|
Upozorenje: Ako ste koristili LastPass...
Ako ste koristili LastPass password manager za svoje potrebe, preporučam da poduzmete neke korake kako ne bi bilo kasnije "zašto nisam...".
Prvo za one koji nisu upoznati, LastPassu je prije nekih mjesec dana hacknuta baza i pokradene su razne informacije o korisnicima, vaši mailovi, osobni podaci, itd. Ono najbitnije, password vaultovi su također pokradeni. Međutim...prema njihovim riječima, ti vaultovi su enkriptirani i mogu se otključati jedino pomoću vaše Master šifre (koju ste postavili tokom instalacije LastPass-a). Međutim(2), zlu ne trebalo, bolje poduzeti neke korake svejedno. Nikada ne znate hoće li se oni na ovaj ili onaj način jednog dana domoći vaše Master šifre, bilo pomoću phishinga ili nečeg trećeg, a onda je gotovo. Stoga, preporučam da pretpostavite da vam je sve šta ste imali u Lastpass-u sada otkriveno. Svoje osobne podatke (ime, prezime, adresa, email adresa, itd.) nažalost više ne možete spasiti, ti podaci nisu bili enkriptirani i javno su dostupni hackerima, ali možete i trebali biste napraviti sljedeće:
Imajte na umu da sada hackeri znaju vaše osobne podatke, znači ime, prezime, adresu, email adresu, itd. pa očekujte da će vas pokušati phishati u narednim mjesecima/godinama, preko emaila ili drugačije (pozivi sa stranih brojeva ili s naših brojeva, ali priča stranac - to su opet scammeri jer kupe temporary HR broj mobitela, tako da žrtva pomisli da netko iz HR zove, a on je pitaj boga gdje). I generalno pravilo, ne žurite klikat na linkove. Uvijek mišem prvo stanite preko linka i pogledajte kamo vodi. Ako niste ni tada sigurni, kopirajte link i analizirajte ga preko free online phishing scannera i tome slično. Također pripazite na emailove od "burzi" koji izgledaju isto kao da su došli od prave burze, ali su zapravo od scammera. Dakle zaglavlje, konstrukcija, font, boje...sve izgleda isto kao od burze, ali nije (primjerice od "Huobi" dobivam gro takvih lažnih mailova). Ostali primjeri lažnih mailova su od "Metamaska", "Opensea", itd. Korisno pročitati: - https://cryptopotato.com/using-lastp...st-act-quickly - https://twitter.com/Cryptopathic/sta...16137771782151 - https://twitter.com/woonomic/status/1606709139538907137 Repozitorij vodiča kroz crypto i online sigurnost: - https://github.com/OffcierCia/Crypto...fGuard-RoadMap Sretno :beer: |
Sve stoji, dobro si to opisao. Dodao bih samo, kad se vec prelazi na Bitwarden, ne bi bilo lose preci i na bolje open source rjesenje za 2FA - Aegis.
Authy ce vas samo uvuci u svoj cloud i opet je sranje ako nesto iscuri. Aegis ima jednu dosta zeznutu i dobru stvar koju drugi nemaju (treba je koristiti mudro!) - export i import svih 2FA accounta, npr za svrhe backupa ili seljenja podataka na drugi telefon. Ako radite backup, neka to bude kriptirani backup. |
LastPass nažalost iza sebe ima više od desetljeća kojekakvih sigurnosnih propusta, a ovi posljednji unatrag godinu-dvije su jednostavno prelili čašu.
IMHO vodite se za time da je sve što je ikad bilo pohranjeno u LastPassu, na ovaj ili onaj način kompromitirano i dostupno onima koji su u mogućnosti biti u posjedu tog materijala. U nastavku je samo mali dio puno veće teme ... Citiraj:
|
Citiraj:
Koliko vidim, jedina prednost nad Authy je da backup radi lokalno, ne u cloud, pa je manja vjerojatnost da će ga netko pokušati ukrasti. Iako u oba slučaja su backupi enkriptirani. Citiraj:
Posebno zabrinjavajuće je ovo da su Master šifre kompromitirane, iako poznavajući ljude, čisto sumnjam da jesu. Prije će biti da je nekome popalilo Master šifru nekako, a da nije ni znao (keylogger?), pa sad optužuje LastPass... |
Sve je moguće, a LastPassu nije za vjerovati kak god se okrene.
Video u nastavku je čisto informativne prirode.:) LastPass materijal će za današnji hardver biti čas posla. |
Meni osobno se čini da koji god pass manager je zapravo najgore riješenje, ali to sam ja.
Čine mi se kao idealne mete i win-win za IT delikvente. ;) Ja to sve oldskul spremam. |
Citiraj:
Ne znam jel koriste iste algoritme, ali ako jesu, zar ne bi onda trebalo biti isto i Bitwardenu? Citiraj:
|
Kod mene je sve spremljeno na local tj komp i ne drzim na cloudu. Doduse koristim sticky password i po mojoj logici kad je local save da ne moze se doci do datoteke. Isao provjerit i pod cloud save nema nicega.
Od podataka samo mail se koristi na sticky. |
Citiraj:
I sad za LastPass imaju hrpu osobnih podataka koje budu brže-bolje iskoristili za social engineering + phishing, tj. točno ono na kaj si upozoril u prvom postu, tak da sve te master lozinke baš i nemaju neko uporište kad je LastPass u pitanju. Budemo vidjeli daljnji razvoj situacije, ali nažalost LastPass se dugi niz godina ciganil, a sad kad je sve totalno udarilo u zid - prekasno je za bilo kakva uvjeravanja da su korisničke lozinke sigurne. |
Dobar podsjetnik, ne koristim to već odavno ali imao sam hrpu nečeg uglavnom nebitnog gore. Bolje spriječiti nego liječiti.
Opcija za brisanje se nalazi pod "My account", možda nekome uštedi par minuta vremena: https://i.imgur.com/TENzYmD.png |
|
ja u notepadu 😏
Sent from my M2012K11AG using Tapatalk |
KeePass je dobra free alternativa (koristim privatno), RoboForm koristimo na poslu plaća se ali je stvarno bez zamjerke i dosad bez sigurnosnih propusta.
|
Citiraj:
|
Citiraj:
|
Znači mogu uzet u obzir Keepass i Aegis.
Ima li i jedan od njih mogućnost automatskog popunjavanja login podataka na Androidu? |
KeePassDX nudi auto-fill opciju, pa provjeri da li ti tak nekaj odgovara.:)
|
Aegis je samo 2FA generator, nema autofill
|
Citiraj:
|
Hvala ekipa
Morat ću se tim zabavit jer imam dosta podataka u Lastpassu (nažalost) |
Keepass baza na bitlocker zakljucanom USB sticku (prastari Kingston 16GB koji nikak da krepa). Jednostavno i sigurno. :chears:
|
Uz neki backup ili se uzdas u Kingstona do kraja? :)
Kod mene je Bitwarden u dockeru, njegov i Aegisov backup su u svom folderu na NAS-u sve skupa backupirano na Backblaze. Kriptirani su backup fajlovi Bitwardena i Aegisa, folder na NAS-u i backup prema cloudu. |
KeePass baza na OneDrive-u. Koristim to tak godinama, synca mi se između kompova i iPhone-a (na iPhoneu koristim KeePassium) i radi ko ura
|
Citiraj:
Znaš kako oni krepaju? Bez upozorenja, samo ga jedan dan uštekaš i ništa se ne pojavi 🤷🏻 Napravi si barem još jednu kopiju na drugom sticku... |
Citiraj:
na poslu koristimo 1Password7 i zadovoljan sam kako lijepo radi (ljepse radi na Mac-u nego PC-u). USB stickovi za backup raznih stvari su posebni - https://istorage-uk.com/product/datashur-pro2/ Darktrace u mrezi i PA kao firewall. cyber security postaje prava krava muzara :goood: |
Citiraj:
Naravno da postoji backup - jedan lokalno - jedan na drugom kompu u VZ :lol2: |
Citiraj:
|
KeePassXC malo kenjka kod autfilla, ali u pravilu radi dovoljno dobro, a naročito u kontekstu toga što se dobije zauzvart.
|
Kod mene je baza na Google drive-u, pod Winsima i Androidom radi super, nedavno sam isprobao Ubuntu 22.04 i tu je bilo nekih problema ( mada to nema veze sa samim KeePass-om ). Solidan je i KeeWeb, ima dobar browser addon za auto fill a mogća je integracija i sa Next Cloudom.
|
KeePassXC ima integraciju sa ssh agentom. to me kupilo.
prekrasno radi na linux i win. mac nisam probao. keepassdx na androidu. https://keepassxc.org/docs/#faq-ssh-agent-how Za ubuntu i ostale gdje su agenti za cloud servise malo problematični preporučam https://rclone.org/ Jednostavno za skonfati, lako skriptati, a imaju i web gui u beti |
|
Da, firma se na ovaj način cigani skoro deset godina, a sad kaj je sve izašlo na vidjelo, zajedno s osobnim (korisničkim) podacima, kombinacija LastPass nesposobnosti i hakiranog materijala, bude prouzročila popriličnu štetu.
|
E sad pravo pitanje što će biti sa podacima ako korisnik samovoljno obriše svoj account?
|
KeePass + Yubikey OTP master pass ftw
|
Citiraj:
Citiraj:
Obzirom da su LastPass podaci kompletno pokradeni, oni koji su ih pokupili, neovisno o korisničkom brisanju LastPass profila i dalje imaju sve, samo malo starijeg datuma.:) |
U biti dalje zadržavaju podatke od izbrisanog korisnika.
|
neznam kak je ovo zavrsilo u topicu kriptovalute. Mislim kuzim ako se igramo s kriptovalutama, ali svatko tko drzi svotu do koje mu je stalo ne koristi ovakve aplikacije.
Lastpass sam koristio kada sam kupio share services, pa smo onda se svi preko tog last passworda prijavljivali u to, to je jedina svrha ovoga. Od spomenutih sam koristio RoboForm ali prije kakvih 20 godina, ubrzo sam zakljucio cisto logicki, gdje se to nalaze moji paswordi, a nisam u ono doba imao nista bitno. Phishaju me svaki dan vec 30 godina, i svaki put kad vidim da je nesto zanimljivo pogledam. I misljenja sam bio da su ljudi koji nagrabuse na phishing sami krivi, vecinom jesu, ali ima toliko sofisticiranih phishinga da je stvarno da ako nisi 100% skoncentriran nagrabusis. Sada ce ovi sigurno to radit i bit ce svasta, a lastpass kao kompanija mora za ovo odgovarat tako da ode u stecaj i ljudi koji su osteceni dobe odstetu, pa onda sljedecoj kompaniji koja bude nudila ovakve usluge ne padne na pamet da im se ovo dogodi. NO vjerujem da je negdje u terms of use s malim slovima napisano da oni nisu za nista odgovorni tak da... |
Taman da svima isplate ne znam koje cifre kao odštetu, a neće, to i dalje ne mijenja činjenicu da su korisnički podaci u opticaju kod tko zna kakvih sve mušterija.
Koliko je velikih kripto muljaža bilo samo ove godine, pa na kraju najviše ispaštaju oni koji su vjerovali u "projekt" i da su njihovi nofci na sigurnom kod neke online mjenačnice. LastPass je samo još jedan u nizu primjera vremena u kojem živimo, a podaci koji se spremaju u nečiji cloud/vault, pogotovo na ovaj način kak je to LastPass radil, su sve samo ne sigurni. |
Citiraj:
https://i.ibb.co/PhPg1dF/Last-Pass-account-deleted.png |
Da, moguće da je (tvoj) profil stvarno kompletno obrisan, tj. da ovo nije samo generički mail koji šalju, ali obzirom kaj sve ih je snašlo - nažalost ništa nije sigurno.
|
| Sva vremena su GMT +2. Sada je 08:44. |
Powered by vBulletin®
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 1999-2024 PC Ekspert - Sva prava pridržana ISSN 1334-2940
Ad Management by RedTyger