Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

LastPass informuje o „incydencie bezpieczeństwa”. Ktoś hasa po ich chmurze i uzyskał częściowe informacje o użytkownikach LastPassa

01 grudnia 2022, 09:33 | W biegu | komentarzy 10
Tagi:

Z dosyć lakonicznym wpisem możecie zapoznać się w tym miejscu:

We recently detected unusual activity within a third-party cloud storage service, which is currently shared by both LastPass and its affiliate, GoTo. We immediately launched an investigation

Jak się okazuje jest to w pewnym sensie druga faza ataku, który miał miejsce w sierpniu tego roku:

We have determined that an unauthorized party, using information obtained in the August 2022 incident, was able to gain access to certain elements of our customers’ information. Our customers’ passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture. 

Jak widać firma zapewnia, że atakujący nie mają dostępu do haseł użytkowników (są one szyfrowane m.in. z wykorzystaniem głównego hasła ustalanego przez użytkownika. Dostępu do tego hasła nie ma LastPass).

Zainteresowanych tematyką managerów haseł odsyłamy do naszych poradników o KeePassXC oraz BitWarden.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Wielka Chmura

    Menadżer haseł w chmurze i wszystko jasne :D

    Odpowiedz
    • Bąbel

      A tak konkretnie to co w tym dziwnego? To bardzo wygodne rozwiązanie które synchronizuje hasła pomiędzy wieloma urządzeniami. Np komputer laptop telefon. Jest tak bezpieczne jak bezpieczne jest twoje hasło potrzebne do odblokowania zaszyfrowanego pliku z hasłami. Udajesz experta a nie marsz nic do powiedzenia.

      Odpowiedz
      • Re

        Tak konkretnie to pewnie wygodne tylko później zostają już tylko suche komunikaty typu „nawet my nie mamy dostępu do danych użytkowników” kiedyś było modne „wszystkie hasła są przechowywane w postaci skrótów (md5)”. To pewnie zabrzmi banalnie niczym „bezpieczeństwo to proces”, ale powiem to „wygoda zazwyczaj nie idzie w parze z bezpieczeństwem”.
        Bardziej poważnie to mam awersje do wszelkich chmur bo pamiętam i wiem że można bez nich żyć i internet też bez nich również działał, a już przekazywanie danych dostępowych do infrastruktury która jest całkowicie poza „moją” kontrolą to jakiś kosmos, to jak trzymać hasła na dysku google.
        Możemy oczywiście wierzyć w marketing tej czy innej firmy że robią to lepiej niż my, są ultra bezpieczni i nasze hasła będą bezpieczniejsze u nich niż u nas, no … ale.
        Oczywiście za popularnością rozwiązań chmurowych moim zdaniem stoi kasa i chęć przyoszczędzenia na infrastrukturze i nie tylko tylko że później ktoś „hasa po chmurach” – w sumie to i tak mamy czyste ręce

        Odpowiedz
      • Batrek

        Wygoda albo bezpieczenstwo – wybierz jedno!

        Odpowiedz
  2. mcq

    Gdybyście wrzucali na swoje konto na mastodonie, to nie musiałbym sam tego robić :P

    Odpowiedz
  3. Rafał

    „odsyłamy do naszych podarników” – ładne :)

    Odpowiedz
  4. Welp

    Zawsze miałem wątpliwości co do menadżerów haseł w chmurze, choć ostatnio dałem szansę LastPassowi, to jednak wygoda mnie nie przekonała. Tylko Keepass :)

    Odpowiedz
  5. Albert

    W przypadku osób indywidualnych sama synchronizacja haseł to nie jest zbyt duży atut. Zdalna kopia jest wygodna, ale też dość łatwa do osiągnięcia samodzielnie.

    Managery haseł online mają natomiast duże znaczenie w przypadku firm. Przy kilkudziesięciu czy kilkuset osobach współdzielenie haseł przez plik KeePass się nie sprawdza. Przesyłanie haseł przez maile lub komunikatory to jeszcze gorsza opcja. Niestety wygoda współdzielenia haseł wymaga podjęcia większego ryzyka.

    Odpowiedz
    • Imię

      To zamiast tych haseł nie lepiej się postarać i wdrożyć jakieś PGP ?
      Jako że sądzę iż :D W przypadku firm dostępami/hasłami zarządza kontroler domeny i jeśli ktoś korzysta w nich z keepasów to znaczy że ma problem z szyfrowaniem, podpisami cyfrowymi i ogólnie kryptografią kluczy wszelakich ? Tu znowu pojawiają się „proste i tanie” rozwiązania, poco nam PKI jak mamy chmury

      Odpowiedz
    • Andrzej

      Przecież w takim przypadku można postawić sobie instancje np. Pleasant czyli współdzielona baza z hasłami z dostępem zależnym od grup, w których jest użytkownik.
      Dodatkowo wszystko stoi nie w chmurze a na serwerze wewnątrz sieci firmy.

      Odpowiedz

Odpowiedz