Адрес для входа в РФ: exler.wiki
А вы пользуетесь LastPass?
29.12.2021 20:33
13883
Комментарии (98)
А то тут новости по поводу LastPass приходят несколько тревожные.
Что-то интересное уже пару дней происходит с облачным менеджером паролей Lastpass. Пользователи жалуются на форумах (например, Hacker News), что кто-то заходит или пытается зайти в их аккаунты с бразильских IP-адресов с правильными паролями.
Lastpass прокомментировал, что это credential stuffing, в смысле атакующие берут пары имейл-пароль из известных утечек и пытаются логиниться ими в аккаунты Lastpass, и иногда успешно. Если это правда, то это чистое безумие. То есть живет себе пользователь и пользуется одним и тем же паролем везде. Ему говорят, переходи на менеджер паролей а то безопасность. И он такой, ага, отлично, и ставит свой старый пароль от всех аккаунтов еще и мастер-паролем от облачного менеджера паролей.
Правда, одновременно с этим исследователи, которые сейчас ковыряют логи малвари Redline Stealer, ворующей пароли из браузеров, говорят, что в этих логах - тысячи паролей от Lastpass. Совпадение?)))
https://news.ycombinator.com/item?id=29705957
https://twitter.com/MayhemDayOne/status/1475897344537374722
Я LastPass никогда не пользовался: пробовал, мне он не понравился. Я пользуюсь RoboForm. Да, он платный, я ему плачу какие-то очень небольшие деньги за год, но его работой вполне доволен, тем более что менеджер продолжает развиваться. И я там совершенно на автомате для каждого нового логина генерирую устойчивый пароль минимум в 16 символов и в самом же Roboform сохраняю. Одинаковые пароли у меня не используются нигде. (Когда-то давно, лет двадцать назад, была у меня такая порочная практика, но я себя от нее быстро отучил.) И так как RoboForm, разумеется, имеет версии для смартфонов, причем они тоже неплохо развиваются, никаких проблем такой подход не создает.
Также, разумеется, везде, где хранится хоть что-то более или менее конфиденциальное, обязательно устанавливается двойная аутентификация.
Войдите, чтобы оставить комментарий.
Я не знаю, как организовано хранение у Roboform, но подозреваю, что разница с LastPass будет не очень большая.
Поэтому, лично я не пользуюсь ни одной облочной системой хранения паролей.
Поэтому, лично я не пользуюсь ни одной облочной системой хранения паролей.
облочной
===
Если бы речь шла о Keychain Access, то эту систему хранения паролей можно было бы, по идее, назвать "облочной" (облако+яблоко). 😄
Вот чего я не понимаю - это генерировать случайные пароли для сервисов и отдавать их на хранение куда-то. Может с одноразовыми сервисами такое и прокатит, куда больше не вернёшься, а вот от того, что используешь регулярно, пароль должен быть в голове.
У меня пароли такого вида RH5+BVu1Mes4Rq"NQmk^
Я не могу такое запомнить. ?
Я не могу такое запомнить. ?
Запомнить всё можно. В том числе и длинные пароли.
Если пароли вида Cjhjr+Nsczx+F,bpzy вам не нравятся, то разбивайте ваши пароли на части да запоминайте частями.
У меня есть пароли 16 символов - я их помню как 8+8.
Но, само собой, я не придумываю на каждый сервис индивидуальный пароль. Есть несколько степеней важности и несколько паролей. Индивидуальные сложные - только у жизненно важных сервисов, типа почты, банков. Плюс авторизация по смс.
Всякие одноразовые сервисы получают общий пароль вида "пароль", постоянные, но не слишком важные - типа форумов и соцсетей - пароль посложнее, но тоже общий. К примеру, я ничего не потеряю, если кто-то уведёт мой фэйсбук или вконтакт. Нахрена мне там иметь сложный пароль? Гораздо хуже, когда я не могу войти в сервис, потому что пароль не знаю.
Если пароли вида Cjhjr+Nsczx+F,bpzy вам не нравятся, то разбивайте ваши пароли на части да запоминайте частями.
У меня есть пароли 16 символов - я их помню как 8+8.
Но, само собой, я не придумываю на каждый сервис индивидуальный пароль. Есть несколько степеней важности и несколько паролей. Индивидуальные сложные - только у жизненно важных сервисов, типа почты, банков. Плюс авторизация по смс.
Всякие одноразовые сервисы получают общий пароль вида "пароль", постоянные, но не слишком важные - типа форумов и соцсетей - пароль посложнее, но тоже общий. К примеру, я ничего не потеряю, если кто-то уведёт мой фэйсбук или вконтакт. Нахрена мне там иметь сложный пароль? Гораздо хуже, когда я не могу войти в сервис, потому что пароль не знаю.
Понятно, спасибо!
К примеру, я ничего не потеряю, если кто-то уведёт мой фэйсбук или вконтакт.
А что мешает кому-то завести поддельный аккаунт и там от "моего" имени публиковать? Даже взламывать ничего не придётся.
RoboForm рекомендую всем. Уже лет десять на нем сижу. Все ок.
Пользуюсь LastPass несколько лет. Даже оплачиваю, так как установлен на нескольких устройствах. Удобно, но не с чем сравнить, ничем другим еще не пользовался )
Перешел с LastPass на Bitwarden где-то год назад. Работает лучше LastPass в большинстве случаев, для бесплатного сервиса так вообще отлично.
Плюсую неистово. В бесплатном варианте ограничения совсем уж необременительные - типа количества людей, с которыми можешь расшаривать пароли, отсутствие генерации TOTP (хранить ключи можешь как и раньше) и отсутствие возможности аттачить файлы (что изредка было бы полезно).
Отлично работает приложение на андроиде, стоит аддон в браузере, всё как часики.
При этом ничто не мешает развернуть сервер на своих мощностях - битварден опенсорсный.
Отлично работает приложение на андроиде, стоит аддон в браузере, всё как часики.
При этом ничто не мешает развернуть сервер на своих мощностях - битварден опенсорсный.
О, я тоже с LastPass на Bitwarden ушел. И да, с удивлением обнаружил, что он работает лучше (не идеально, конечно, особенно на смартфоне, но лучше).
У lastpass лет пять назад утащили базу и соль.
Надо отдать им должное, реакция была очень своевременная и адекватная. Пострадать, техникли, могли только пользователи с главным паролем типа "password1234567", "qwerty","sveta1987" etc
Надо отдать им должное, реакция была очень своевременная и адекватная. Пострадать, техникли, могли только пользователи с главным паролем типа "password1234567", "qwerty","sveta1987" etc
Я использую bitwarden с 2FA через yubico. То есть нужен физический доступ к физическому ключу. Работает на Windows, Mac OS, iPhone. В каждом девайсе свой физический ключ.
То есть вам, чтобы зайти на сайт, нужно к айфону подключать физический донгл?
Это ж ппц неудобно.
Это ж ппц неудобно.
Пользовался им лет 5, премиум. Видел, как эти куркули взвинтили цену в 4 раза, ввели кучу тормозов, и убили весь UX. Теперь перехожу на pass, git. Это же просто чудо какое-то. Все на открытых технологиях, полностью под твоим контролем, ровно то же самое, что умеет этот кривой ластпасс, только быстро и удобно.
У нас корпоративная авторизация через lastpass. Как-то пока не очень, bitwarden казался удобнее
Использую много лет SafeInCloud. Менеджер паролей с облачной синхронизацией (Google Диск, Dropbox, OneDrive и любые WebDAV-совместимые облака)
А вот скажем LastPass... Ну пусть он хороший. А может такое быть, что его кто-то потихоньку купит и прочитает все пароли? Например яндекс. Или например yahoo, который непонятно кому принадлежит и зачем нужен и у кого и так все течёт.
Только если в клиентскую часть засунуть бэкдор, который передает на сервер мастер-ключ. Это уже не "всё течет", это сознательные мошеннические действия со стороны компании. Причем откровенные - это не удастся выдать за разгильдяйство.
Удастся - насвзломали... Ну или сотрудник вчера уволен.
Удастся - насвзломали... Ну или сотрудник вчера уволен.
Пользуюсь LastPass с 2FA разумеется уже лет 5, все устраивает
После очередного забытого "надежного" мастер-пароля от Sticky плюнул и поставил себе Google Authenticator и двухфакторную аутентификацию везде, где это только можно было. После этого наступил полный дзен: получать смски не нужно, работает даже в самом глухом роуминге, пароли можно лепить элементарные и хоть везде одинаковые. Ну и отдельный привет товарищ майору, влезть по дубликату сим-карты не выйдет.
И не дай бог в этом глухом роуминге потерять телефон...
И от этого таблетка есть. MS authenticator делает бэкап себе в облако.
И не дай бог в этом глухом роуминге потерять телефон...
Потом долго и болезненно восстанавливал.
Юзаю ластпасс для личных целей, но на работе 1Password - корпоративная политика, понимаешь...
Гугл постоянно жалуется что у меня на 70 сайтах украдены пароли.
Но как же лень их менять)
Но как же лень их менять)
Гугл постоянно жалуется что у меня на 70 сайтах украдены пароли.
Слабак. У меня порядка 500+.
Снимаю шляпу!
Долго пользовался, года 3 назад удалил аккаунт. С тех пор Bitwarden, доволен.
Вот и я Roboform пользуюсь с 2005 года, и этот мастер пароль у меня никогда ни с чем не совпадает.
KeePass
Раньше пользовался Ластпасс. Мне нравилась прога, но неохота покупать, и так плачу за кучу подписок. Сейчас юзаю Битварден. Очень удобна синхронизация на всех устройствах, бесплатно.
Я именно что LastPass и пользуюсь уже лет 10. Причем, у меня платная версия, которая работает везде, и на мобильных устройствах.
Естественно, что давно стоит двойная аутентификация, и только 5 устройств (в смысле, или собственно устройства типа мобильного, или конкретный браузер) разрешены мной как безопасные, чтобы зайти с других - надо делать нелепые телодвижения. Сам пароль от LastPass у меня в принципе нигде не сохраняется. Я его помню и меняю раз в полгода. Длиной от 15..18 символов, естественно, там общеизвестных паттернов длиннее 5 символов нет.
Никаких предупреждений я не получал. Хотя, конечно, все предупреждения у меня включены, и это работает (когда приходилось заходить с временных браузеров).
В своих браузерах я храню пароли только от устройств с IP из RFC-1918, т.е., всякие мои домашние раутеры и пр. шушера, к которой вообще снаружи не доберешься. Да и то, не от всех...
Естественно, что давно стоит двойная аутентификация, и только 5 устройств (в смысле, или собственно устройства типа мобильного, или конкретный браузер) разрешены мной как безопасные, чтобы зайти с других - надо делать нелепые телодвижения. Сам пароль от LastPass у меня в принципе нигде не сохраняется. Я его помню и меняю раз в полгода. Длиной от 15..18 символов, естественно, там общеизвестных паттернов длиннее 5 символов нет.
Никаких предупреждений я не получал. Хотя, конечно, все предупреждения у меня включены, и это работает (когда приходилось заходить с временных браузеров).
В своих браузерах я храню пароли только от устройств с IP из RFC-1918, т.е., всякие мои домашние раутеры и пр. шушера, к которой вообще снаружи не доберешься. Да и то, не от всех...
Посмотреть, так куча самых важных паролей у людей.
Для меня их всего три - Гугл, банк и profil zaufany (типа госуслуги в Польше). Они уникальные, не связаны ни со мной, ни с важными датами, ни с семьёй. Их я знаю напамять.
А остальные - да и фиг с ними. Угонит кто-то учётку тут, например - о боже мой, что делать, как жить?)))
Для меня их всего три - Гугл, банк и profil zaufany (типа госуслуги в Польше). Они уникальные, не связаны ни со мной, ни с важными датами, ни с семьёй. Их я знаю напамять.
А остальные - да и фиг с ними. Угонит кто-то учётку тут, например - о боже мой, что делать, как жить?)))
Отношусь к этому немного раздолбайски. Менеджер хрома. Предпочитаю простые одинаковые пароли для ерундовых сайтов. Для прочего больше полагаюсь на двухфакторность, нежели на количество символов. Девайсы, которые контролирую сам - вообще без паролей, ключи.
Пользовался ластпассом некоторое количество лет. Про робоформ знал, пробовал, но он был заметно дороже. Понятно, что во многом лучше, но дороже, а разница для меня была не очень важна.
Несколько лет назад, когда ластпасс изменил тарифную политику, экспортировал пароли и ушел в робоформ. Возможно, следовало пароли все сменить, но несколько сот не в силах.
Несколько лет назад, когда ластпасс изменил тарифную политику, экспортировал пароли и ушел в робоформ. Возможно, следовало пароли все сменить, но несколько сот не в силах.
А чем Робоформ хранение лучше хранения паролей в Хроме?
Тем что хром это привязка к одному браузеру и что еще хуже одной корпорации, которая в любой момент может забанить ваш аккаунт. Сторонние менеджеры паролей это универсальное решение под любые браузеры/платформы, ну а офлайновые/selfhosted решения - защита от банов.
Базу хрома может открыть любой подготовленный троян
Прямо не спрашивая мастер пароль?
насколько помню, в хроме нет мастер-пароля. там лишь нужен вход от локальной учетки. этого достаточно, чтобы без особого труда посмотреть пароли, получив каким-либо способом привилегии
А я прям в хроме храню. И в хром логинюсь. Вот чтоб таких штук не было.
Чем плохо?
Чем плохо?
Забанит вас гугл (примеров много в интернете) и останетесь без паролей
Пароли хранятся на клиенте, ничего никуда не потеряется.
Если с основного аккуанта ничего не постать наверное не забанят.
И вообще если пропадут не так страшно по сравнению с тем, что стырят. Тем более, что вероятность все-таки маленькая.
И вообще если пропадут не так страшно по сравнению с тем, что стырят. Тем более, что вероятность все-таки маленькая.
Доступ к хранилищу всех хромов имеет локальный пользователь. Соответственно любой троян может запросить и расшифровать базу. Что-то из хромообразных для защиты паролей есть у Яндекс. Браузера, но честно, давно не слежу за этой темой
Вот чем:
www.anti-malware.ru
www.anti-malware.ru
Я пользуюсь 1password и вполне доволен, каждый сервис имеет отдельный пароль, на самых важных стоит двухфакторная аутентификация.
LastPass тестировал, не подошёл, даже не помню почему
LastPass тестировал, не подошёл, даже не помню почему
Я пользуюсь и абсолютно доволен. И пароли он генерирует и все делает. И версии для всего есть.
"И он такой, ага, отлично, и ставит свой старый пароль от всех аккаунтов еще и мастер-паролем от облачного менеджера паролей."
А вот это сам себе злобный Буратино. Это ж надо до такого додуматься - использовать потенциально скомпрометированный пароль как мастер-пароль!
"И он такой, ага, отлично, и ставит свой старый пароль от всех аккаунтов еще и мастер-паролем от облачного менеджера паролей."
А вот это сам себе злобный Буратино. Это ж надо до такого додуматься - использовать потенциально скомпрометированный пароль как мастер-пароль!
Я для семьи поднял свой инстанс bitwarden
Я пользуюсь RoboForm. Да, он платный
Можно поплакаться в техподдержку за деньги 😄
Sticky Password. Уже пять лет. Периодически меняю мастер-пароль.
Что бы войти в программу.
А вы пользуетесь LastPass?
Вполне себе довольствуюсь паролями, которые генерирует в автоматическом режиме iPhone.
Несколько лет назад ушел из онлайнового Lastpass на оффлайновый keepass(XC), вполне доволен. Хоть и чуть менее удобно чем онлайнсервисы.
В плане юзабилити ластпасс хорош. Но тоже недавно заставил себя переехать на Кипас. Добавил аддоны для браузера. На Андроиде тоже нормально работает. Все оказалось не так страшно, как лет 6-7 назад
А как процесс перехода с lastpass на keypass выглядит? Можно как то перенести все пароли?
Да, там есть экспорт базы в csv-файл.
Отличный повод провести инспекцию своих паролей, удалить дубли и кучу неактуального мусора. А в KeePass есть импорт из csv, нужно только колонки сопоставить. KeePassXC это довольно удобно позволяет делать.
Отличный повод провести инспекцию своих паролей, удалить дубли и кучу неактуального мусора. А в KeePass есть импорт из csv, нужно только колонки сопоставить. KeePassXC это довольно удобно позволяет делать.
Чем KeePassXC отличается от KeePass?
Ничем по сути.
Форк, который развивается параллельно.
Форк, который развивается параллельно.
Никогда о нём не слышал, пользовался старым кипасом. Посмотрел - выглядит очччень симпатично.
Он обратно совместим? Ну, чтобы базы скормить?
Он обратно совместим? Ну, чтобы базы скормить?
Да, оба они поддерживают одни и те же базы.
Я раньше использовал, вполне было удобно, потом легко всё экспортировал и перешел на Bitwarden, затем с некоторыми неудобствами на 1Password. Неудобства связаны были в основном с несколько иной логикой и интерфейсом 1пасса, в то время как lastpass и bitwarden, были похожи. Но сейчас ничего, привык.
Я чего-то не совсем понимаю причем тут ластпасс....
Та же фигня может быть и с roboform.
Суть новости в том, что пользователи сохраняют в менеджере паролей броузера мастер пароли от ластпасса.
И да, Ластпассом пользуюсь уже >10 лет, практики подобные тем, что использует Алекс - must have. В свое время пробовал roboform - не зашло (ластпасс для меня оказался удобнее)
Та же фигня может быть и с roboform.
Суть новости в том, что пользователи сохраняют в менеджере паролей броузера мастер пароли от ластпасса.
И да, Ластпассом пользуюсь уже >10 лет, практики подобные тем, что использует Алекс - must have. В свое время пробовал roboform - не зашло (ластпасс для меня оказался удобнее)
Тоже пользуюсь Ластпассом больше 10 лет, самый удобный для меня. К сожалению, недавно они стали требовать денег если больше одного девайса используешь (т.е. можно бесплатно использовать или на десктопе или на телефоне), но я его на телефоне и так не использовал, так что на меня это не повлияло.
Да, это правда. На телефоне на самом деле тоже было удобно, но в принципе допускаю покупку - семейная 40 с копейками евро в год на 6 человек. С одной стороны жалко конечно денег, но с другой ластпассом я в день по 100 раз пользуюсь....А вот guitar pro как купил 6 лет назад, так играть и не начал 😄
я храню на кипас, бесплатно
Да, отличный вариант. А уже его файл я через облако сихронизирую на всех устройствах.
Само собой что мастер-пароль очень сложный и не хранится нигде кроме как в голове.
Само собой что мастер-пароль очень сложный и не хранится нигде кроме как в голове.
Да, KeePass использую, но он очень неудобен в качестве кроссплатформенного облачного сервиса.
Потому что им не является.
Для облачной синхронизации у меня BitWarden, тоже бесплатный и пока (т-т-т) не дырявый.
Потому что им не является.
Для облачной синхронизации у меня BitWarden, тоже бесплатный и пока (т-т-т) не дырявый.
А я придумываю и записываю сложные пароли в блокнотик. Дублирую в еще один блокнотик, который лежит в другом месте. Так никакой вирус не доберется.
Не доверяю всяким там менеджерам.
Не доверяю всяким там менеджерам.
А я придумываю и записываю сложные пароли в блокнотик. Дублирую в еще один блокнотик, который лежит в другом месте.
Усложнение потребовалось, наверное, как и у большинства, с плавным вторжением в жизнь сервисов, использующих персональные данные - как-то госуслуги и подобное.
А так бы и не заморачивался. ?
Вообще не понимаю, как можно кому-то доверять хранить все свои пароли, пусть они хоть мамой клянутся что никуда не уйдёт
У ластпасса уйти чтото может только если пользователь идиот - вся база паролей шифруется мастер-паролем на клиентской стороне и уже в таком виде заливается на сервера. То есть если вы не провороните свой мастер-пароль, то даже если ластпасс взломают вы ничего не теряете.
Подозреваю, что все менеджеры паролей так делают. В противном случае я не завидую быть CTO такой конторы.
Все элементарно - взламывают сам ластпасс, выкладывают апдейт с бекдором, все его бодро скачивают и пороли утекли разом все.
Если вы не сами написали парольный менеджер - не стоит его использовать.
Если вы не сами написали парольный менеджер - не стоит его использовать.
Парольный менеджер - не та программа которую надо обновлять постоянно. Раз в год обновить и достаточно.
Обновлять софт раз в неделю - это вообще идиотизм.
Обновлять софт раз в неделю - это вообще идиотизм.
А если мастер-пароль уйдёт?
А если мастер-пароль уйдёт?
Тогда нужно искать проблему у себя, сервис тут не виноват.
Я как бы привык, что софт сам обновляется. Возможно, это и неправильно.
Я везде, где можно, включил 2фактора.
Думаю для lastpass этого тоже хватит.
Ну и пароли лютые.
Вопрос другой: откуда ПРАВИЛЬНЫЕ мастер-пароли?
Думаю для lastpass этого тоже хватит.
Ну и пароли лютые.
Вопрос другой: откуда ПРАВИЛЬНЫЕ мастер-пароли?
Из браузеров, с других взломанных сервисов(форумов, сайтов и т.п.), где использовалась пара логин-мастер от ластпасса
1) Какие сервисы, если для lastpass используется уникальный master-pass?
2) Какой браузер, которые данные форм куда-то там передает?
2) Какой браузер, которые данные форм куда-то там передает?
Ну вот этот уникальный мастер особо-талантливые и используют для разных сервисов. Он же надежный. Из браузеров трояны угоняют за милую душу www.anti-malware.ru
"Как отметили эксперты по кибербезопасности, этот зловред крадёт учётные данные из Google Chrome, Microsoft Edge и Opera." - ни один не использую. 😉
1) Какие сервисы, если для lastpass используется уникальный master-pass?
