Lähde: LastPass users warned their master passwords are compromised
Tuokaan ei selitä sitä miksi käyttäjät ovat nähneet nuo kirjautumisyritykset myös access logeissaan. Silloinhan myös niissä pitäisi olla jotain vikaa?
Itse tulkitsen LastPassin vastausta niin, että virhe on voinut tapahtua nimenomaan jo kirjaamisvaiheessa eikä välttämättä vasta "hälytysvaiheessa". Kieltämättä "hälytysvaiheesta" tuossa vastauksessa kuitenkin ainakin näennäisesti puhutaan, joten ellei tämä mene epätäsmällisen muotoilun piikkiin, tässä voi varmaan jotain jännää olla edelleen. En nyt kuitenkaan ota asiaan tarkemmin kantaa, kun en LastPassia käytä, mutta pistipähän silmään tuo vastaus silti.
Eniten tässä ihmetyttääkin nuo epäselvyydet. Aluksi LastPassin mukaan kyse oli väärillä tunnuksilla tehdyistä kirjautumisyrityksistä jotka näkyivät myös käyttäjien access logeissa. Nyt ne ovatkin sitten virhe sähköposti-ilmoituksissa
Odotan mielenkiinnolla, että milloin antavat tuosta hieman tarkempaa teknistä selvitystä.
Nopeasti näytti spekuloinnilta ?
Hieman juu, koska LastPass ei kerro selkeästikään kaikkea. Uusimman blogipostauksen mukaan kyseessä oli bugi ja se koski vain osaa käyttäjistä:
Eli ilmeisesti sisään on yritetty väärällä salasanalla, mutta oikeilla tunnuksilla. Silti tuossa on edelleen täysin epäselvää mm. miksi bugi koski vain tiettyjä käyttäjiä, ja mikä heidät erotti muista? Luulisi, että kaikille käyttäjille käytetään identtistä varoitusmekanismia. Etenkin, jos sen triggaa vain oikean hashin (eli salasanan) käyttäminen.
We need more details.
www.neowin.net
Aivan sama mitä versiota mutta mieti nyt vähän. Kokeilet jotain (ilmais tai ei) versiota ja yllättäen ilman mitään ilmoitusta et saa enää tunnuksia ja salasanoja käyttöösi ilman että maksat rahaa. Ei siis että asiasta ilmoitetaan ja sinulla olisi aikaa miettiä miten haluat asiat hoitaa vaan tyylillä "eilen kaikki toimi, tänään pyydetään rahaa että pääsisin käsiksi omiin tietoihini". Lisätään tähän se että päästäksesi ilmoittamaan tai keskustelemaan asiasta joudut luomaan uudet tunnukset (ellet maksa rahaa) koska vanhoja et voi käyttää kirjautuaksesi heidän keskustelufoorumeilleen. Että nettiselaimella toimivassa lisäosassa on bugi mikä estää tunnusten ja salasanojen siirtämisen eteenpäin ja vastaava bugi että et voi siirtää puhelimen ja pöytäkoneen välillä tietoja juuri nyt. Miten sattuikaan.
Latasin pari kuukautta sitten LastPassista salasanat ihan onnistuneesti Bitwardeniin. Kaikkia tyyppejä ei tosin ollut, mutta niistäkin tuli muistaakseni nootteja tms.
Jos oikein ymmärsin linkkisi, niin se koski lähinnä sitä että ilmaisversion käyttäjä voi massa viedä holvin sisältöä työpöytä versiolla. Ei mobiilissa. Koska ilmaisversiossa on rajoitetumpi niin mobiiliin lukittunut ilmais käyttäjät ei voi sillä versiolla massa viedä holvin sisältöä.LastPassilla ei näytä menevän erityisen hyvin. Ilmeisesti yrittävät pakotetusti pitää käyttäjät omina asiakkaina. Yrittävät siis kovasti olla "toinen Oracle".
?Seuraavaksi DDoS:ataan Bitwardenia?
Aika selkeästi nuo "huonosti menemiseen" viittavat asiat ovat listattuna.
DDoS-kommentti oli lähinnä vitsi, joka ei liittynyt mahdollisiin GDPR:n sakkoihin mitenkään.
Aika pitkä matka dossaamisen siitä, että mobiiliversioon ei ole toteutettu exporttia, ja kolmen vaihdon (käytän mobiilia, käytänkin deskaria, käytänkin mobiilia) jäkeen voit olla lukittu mobiiliin.
Lainauksestasi
Eli huonosti meneminen ei viitannut siihen että yhtiöllä menee huonosti.
Tämä olisi mahtavaa.
LastPassia on kommentoitu tässä ketjussa aikaisemminkin. Huonosti menemisella tarkoitin lähinnä käyttäjän kannalta negatiivisia asioita, olkoot kyse noista typeristä rajoituksista taikka hintojen nostamisesta. Tietoturvan osalta, kyse on varmasti pätevästä palvelusta. Valitettavasti en ala kääntelemään linkkejä ja artikkeleita millään Google translatella siltä varalta ettei joku satu osaamaan englantia. Referoin linkit lauseella tai parilla ja puolestani se saa riittää.
"LastPassilla ei näytä menevän erityisen hyvin. Ilmeisesti yrittävät pakotetusti pitää käyttäjät omina asiakkaina. Yrittävät siis kovasti olla "toinen Oracle".
"
Missä noi lomakkeet sijaitsee? Jossakin sovelluksessa, vai nettisivuilla?
Vähän huonosti kirjoitettu. Eli siis ihan kirjautuminen nettisivustoille selaimessa. Samaa kyllä myös välillä sovelluksiin kirjautumisessa.
Ei ole ihan samanlaisia ongelmia ollut minulla, mutta muita pieniä sekoiluja kylläkin. Joskus se ei tunnista kirjautumissivua lainkaan ja toisinaan painike änkee väkisin muiden sivulla olevien vaihtoehtojen päälle jne. Se Bitwardenin android-kikkare ei ole missään vaiheessa ollut erityisen laadukkaan oloinen, mutta pääsääntösiesti sillä on kuitenkin saanut asiansa hoidettua.
Joo välillä tekee sitä, oletan että johtuu siitä ettei se pyöri taustalla päällä kun sen käynnistämisen/avaamisen jälkeen ehdotukset tulee näkyviin taas.
No niinpäs näkyy olevan minunkin Vivaldin kanssa. Eiköhän tuo ole selaimen päivityksen mukana tullut bugi. Onneksi ei ole iso homma käyttää selaimessa näppäimistöstä avatun Bitwardenin hakua ja siitä painaa auto-filliä.Mikähän omaan Androidin Bitwardeniin iski aivan yllättäen. Ihan sama minkä sivuston tietoja koittaa täyttää niin ilmoittaa vain: "Kohteet palvelulle --, holvissasi ei ole kohteita osoitteelle --"
Pitää manuaalisesti hakea joka sivustolle kirjautumistiedot.
Taisi hajota samoihin aikoihin kun Vivaldi päivittyi uusimpaan versioon.
github.com
keepass2android tiettävästi synkkaa nätisti pilvipalveluiden levytilan tallenteeseen
Nyt useampaan tutustunu, niin 1Password on ehdottomasti paras. Vähän kalliimpi se on kun noi muut.
Suosittelen kokeilemaan Bitwardenia. 1Passwordissa on joitakin parempia ominaisuuksia, mutta en tiedä ovatko ihan hintaeronsa arvoisia yksittäiskäytössä. Jos päätät ottaa 1Passwordin, muista käyttää .eu-domainia, muuten datat säilytetään Pohjois-Amerikan AWS:ssä EU:n AWS:n sijaan.
Sori en oikein ymmärrä mitä tarkoitat tällä. Bitwarden ollut käytössä itsellä 2FA:n kanssa jo pitkän aikaa? Miten käyttämällä 2FA:ta joku voisi mitenkään saada sen 2FA:n käyttöön ilman sun puhelinta?
Bitwardenia voi käyttää myös autentikaattorina noille TOTP, eli 2FA koodeille. Tätä en kyllä itsekään suosittele vaan kannattaa käyttää erillistä puhelimessa olevaa autentikaattoria, kuten Authy, Google Authenticator, jne...
Siinä se tulikin. Ilmaisin asiani hieman huonosti.
Onko Bitwardenissa joku vika, miksi sille pitäisi etsiä vaihtoehtoja? Olisi ehkä helpompi ehdottaa vaihtoehtoa, jos tietäisi mitä siitä puuttuu tai on huonoa. Omassa käytössä tuo on ollut oikein mainio.
Viestin innoittamana kirjauduin myös tabletilla Microsoft Authenticatoriin. Mitä rajoituksia tuossa siis on?
Viimeksi kun testasin mm. synkkaus laitteiden väliltä ei toiminut. Toimiiko se nyt? Toinen ärsyke oli palauttaa MS Authenticatorin varmistuksista. Kävi ilmi että se varmisti tunnukset, mutta ei "QR-koodi" eli kaikki MFA:t piti resetoida tämän rajoituksen vuoksi.
Täytynee kokeilla Authya, mutta em. ohjelmia voi käyttää yhtä aikaa useammalla laitteella. Silti tosiaan aion kokeilla mainitsemaasi Authya, koska mitenkään erityisen tyytyväinen en ole Googlen tai MS:n vastaaviin. Aina vaan tuntuu kestävän itsellä nämä siirtymiset, kesken on Google -> MS (ja ehkä jääkin).
Ei se lennossa synkkaa edelleenkään, backupeista se mielestäni osasi palauttaa yksinkertaisella koodilla toimivat muut palvelut, mutta ei mitään MS tilejä. Nykyäänhän tuossa on myös salasana synkkaus mikä synkronoi Edgeen tallennetut salasanat.
Tilien paluttaminen varmistuksista tai ylipäättäen koko asian hallinta lienee yhä yhtä suurta sotkua ja säätöä. Teknisen henkilön näkökulmasta säätö voisi jopa onnistua, mutta tavallisten käyttäjien osalta kyse voi olla melkoisesta painajaisesta. Siksi suosittelinkin Authyä koska se lienee yksi vähiten ongelmallisimmista, vaikka sekään ei ole täydellinen.
Okei joo ymmärsin siis väärin. Bitwardeniin kirjautumisessa on siis itsellä käytössä 2FA. Puhelimessa taas sitten nuo erilliset 2FA-ohjelmat, joita mm Bitwarden käyttää
Erilaisissa monivaiheisissa tunnistuksissa on äärimäisen tärkeää että palveluun voi kirjautua jos menettää kyisessä palvelussa käytetyn toisen vaiheen tunnistusmenetelmän. Jos käyttää jotain ohjelmallista systeemiä, niin sen varmuukopion/vaihtoehdon pitää olla luotettavasti toimiva. Jos pitää tehdä käsin varmuuskopio/peilaus niin menee vähän riski jutuksi. Jos toinen vaihe on jostain palvelusta riippuvainen, niin sille pitäisi olla vaihtoehto jne.
Onhan se tärkeää, mutta ei mitenkään itsestäänselvää. Esim Bitwardenin tapauksessa Master Keyn unohtaminen voi ja oikeastaan johtaakin koko Vaultin menettämiseen. (Muokattua yritysversiota poisslukien) I Forgot my Master Password | Bitwarden Help & Support Tätä voidaan pitää myös hyvänäkin asiana, koska salaustehdän Master Key:tä vastaan.
Tuossa aiemmassa viestissä hain sitä että jos jotain softa/palvelu juttua suositellaan ja jos se ei synkkaa ja toimia useammassa laitteessa yhtäaikaa, ilman käyttäjän jumppaa ja intoa harrastaa, + se että toimii vaikka palvelu kaatuisi, muutoin se on nopeasti tie pahoihin ongelmiin.
Jos katsotaan tarpeelliseksi että pitää olla kaksi eri holvia, KeePass ohjelmia voi asentaa useampia, tai yhdellä käyttää useampaa tietokantaa, mutta niiden palautuskoodien tallentaminen pitäisi olla helppoa, eli vaatis sellaisen ohjelman joka ne sinne hautaisi vaivatta, siis ihan yhdellä laitteella operoidessa.
Kuten aiemmin ehdotettiin, niin kannattaa pitää ne 2FA-koodit muualla, erillisessä autentikaatio-ohjelmassa. Tietääkseni jokaisella yleisellä KeePass-ohjelmalla voi käyttää useaa tietokantaa yhtäaikaa. KeePassXC:llä pitäisi onnistua sekin, että jos sinulla on auki kaksi tietokantaa jossa toisessa vain 2FA:t pelkkien URL:ien kera, selainlaajennus osaa noukkia ne sieltäkin.
Ok, eli jos Androidissa KeePassXC + Syncthing, niin KeePassXC poimii selain laajennoksella ne koodit talteen?
Alla lyhyesti miten itsellä on tuo kuviot järjestettynä:
Ei tuosta puutu mitään sellaista mitä tarvitsisin. Halusin vaan tietää onko sille mitään muuta varteen otettavaa vaihtoehtoa.
Mutta koitan nyt tätä että kuinka toimii Google Driven kanssa. Kun ongelma oli tosiaan tuon android laitteen synkkauksessa.
