 
Liittynyt
19.10.2016
Viestejä
1 434
Tuokaan ei selitä sitä miksi käyttäjät ovat nähneet nuo kirjautumisyritykset myös access logeissaan. Silloinhan myös niissä pitäisi olla jotain vikaa?
Itse tulkitsen LastPassin vastausta niin, että virhe on voinut tapahtua nimenomaan jo kirjaamisvaiheessa eikä välttämättä vasta "hälytysvaiheessa". Kieltämättä "hälytysvaiheesta" tuossa vastauksessa kuitenkin ainakin näennäisesti puhutaan, joten ellei tämä mene epätäsmällisen muotoilun piikkiin, tässä voi varmaan jotain jännää olla edelleen. En nyt kuitenkaan ota asiaan tarkemmin kantaa, kun en LastPassia käytä, mutta pistipähän silmään tuo vastaus silti.
 
Liittynyt
28.10.2016
Viestejä
1 944
Itse tulkitsen LastPassin vastausta niin, että virhe on voinut tapahtua nimenomaan jo kirjaamisvaiheessa eikä välttämättä vasta "hälytysvaiheessa". Kieltämättä "hälytysvaiheesta" tuossa vastauksessa kuitenkin ainakin näennäisesti puhutaan, joten ellei tämä mene epätäsmällisen muotoilun piikkiin, tässä voi varmaan jotain jännää olla edelleen. En nyt kuitenkaan ota asiaan tarkemmin kantaa, kun en LastPassia käytä, mutta pistipähän silmään tuo vastaus silti.
Eniten tässä ihmetyttääkin nuo epäselvyydet. Aluksi LastPassin mukaan kyse oli väärillä tunnuksilla tehdyistä kirjautumisyrityksistä jotka näkyivät myös käyttäjien access logeissa. Nyt ne ovatkin sitten virhe sähköposti-ilmoituksissa :hmm: Odotan mielenkiinnolla, että milloin antavat tuosta hieman tarkempaa teknistä selvitystä.
 
Liittynyt
28.10.2016
Viestejä
1 944
Nopeasti näytti spekuloinnilta ?
Hieman juu, koska LastPass ei kerro selkeästikään kaikkea. Uusimman blogipostauksen mukaan kyseessä oli bugi ja se koski vain osaa käyttäjistä:

Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.
Eli ilmeisesti sisään on yritetty väärällä salasanalla, mutta oikeilla tunnuksilla. Silti tuossa on edelleen täysin epäselvää mm. miksi bugi koski vain tiettyjä käyttäjiä, ja mikä heidät erotti muista? Luulisi, että kaikille käyttäjille käytetään identtistä varoitusmekanismia. Etenkin, jos sen triggaa vain oikean hashin (eli salasanan) käyttäminen.

Boldaukset lainauksessa kertovat myös bisnes-kielestä ja antaa kuvan ettei LastPassilla itselläkään ole tarkkaa kuvausta tapahtuneesta :hmm: We need more details.
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
6 940
LastPassilla ei näytä menevän erityisen hyvin. Ilmeisesti yrittävät pakotetusti pitää käyttäjät omina asiakkaina. Yrittävät siis kovasti olla "toinen Oracle". :p



Seuraavaksi DDoS:ataan Bitwardenia? :think:
 
Liittynyt
17.10.2016
Viestejä
2 241
Tuo siis koskee ilmaisversiota.
Vielä on vuosi edullista LP:tä, jos sitten vaihtoehdolle mahdollisuus.
 

Taneli-

☤ Virallinen ⚔ testaaja ☣
Make ATK Great Again
Liittynyt
17.10.2016
Viestejä
4 365
Tuo siis koskee ilmaisversiota.
Vielä on vuosi edullista LP:tä, jos sitten vaihtoehdolle mahdollisuus.
Aivan sama mitä versiota mutta mieti nyt vähän. Kokeilet jotain (ilmais tai ei) versiota ja yllättäen ilman mitään ilmoitusta et saa enää tunnuksia ja salasanoja käyttöösi ilman että maksat rahaa. Ei siis että asiasta ilmoitetaan ja sinulla olisi aikaa miettiä miten haluat asiat hoitaa vaan tyylillä "eilen kaikki toimi, tänään pyydetään rahaa että pääsisin käsiksi omiin tietoihini". Lisätään tähän se että päästäksesi ilmoittamaan tai keskustelemaan asiasta joudut luomaan uudet tunnukset (ellet maksa rahaa) koska vanhoja et voi käyttää kirjautuaksesi heidän keskustelufoorumeilleen. Että nettiselaimella toimivassa lisäosassa on bugi mikä estää tunnusten ja salasanojen siirtämisen eteenpäin ja vastaava bugi että et voi siirtää puhelimen ja pöytäkoneen välillä tietoja juuri nyt. Miten sattuikaan.

Ei tuo ainakaan saa ihmisiä siirtymään tuota tuotetta käyttämään.

Tähän saakka itsekin toki maininnut myös tuon LastPassin yhtenä mahdollisena vaihtoehtona jos on tarvinut pitää jotain esitelmää aiheesta Dashlanen ja muiden rinnalla. Nyt ei tuota enää tule mainittua eikä varsinkaan suositeltua. Lähinnä ehkä varoittavana esimerkkinä käyttäen.

Todella moni haluaa kuitenkin ensin (mieluusti) kokeilla miten homma toimii, jos tykkäävät niin sitten ehkä siirtyvät käyttämään rahaa koska haluavat esim. käyttää samaa softaa useamman pöytäkoneen, läppärin, tabletin ja kännykän kanssa.
 
Liittynyt
19.10.2016
Viestejä
2 035
Tuo siis koskee ilmaisversiota.
Vielä on vuosi edullista LP:tä, jos sitten vaihtoehdolle mahdollisuus.
Latasin pari kuukautta sitten LastPassista salasanat ihan onnistuneesti Bitwardeniin. Kaikkia tyyppejä ei tosin ollut, mutta niistäkin tuli muistaakseni nootteja tms.

Eli ilmeisesti tuo ongelma tuossa koskee mobiilisovellukseen lukittuja salasanoja mobiili-ilmaisversiossa, jos on käyttänyt ne vaihdot mobiilin ja deskarin välillä?

Lopussa tosin mainitsee siinä viestissään, että siellä on nyt joku valinta, mutta odotus sen saamiseen oli liian pitkä?
 
Liittynyt
10.01.2019
Viestejä
5 160
LastPassilla ei näytä menevän erityisen hyvin. Ilmeisesti yrittävät pakotetusti pitää käyttäjät omina asiakkaina. Yrittävät siis kovasti olla "toinen Oracle". :p
Jos oikein ymmärsin linkkisi, niin se koski lähinnä sitä että ilmaisversion käyttäjä voi massa viedä holvin sisältöä työpöytä versiolla. Ei mobiilissa. Koska ilmaisversiossa on rajoitetumpi niin mobiiliin lukittunut ilmais käyttäjät ei voi sillä versiolla massa viedä holvin sisältöä.

Voi olla että meno jotain oleellista ohi, en lähtenyt googlailee. mikä on yhteys huonosti menemiseen.


Seuraavaksi DDoS:ataan Bitwardenia? :think:
?
LastPassilla riski 20miljoonan GDPR sakkoon bugin takia. ja jotain GDPR lätinää pitkät pätkät.
 
Viimeksi muokattu:
Liittynyt
19.10.2016
Viestejä
725
Harmi kyllä tuo Lastpassin perseily, se on ollut käytettävyydeltään kuitenkin (puutteineenkin) parhaimmistoa noista monen laitteen softista. Mutta siinä kyllä haiskahtaa aika vahvasti kalma tällä hetkellä, omistaja vaihtuu turhan usein, turvallisuudessa on puutteita ja sitten vielä tuollaista ihme sekoilua noiden käyttäjien tietojen kanssa. Vaihtoon menee kun maksukausi loppuu.
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
6 940
Jos oikein ymmärsin linkkisi, niin se koski lähinnä sitä että ilmaisversion käyttäjä voi massa viedä holvin sisältöä työpöytä versiolla. Ei mobiilissa. Koska ilmaisversiossa on rajoitetumpi niin mobiiliin lukittunut ilmais käyttäjät ei voi sillä versiolla massa viedä holvin sisältöä.

Voi olla että meno jotain oleellista ohi, en lähtenyt googlailee. mikä on yhteys huonosti menemiseen.
Aika selkeästi nuo "huonosti menemiseen" viittavat asiat ovat listattuna.

"• Only making the export function available via the desktop browser plugin, despite locking peoples accounts to either Desktop or Mobile after 3 switches between these platforms.
• Accidentally on purpose having a "bug" in the desktop broswer plugin that stops people who's accounts are locked to their mobile devices from being able to export their data.
• Accidentally on purpose having another "bug" in the desktop browser plugin that means export of data from the desktop browser plugins doesn't work anyway
• Having no formal support channel to resolve this issue, forcing people to create a separate account to access the "community" forums where you can post about how LastPass are illegally holding your data hostage and hope that someone from the company will respond."
?
LastPassilla riski 20miljoonan GDPR sakkoon bugin takia. ja jotain GDPR lätinää pitkät pätkät.
DDoS-kommentti oli lähinnä vitsi, joka ei liittynyt mahdollisiin GDPR:n sakkoihin mitenkään.

Saatan olla väärässä, mutta tässä koko touhussa paistaa läpi jonkin sortin epätoivo. Jokainen tietty suhtautukoot asiaan miten parhaaksi näkee.
 
Liittynyt
19.10.2016
Viestejä
2 035
Saatan olla väärässä, mutta tässä koko touhussa paistaa läpi jonkin sortin epätoivo. Jokainen tietty suhtautukoot asiaan miten parhaaksi näkee.
Aika pitkä matka dossaamisen siitä, että mobiiliversioon ei ole toteutettu exporttia, ja kolmen vaihdon (käytän mobiilia, käytänkin deskaria, käytänkin mobiilia) jäkeen voit olla lukittu mobiiliin. Ja ilmeisesti valituksen jälkeen kesti kaksi viikkoa, että tuotantoon tuli joku vipu tätä varten(?). Tosi hyvä vitsi, että alkavat tekemään rikoksia epätoivossaan.

E. Tarkistin mitä kirjoitti. Lisäsivät ylimääräisen vaihdon tilille, niin sai tiedot haettua. GDPR-uhkailu menee kyllä ohi. Muistaakseni kuukausi aikaa GDPR:n osalta tietojen saamiseen.
 
Liittynyt
10.01.2019
Viestejä
5 160
Aika selkeästi nuo "huonosti menemiseen" viittavat asiat ovat listattuna.
Lainauksestasi
Google käännös
"• Vientitoiminnon saaminen saataville vain työpöytäselainlaajennuksen kautta, vaikka ihmisten tilit lukitaan joko Desktop- tai Mobile-tilille kolmen vaihdon jälkeen näiden alustojen välillä.
• Vahingossa tahallaan "vika" työpöytäselainlaajennuksessa, joka estää ihmisiä, joiden tilit on lukittu mobiililaitteisiinsa, voimasta viedä tietojaan.
• Vahingossa tahallaan toinen "vika" työpöytäselainlaajennuksessa, mikä tarkoittaa, että tietojen vienti työpöytäselainlaajennuksista ei kuitenkaan toimi
• Koska meillä ei ole virallista tukikanavaa tämän ongelman ratkaisemiseksi, ihmiset pakotetaan luomaan erillinen tili päästäkseen "yhteisön" foorumeille, joissa voit kirjoittaa siitä, kuinka LastPass pitää laittomasti tietojasi panttivankina, ja toivoa jonkun yrityksen vastaavan.
Eli huonosti meneminen ei viitannut siihen että yhtiöllä menee huonosti. :)

Vaan nimenomaan tuo että mobiilikäyttäjät ei voi massa viedä holvin sisältöä ulos palvelusta.

Desktop käyttäjä voi, tosin jostain bugista tuossa puhutaan ettei voisikaan.

Sori tyhmyys, LastPass tavis käyttäjiä on suomessakin paljon, joten arvostan että postaa firman tuomia tuntemuksista, mutta olisi iso plussa jos avataan vähän mistä kyse. Linkeillä keskustelu ei ihan se juttu.

Muuten vaikuttaa vain firman dissaamiselta.


. Referoin linkit lauseella tai parilla ja puolestani se saa riittää.
Tämä olisi mahtavaa.

.
 
Viimeksi muokattu:

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
6 940
Sori tyhmyys, LastPass tavis käyttäjiä on suomessakin paljon, joten arvostan että postaa firman tuomia tuntemuksista, mutta olisi iso plussa jos avataan vähän mistä kyse.

Muuten vaikuttaa vain firman dissaamiselta.
LastPassia on kommentoitu tässä ketjussa aikaisemminkin. Huonosti menemisella tarkoitin lähinnä käyttäjän kannalta negatiivisia asioita, olkoot kyse noista typeristä rajoituksista taikka hintojen nostamisesta. Tietoturvan osalta, kyse on varmasti pätevästä palvelusta. Valitettavasti en ala kääntelemään linkkejä ja artikkeleita millään Google translatella siltä varalta ettei joku satu osaamaan englantia. Referoin linkit lauseella tai parilla ja puolestani se saa riittää.

Eiköhän jokaisen pointti ole tullut selväksi, joten en jaksa vatvoa tästä sen enempää.
 
Liittynyt
19.10.2016
Viestejä
2 035
LastPassia on kommentoitu tässä ketjussa aikaisemminkin. Huonosti menemisella tarkoitin lähinnä käyttäjän kannalta negatiivisia asioita, olkoot kyse noista typeristä rajoituksista taikka hintojen nostamisesta. Tietoturvan osalta, kyse on varmasti pätevästä palvelusta. Valitettavasti en ala kääntelemään linkkejä ja artikkeleita millään Google translatella siltä varalta ettei joku satu osaamaan englantia. Referoin linkit lauseella tai parilla ja puolestani se saa riittää.

Eiköhän jokaisen pointti ole tullut selväksi, joten en jaksa vatvoa tästä sen enempää.
"LastPassilla ei näytä menevän erityisen hyvin. Ilmeisesti yrittävät pakotetusti pitää käyttäjät omina asiakkaina. Yrittävät siis kovasti olla "toinen Oracle". :p "

Vatvon nyt vielä sen verran, että toivoisin, että kirjoitukset olisi ihan asiaa. Eihän ne yritä pitää pakotetusti käyttäjiä omina asiakkainaan. Eivät siis 'kovasti yritä' olla "toinen Oracle". Deskarilla sai helposti haettua ne tiedot, ja helpparista sai tuokin ylimääräisen vaihdon hakua varten. (Ja reaalielämässä, jos ei ole päättänyt, että käyttääkö softaa deskarilla vai mobiilissa, niin montako passua siellä edes on, ne pystyisi yksitellenkin kopioimaan?)

En lue iltalehtiä kuin pakotetusti, niin vähän meh tuollaiset tiivistelmät.

E. Siirryin itse Bitwardeniin, kun halusin käyttää molemmissa, ja olen pihi. Pidän LastPassia silti snadisti parempana käyttöliittymän osalta.
 

leripe

Ehdotuksia otetaan vastaan
Liittynyt
19.10.2016
Viestejä
974
Lastpass - F-Secure Key - Bitwarden premium/maksullinen. En kyllä vaihtaisi noihin aiempiin tästä.
Lastpassistä vaihdoin aikoinaan ekan tietomurron takia. Keyssä harmitti webbisovelluksen puute. Bitwardenissa en oikein ole löytänyt puutteita.
 
Toggle Sidebar

Statistiikka

Viestiketjut
154 327
Viestejä
2 913 174
Jäsenet
55 230
Uusin jäsen
Samjuzi

Hinta.fi

Ylös Bottom