Upozorenje: Ako ste koristili LastPass...

[Neo-ST]

Ako ste koristili LastPass password manager za svoje potrebe, preporučam da poduzmete neke korake kako ne bi bilo kasnije "zašto nisam...".

Prvo za one koji nisu upoznati, LastPassu je prije nekih mjesec dana hacknuta baza i pokradene su razne informacije o korisnicima, vaši mailovi, osobni podaci, itd.

Ono najbitnije, password vaultovi su također pokradeni. Međutim...prema njihovim riječima, ti vaultovi su enkriptirani i mogu se otključati jedino pomoću vaše Master šifre (koju ste postavili tokom instalacije LastPass-a).

Međutim(2), zlu ne trebalo, bolje poduzeti neke korake svejedno.
Nikada ne znate hoće li se oni na ovaj ili onaj način jednog dana domoći vaše Master šifre, bilo pomoću phishinga ili nečeg trećeg, a onda je gotovo.

Stoga, preporučam da pretpostavite da vam je sve šta ste imali u Lastpass-u sada otkriveno.

Svoje osobne podatke (ime, prezime, adresa, email adresa, itd.) nažalost više ne možete spasiti, ti podaci nisu bili enkriptirani i javno su dostupni hackerima, ali možete i trebali biste napraviti sljedeće:

1. Exportirajte svoju LastPass bazu. Nađite tamo u opcijama, export, i snimit će vam xy.csv fajl negdje - tu se nalazi sve šta vam je Lastpass pamtio.
   
2. Deletajte svoj Lastpass account, nađite tu opciju. Nisu zaslužili da ostanete njihov korisnik.
   
3. Mnogi ovdje preporučaju kao zamjenu Bitwarden. Ja sam ga također instalirao, te uzeo i Premium jer smatram da to šta nudi vrijedi te pare (samo $10 godišnje).
   
4. Prilikom kreiranja Bitwarden accounta, koristite šifru koju nikada do sada niste koristili. Zapišite je negdje offline, na komad papira, ugravirajte, bilo šta...stavite u sef ili negdje. To vam je nova master šifra i najbitnija od svih.
   
5. U Bitwarden importajte .csv fajl iz Lastpassa
   
6. Izmijenite svoju Google šifru, te i nju zapišite offline + u Bitwarden. Također aktivirajte 2FA.
   
7. Ako za 2FA koristite programe poput Authy, promijenite i šifru u njemu. Zapišite i nju offline + u Bitwarden. Ako koristite Google Authentificator, preporučam da ga zamijenite za Authy (imajte na umu da ćete u tom slučaju trebati sve 2FA-ove prvo isključiti, pa postaviti nove preko Authy-ja).
   
8. Krenite mijenjati sve ostale šifre za sajtove koji su vam bitni, tipa burze i slično. Osobno za njih koristim Bitwarden koji mi generira sigurnu šifru sa velikim i malim slovima, brojkama, specijalnim znakovima, itd. Te šifre ne pišem ni ne pamtim, već ostaju u Bitwardenu.
   Ovaj process je pain in the ass, pogotovo ako imate na stotine snimljenih šifri za razne sajtove, i ne može se automatizirati. Nažalost morate svakom sajtu manualno promijeniti šifru i potom je editirati u Bitwardenu.
   
9. Ako ste imali debitne/kreditne kartice u Lastpassu, preporučam da si naručite nove.

Imajte na umu da sada hackeri znaju vaše osobne podatke, znači ime, prezime, adresu, email adresu, itd. pa očekujte da će vas pokušati phishati u narednim mjesecima/godinama, preko emaila ili drugačije (pozivi sa stranih brojeva ili s naših brojeva, ali priča stranac - to su opet scammeri jer kupe temporary HR broj mobitela, tako da žrtva pomisli da netko iz HR zove, a on je pitaj boga gdje).

I generalno pravilo, ne žurite klikat na linkove. Uvijek mišem prvo stanite preko linka i pogledajte kamo vodi. Ako niste ni tada sigurni, kopirajte link i analizirajte ga preko free online phishing scannera i tome slično.

Također pripazite na emailove od "burzi" koji izgledaju isto kao da su došli od prave burze, ali su zapravo od scammera. Dakle zaglavlje, konstrukcija, font, boje...sve izgleda isto kao od burze, ali nije (primjerice od "Huobi" dobivam gro takvih lažnih mailova).
Ostali primjeri lažnih mailova su od "Metamaska", "Opensea", itd.


Korisno pročitati:

- https://cryptopotato.com/using-lastp...st-act-quickly

- https://twitter.com/Cryptopathic/sta...16137771782151

- https://twitter.com/woonomic/status/1606709139538907137


Repozitorij vodiča kroz crypto i online sigurnost:

- https://github.com/OffcierCia/Crypto...fGuard-RoadMap


Sretno

[xlr]

Sve stoji, dobro si to opisao. Dodao bih samo, kad se vec prelazi na Bitwarden, ne bi bilo lose preci i na bolje open source rjesenje za 2FA - Aegis.

Authy ce vas samo uvuci u svoj cloud i opet je sranje ako nesto iscuri.

Aegis ima jednu dosta zeznutu i dobru stvar koju drugi nemaju (treba je koristiti mudro!) - export i import svih 2FA accounta, npr za svrhe backupa ili seljenja podataka na drugi telefon. Ako radite backup, neka to bude kriptirani backup.

[The Exiled]

LastPass nažalost iza sebe ima više od desetljeća kojekakvih sigurnosnih propusta, a ovi posljednji unatrag godinu-dvije su jednostavno prelili čašu.

IMHO vodite se za time da je sve što je ikad bilo pohranjeno u LastPassu, na ovaj ili onaj način kompromitirano i dostupno onima koji su u mogućnosti biti u posjedu tog materijala.

U nastavku je samo mali dio puno veće teme ...

Citiraj:

• Security researcher has recommended against using the LastPass password manager Android app after noting seven embedded trackers
  
  
• LastPass does collect some personal information, and may share it with partners and law enforcement
  
  
• LastPass does not encrypt everything in your Vault
  
  
• LastPass users warned their master passwords are compromised

[Neo-ST]

Citiraj:

Autor xlr

Sve stoji, dobro si to opisao. Dodao bih samo, kad se vec prelazi na Bitwarden, ne bi bilo lose preci i na bolje open source rjesenje za 2FA - Aegis.

Authy ce vas samo uvuci u svoj cloud i opet je sranje ako nesto iscuri.

Aegis ima jednu dosta zeznutu i dobru stvar koju drugi nemaju (treba je koristiti mudro!) - export i import svih 2FA accounta, npr za svrhe backupa ili seljenja podataka na drugi telefon. Ako radite backup, neka to bude kriptirani backup.

Zanimljivo, nisam znao za Aegis.
Koliko vidim, jedina prednost nad Authy je da backup radi lokalno, ne u cloud, pa je manja vjerojatnost da će ga netko pokušati ukrasti. Iako u oba slučaja su backupi enkriptirani.

Citiraj:

Autor The Exiled

LastPass nažalost iza sebe ima više od desetljeća kojekakvih sigurnosnih propusta, a ovi posljednji unatrag godinu-dvije su jednostavno prelili čašu.

IMHO vodite se za time da je sve što je ikad bilo pohranjeno u LastPassu, na ovaj ili onaj način kompromitirano i dostupno onima koji su u mogućnosti biti u posjedu tog materijala.

U nastavku je samo mali dio puno veće teme ...

LastPass mi je zagorčao život i dao sate i sate posla bezveze.
Posebno zabrinjavajuće je ovo da su Master šifre kompromitirane, iako poznavajući ljude, čisto sumnjam da jesu. Prije će biti da je nekome popalilo Master šifru nekako, a da nije ni znao (keylogger?), pa sad optužuje LastPass...

[The Exiled]

Sve je moguće, a LastPassu nije za vjerovati kak god se okrene.

Video u nastavku je čisto informativne prirode.

LastPass materijal će za današnji hardver biti čas posla.

[Disco]

Meni osobno se čini da koji god pass manager je zapravo najgore riješenje, ali to sam ja.
Čine mi se kao idealne mete i win-win za IT delikvente.
Ja to sve oldskul spremam.

[Neo-ST]

Citiraj:

Autor The Exiled

LastPass materijal će za današnji hardver biti čas posla.

Ne znam jel koriste iste algoritme, ali ako jesu, zar ne bi onda trebalo biti isto i Bitwardenu?

Citiraj:

Autor Disco

Meni osobno se čini da koji god pass manager je zapravo najgore riješenje, ali to sam ja.
Čine mi se kao idealne mete i win-win za IT delikvente.
Ja to sve oldskul spremam.

Jbga, zato je tu tehnologija enkripcije koja bi te trebala utješiti znajući da čak i ako ukradu tvoje passworde, ne mogu ih dekriptirati bez tvoje master šifre...

[axo]

Kod mene je sve spremljeno na local tj komp i ne drzim na cloudu. Doduse koristim sticky password i po mojoj logici kad je local save da ne moze se doci do datoteke. Isao provjerit i pod cloud save nema nicega.
Od podataka samo mail se koristi na sticky.

[The Exiled]

Citiraj:

Autor Neo-ST

Ne znam jel koriste iste algoritme, ali ako jesu, zar ne bi onda trebalo biti isto i Bitwardenu?

To je ono kaj smo već pričali u temi za password manager, za BitWarden se točno zna kaj i na koji način koriste, obzirom da je open-source, dok je LastPass na foru - vjerujte nam, dok nas uredno hakiraju, mi vam lažemo da je sve OK.

I sad za LastPass imaju hrpu osobnih podataka koje budu brže-bolje iskoristili za social engineering + phishing, tj. točno ono na kaj si upozoril u prvom postu, tak da sve te master lozinke baš i nemaju neko uporište kad je LastPass u pitanju.

Budemo vidjeli daljnji razvoj situacije, ali nažalost LastPass se dugi niz godina ciganil, a sad kad je sve totalno udarilo u zid - prekasno je za bilo kakva uvjeravanja da su korisničke lozinke sigurne.

[mkey]

Dobar podsjetnik, ne koristim to već odavno ali imao sam hrpu nečeg uglavnom nebitnog gore. Bolje spriječiti nego liječiti.

Opcija za brisanje se nalazi pod "My account", možda nekome uštedi par minuta vremena:
https://i.imgur.com/TENzYmD.png

[Neo-ST]

[Tajl3r]

ja u notepadu 😏

Sent from my M2012K11AG using Tapatalk

[6Finger]

KeePass je dobra free alternativa (koristim privatno), RoboForm koristimo na poslu plaća se ali je stvarno bez zamjerke i dosad bez sigurnosnih propusta.

[axo]

Citiraj:

Autor 6Finger

KeePass je dobra free alternativa (koristim privatno), RoboForm koristimo na poslu plaća se ali je stvarno bez zamjerke i dosad bez sigurnosnih propusta.

KeePass odlican.