Salasanojen hallintapalvelu LastPassin serverit hakkeroitiin

[Diizzel]

Diizzel kirjoitti uutisen/artikkelin:
Salasanojen hallintapalvelu LastPass on kertonut luvattoman kolmannen osapuolen päässeen käsiksi LastPassin käyttämään verkkopalvelimeen, jossa säilytetään käyttäjien tietoja. Yrityksen mukaan salasanat eivät todennäköisesti kuitenkaan ole akuutin hädän alla, sillä pääsalasanat, joilla salasanatiedostojen salaus avataan, eivät ole tallessa valmistajan servereillä. Vuotoa ei voi kuitenkaan pitää harmittomana, sillä käyttäjien perusasiakastilin tiedot, kuten nimet, sähköpostiosoitteet, laskutusosoitteet, puhelinnumerot ja IP-osoitteet, joista sovellusta on käytetty ovat vuotaneet.

Juuri mainittujen yhteystietojen lisäksi hakkeri on päässyt käsiksi käyttäjien salasanat sisältäviin tiedostoihin, jotka ovat LastPassin mukaan 256 bit AES -salauksella suojattuja. Suojauksen voi avata käyttäjän pääsalasanalla (master password), johon hakkerilla ei kuitenkaan ole mahdollisuutta serverin tietojen pohjalta päästä käsiksi, sillä LastPass ei säilytä sitä palvelimillaan.

Sen myötä hakkerilla on pari vaihtoehtoa, mikäli hän haluaa päästä salasanoihin käsiksi. Niin sanottu brute force, eli salasanojen perinteinen murtaminen useiden yritysten kautta, jota LastPass pitää epätodennäköisenä, mikäli salasanat mukailevat nykyajan suosituksia, eivätkä ne ole käytössä muilla verkkosivuilla, joista ne olisivat voineet vuotaa. Toisena ja kenties realistisempana vaihtoehtona LastPass mainitsee social engineerin ja phishingin, joissa hakkeri pyrkii saamaan käyttäjän itsensä paljastamaan pääsalasanan, sillä vuodon myötä hakkerilla voi olla käyttäjien yhteystietoja, joihin yhteyden ottaminen onnistuu.

LastPass muistuttaa, etteivät he itse kysy ikinä käyttäjien pääsalasanoja ja se tulee asettaa vain ja ainoastaan LastPassiin sovellukseen kirjautuessa.

Lähde: LastPass

Linkki alkuperäiseen juttuun

 

[bsh]

Itse murtautuminenhan tapahtui jo elokuussa ja ilmeisesti elo-marraskuu välillä on saatuja tietoja käytetty hyväksi lisämurtautumisiin. LastPass oli vaan nyt saanut selvitettyä asiaa tarkemmin ja julkaisi jatkopäivityksen aiempaan blogikirjoitukseensa.

Tämä uutinen on kyllä muuten hyvä tiivistys suomeksi siitä mitä LastPass on saanut selville

 

[pagus]

Taitaa olla jatkuva hyökkäyksen kohde johtuen juuri tuosta, että hallitsee salasanoja. Itse en tällaisia maksullisia salasana-palveluja ole käyttänyt, toiminut monta vuotta jo erinomaisesti niin, että KeePass-tietokanta on Dropboxissa. Sitten Windowsille ja Androidille omat softat, eli synkronisoi ja toimii kummasta tahansa laitteesta.

Androidilla avaa salasana-tiedoston, biometrinen autentikointi (sormenjälki), sitten kun hakee/valitsee palvelun, tulee ilmoitus-ikkunaan ylös valinnat "kopioi käyttäjänimi" ja "kopioi salasana". Tyhjentää myös leikepöydän hetken kuluttua automaattisesti.

 

[pulatunnus]

Taitaa olla jatkuva hyökkäyksen kohde johtuen juuri tuosta, että hallitsee salasanoja. Itse en tällaisia maksullisia salasana-palveluja ole käyttänyt, toiminut monta vuotta jo erinomaisesti niin, että KeePass-tietokanta on Dropboxissa. Sitten Windowsille ja Androidille omat softat, eli synkronisoi ja toimii kummasta tahansa laitteesta.

Androidilla avaa salasana-tiedoston, biometrinen autentikointi (sormenjälki), sitten kun hakee/valitsee palvelun, tulee ilmoitus-ikkunaan ylös valinnat "kopioi käyttäjänimi" ja "kopioi salasana". Tyhjentää myös leikepöydän hetken kuluttua automaattisesti.

Ehkä vähän väärä ketju, mutta copy/paste on hyvin yleinen tapa käyttää salasanoja, eli ne sitten jossain holviohjelmassa, tai viestissä, TXT tiedostossa.

Copy/paste kohdalla kun muistaa ettei sitä kautta kierrätä oikeasti tärkeää, ne voi epähuomoissa synkata leikepöytä tai näppis ym pilveen, jossa tieturva ei yhtä ihan niin kova.

Ymmärtääkseni ketjun palvelu ohjelmineen tukee ratkaisuja joissa ei tarvi kierrättää leikepöydän kautta, niin myös KeePaas kantoja tukevissa löytyy myös vastaavia ratkaisuja, mukaan lukien oma näppis, jolla vältetään norminäppiksen "vuodot".

 

[Naamapalmu]

Tämä taitaa sinetöidä koko LastPassin tulevaisuuden, käyttäjien kannattaa vaihtaa salasanat kaikissa palveluissa ja heivata koko ohjelma mäkeen. Samalla tietysti kannattaa pyytää tuhoamaan kaikki tiedot itsestään, ovat velvoitettuja siihen.

 

[BNo1]

En näe miksi tuo nyt niin hirveä katastrofi olisi, ymmärtääkseni jokaisella vaultilla on oma master passwordinsä joten jokainen vault pitää erikseen bruteforcettaa enkä ole kuullut että 256b AESin purkamiseen olisi jotain nopeaa keinoa. Jos asiakas vielä vaihtaa salasanansa niin varastettu data menettää arvonsa. Henkilötietojen varastaminen tietysti erikseen, mutta valitettavasti niitä varastetaan sieltä täältä joten eivät ne oikeasti käytännössä salaista tietoa ole.

 

[Naamapalmu]

En näe miksi tuo nyt niin hirveä katastrofi olisi, ymmärtääkseni jokaisella vaultilla on oma master passwordinsä joten jokainen vault pitää erikseen bruteforcettaa enkä ole kuullut että 256b AESin purkamiseen olisi jotain nopeaa keinoa. Jos asiakas vielä vaihtaa salasanansa niin varastettu data menettää arvonsa. Henkilötietojen varastaminen tietysti erikseen, mutta valitettavasti niitä varastetaan sieltä täältä joten eivät ne oikeasti käytännössä salaista tietoa ole.

Niin, no tietysti kannattaa miettiä, että käyttääkö palvelua joka on korkattu tänä vuonna kaksi kertaa ja aiemmin: 2011, 2015, 2016, 2017, 2019, 2021. Ja nyt kun käy ilmi, että kaikkia tietoja ei olekaan kryptattu vaikka muuta väittävät, niin voiko heidän sanaan enää luottaa? Eikä heidän uskottavuutta lisää se, että tätä asiaa on salailtu kuukausia.

Toivottavasti palvelua käyttävillä on vahva pääsalasana, tuollainen GTX 4090 kun käy 190000 arvausta sekunissa, tosin normaali käyttäjä tuskin on hakkereiden hampaissa ensimmäisenä, vaan kohteena on tärkeämpi käyttäjäkunta.

 

[archy]

En näe miksi tuo nyt niin hirveä katastrofi olisi, ymmärtääkseni jokaisella vaultilla on oma master passwordinsä joten jokainen vault pitää erikseen bruteforcettaa enkä ole kuullut että 256b AESin purkamiseen olisi jotain nopeaa keinoa. Jos asiakas vielä vaihtaa salasanansa niin varastettu data menettää arvonsa. Henkilötietojen varastaminen tietysti erikseen, mutta valitettavasti niitä varastetaan sieltä täältä joten eivät ne oikeasti käytännössä salaista tietoa ole.

Hienoa sinisilmäisyyttä. "Ihan hyvä ja turvallinen palvelu säilyttää salasanoja, korttinumeroita. Ei se ole korkattu kuin melkein kymmenen kertaa".

Se että asiakas vaihtaa salasanaa tarkoittaa sitä että ne salasanat pitäisi vaihtaa jokaikiseen palveluun mikä on LastPassissa ollut.

 

[BNo1]

Niin, no tietysti kannattaa miettiä, että käyttääkö palvelua joka on korkattu tänä vuonna kaksi kertaa ja aiemmin: 2011, 2015, 2016, 2017, 2019, 2021. Ja nyt kun käy ilmi, että kaikkia tietoja ei olekaan kryptattu vaikka muuta väittävät, niin voiko heidän sanaan enää luottaa? Eikä heidän uskottavuutta lisää se, että tätä asiaa on salailtu kuukausia.

"Kaikkia tietoja", siis nimeä, puhelinnumeroa, jne ei ole kryptattu? Ymmärrän näkemyksen että "kaikki" tieto pitäisi olla kryptattu ja tietysti palvelua saa kritisoida mutta en minä siihen ottanut kantaa vaan vaultteihin, joten en ihan ymmärrä miksi keuhkoat minulle palvelun tasosta kun en siihen ottanut mitään kantaa.

Toivottavasti palvelua käyttävillä on vahva pääsalasana, tuollainen GTX 4090 kun käy 190000 arvausta sekunissa, tosin normaali käyttäjä tuskin on hakkereiden hampaissa ensimmäisenä, vaan kohteena on tärkeämpi käyttäjäkunta.

Joku tietoturvaexpertti voi kommentoida paremmin, mutta ymmärtääkseni AES 256 salausta ei ole vielä bruteforcetettu joten jos salaus on tehty oikein niin vaulttien tiedot ovat edelleen kohtuullisen hyvässä turvassa.

Hienoa sinisilmäisyyttä. "Ihan hyvä ja turvallinen palvelu säilyttää salasanoja, korttinumeroita. Ei se ole korkattu kuin melkein kymmenen kertaa".

Se että asiakas vaihtaa salasanaa tarkoittaa sitä että ne salasanat pitäisi vaihtaa jokaikiseen palveluun mikä on LastPassissa ollut.

Kiitoksia sinisilmäisyys kommentista, palvelun laadusta voidaan tietysti olla montaa mieltä mutta pointtini on edelleen että jos nuo vaultit on cryptattu kunnolla AES 256 ja kryptauksessa käytetyt avaimet on luotu salasanasta generoimalla esim PBKDF2 + suolattu asianmukaisesti niin vaulttien vuotaminen ei ole välitön maailmanloppu koska niiden avaaminen on aika tuskallinen operaatio ja ne joutuu availemaan yksitellen.

 

[Kautium]

Niin, no tietysti kannattaa miettiä, että käyttääkö palvelua joka on korkattu tänä vuonna kaksi kertaa ja aiemmin: 2011, 2015, 2016, 2017, 2019, 2021. Ja nyt kun käy ilmi, että kaikkia tietoja ei olekaan kryptattu vaikka muuta väittävät, niin voiko heidän sanaan enää luottaa? Eikä heidän uskottavuutta lisää se, että tätä asiaa on salailtu kuukausia.

Tämähän siinä juuri on olennaista. Jostain syystä Lastpass on onnistunut markkinoimaan palveluaan niin hyvin että osa kohderyhmästä käyttää ja jopa puolustelee sitä, vaikka se on kerta toisensa jälkeen korkattu ja todettu turvattomaksi. Taisin jo useampi vuosi sitten todeta, ettei tulisi enää mieleenkään käyttää sitä.

Nyt hieman arveluttaa, että muistinko varmasti aikoinaan Bitwardeniin siirtyessä deletoida Lastpassista kaiken ja toisaalta vaikka olisinkin muistanut, niin voiko edes luottaa että tiedot poistuivat sieltä.

 

[Zetbo]

Tämähän siinä juuri on olennaista. Jostain syystä Lastpass on onnistunut markkinoimaan palveluaan niin hyvin että osa kohderyhmästä käyttää ja jopa puolustelee sitä, vaikka se on kerta toisensa jälkeen korjattu ja todettu turvattomaksi. Taisin jo useampi vuosi sitten todeta, ettei tulisi enää mieleenkään käyttää sitä.

Nyt hieman arveluttaa, että muistinko varmasti aikoinaan Bitwardeniin siirtyessä deletoida Lastpassista kaiken ja toisaalta vaikka olisinkin muistanut, niin voiko edes luottaa että tiedot poistuivat sieltä.

Jep. Sitten tuohon päälle vielä järkyttävän hinta + muut sekoilut. Bitwarden lähes samoilla ominaisuuksilla maksaa 10e/vuosi ja on vielä avointa koodia.

 

[juhaa]

12€/vuosi mulla on ollut vuodesta 2015.
Tammikuun lopussa olisi uusiutumassa, pitääkin yrittää etsiä mikä on seuraava veloitus.

 

[Kasikaks]

Jep. Sitten tuohon päälle vielä järkyttävän hinta + muut sekoilut. Bitwarden lähes samoilla ominaisuuksilla maksaa 10e/vuosi ja on vielä avointa koodia.

Apple Keychain 0 euroa ja automaattisesti kaikissa Applen laitteissa.

 

[DjSunki]

Pitänyt jo kauan poistaa tunnukset kyseisestä palvelusta. Tämän luettuani tartuin heti toimeen ja nyt historiaa omalla kohdallani.

 

[maninthemoon]

Näitä ei tarvitse miettiä, kun hostaa oman bitwarden vaultin. Jos jokin pissii, niin voi varmaan katsoa peiliin. Näin ainakin oletan.

 

[Kautium]

Pitänyt jo kauan poistaa tunnukset kyseisestä palvelusta. Tämän luettuani tartuin heti toimeen ja nyt historiaa omalla kohdallani.

Jos siellä oli jotain tunnuksia, ne on vuodettu ja aika näyttää saavatko hyökkääjät vaultteja auki. Siellä olleet salasanat siis vaihtoon. Tili kannattaa poistaa toki tästä huolimatta, mutta jo tapahtunutta sillä ei voi perua.

 

[Ahis]

MInä poistin tunnukset reilu vuosi sitten ja vaihdion bitwardeniin. Varmaan ei minun tarvitse vaihtaa siellä olleiden salasanoja ?

 

[PÌÎUW®[ªøËrhl¾ÇÌ°1¿¼]

Bitwarden 0e ja salasanat saatavilla työmäkeissä, android luureissa, windows koneissa, AppleTV:ssä, you name it. En ymmärrä miksi kukaan käyttäisi mitään muuta tapaa hallita salasanoja.

 

[Kasikaks]

Bitwarden 0e ja salasanat saatavilla työmäkeissä, android luureissa, windows koneissa, AppleTV:ssä, you name it. En ymmärrä miksi kukaan käyttäisi mitään muuta tapaa hallita salasanoja.

Kökkösysteemi verrattuna Keychainiin.

 

[DjSunki]

Jos siellä oli jotain tunnuksia, ne on vuodettu ja aika näyttää saavatko hyökkääjät vaultteja auki. Siellä olleet salasanat siis vaihtoon. Tili kannattaa poistaa toki tästä huolimatta, mutta jo tapahtunutta sillä ei voi perua.

Ei ole ollut hetkeen enää mitään sisältöä siellä minulla. Joskus keväällä jo poistin kaiken. Tunnuksella tarkoitin siis tiliä, kuten ilmaisitkin paremmin. Joten sen suhteen ei pitäisi olla hätää.

 

[PÌÎUW®[ªøËrhl¾ÇÌ°1¿¼]

Kökkösysteemi verrattuna Keychainiin.

Ei paljoa lämmitä joku kuppanen työmäkin keychain kun windows koneella tai android luurissa tarvit salasanoja.

 

[HikinenM]

Apple Keychain 0 euroa ja automaattisesti kaikissa Applen laitteissa.

Google Password manager 0 euroa ja automaattisesti kaikissa Googlen laitteissa ja Chrome selaimessa.

E: Minulla käytössä sekä Googlen password manager että Bitwardenin ilmaisversio.

 

[archy]

Kökkösysteemi verrattuna Keychainiin.

Joo nää on aina "hyviä" kun pitää sulkeutua koko ekosysteemiin jos haluaa käyttää salasanoja

 

[wapsi]

Joku tietoturvaexpertti voi kommentoida paremmin, mutta ymmärtääkseni AES 256 salausta ei ole vielä bruteforcetettu joten jos salaus on tehty oikein niin vaulttien tiedot ovat edelleen kohtuullisen hyvässä turvassa.

Siis AES256-salausta ei ole murrettu, mutta (lähes) kaikkea voi aina brute-forcettaa: Jos jollain on se "master"-salasana lyhyt ja heikko muutenkin, niin ei mene nykyvehkeillä kauaa brute-forcettaa sitä AES256-salattua tiedostoa auki. Mutta jos henkilö on ollut fiksu ja käyttänyt salasanan tilalla esim. pitkää ja turvallisempaa salalausetta (tarkempaa tietoa, mikä salalause on: https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Salasanat_haltuun.pdf sivulla viisi) niin tiedoston AES256-salauksen purkaminen voi viedä tuhansia vuosia nykyvehkeillä. Ongelma on nyt, että nyt jos nuo AES256-salatut tiedostot, joiden sisällä on niitä salasanoja ovat mahdollisesti nyt vuotanut ulkopuoliselle, niin tuo taho voi vapaasti brute-forcetella niitä auki.

 

[Seppo77]

F-Secure ID Protection ollut käytössä jo vuosikausia ja toiminut loistavasti aina eikä ole ollut tietoturvaongelmia.

 

[Obi-Lan]

Itse hakkerina olisin laittanut phishing kampanjan käyntiin koska yhteystiedot ei ollut salattuja. Salasanan huijaaminen olisi nopeampaa kuin bruteforcettaa laskentaklusteri punaisena. Kuitenkin tämä on tapahtunut 3kk sitten(?), mutta kukaan ei vissiin ole vielä ainakaan huomannut mitään erikoista?

 

[BNo1]

Siis AES256-salausta ei ole murrettu, mutta (lähes) kaikkea voi aina brute-forcettaa: Jos jollain on se "master"-salasana lyhyt ja heikko muutenkin, niin ei mene nykyvehkeillä kauaa brute-forcettaa sitä AES256-salattua tiedostoa auki. Mutta jos henkilö on ollut fiksu ja käyttänyt salasanan tilalla esim. pitkää ja turvallisempaa salalausetta (tarkempaa tietoa, mikä salalause on: https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Salasanat_haltuun.pdf sivulla viisi) niin tiedoston AES256-salauksen purkaminen voi viedä tuhansia vuosia nykyvehkeillä. Ongelma on nyt, että nyt jos nuo AES256-salatut tiedostot, joiden sisällä on niitä salasanoja ovat mahdollisesti nyt vuotanut ulkopuoliselle, niin tuo taho voi vapaasti brute-forcetella niitä auki.

Siihen on ihan syynsä miksi mainitsin PBKDF2 + suolauksen, en tietysti tiedä onko LastPass tehnyt näin mutta tuo on "industry standard" tapa tehdä salasanasta AES-256 cryptausavain ->
" PBKDF2 applies a pseudorandom function, such as hash-based message authentication code (HMAC), to the input password or passphrase along with a salt value and repeats the process many times to produce a derived key, which can then be used as a cryptographic key in subsequent operations. The added computational work makes password cracking much more difficult, and is known as key stretching. "

Key streching -> " The concept of key stretching is to insert a random set of characters to increase the size of the password hash, making things harder for a brute-force attack "

Ps. En edelleenkään ole mikään tietoturvaexpertti joten olen voinut ymmärtää asian ihan väärin.

 

[ratkakapu]

Töissä toki on melko läjä salasanoja ja tilejä käytössä ja jotain ylläpitoa melkein vaatii, mutta arkielämässä ei ihan hirveän montaa kriittistä salasanaa ole olemassa ainkaan itselläni.
Pankki, sähköposti, nordnet. Aika monella myös sometilit olisi sellaista, millä oikeasti pääsisi aiheuttamaan ongelmia ihmiselle. Luotan omaan päähäni ja kunnon salasanoihin/lauseisiin. Tämmöistä "EsimerkkiSatunnainen123Salasana"-rakennetta käyttävä passu on kätevä kirjoittaa, näitä muistaa kyllä sen 5 erilaista ja niitä ei ole yhtään sen helpompi murtaa kuin satunnaisia merkkejä peräkkäin olevia sotkuja. Älä käytä kriittisissä paikoissa samoja, mutta ihan turha noita on vaihdella niin kauan kun käyttämääsi palvelua ei ole korkattu.

Vähempipätöisiin ympäristöihin kuten tämä foorumi salasanat ovat sitten rakenteeltaan EsimPassu123 ja joku 5 eri salasanaa on käytössä kaikkiin mahdollisiin paikkoihin. Mitä sitten jos vuotaa joku finnkinon tunnuksen salasana? Tietenkään sinne ei mitään maksutietoja ole tallennettuna. Osoite, puhelinnumero ja syntymäaika on lähtökohtaisesti jokaiselta vuotanut joka tapauksessa jo. Ja jos ei halua niitä vuotavan, niin syötää väärin ne joka paikkaan...

 

[Desgorr]

Salasanojen vuotamiseenkin auttaa hyvin kun laittaa sitä tukevista palveluista kaksivaiheisen tunnistautumisen käyttöön. Silloin mahdollinen hyökkääjä ei ainakaan pääse pelkällä salasanalla sisälle.

 

[user9999]

Lastpassia tuli käytettyä 2014-2018. Alkoi ottaa päähän nuo tietoturvaongelmat niin poistin sieltä kaiken ja sitten tuhosin tilin. Nyt on menty Applen iCloud-avainnipulla vuosia. Etuna tuossa avainnipussa on se, että se ei tarvitse mitään ylimääräistä softaa eli on käyttöjärjestelmän ominaisuus.
Jos Apple avainnippua haluaa käyttää Windowssissa niin pitää asentaa iCloud for Windows Microsoft Storesta. Itsellä ei ole ollu tarvetta.

iCloud - Official app in the Microsoft Store

With the redesigned iCloud for Windows app, you can access photos, files, passwords, and other important information from your iPhone or other Apple devices on your Windows PC. iCloud Photos • Access and view your iCloud photos directly in the Microsoft Photos app in Windows 11. • Keep your...

apps.microsoft.com

 

[Cuningas]

Keepass ja manuaalisesti siirrän kurantin salasanatiedoston kännykälle/kannettavalle jos isoja muutoksia tulee. En yhtään tykkää pilvipalveluista näissä asioissa.

 

[Aaltoliike]

Tämähän siinä juuri on olennaista. Jostain syystä Lastpass on onnistunut markkinoimaan palveluaan niin hyvin että osa kohderyhmästä käyttää ja jopa puolustelee sitä, vaikka se on kerta toisensa jälkeen korkattu ja todettu turvattomaksi. Taisin jo useampi vuosi sitten todeta, ettei tulisi enää mieleenkään käyttää sitä.

Nyt hieman arveluttaa, että muistinko varmasti aikoinaan Bitwardeniin siirtyessä deletoida Lastpassista kaiken ja toisaalta vaikka olisinkin muistanut, niin voiko edes luottaa että tiedot poistuivat sieltä.

Itsekin käytin LastPassia vuodet 2010-2018 ainakin. Alkoi firman jutkutus vituttaa, muunmuassa ilmaisen tilin rampauttaminen lähes käyttökelvottomaksi ja lukuisat muut ongelmat. Puhumattakaan siitä että taisivat tuplata premiumin hinnan? Siirryin Bitwardeniin, poistin LastPass tietokantani ja tunnukseni (toivottavasti? Ainakaan forget password ei anna spostiin mitään viestiä kys. paskalafkalta) ja siitä lähtien maksanut tyytyväisenä tuon kympin vuodessa, vaikka ilmaisellakin pärjäisi vallan hyvin. Osaksi maksan siitä, että voin käyttää hardware-avaimia 2FA ja osaksi siitä että haluan tukea projektia vilpittömästi.

Jep. Sitten tuohon päälle vielä järkyttävän hinta + muut sekoilut. Bitwarden lähes samoilla ominaisuuksilla maksaa 10e/vuosi ja on vielä avointa koodia.

Tuo jutkutus ja hintojen röyhkeä tuplaaminen, sekä ilmaispuolen rampauttaminen oli viimeinen naula omaan arkkuuni.

Apple Keychain 0 euroa ja automaattisesti kaikissa Applen laitteissa.

Vaan entä jos ei omista yhtään Apple laitetta?

Kökkösysteemi verrattuna Keychainiin.

Perustelisitko tätä väitettä? Kts. ylläoleva.

 

[Kasikaks]

Itsekin käytin LastPassia vuodet 2010-2018 ainakin. Alkoi firman jutkutus vituttaa, muunmuassa ilmaisen tilin rampauttaminen lähes käyttökelvottomaksi ja lukuisat muut ongelmat. Puhumattakaan siitä että taisivat tuplata premiumin hinnan? Siirryin Bitwardeniin, poistin LastPass tietokantani ja tunnukseni (toivottavasti? Ainakaan forget password ei anna spostiin mitään viestiä kys. paskalafkalta) ja siitä lähtien maksanut tyytyväisenä tuon kympin vuodessa, vaikka ilmaisellakin pärjäisi vallan hyvin. Osaksi maksan siitä, että voin käyttää hardware-avaimia 2FA ja osaksi siitä että haluan tukea projektia vilpittömästi.


Tuo jutkutus ja hintojen röyhkeä tuplaaminen, sekä ilmaispuolen rampauttaminen oli viimeinen naula omaan arkkuuni.

Vaan entä jos ei omista yhtään Apple laitetta?

Perustelisitko tätä väitettä? Kts. ylläoleva.

Keychain vain toimii niin sujuvasti ja ilman vaivaa. Kokeilin Bitwardenia ja poistin koska en jaksa harrastaa salasanojen hallintaa. Keychain on muuten yksi iso syy itselle mikä pitää Applen ekosysteemissä.

 

[Spotty]

Keepass ja manuaalisesti siirrän kurantin salasanatiedoston kännykälle/kannettavalle jos isoja muutoksia tulee. En yhtään tykkää pilvipalveluista näissä asioissa.

Sama juttu. Jotenkin salasanojen säilyttäminen jonkun ulkopuolisen tahon servereillä kuulostaa omaan korvaan sotivan koko salasanojen turvaamisen ideaa vastaan.

 

[PÌÎUW®[ªøËrhl¾ÇÌ°1¿¼]

Keepass ja manuaalisesti siirrän kurantin salasanatiedoston kännykälle/kannettavalle jos isoja muutoksia tulee. En yhtään tykkää pilvipalveluista näissä asioissa.

Itsellä oli sama mutta ainakin silloin ennen vanhaan Keepassissa ei ollut mitään integraatiota browsereihin tai android/iphone keyboardeihin joka tunnistaisi minkä palvelun salasanaa haluaa ja esimerkiksi nappaisi vaultista suoraan salasanan jos FaceId (iphonella) mätsää. Muutenkin käsin tuon vaultin viemistä android, iphone, työmäkki, desktoppi,.... ei enää kasetti kestänyt. Siksi Bitwarden nykyään.

 

[archy]

Itse käytin pitkään 1Passwordia koska se toimi hemmetin hyvin, sillä oli tuki kaikille alustoille kun tulee käytettyä pääosin Linuxia ja töissä sitten windowsia ja joskus macOS:ää. Molemmille puhelinalustoille löytyi myös sovellukset ja integraatiota selaimiin.

Vaihdoin nyt kuitenkin kesällä Bitwardeniin halvemman hinnan vuoksi ja koska se on täysin open sourcea. Onhan tämä huomattavasti köykäsempi toiminnaltaan 1passwordiin verrattuna, mutta riittävä itselle.

 

[pulatunnus]

Sama juttu. Jotenkin salasanojen säilyttäminen jonkun ulkopuolisen tahon servereillä kuulostaa omaan korvaan sotivan koko salasanojen turvaamisen ideaa vastaan.

Ajatuksen ymmärrän, mutta manuaalisiirto kuullostaa kovin työläältä, tosin pitää muistaa että käyttäjiä on erilaisia, salasana määrä voi olla pieni ja harvoin päivittyvä, jollain toisella päivittyy usein ja jos pilvisynkki toimii, niin silloin aika vahva käytettävyys etu vs käsin päivitellä.

No kumpi tahansa, niin sama lähtökohta, eli se että itse holvi tiedosto voi joutua ulkopuolisen käsiin, ja oletettava että ajankanssa nykyiset salaisuudet voivat paljastua.

 

[Humanoid]

Itsellä oli sama mutta ainakin silloin ennen vanhaan Keepassissa ei ollut mitään integraatiota browsereihin tai android/iphone keyboardeihin joka tunnistaisi minkä palvelun salasanaa haluaa ja esimerkiksi nappaisi vaultista suoraan salasanan jos FaceId (iphonella) mätsää. Muutenkin käsin tuon vaultin viemistä android, iphone, työmäkki, desktoppi,.... ei enää kasetti kestänyt. Siksi Bitwarden nykyään.

Nykyään tilanne on onneksi parempi. KeePass toimii joka alustalla ja integraatiot selaimiinkin löytyy.