Parhaat ohjelmat salasanojen säilytykseen

[Kautium]

Tollasta tilannetta ei koskaan saisi syntyä, että ollaan yhden laitteen varassa jonkun kirjautumisen suhteen. Eli aina pitää olla B-suunnitelma. Onneksi 2FA:n tapauksessa sivustot lähes aina "pakottavat" ottamaan recovery codet talteen. Tiedä sitten ottavatko kaikki...

Ei saisi joo, mutta arvaapas vaan kuinka montaa tavan käyttäjää kiinnostaa alkaa virittämään jotain autentikaattoria moneen laitteeseen. Monilla ei edes ole kuin se yksi laite.

Näissä on perustavaa laatua olevana ongelmana juuri se, ettei tavan käyttäjille anneta yksiselitteistä mallia millä ja miten turvata pääsy palveluihin laitteen kadotessa. Mm. MS Authenticatorin voi laittaa backuppaamaan tiedot pilveen, mutta jos se pääsy sinne on saman laitteen varassa, niin se siitä sitten. Ja jos lisää sovelluksen toiseen laitteeseen, tiedot eivät synkkaa näiden välillä. Tämä on jotenkin niin lapsenkengissä vielä, että tällä menolla menee vuosikausia ennen kuin suuret massat voivat käyttää näitä turvallisempia kirjautumistapoja.

 

[escalibur]

Tollasta tilannetta ei koskaan saisi syntyä, että ollaan yhden laitteen varassa jonkun kirjautumisen suhteen. Eli aina pitää olla B-suunnitelma. Onneksi 2FA:n tapauksessa sivustot lähes aina "pakottavat" ottamaan recovery codet talteen. Tiedä sitten ottavatko kaikki...

Jos nyt ensiksi päästäisiin saman salasanan käyttämisestä joka paikassa, saatika että rivikäyttäjä miettisi ”jotain numerokoodeja”.

 

[ztec]

"Päästään eroon salasanoista" on aika leveällä pensselillä maalattu kuva, kun ei ominaisuus toimi kuin yhdessä selaimessa ja jokaisen sovelluksen/palvelun pitää lisäksi erikseen tukea sitä.

Myös salasala managerit voivat tukea sitä, ja eiköhän sekin ole tulossa kovaa. Osa on jo implementoinut ominaisuudet. Ihan kuten TOTP tukikin on laitettu moneen manageriin. Siinä mielessä liittyy hyvinkin tähän lankaan. Mutta toivotaan tämän suhteen edistymistä. Salasanojen suhteen on muutenkin niin paljon harhaan johtavaa ja väärää tietoa liikenteessä jos vaan käyttäisi salasanoja kunnolla. Mutta nää on käyty tässä langassa jo moneen kertaan läpi.

Tarkastin jälleen Googlen, mielelläni käyttäisin passwordlessia sen kanssa, mutta eipä sitä näytä siellä valikossa olevan kirjautumisoptioissa.

 

[Kautium]

Tarkastin jälleen Googlen, mielelläni käyttäisin passwordlessia sen kanssa, mutta eipä sitä näytä siellä valikossa olevan kirjautumisoptioissa.

En muista mitä kautta sen sai päälle, mutta nykyään jos kirjaudun esim. Gmailiin, tulee pelkästään luuriin pyyntö hyväksyä kirjautuminen ja siinä kaikki. Eli kyllä se siellä on, mutta kuten sanoin, tämä paletti jokaisella toimijalla enemmän tai vähemmän rikki/sekaisin.

Tunnuksen kirjoittamisen jälkeen tulee näytölle tällainen ja luurissa piippaa kysymys "are you signing in? yes/no". Salasanaa ei tarvita missään välissä.

 

[ztec]

En muista mitä kautta sen sai päälle, mutta nykyään jos kirjaudun esim. Gmailiin, tulee pelkästään luuriin pyyntö hyväksyä kirjautuminen ja siinä kaikki. Eli kyllä se siellä on, mutta kuten sanoin, tämä paletti jokaisella toimijalla enemmän tai vähemmän rikki/sekaisin.

Jes, mutta tuo ei ole Passwordless(tm) vaan Googlen oma palvelu (Google prompts), jossa varmistetaan sisäänkirjatunella laitteella pääsy.

 

[Kautium]

Jes, mutta tuo ei ole Passwordless(tm) vaan Googlen oma palvelu (Google prompts), jossa varmistetaan sisäänkirjatunella laitteella pääsy.

Se on semantiikkaa. Salasanaton kirjautuminen on "passwordless" ilman sitä trademark-merkkiä perässä.

 

[ojisama]

Se on semantiikkaa. Salasanaton kirjautuminen on "passwordless" ilman sitä trademark-merkkiä perässä.

Ei sentään, jos tuossa ensimmäinen kirjautuminen (jollakin laitteella) vaatii salasanan. Ehkä ei vaadi, vaan vain kuvittelen.

 

[Kautium]

Ei sentään, jos tuossa ensimmäinen kirjautuminen (jollakin laitteella) vaatii salasanan. Ehkä ei vaadi, vaan vain kuvittelen.

Näin se tarkemmin ajateltuna taitaa mennä. Siitä on niin pitkä aika kun tuon otin käyttöön, niin en enää muista itsekään että miten se meni.

One step closer to a passwordless future

Over the next year all major device platforms have committed to building in support for passwordless FIDO Sign-in standards.

blog.google

Apple, Google, and Microsoft will soon implement passwordless sign-in on all major platforms

Soon, you could log in to everything with just your phone.

www.theverge.com

Though many popular applications already included support for FIDO authentication, initial sign-on has required the use of a password before FIDO can be configured — meaning that users were still vulnerable to phishing attacks that see passwords intercepted or stolen along the way.

But the new procedures will do away with the initial requirement for a password, as Sampath Srinivas, product management director for secure authentication at Google and president of the FIDO Alliance, said in an email statement sent to The Verge.

 

[Humanoid]

LastPass users: Your info and password vault data are now in hackers’ hands

Password manager says breach it disclosed in August was much worse than thought.

arstechnica.com

LastPassin uusien tietojen mukaan asiakkaiden yhteystietoihin on päästy käsiksi. Tämän lisäksi nettiosoitteet eivät ole tietokannassa ollenkaan salattuja, joka on melko suuri turvallisuusriski. Henkilöllisyys on suoraan yhdistettävissä kaikkiin käytössä oleviin sivustoihin.

 

[Paapaa]

LastPassin uusien tietojen mukaan asiakkaiden yhteystietoihin on päästy käsiksi. Tämän lisäksi nettiosoitteet eivät ole tietokannassa ollenkaan salattuja, joka on melko suuri turvallisuusriski. Henkilöllisyys on suoraan yhdistettävissä kaikkiin käytössä oleviin sivustoihin.

Ja siis kryptattuja vaulteja on vuodettu. Niiden lukumäärää ei ole kai kerrottu. Eli hyökkääjällä on täydelliset eväät murtaa niitä brute-forcella lokaalisti. Aivan varmasti siellä on lukuisia vaulteja joissa ei ole kovin vahva salasana. Ei näin, LastPass.

 

[pulatunnus]

Ja siis kryptattuja vaulteja on vuodettu. Niiden lukumäärää ei ole kai kerrottu. Eli hyökkääjällä on täydelliset eväät murtaa niitä brute-forcella lokaalisti. Aivan varmasti siellä on lukuisia vaulteja joissa ei ole kovin vahva salasana. Ei näin, LastPass.

Onko salaus sellainen että käyttäjän salasanalla aukeaa ?
Jos on, niin hyökkääjällä todennäköisesti jonkin käyttäjäjoukon salasanat.

Spoileri: pidemmin

LastPass on suosittu , markkinoitu palvelu joka on ollut hellppo ottaa käyttöön, vaikea salasanam vaikeasti muistettava salasana vaikeuttaisi käyttöä, joten yllättyn jos monella on salasana jota käyttänyt monessa muussakin palvelussa, ja koska monesta palveluista salasanat vuotaan käyttäjätunnuksineen, jos nyt pahikkisilla, tiedossa salasana taltion käyttäjä / käyttäjätunnus / email, ja nettiin vuodetut muut salasana/käyttäjätunnus/email parit.....
Ymmärtääkseni LastPass on vuosien saatossa tiukentanut salasana vaatimusta. jos on, niin se voi pelastaa
Jäljellä toki ollut kalastelu, jos tiedetään kohde

 

[Obi-Lan]

Kannattaa ehkä tässä kohtaa vaihtaa kaikki Lastpassiin tallennettujen palveluiden salasanat uusiin, oletettavasti vielä on aikaa, jos Lastpassin salasana ei ollut ihan Kissa123 luokkaa. Mutta alkaa yleinen salasanasirkus käydä vuosi vuodelta raskaammaksi.

 

[Paapaa]

Onko salaus sellainen että käyttäjän salasanalla aukeaa ?

Kyllä. Se "vault" (kanta? holvi?) puretaan ja salataan aina loppukäyttäjän koneella. LastPassilla on vain kryptattu data.

Jos on, niin hyökkääjällä todennäköisesti jonkin käyttäjäjoukon salasanat.

Vaikea sanoa. On siellä varmasti heikkojakin salasanoja ollut käytössä. Joten vaikkei niitä vielä olisi, niin brute forcella kohta on.

 

[pulatunnus]

Kyllä. Se "vault" (kanta? holvi?) puretaan ja salataan aina loppukäyttäjän koneella. LastPassilla on vain kryptattu data.

Ok, eli ajattelin että jos voimalla yrittää niin pelkällä salasanalla menee ? tai jos ei mene, niin pahiksilla tiedossa loput ? millä helpottaa. Aiemmin toki uutisoitu että muutakin vuotanut.

Vaikea sanoa. On siellä varmasti heikkojakin salasanoja ollut käytössä. Joten vaikkei niitä vielä olisi, niin brute forcella kohta on.

Jos on tiedossa että on käyttäjiä joilla salasana palveluun on ollut heille helppo ja tuttu muutenkin, niin yllättyisin jos ei olisi käyttäjiä joiden salasanat / käyttäjä / maili parit löytyy vanhoista vuodoista. Paitso jos LastPass on jotekin parsinut moiset ja pakottanut käyttäjät vaihtamaan salasanaa.

 

[escalibur]

Vaikka vaultteja ei saataisiinkaan purettua, on tämä LastPassin enemmän tai vähemmän otsikkoissa pysyminen melkoista iskua koko palvelun uskottavuudelle. Saa nähdä vaihtuuko palvelun nimi ja tai omistajuuskin nyt kun maine on pahasti pilalla.

"The original August 2022 breach was in a test environment that lead to this latest breach due to uncycled decryption keys."

 

[Naamapalmu]

Ihmettelen kyllä suuresti miksi kukaan enää käyttäisi tuota useasti korkattua palvelua? Olen käyttänyt KeePassia kohta 15 vuotta lokaalisti ja tietokannasta back uppia 2FA onedrivessä, vaikka onedrive korkattaisiin, niin tiedosto on omassa kryptatussa vaultissa salatussa zippi-tiedostossa, joka on suojattu omalla key -tiedostolla, mikä voi olla mikä tahansa internetissä sijaitseva tiedosto, eli pelkällä KeePassin tietokannalla ei tee yhtään mitään.

 

[pulatunnus]

Ihmettelen kyllä suuresti miksi kukaan enää käyttäisi tuota useasti korkattua palvelua?

On ollut helppo käyttäänottaa, edullinen, vaihtaminen on aina työlästä, toki palvelu on vaihtoa vauhdittanut palvelu/hinnoittelu muutoksilla, ja aina on vakuuteltu että holvi on turvassa.

Sen minkä nettiin tallentaa, sen minkä netin yli siirtää, niin kannattaa suhtautua että se ei pysy ikuisesti salaisuutena.

Massa murrotoja vastaan voi suoajutua sillä että käyttäytyy itse vähän paremmin kuin muut, ei talanne holviin selkokielisenä tärkeimpiä salaisuuksia, tarkoitan että ihan copy/paste ei riitä, vaan tarvii jotain muuta. Muistaen sen että oma muistivoi nollaantua ja sen että jos tulee pikalähtö, niin jollain on riittävät mahdollisuudet , mutta ei liikaa. (*

Suoraan henkilöön kohdistetuissa hyökkäyksissä pikku temput ei välttämättä riitä

Spoileri: (*

(*
Tarkoitan sitä että joillain, joillain on pääsy niihin kohteisiin joilla on merkitystä siinä tilanteessa. Mutta samalla salaisuudet säilyy. Ei ole ihan helppo yhdistelmä, kerta juttuna, saati että sitä pitää ajantasalla.

 

[Taneli-]

Itse olen käyttänyt tuota Dashlanea kun sen joskus Hublesta sai vuodeksi ja sen jälkeen käyttänyt maksutonta versiota (riittää oikein hyvin yhteen koneeseen, maksullisella voisi käyttää useamman koneen sekä kännykän välityksellä vaikka koko perhe noin ja teoriassa)

En silti ole läheskään kaikkia tunnuksia ja salasanoja laittanut tuonne (esim. rahojen siirtoon liittyviä kuten verkkopankkia tai Paypallia) ja erillinen lista tunnuksista sekä salasanoista löytyy paikallisena muutamasta paikasta turvasta.

En nyt tiedä onko jossain (varmaan on) uudempia testejä mutta aikoinaan katselin tätä: Kuluttaja testasi salasanojen suojaajat: Suomalainen vaihtoehto sai kylmää kyytiä – ilmaisetkin olivat parempia

Missä todetaan että esim. Suomalainen F-Secure jäi viimeiseksi 12 eri salasanaohjelman vertailussa missä parhaat olivat Lastpass ja Dashlane.

Eli aika moni varmaan tekee kuten itsekin aikoinaan ja lukee (jos nyt edes lukee) arvosteluja ja sitten kun tilaisuus nyt tuli (itselle se Huble Bundle setti missä tuo tuli halpaan hintaan vuodeksi) hyppää mukaan kelkkaan. Toivottavasti kuitenkin lukee myös joskus edes jotain tietotekniikan sivustoja ja saa tietoonsa jos ikäviä asioita (TM) tapahtuu, kuten nyt tämä murto ja tajuaa siirtyä eri palvelua käyttämään. Vaikka aikoinaan kyseinen palvelu olisi saanut ties miten paljon suitsutusta ja ylistystä osakseen (hieman sama kuin surullisen kuului Microsoftin Internet Explorer mitä "kaikki käyttivät" tai tietoturvasta Defender mikä on alkanut saada hälyttävän huonoja arvosanoja eli menee samaan luokkaan nyt kuin tuo Lastpass ellei ala petraamaan. (Kyllä, olen aikoinani itsekin käyttänyt Exploreria sekä Defenderiä ja olivat hyviä silloin. Pakko sanoa ennenkuin jotkut alkavat ehkä muistojen kultaamina kehua noita.)

EDIT: lisäksi näköjään moni teoriassa luotettava ja paljon luettu Suomalainenkin sivusto kuten esim. kotimikro suosittelee Lastpass ohjelmistoa ihan tämän vuoden aikanakin vielä.. ..eli tieto ei kovin nopeasti kulje. Tässä vielä saman paikan 21.11. tekemä artikkeli erityisesti kehuen ja kehoittaen LastPass ohjelmaa käyttämään.

 

[escalibur]

Itse olen käyttänyt tuota Dashlanea kun sen joskus Hublesta sai vuodeksi ja sen jälkeen käyttänyt maksutonta versiota (riittää oikein hyvin yhteen koneeseen, maksullisella voisi käyttää useamman koneen sekä kännykän välityksellä vaikka koko perhe noin ja teoriassa)

En silti ole läheskään kaikkia tunnuksia ja salasanoja laittanut tuonne (esim. rahojen siirtoon liittyviä kuten verkkopankkia tai Paypallia) ja erillinen lista tunnuksista sekä salasanoista löytyy paikallisena muutamasta paikasta turvasta.

En nyt tiedä onko jossain (varmaan on) uudempia testejä mutta aikoinaan katselin tätä: Kuluttaja testasi salasanojen suojaajat: Suomalainen vaihtoehto sai kylmää kyytiä – ilmaisetkin olivat parempia

Missä todetaan että esim. Suomalainen F-Secure jäi viimeiseksi 12 eri salasanaohjelman vertailussa missä parhaat olivat Lastpass ja Dashlane.

Eli aika moni varmaan tekee kuten itsekin aikoinaan ja lukee (jos nyt edes lukee) arvosteluja ja sitten kun tilaisuus nyt tuli (itselle se Huble Bundle setti missä tuo tuli halpaan hintaan vuodeksi) hyppää mukaan kelkkaan. Toivottavasti kuitenkin lukee myös joskus edes jotain tietotekniikan sivustoja ja saa tietoonsa jos ikäviä asioita (TM) tapahtuu, kuten nyt tämä murto ja tajuaa siirtyä eri palvelua käyttämään. Vaikka aikoinaan kyseinen palvelu olisi saanut ties miten paljon suitsutusta ja ylistystä osakseen (hieman sama kuin surullisen kuului Microsoftin Internet Explorer mitä "kaikki käyttivät" tai tietoturvasta Defender mikä on alkanut saada hälyttävän huonoja arvosanoja eli menee samaan luokkaan nyt kuin tuo Lastpass ellei ala petraamaan. (Kyllä, olen aikoinani itsekin käyttänyt Exploreria sekä Defenderiä ja olivat hyviä silloin. Pakko sanoa ennenkuin jotkut alkavat ehkä muistojen kultaamina kehua noita.)

EDIT: lisäksi näköjään moni teoriassa luotettava ja paljon luettu Suomalainenkin sivusto kuten esim. kotimikro suosittelee Lastpass ohjelmistoa ihan tämän vuoden aikanakin vielä.. ..eli tieto ei kovin nopeasti kulje. Tässä vielä saman paikan 21.11. tekemä artikkeli erityisesti kehuen ja kehoittaen LastPass ohjelmaa käyttämään.

Noihin Top-listoihin suhtautuisin samalla tavalla kuin lööppilehtien juttuihinkin.

Spoileri: Offtopic

Suositellaan siis seuraavaa tuotetta ykkösvaihtoehtona:

Kyse on entisen Symantecin -> NortonLifeLock -> nykyisin "Gen Digitalin" copy-paste virustorjunnasta (Norton/Avast/AVG/Bulldog/Avira).

Salasanojen hallintaohjelmistojen vertailussa ilmeisesti palvelun, tai tuotteen tietoturva-auditointia ei mainita sanallakaan? Mielestäni sen pitäisi olla yksi tärkeimmistä valintakirteereistä.

 

[Humanoid]

Ja siis kryptattuja vaulteja on vuodettu. Niiden lukumäärää ei ole kai kerrottu. Eli hyökkääjällä on täydelliset eväät murtaa niitä brute-forcella lokaalisti. Aivan varmasti siellä on lukuisia vaulteja joissa ei ole kovin vahva salasana. Ei näin, LastPass.

Tässä on tärkeää huomioida myös se, että LastPassin master passwordiin käytettävä iterointi on tämän ohjeen mukaan 100 000, mutta moni käyttäjä on huomannut, että se onkin vain 5 000. Eli kryptattu vault on teoriassa paljon helpompi murtaa.

 

[Humanoid]

Salasanojen hallintaohjelmistojen vertailussa ilmeisesti palvelun, tai tuotteen tietoturva-auditointia ei mainita sanallakaan? Mielestäni sen pitäisi olla yksi tärkeimmistä valintakirteereistä.

Kaikilla ei ole varaa auditonteihin, etenkin jos kyseessä on avoimen koodin salasanamanageri. Lisäksi auditointi on kuitenkin vain sen hetken snapshotille tehty. Jos pilkkua viilataan, niin tuotteessa voi jo kuukauden päästä olla avoin aukko jota auditointi ei kata lainkaan. Joten auditointi ei ole mikään maaginen automaattinen sija ykköspallilla, vaan pikemminkin pokaalikaapissa oleva mitali parin vuoden takaa.

 

[Humanoid]

(tuplat)

 

[Naamapalmu]

LastPass käyttäjien kannattaa nyt vaihtaa ohjelma ja salasanat ASAP, mikäli on redditin salapoliiseihin uskomista: r/Lastpass - Recommended actions for the LastPass security breach

Tämä taitaa sinetöidä koko palvelun tulevaisuuden, joten jo senkin puolesta vaihto lie aiheellista.

 

[Paapaa]

Kaikilla ei ole varaa auditonteihin, etenkin jos kyseessä on avoimen koodin salasanamanageri. Lisäksi auditointi on kuitenkin vain sen hetken snapshotille tehty. Jos pilkkua viilataan, niin tuotteessa voi jo kuukauden päästä olla avoin aukko jota auditointi ei kata lainkaan. Joten auditointi ei ole mikään maaginen automaattinen sija ykköspallilla, vaan pikemminkin pokaalikaapissa oleva mitali parin vuoden takaa.

Esim. LastPass on heidän mukaansa auditoitu säännöllisesti. Se on hyvä asia, mutta ei toki tae mistään. Olisi kiva tietää tarkemmin, miten tuon yhden devaajan kautta päästiin käsiksi sorsiin. Siitä kaikki lähti kuitenkin liikkeelle. Blogissa kerrottiin, että kyse oli suojaamattomasta endpointista. Mutta mistä tarkemmin oli kyse, joku admin API, josta unohtui suojaukset vai mikä tuo mahtoi olla.

Tässä on tärkeää huomioida myös se, että LastPassin master passwordiin käytettävä iterointi on tämän ohjeen mukaan 100 000, mutta moni käyttäjä on huomannut, että se onkin vain 5 000. Eli kryptattu vault on teoriassa paljon helpompi murtaa.

Olikohan tässä kyse siitä, kuinka vanha vault on. Eli vanhemmissa iteraatioita on käytetty vähemmän. Mutta noita ei voida automaattisesti muuttaa LP:n toimesta, vaan käyttäjän pitää se tehdä, sillä vaatii salauksen purun ja uuden salauksen. Tietty silti tuntuisi, että tuon olisi voinut pakottaa niin, että seuraavan kerran kun käyttäjä kirjautuu, vaultin iteraatio päivittyy.

 

[Paapaa]

LastPass käyttäjien kannattaa nyt vaihtaa ohjelma ja salasanat ASAP, mikäli on redditin salapoliiseihin uskomista: r/Lastpass - Recommended actions for the LastPass security breach

Ainakin LastPassin maine saa tästä todella syvän tahran ja varmaan päitä putoilee. Tällainen vuoto vaikuttaa asiakasmääriin varmasti. Ja mahdoton luottaa palveluun ellei läpinäkyvästi kerrota, mitä tapahtui. Ja tuon blogin tarkkuus ei omasta mielestäni riitä siihen.

 

[Humanoid]

Esim. LastPass on heidän mukaansa auditoitu säännöllisesti. Se on hyvä asia, mutta ei toki tae mistään. Olisi kiva tietää tarkemmin, miten tuon yhden devaajan kautta päästiin käsiksi sorsiin. Siitä kaikki lähti kuitenkin liikkeelle. Blogissa kerrottiin, että kyse oli suojaamattomasta endpointista. Mutta mistä tarkemmin oli kyse, joku admin API, josta unohtui suojaukset vai mikä tuo mahtoi olla.

Olikohan tästä jossain tarkemmin? En muista. Mutta mikä on huolestuttavinta, niin tuota murtokeinoa käyttämällä päästiin nyt käyttäjien tietoon käsiksi. Eli sitä varsinaista bugia tai rajapintaa tuon murron takana ei koskaan korjattu tai edes muutettu sellaiseksi ettei se ole suoraan hyödynnettävissä noilla murtotiedoilla.

Olikohan tässä kyse siitä, kuinka vanha vault on. Eli vanhemmissa iteraatioita on käytetty vähemmän. Mutta noita ei voida automaattisesti muuttaa LP:n toimesta, vaan käyttäjän pitää se tehdä, sillä vaatii salauksen purun ja uuden salauksen. Tietty silti tuntuisi, että tuon olisi voinut pakottaa niin, että seuraavan kerran kun käyttäjä kirjautuu, vaultin iteraatio päivittyy.

Tuo tuntuukin erikoiselta ettei LastPass ole päivittänyt tuota iteraatiota automaattisesti, tai ilmoittanut käyttäjille, että tämä toimenpide täytyy nyt suorittaa, jotta käyttö on jatkossa turvallisempaa. Tuollakaan ei saa silti anteeksi sitä, että URL:t eivät ole olleet lainkaan salattuja. Sellainen "zero knowledge".

 

[Naamapalmu]

Ainakin LastPassin maine saa tästä todella syvän tahran ja varmaan päitä putoilee. Tällainen vuoto vaikuttaa asiakasmääriin varmasti. Ja mahdoton luottaa palveluun ellei läpinäkyvästi kerrota, mitä tapahtui. Ja tuon blogin tarkkuus ei omasta mielestäni riitä siihen.

2fa myöten kaikki murrettu, en kyllä koskis enää pitkällä tikullakaan kyseiseen palveluun, saati uskoisi mitään mitä selittävät jatkossa.

 

[Paapaa]

Olikohan tästä jossain tarkemmin? En muista. Mutta mikä on huolestuttavinta, niin tuota murtokeinoa käyttämällä päästiin nyt käyttäjien tietoon käsiksi. Eli sitä varsinaista bugia tai rajapintaa tuon murron takana ei koskaan korjattu tai edes muutettu sellaiseksi ettei se ole suoraan hyödynnettävissä noilla murtotiedoilla.

LP:n blogin mukaan tuo kehitysympäristö ajettiin alas ja tehtiin uusi skrädestä (luultavasti paikaten tuo aukko). Mutta tuossa vaiheessa vahinko oli jo tapahtunut. Ja tuosta alasajosta kerrottiin vasta nyt. Olisi tosi kiva tietää tarkka tapahtumien aikajan. Mitä tehtiin missä vaiheessa. Ennen kaikkea, mitä tehtiin heti silloin kun ensimmäinen vuoto tuli ilmi. Mutta voi olla, ettei LP koskaan tätä julkista.

LP ei ole tietääkseni myöskään kertonut, kuinka suurta asiakasjoukkoa vuoto koskee. Keiden kaikkien vaultit on vuodettu. Ja onko asiakkaita, joiden vaultit eivät altistuneet? Veikkaan, etteivät tiedä ja potantiaalisesti ihan kaikki vaultit on saatettu vuotaa.

 

[Humanoid]

LP:n blogin mukaan tuo kehitysympäristö ajettiin alas ja tehtiin uusi skrädestä (luultavasti paikaten tuo aukko). Mutta tuossa vaiheessa vahinko oli jo tapahtunut. Ja tuosta alasajosta kerrottiin vasta nyt. Olisi tosi kiva tietää tarkka tapahtumien aikajan. Mitä tehtiin missä vaiheessa. Ennen kaikkea, mitä tehtiin heti silloin kun ensimmäinen vuoto tuli ilmi. Mutta voi olla, ettei LP koskaan tätä julkista.

LP ei ole tietääkseni myöskään kertonut, kuinka suurta asiakasjoukkoa vuoto koskee. Keiden kaikkien vaultit on vuodettu. Ja onko asiakkaita, joiden vaultit eivät altistuneet? Veikkaan, etteivät tiedä ja potantiaalisesti ihan kaikki vaultit on saatettu vuotaa.

Pahin skenaario tässä on ettei LP tiedä tuota itsekään. Mikä näyttää jopa todennäköiseltä vaihtoehdolta.

 

[Paapaa]

2fa myöten kaikki murrettu, en kyllä koskis enää pitkällä tikullakaan kyseiseen palveluun, saati uskoisi mitään mitä selittävät jatkossa.

Eipä se 2fa koske kuin sitä virallista kirjautumisväylää. Eli tavallaan 2fa:ta ei tarvinnut edes murtaa jos siellä oli suojaamaton endpoint johon kräkkeri pääsi käsiksi. Siellä ei 2fa:ta ollut lainkaan.

Mä en olisi koskenut ilman tätä tapausta, kun en pidä käyttöliittymästä. Eikä tuohon esim. yhä edelleen saa FIDO-2FA:ta.

 

[Infy]

LP:n käyttämä master passwordin PBKDF2-salausalgoritmin brute-force murtaminen on hyvin tehokkaasti toteutettavissa GPU- ja ASIC-laitteistolla. On olemassa uudempia ja parempia algoritmeja (esim. Argon2), jotka tekevät brute-force murtamisesta hitaampaa (murtaminen vaatii raa'an laskennan lisäksi myös muistia).

PBKDF2 - Wikipedia

en.wikipedia.org

 

[Humanoid]

LP:n käyttämä master passwordin PBKDF2-salausalgoritmin brute-force murtaminen on hyvin tehokkaasti toteutettavissa GPU- ja ASIC-laitteistolla. On olemassa uudempia ja parempia algoritmeja (esim. Argon2), jotka tekevät brute-force murtamisesta hitaampaa (murtaminen vaatii raa'an laskennan lisäksi myös muistia).

PBKDF2 - Wikipedia

en.wikipedia.org

Onneksi esim. KeePass on tukenut Argon2:sta jo pidemmän aikaa

 

[escalibur]

Kaikilla ei ole varaa auditonteihin, etenkin jos kyseessä on avoimen koodin salasanamanageri. Lisäksi auditointi on kuitenkin vain sen hetken snapshotille tehty. Jos pilkkua viilataan, niin tuotteessa voi jo kuukauden päästä olla avoin aukko jota auditointi ei kata lainkaan. Joten auditointi ei ole mikään maaginen automaattinen sija ykköspallilla, vaan pikemminkin pokaalikaapissa oleva mitali parin vuoden takaa.

Mielestäni varattomuus ei ole mikään uskottava perustelu näissä asioissa. Avoin lähdekoodi on jossain määrin ymmärrettävä, koska koodi on kaikkien nähtävillä muutenkin, vaikka se ei tietenkään ole mikään tae etteikö seasta vosi löytyä haavoittuvuuksia ja muita tuetoturvapoikkemia. Halutessaan voittoa tavoittelemattomat projektit voivat aina hankkia, tai kerätä rahoitusta koko asiaan.

Tietoturva-auditointia ei pidä sekoittaa mihinkään reaaliaikaiseen tietoturvavalvontaan. Auditointi antaa tieyn tason kuvauksen, kuinka asiat ovat auditoinnin aikana.

Auditointitodistus on verrattavissa vaikkapa koulutodistukseen. Sulla on vaihtoehtona kaksi silmäkirurgia: Yksi väittää olevansa kova lääkäri, mutta sillä ei ole minkälaista koulutodistusta, koska kysehän on ”sen hetken snapshotista ja ajat muuttuu, turhia moiset muutenkin jne” Toisella lääkärilläon tutkintotodistus viralliselta oppilaitokselta. Kumpaan vaihtoehtoon itsekin päättyisit? Niinpä. Olkoot heidän todelliset taidot mitä tahansa, ymmärrät mitä ajan takaa.

Jos vaihtoehtoina on todistus tai ilman, niin totta kai se todistus on tyhjää parempi, olkoot se kuinka monta vuotta vanha tahansa. Muussa tapauksessa asioihin suostutaan puhtaalla toivekkaalla uskomisella.

Auditointi ei tietenkään tarkoita että kyse on täydellisestä tietoturvasta tai jostain ”ykkössijasta”, vaan lähinnä yksi merkittävä pisteytysasia. Jokainen tietty määrätkööt omat valintakriteerinsa.

ps. LastPassin kierrättämättömät salausavaimet tuskin olisivat ikinä läpäisseet auditointitestiä, jos olisivat tehneet sellaisen. Voidaan vain arvailla miksi osa palveluista välttelee niitä.

 

[Humanoid]

Mielestäni varattomuus ei ole mikään uskottava perustelu näissä asioissa. Avoin lähdekoodi on jossain määrin ymmärrettävä, koska koodi on kaikkien nähtävillä muutenkin, vaikka se ei tietenkään ole mikään tae etteikö seasta vosi löytyä haavoittuvuuksia ja muita tuetoturvapoikkemia. Halutessaan voittoa tavoittelemattomat projektit voivat aina hankkia, tai kerätä rahoitusta koko asiaan.

Juuri tämä rahoitus on se ongelma. Tietoturva-auditoinnit maksavat melkoisesti. Toistaiseksi yksikään ilmainen avoimen koodin projekti ei ole tainnut käydä sellaista läpi.

Tietoturva-auditointia ei pidä sekoittaa mihinkään reaaliaikaiseen tietoturvavalvontaan. Auditointi aintaa tieyn tason kuvauksen, kuinka asiat ovat auditoinnin aikana.

Auditointitodistus on verrattavissa vaikkapa koulutodistukseen. Sulla on vaihtoehtona kaksi silmäkirurgia: Yksi väittää olevansa kova lääkäri, mutta sillä ei ole minkälaista koulutodistusta, koska kysehän on ”sen hetken snapshotista ja ajat muuttuu, turhia moiset muutenkin jne” Toisella lääkärilläon tutkintotodistus viralliselta oppilaitokselta. Kumpaan vaihtoehtoon itsekin päättyisit? Niinpä. Olkoot heidän todelliset taidot mitä tahansa, ymmärrät mitä ajan takaa.

Jos vaihtoehtoina on todistus tai ilman, niin totta kai se todistus on tyhjää parempi, olkoot se kuinka monta vuotta vanha tahansa. Muussa tapauksessa asioihin suostutaan puhtaalla toivekkaalla uskomisella.

Auditointi ei tietenkään tarkoita että kyse on täydellisestä tietoturvasta tai jostain ”ykkössijasta”, vaan lähinnä yksi merkittävä pisteytysasia. Jokainen tietty määrätkööt omat valintakriteerinsa.

ps. LastPassin kierrättämättömät salausavaimet tuskin olisivat ikinä läpäisseet auditointitestiä, jos olisivat tehneet sellaisen. Voidaan vain arvailla miksi osa palveluista välttelee niitä.

Juu eipä LastPass näytä tehneen varsinaisia turvallisuusauditointia, vaan lähinnä turvallisiin prosesseihin liittyviä sellaisia ym. "Internal audits" toki mainitaan monessa kohtaa, mutta selkeästi ne ovat oikeasti olleet aivan retuperällä [/QUOTE]

 

[escalibur]

LastPass päätti käyttää AES-avaimiakin omalla tavalla.

- LastPass uses shit #encryption (or "encraption", as @sc00bz calls it). Padding oracle vulnerabilities, use of ECB mode (leaks information about password length and which passwords in the vault are similar/the same. recently switched to unauthenticated CBC, which isn't much better, plus old entries will still be encrypted with ECB mode), vault key uses AES256 but key is derived from only 128 bits of entropy, encryption key leaked through webui, silent KDF downgrade, KDF hash leaked in log files, they even roll their own version of AES - they essentially commit every "crypto 101" sin. All of these are trivial to identify (and fix!) by anyone with even basic familiarity with cryptography, and it's frankly appalling that an alleged security company whose product hinges on cryptography would have such glaring errors. The only thing that would be worse is if...

Jeremi M Gosney :verified: (@epixoip@infosec.exchange)

I recently wrote a post detailing the recent #LastPass breach from a #password cracker's perspective, and for the most part it was well-received and widely boosted. However, a good number of people questioned why I recommend ditching LastPass and expressed concern with me recommending people...

infosec.exchange

Heidän tietoturva-audioijalla voi olla jännät paikat. Jos sellaista on ikinä edes tehty.

 

[Obi-Lan]

Luulenpa, että Lastpassin ratkaisuissa ikä painoi. Firma kuitenkin perustettu jo 2008 ja LogMeIn osti 2015, jolloin kehitys varmaan loppui ja sedät alkoivat kääriä fyrkkaa.. Ei tule noilta ajoilta mieleen muita selvinneitä kuin Keepass.

Tietoturva-auditoinnille ei taidaa mitään golden standardia olla, perustuu lähinnä tekijöiden maineeseen ja kuinka uskottavasti joku ostaa kryptojargonia puhua?

 

[juhaa]

Jaahas, kyllä se nyt kovasti vaikuttaa siltä, että pitää lastpass vaihtaa…hemmetti mikä projekti.. Ilmeisesti konsensus on, että Bitwarden taitaa olla se ”de facto”?

iOS ja Windows käytännössä ainoina alustoina, missä sitä oikeasti tarvitsen.

En ole vielä perehtynyt eroihin maksullisten ja ilmaisten versioiden välillä. Lastpass on ollut sen $12 vuodessa ja ilmeisesti samaa luokkaa on myös BW:llä, joka on ihan Ok. LP:n tilaus on katkolla kuun lopussa.

En tarvitse salasanojen jakoa, vain täyttöä ja muut pankkitilien numerot sun muut datat tarvittaessa helposti haettavissa ja löydettävissä. Saattaa olla, että LP:n ilmainenkin olisi riittänyt. En myöskään halua ”pelleillä” lokaalien tietojen kanssa, koska liian vaivalloista.

 

[FinMaky]

Lastpass to Bitwarden projekti ei ole paha. Tein itsekkin ja ei siinä mennyt kuin puolituntia, mutta salasanojen muutossteppi vie aikaa, mutta se on riippumaton tästä muutosta. Jokatapauksessa pitäisi tehdä.
- Export lastpass salasanat
- Tee bitwarden tunnukset, et tarvii, mutta suosittelen premiumia. 10 $ vuosi.
- Import lastpass kanta bitwardeniin
- Poista lastpass plugarit ja bitwardenit tilalle selaimiin ja kännykkään.
- Käytä hetken ja kun tuntuu hyvältä, niin lastpass account kiinni.
- Periaatteessa: vaihda kaikki salasanat. Ainakin kriiittiset eli kaikki mitä voi käyttää autentikointiin eli google, microsoft, facebook jne ja kaikki joissa on rahaa eli steam, playstation jne, samalla kaikkiin näihin MFA:ta peliin jos vielä ei ole.
- Muista hävittää lastpass export tai tallentaa johonkin turvaan.

Import Data from LastPass | Bitwarden Help Center

If you are switching password managers from LastPass to Bitwarden, use this article guide you to export data from LastPass and import into Bitwarden.

bitwarden.com

 

[Paapaa]

Bitwarden taitaa olla se ”de facto”?

Ei ehkä de facto, mutta halpa/ilmainen se on ja hyvä. Ilmaisella pääsee pitkälle ja Premiumilla vielä vähän pidemmälle. Premiumilla saa 2FA:ksi esim. Yubikeyn (tai läppärin TouchID:n) ja lisäksi Premiumilla voi Bitwardenista ottaa TOTP-koodit eri sivustojen 2FA:ta varten. Nopeuttaa - jos tosin ei ehkä ole ihan yhtä turvallinen kuin jos ne koodit ovat erillisessä TOTP-appiksessa.

Mutta kannattaa ainakin kokeilla ilmaisversiota. Mä olen pitänyt Bitwardenista.

 

[escalibur]

Tietoturva-auditoinnille ei taidaa mitään golden standardia olla, perustuu lähinnä tekijöiden maineeseen ja kuinka uskottavasti joku ostaa kryptojargonia puhua?

Ei taida olla. On ne minusta silti tyhjää parempia. Uskottava palvelu kuitenkin keskittää auditoinnin, tai auditoinnit sinne jossa niistä on eniten hyötyä. Pelkkä SQL-injektioiden pikatestaus ei välttämättä kerro koko palvelun tietoturvasta hirveästi. Kyse on kun tilaustyöstä niin tilaajakin saa olla hereillä mitä koko asialla ollaan saavuttamassa, vai ollaanko.

- Periaatteessa: vaihda kaikki salasanat. Ainakin kriiittiset eli kaikki mitä voi käyttää autentikointiin eli google, microsoft, facebook jne ja kaikki joissa on rahaa eli steam, playstation jne, samalla kaikkiin näihin MFA:ta peliin jos vielä ei ole.

Import Data from LastPass | Bitwarden Help Center

If you are switching password managers from LastPass to Bitwarden, use this article guide you to export data from LastPass and import into Bitwarden.

bitwarden.com

Ei olisi huono juttu uusia jo käytössä olleet MFA:tkin samalla, jos salasanoja saanut alkaa potkimaan renkaita eri palvelujen salasanaresetointien kanssa.

 

[Lista]

Jaahas, kyllä se nyt kovasti vaikuttaa siltä, että pitää lastpass vaihtaa…hemmetti mikä projekti.. Ilmeisesti konsensus on, että Bitwarden taitaa olla se ”de facto”?

iOS ja Windows käytännössä ainoina alustoina, missä sitä oikeasti tarvitsen.

En ole vielä perehtynyt eroihin maksullisten ja ilmaisten versioiden välillä. Lastpass on ollut sen $12 vuodessa ja ilmeisesti samaa luokkaa on myös BW:llä, joka on ihan Ok. LP:n tilaus on katkolla kuun lopussa.

En tarvitse salasanojen jakoa, vain täyttöä ja muut pankkitilien numerot sun muut datat tarvittaessa helposti haettavissa ja löydettävissä. Saattaa olla, että LP:n ilmainenkin olisi riittänyt. En myöskään halua ”pelleillä” lokaalien tietojen kanssa, koska liian vaivalloista.

Juu, hommaa oli, vaihdoin Lastpassista BW:n, 186 salasanaa tuli vaihdettua ja Lastpass tili tuhottu.

 

[juhaa]

Juu, hommaa oli, vaihdoin Lastpassista BW:n, 186 salasanaa tuli vaihdettua ja Lastpass tili tuhottu.

Samaa luokkaa taitaa olla, mutta varmasti siellä on paljon palveluita, joita ei enää edes ole tai ole enää mitään tarvetta käyttää.

Samalla jos ajatuksella menisi listaa läpi ja koittaisi tuhota tilit myös täysin turhista palveluista.

 

[Naamapalmu]

LastPass päätti käyttää AES-avaimiakin omalla tavalla.

Jeremi M Gosney :verified: (@epixoip@infosec.exchange)

I recently wrote a post detailing the recent #LastPass breach from a #password cracker's perspective, and for the most part it was well-received and widely boosted. However, a good number of people questioned why I recommend ditching LastPass and expressed concern with me recommending people...

infosec.exchange

Heidän tietoturva-audioijalla voi olla jännät paikat. Jos sellaista on ikinä edes tehty.

Eli todellisuus on vielä pahempi, kuin kukaan (experit) osasivat olettaa. Wladirim Palanti osasi jo tota hyvin avata, mutta tietoturvasta vähemmän ymmärtäville löytyy rautalangasta väännetyt versiot.( Lyhykäisyydessään kaikki on ollut paskaa ja tietoturva ei ole kiinnostanut vuodesta 2019 lähtien.)

 

[Humanoid]

Eli todellisuus on vielä pahempi, kuin kukaan (experit) osasivat olettaa. Wladirim Palanti osasi jo tota hyvin avata, mutta tietoturvasta vähemmän ymmärtäville löytyy rautalangasta väännetyt versiot.( Lyhykäisyydessään kaikki on ollut paskaa ja tietoturva ei ole kiinnostanut vuodesta 2019 lähtien.)

Huolestuttavaa tuossa toiminnassa on se etteivät ole vieläkään ilmoittaneet montako vaultia sieltä on vuotanut - jos nyt tietävät sitä itsekään. Pelkkää radiohiljaisuutta joulun jälkeen.

 

[Lista]

Samaa luokkaa taitaa olla, mutta varmasti siellä on paljon palveluita, joita ei enää edes ole tai ole enää mitään tarvetta käyttää.

Samalla jos ajatuksella menisi listaa läpi ja koittaisi tuhota tilit myös täysin turhista palveluista.

Tein näin myös eli turhat pois.

 

[Humanoid]

Ja vuorostaan Nortonin salasanamanageri murron kohteena:

https://ago.vermont.gov/wp-content/uploads/2023/01/2023-01-09-NortonLifeLock-Gen-Digital-Data-Breach-Notice-to-Consumers.pdf

Our own systems were not compromised. However, we strongly believe that an unauthorized third party knows and has utilized your username and password for your account. This username and password combination may potentially also be known to others.

In accessing your account with your username and password, the unauthorized third party may have viewed your first name, last name, phone number, and mailing address. Our records indicate that you utilize our Norton Password Manager feature and, we cannot rule out that the unauthorized third party also obtained details stored there especially if your Password Manager key is identical or very similar to your Norton account password. If your data has been accessed, the unauthorized third party could make this data available to other unauthorized parties or use the password and email combination to try to access your other online accounts.

 

[Humanoid]

LastPassista tuttu iteraatio-ongelma vaivaa myös Bitwardenia, ja siitä on raportoitu vuosia sitten:

Bitwarden design flaw: Server side iterations

Bitwarden is a hot candidate for a LastPass replacement. Looking into how they encrypt data, it doesn’t do things that much better however.

palant.info

Argon2 on ollut jo pitkään käytössä muissa salasanamanagereissa, joten toivottavasti nämä loputkin vaihtavat pian siihen.

 

[Lista]

LastPassista tuttu iteraatio-ongelma vaivaa myös Bitwardenia, ja siitä on raportoitu vuosia sitten:

https://palant.info/2023/01/23/bitwarden-design-flaw-server-side-it

Ja nostin Btw iteraation 600000. Toivottavasti Btw alkaa käyttää asiakkaan määräämää iteraatiota eikä pienennä sitä.

 

[leripe]

Ja nostin Btw iteraation 600000. Toivottavasti Btw alkaa käyttää asiakkaan määräämää iteraatiota eikä pienennä sitä.

Sama, onnistui näemmä vain web vaultista eikä sovelluksesta.

 

[Hans Niskatuki]

Sama, onnistui näemmä vain web vaultista eikä sovelluksesta.

Kyllä. Olin tosin jo oman Bitwardenin käyttöönoton yhteydessä joku vuosi sitten muuttanut arvon lukemaan 500000.

Bitwardenin työpöytäsovelluksesta Help - Go to web vault.
Selainlaajennuksessa: Settings - Bitwarden Web vault

Web vaultissa oikean ylänurkan Logged in -pallukan popup-menusta Account settings.

Sieltä Security ja laitimmaiselta Keys-välilehdeltä Master passwordin syöttämisen alta löytyy kohta KDF iteration johon haluttu lukema (600000). Tai jotain.

Sitten Change KDF.