Upozorenje: Ako ste koristili LastPass...
Ako ste koristili LastPass password manager za svoje potrebe, preporučam da poduzmete neke korake kako ne bi bilo kasnije "zašto nisam...".
Prvo za one koji nisu upoznati, LastPassu je prije nekih mjesec dana hacknuta baza i pokradene su razne informacije o korisnicima, vaši mailovi, osobni podaci, itd. Ono najbitnije, password vaultovi su također pokradeni. Međutim...prema njihovim riječima, ti vaultovi su enkriptirani i mogu se otključati jedino pomoću vaše Master šifre (koju ste postavili tokom instalacije LastPass-a). Međutim(2), zlu ne trebalo, bolje poduzeti neke korake svejedno. Nikada ne znate hoće li se oni na ovaj ili onaj način jednog dana domoći vaše Master šifre, bilo pomoću phishinga ili nečeg trećeg, a onda je gotovo. Stoga, preporučam da pretpostavite da vam je sve šta ste imali u Lastpass-u sada otkriveno. Svoje osobne podatke (ime, prezime, adresa, email adresa, itd.) nažalost više ne možete spasiti, ti podaci nisu bili enkriptirani i javno su dostupni hackerima, ali možete i trebali biste napraviti sljedeće:
Imajte na umu da sada hackeri znaju vaše osobne podatke, znači ime, prezime, adresu, email adresu, itd. pa očekujte da će vas pokušati phishati u narednim mjesecima/godinama, preko emaila ili drugačije (pozivi sa stranih brojeva ili s naših brojeva, ali priča stranac - to su opet scammeri jer kupe temporary HR broj mobitela, tako da žrtva pomisli da netko iz HR zove, a on je pitaj boga gdje). I generalno pravilo, ne žurite klikat na linkove. Uvijek mišem prvo stanite preko linka i pogledajte kamo vodi. Ako niste ni tada sigurni, kopirajte link i analizirajte ga preko free online phishing scannera i tome slično. Također pripazite na emailove od "burzi" koji izgledaju isto kao da su došli od prave burze, ali su zapravo od scammera. Dakle zaglavlje, konstrukcija, font, boje...sve izgleda isto kao od burze, ali nije (primjerice od "Huobi" dobivam gro takvih lažnih mailova). Ostali primjeri lažnih mailova su od "Metamaska", "Opensea", itd. Korisno pročitati: - https://cryptopotato.com/using-lastp...st-act-quickly - https://twitter.com/Cryptopathic/sta...16137771782151 - https://twitter.com/woonomic/status/1606709139538907137 Repozitorij vodiča kroz crypto i online sigurnost: - https://github.com/OffcierCia/Crypto...fGuard-RoadMap Sretno :beer: |
Sve stoji, dobro si to opisao. Dodao bih samo, kad se vec prelazi na Bitwarden, ne bi bilo lose preci i na bolje open source rjesenje za 2FA - Aegis.
Authy ce vas samo uvuci u svoj cloud i opet je sranje ako nesto iscuri. Aegis ima jednu dosta zeznutu i dobru stvar koju drugi nemaju (treba je koristiti mudro!) - export i import svih 2FA accounta, npr za svrhe backupa ili seljenja podataka na drugi telefon. Ako radite backup, neka to bude kriptirani backup. |
LastPass nažalost iza sebe ima više od desetljeća kojekakvih sigurnosnih propusta, a ovi posljednji unatrag godinu-dvije su jednostavno prelili čašu.
IMHO vodite se za time da je sve što je ikad bilo pohranjeno u LastPassu, na ovaj ili onaj način kompromitirano i dostupno onima koji su u mogućnosti biti u posjedu tog materijala. U nastavku je samo mali dio puno veće teme ... Citiraj:
|
Citiraj:
Koliko vidim, jedina prednost nad Authy je da backup radi lokalno, ne u cloud, pa je manja vjerojatnost da će ga netko pokušati ukrasti. Iako u oba slučaja su backupi enkriptirani. Citiraj:
Posebno zabrinjavajuće je ovo da su Master šifre kompromitirane, iako poznavajući ljude, čisto sumnjam da jesu. Prije će biti da je nekome popalilo Master šifru nekako, a da nije ni znao (keylogger?), pa sad optužuje LastPass... |
Sve je moguće, a LastPassu nije za vjerovati kak god se okrene.
Video u nastavku je čisto informativne prirode.:) LastPass materijal će za današnji hardver biti čas posla. |
Meni osobno se čini da koji god pass manager je zapravo najgore riješenje, ali to sam ja.
Čine mi se kao idealne mete i win-win za IT delikvente. ;) Ja to sve oldskul spremam. |
Citiraj:
Ne znam jel koriste iste algoritme, ali ako jesu, zar ne bi onda trebalo biti isto i Bitwardenu? Citiraj:
|
Kod mene je sve spremljeno na local tj komp i ne drzim na cloudu. Doduse koristim sticky password i po mojoj logici kad je local save da ne moze se doci do datoteke. Isao provjerit i pod cloud save nema nicega.
Od podataka samo mail se koristi na sticky. |
Citiraj:
I sad za LastPass imaju hrpu osobnih podataka koje budu brže-bolje iskoristili za social engineering + phishing, tj. točno ono na kaj si upozoril u prvom postu, tak da sve te master lozinke baš i nemaju neko uporište kad je LastPass u pitanju. Budemo vidjeli daljnji razvoj situacije, ali nažalost LastPass se dugi niz godina ciganil, a sad kad je sve totalno udarilo u zid - prekasno je za bilo kakva uvjeravanja da su korisničke lozinke sigurne. |
Dobar podsjetnik, ne koristim to već odavno ali imao sam hrpu nečeg uglavnom nebitnog gore. Bolje spriječiti nego liječiti.
Opcija za brisanje se nalazi pod "My account", možda nekome uštedi par minuta vremena: https://i.imgur.com/TENzYmD.png |
|
ja u notepadu 😏
Sent from my M2012K11AG using Tapatalk |
KeePass je dobra free alternativa (koristim privatno), RoboForm koristimo na poslu plaća se ali je stvarno bez zamjerke i dosad bez sigurnosnih propusta.
|
Citiraj:
|
Citiraj:
|
Znači mogu uzet u obzir Keepass i Aegis.
Ima li i jedan od njih mogućnost automatskog popunjavanja login podataka na Androidu? |
KeePassDX nudi auto-fill opciju, pa provjeri da li ti tak nekaj odgovara.:)
|
Aegis je samo 2FA generator, nema autofill
|
Citiraj:
|
Hvala ekipa
Morat ću se tim zabavit jer imam dosta podataka u Lastpassu (nažalost) |
Keepass baza na bitlocker zakljucanom USB sticku (prastari Kingston 16GB koji nikak da krepa). Jednostavno i sigurno. :chears:
|
Uz neki backup ili se uzdas u Kingstona do kraja? :)
Kod mene je Bitwarden u dockeru, njegov i Aegisov backup su u svom folderu na NAS-u sve skupa backupirano na Backblaze. Kriptirani su backup fajlovi Bitwardena i Aegisa, folder na NAS-u i backup prema cloudu. |
KeePass baza na OneDrive-u. Koristim to tak godinama, synca mi se između kompova i iPhone-a (na iPhoneu koristim KeePassium) i radi ko ura
|
Citiraj:
Znaš kako oni krepaju? Bez upozorenja, samo ga jedan dan uštekaš i ništa se ne pojavi 🤷🏻 Napravi si barem još jednu kopiju na drugom sticku... |
Citiraj:
na poslu koristimo 1Password7 i zadovoljan sam kako lijepo radi (ljepse radi na Mac-u nego PC-u). USB stickovi za backup raznih stvari su posebni - https://istorage-uk.com/product/datashur-pro2/ Darktrace u mrezi i PA kao firewall. cyber security postaje prava krava muzara :goood: |
Citiraj:
Naravno da postoji backup - jedan lokalno - jedan na drugom kompu u VZ :lol2: |
Citiraj:
|
KeePassXC malo kenjka kod autfilla, ali u pravilu radi dovoljno dobro, a naročito u kontekstu toga što se dobije zauzvart.
|
Kod mene je baza na Google drive-u, pod Winsima i Androidom radi super, nedavno sam isprobao Ubuntu 22.04 i tu je bilo nekih problema ( mada to nema veze sa samim KeePass-om ). Solidan je i KeeWeb, ima dobar browser addon za auto fill a mogća je integracija i sa Next Cloudom.
|
KeePassXC ima integraciju sa ssh agentom. to me kupilo.
prekrasno radi na linux i win. mac nisam probao. keepassdx na androidu. https://keepassxc.org/docs/#faq-ssh-agent-how Za ubuntu i ostale gdje su agenti za cloud servise malo problematični preporučam https://rclone.org/ Jednostavno za skonfati, lako skriptati, a imaju i web gui u beti |
Sva vremena su GMT +2. Sada je 10:30. |
Powered by vBulletin®
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
© 1999-2023 PC Ekspert - Sva prava pridržana ISSN 1334-2940
Ad Management by RedTyger