Полезная информация

Многие проблемы быстрее решаются поиском по форуму и чтением FAQ, чем созданием новой темы и томительным ожиданием ответа.

№105-05-2011 22:17:46

=Agasfer=
linux user #526929
 
Группа: Extensions
Откуда: /home
Зарегистрирован: 06-11-2008
Сообщений: 6578
UA: Nightly 6.0

Возможно, был взломан LastPass

В LastPass, мультиплатформенном онлайн-менеджере паролей, был зафиксирован аномальный сетевой трафик, возможно, это стало следствием хакерской атаки. Так что, лучше бы пользователям сервиса сменить свои пароли.

LastPass, позиционирующий себя как «единственный пароль, который Вам нужно запомнить», является расширением для всех популярных браузеров. Он автоматически заполняет формы сохранёнными ранее данными и одним нажатием кнопки синхронизирует личные данные на разных компьютерах, которые Вы используете.

В блоге компании говорится, что аномальный трафик был зафиксирован на некритическом сервере. Сотрудники исследовали эту аномалию, но так и не смогли установить её причину. Затем был замечен поток исходящего трафика от одной из закрытых баз данных. «Так как мы не можем объяснить причину произошедшего, можете считать нас параноиками, но мы предполагаем худшее — к данным, хранящимся в этой базе, кто-то сумел получить доступ»

Известно, что объём похищенных данных был достаточно велик, и вполне может содержать и e-mail адреса клиентов, и хэшированные пароли. Вместе с тем сообщается, что этот объём был не настолько большим, чтобы повредить всем пользователям, пострадала лишь часть.

Команда LastPass настоятельно рекомендует сменить мастер-пароль. Кроме этого, они будут проводить верификацию путем проверки IP, или с помощью проверки подлинности почтового ящика.

Хотя масштабы потерь ещё неизвестны, для LastPass (названной одной из лучших программ 2009 по версии PCWorld) эта ситуация может стать возможностью проверить в деле свой новый механизм защиты: PBKDF2 (Password-Based Key Derivation Function), использующий SHA-256 на сервере с 256-битным шифрованием (100 000 циклов).

На фоне последних событий, связанных с кражей личных данных (самый видный пример — это Sony и примерно 77 миллионов пострадавших пользователей PlayStation Network), это даже хорошо, что LastPass подходит к делу с такой «параноидальностью».

http://habrahabr.ru/blogs/infosecurity/118788/


Arch Linux & xmonad

Отсутствует

 

№205-05-2011 22:38:13

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Возможно, был взломан LastPass

А старый параноик Розенфельд постоянно путался под ногами и непрерывно советовал всем окружающим: "Храните, пожалуйста храните ВСЕ(!) свои пароли и прочие учетные данные со всех(!) имеющихся аккаунтов на сторонних сервисах, ибо только(!) их разработчики смогут обеспечить вашу надежную защиту и безопасность критичных данных! Это удобно и надежно!". :)

скрытый текст
P.S. А такой же старый и дряхлый негодяй Агасфер ему постоянно поддакивал! :)
P.P.S. Он еще всем винду рекомендовал поставить! :)

Отредактировано Rosenfeld (05-05-2011 22:52:21)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№307-05-2011 01:21:23

olle
Участник
 
Группа: Members
Зарегистрирован: 26-09-2008
Сообщений: 355
UA: Firefox 4.0

Re: Возможно, был взломан LastPass

Надёжный мастер-пароль, символов на 20, с цифрами, буквами в разных регистрах, и спец.символами - это как прописная истина. И пусть ломают SHA-256, даже если скачали часть базы.

Отсутствует

 

№407-05-2011 01:38:24

MySh
Кактусогрыз
 
Группа: Extensions
Зарегистрирован: 17-12-2006
Сообщений: 4623
UA: Firefox 4.0

Re: Возможно, был взломан LastPass

olle
У таких паролей есть только одна проблема — их сложно не только взломать, но и вспомнить.

Добавлено 07-05-2011 01:42:25
Rosenfeld

скрытый текст

прочие учетные данные со всех(!) имеющихся аккаунтов

С недосыпу прочитал «прочие утечные данные…». Наверное, и такие бывают.

Отредактировано MySh (07-05-2011 01:42:25)

Отсутствует

 

№507-05-2011 08:27:35

Rosenfeld
Linux registered user # 526899
 
Группа: Members
Откуда: ‎
Зарегистрирован: 21-10-2005
Сообщений: 4642
Веб-сайт

Re: Возможно, был взломан LastPass

Надёжный мастер-пароль, символов на 20

Сколько-сколько символов? ... Надежный, говорите? :)


Project Rosenfox:  Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.

Отсутствует

 

№607-05-2011 13:44:35

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 4.0
Веб-сайт

Re: Возможно, был взломан LastPass

Более надежнее вычислять свои пассы по формуле, которую знаешь только ты. И у каждого сайта будет свой уникальный набор символов. MD5 хорошо эту "уникальность" обеспечивает. Советую именно MD5, потому что его везде можно вычислить. Даже на JavaScript - http://md5x.ru (код проверил: ничего никуда не передается).

Добавлено 07-05-2011 13:53:11
P.S. При вычислении MD5 нужно использовать только латинский алфавит, потому национальные символы в разных кодировках выдадут разный хеш MD5.

Отредактировано Keepun (07-05-2011 13:53:11)


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№710-05-2011 15:15:30

Йцукен
  
 
Группа: Extensions
Зарегистрирован: 05-06-2008
Сообщений: 4799
UA: Chrome 10.0

Re: Возможно, был взломан LastPass

Rosenfeld пишет

Надёжный мастер-пароль, символов на 20

Сколько-сколько символов? ... Надежный, говорите? :)

Если символы случайные, с нескольких раскладок (то есть подобрать возможно только с использованием почти всех диапазонов юникода), то да, надёжный. На подбор с использованием суперкомпьютера типа «Эльбрус» теоретически уходит более трёх миллиардов лет.

Добавлено 10-05-2011 15:18:11
Keepun
Не понял, что именно Вы предлагаете.

Отредактировано Радик245 (10-05-2011 15:18:11)

Отсутствует

 

№810-05-2011 15:40:33

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Firefox 4.0

Re: Возможно, был взломан LastPass

Надежный пароль сегодня - это символов 10-11, не словарный, со спец-символами и разным регистром.

Пусть для достижения маскимальной совместимости используются только символы с кодами до 128. Но т.к. символы с кодаим до 32 особо не понабираешь, получаем, что нам доступно 96 символов. Предположим, что представляет собой некоторое размещение с повторениями 10 таких символов. Всего таких размещенй будет 96^10. А теперь посчитаем, симметричному ключу какой длины это соответствует: log(96^10)/log(2) ~= 65 бит.
Качественную оценку делайте сами.

Отсутствует

 

№910-05-2011 18:44:48

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Firefox 4.0

Re: Возможно, был взломан LastPass

Давай я тебе дам, че уж мелочиться, пароль в DES, который вообще 56 бит. Попробуешь сломать?

Это зависит от числа слагаемых в уравнении. Сколько их? :)

Отредактировано sentaus (10-05-2011 18:45:02)

Отсутствует

 

№1011-05-2011 12:57:05

Йцукен
  
 
Группа: Extensions
Зарегистрирован: 05-06-2008
Сообщений: 4799
UA: Firefox 4.0

Re: Возможно, был взломан LastPass

Билли

Радик245 пишет

Если символы случайные, с нескольких раскладок

Какой бред. Надежный пароль сегодня - это символов 10-11, не словарный, со спец-символами и разным регистром.

Что? я и не писал, что 10-11 — ненадёжный, а написал то, что примерно знал. Или если 10-11 символов — надёжный, то 20 — ненадёжный? И ещё хозяйке на заметку. Не помню, за сколько времени подбирается именно 10 символов одной раскладки «со спец-символами и разным регистром», но если, допустим, все варианты пароля какой-нибудь сложности (не говорю, что именно такого) можно перебрать за несколько лет, то нельзя не учитывать вероятность того, что случайно он будет подобран значительно раньше, например, уже через несколько дней.

Если же где-то хранится пароль в открытом виде, или кто-нибудь так сделает на время, то даже 30 символов окажутся бесполезными.

Так это понятно.

Отредактировано Радик245 (11-05-2011 13:27:04)

Отсутствует

 

№1111-05-2011 17:11:07

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Firefox 4.0

Re: Возможно, был взломан LastPass

Тысяча долларов и срок полгода, хэш unix crypt (старый, который DES).

Положим, что это не 1000$, а шестиядерный Intel Core i7-995X - он как раз столько пока и стоит :)
Если верить его бенчмаркам, то он должен убрутфорсить такой пароль лет за 6-8. Полгода не хватит.

Отсутствует

 

№1212-05-2011 12:27:40

=Agasfer=
linux user #526929
 
Группа: Extensions
Откуда: /home
Зарегистрирован: 06-11-2008
Сообщений: 6578
UA: Nightly 6.0

Re: Возможно, был взломан LastPass

Кстати, по поводу паролей - вчера на хабре была статейка о достаточно лёгком способе создания и запоминания достаточно сложных многосимвольных паролей. Способ конечно не самый надёжный с точки зрения приваси (как любит говорить Розенфельд), но для простого пользователя достаточно удобный - пароли всё же будут посложнее, чем "1111" или "пароль" )))
http://habrahabr.ru/blogs/infosecurity/119008/


Arch Linux & xmonad

Отсутствует

 

№1312-05-2011 14:07:05

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Firefox 4.0

Re: Возможно, был взломан LastPass

Потому и говорю, что теоретически-криптографические биты мало применимы на _практике_ PS Я собственно начал к тому, что надо разумно оценивать сложность/неуловимость/затраты.

Я собственно к тому же. Эти биты для оценок удобны. Можно просто выбрать нужную длину пароля в зависимости от нужной эквивалентной стойкости.

Если какой-нибудь md5 такой же битовки легче взломать, потому что на гпу скорости в миллиарды/с за 200 долларов, то sha-512 будет уже заметно сложнее.

Кстати, в данном случае sha-512 не сильно надёжнее. Она всего раза в 3-4 медленнее.

Отсутствует

 

№1414-05-2011 15:59:18

lozmetakon
Участник
 
Группа: Members
Откуда: Харьков
Зарегистрирован: 28-04-2011
Сообщений: 12
UA: Chrome 13.0
Веб-сайт

Re: Возможно, был взломан LastPass

Пользуйтесь не онлайн хранителем паролем, взломать который - заветная мечта хакеров, а локальным хранителем, типа Roboform. Я пробовал LastPass - не очень то и прога. Roboform мне нравиться больше. И я не переживаю, что кто то кого то взломает.

Отсутствует

 

№1514-05-2011 16:18:42

hydrolizer
Участник
 
Группа: Extensions
Зарегистрирован: 22-07-2009
Сообщений: 1945
UA: Firefox 4.0

Re: Возможно, был взломан LastPass

lozmetakon пишет

Пользуйтесь не онлайн хранителем паролем

Тут одно из двух: либо для человека критичен возможный взлом пароля - и тогда он не пользуется вообще никакими хранителями паролей, кроме собственной головы, либо некритичен - и тогда можно пользоваться чем угодно. У меня один знакомый пароль от своей почты абсолютно осознанно вписал в открытом и нешифровнном виде плэйнтекстом в исходники некоей своей проги; исходники залиты на гуглокодовский репозиторий (а у гуглкода все репозитории - паблик для чтения). Бери - не хочу. Пароль там живет уже года два. По словам знакомого, никаких признаков пользования почтой посторонними лицами нет.

Отсутствует

 

№1614-05-2011 19:20:10

W@ld_Lii
Участник №315
 
Группа: Members
Зарегистрирован: 26-04-2009
Сообщений: 306
UA: Firefox 4.0
Веб-сайт

Re: Возможно, был взломан LastPass

hydrolizer, Ваш пример говорит лишь о том, что исходники никто не смотрит:)


Браузер должен сам решать свои проблемы, а не возлагать их на пользователей. Minor

Отсутствует

 

№1714-05-2011 19:43:02

hydrolizer
Участник
 
Группа: Extensions
Зарегистрирован: 22-07-2009
Сообщений: 1945
UA: Firefox 4.0

Re: Возможно, был взломан LastPass

W@ld_Lii пишет

hydrolizer, Ваш пример говорит лишь о том, что исходники никто не смотрит

Отнюдь. Он как минимум говорит о том, что стеганография - тоже достаточно неплохая альтернатива обычной криптографии :) Ну, или о такой очевидной для каждого, кто сталкивался с действительной необходимостью защиты информации (а не просто "шоп аську не увели") штуке, как соизмеримость рисков, связанных с потерей информации, и мер, направленных на предотвращение этих потерь.

Отсутствует

 

№1815-05-2011 19:19:51

lozmetakon
Участник
 
Группа: Members
Откуда: Харьков
Зарегистрирован: 28-04-2011
Сообщений: 12
UA: Chrome 13.0
Веб-сайт

Re: Возможно, был взломан LastPass

hydrolizer пишет
lozmetakon пишет

Пользуйтесь не онлайн хранителем паролем

Тут одно из двух: либо для человека критичен возможный взлом пароля - и тогда он не пользуется вообще никакими хранителями паролей, кроме собственной головы, либо некритичен - и тогда можно пользоваться чем угодно. У меня один знакомый пароль от своей почты абсолютно осознанно вписал в открытом и нешифровнном виде плэйнтекстом в исходники некоей своей проги; исходники залиты на гуглокодовский репозиторий (а у гуглкода все репозитории - паблик для чтения). Бери - не хочу. Пароль там живет уже года два. По словам знакомого, никаких признаков пользования почтой посторонними лицами нет.

Тут вы правы. Но все таки как то надежнее думать, что хранишь пароли на своем компе, а не в онлайн.

Отсутствует

 

№1915-05-2011 21:07:37

Najlus
Рррррррррррь!
 
Группа: Extensions
Откуда: Город N
Зарегистрирован: 11-01-2009
Сообщений: 1988
UA: Firefox 4.0

Re: Возможно, был взломан LastPass

hydrolizer пишет

Тут одно из двух: либо для человека критичен возможный взлом пароля - и тогда он не пользуется вообще никакими хранителями паролей, кроме собственной головы, либо некритичен - и тогда можно пользоваться чем угодно. У меня один знакомый пароль от своей почты абсолютно осознанно вписал в открытом и нешифровнном виде плэйнтекстом в исходники некоей своей проги; исходники залиты на гуглокодовский репозиторий (а у гуглкода все репозитории - паблик для чтения). Бери - не хочу. Пароль там живет уже года два. По словам знакомого, никаких признаков пользования почтой посторонними лицами нет.

Хочешь хорошо спрятать - прячь на самом видном месте (кто то из мудрых)


Вы ленивы, следовательно вы изобретательны (Граф Де Гиш)
Список настроек About:config на русском языке с пояснениями и рекомендациями

Отсутствует

 

№2016-05-2011 09:14:47

lozmetakon
Участник
 
Группа: Members
Откуда: Харьков
Зарегистрирован: 28-04-2011
Сообщений: 12
UA: Chrome 13.0
Веб-сайт

Re: Возможно, был взломан LastPass

Najlus пишет

hydrolizer пишет: Тут одно из двух: либо для человека критичен возможный взлом пароля - и тогда он не пользуется вообще никакими хранителями паролей, кроме собственной головы, либо некритичен - и тогда можно пользоваться чем угодно. У меня один знакомый пароль от своей почты абсолютно осознанно вписал в открытом и нешифровнном виде плэйнтекстом в исходники некоей своей проги; исходники залиты на гуглокодовский репозиторий (а у гуглкода все репозитории - паблик для чтения). Бери - не хочу. Пароль там живет уже года два. По словам знакомого, никаких признаков пользования почтой посторонними лицами нет.Хочешь хорошо спрятать - прячь на самом видном месте (кто то из мудрых)

Есть такое выражение. Только с учетом нынешней автоматизации и учетом возможностей взломщиков - не совсем актуальна. Да даже если ты все пароли в голове держишь, все равно впихнуть тебе какой нить троян, который считывает все, что ты вводишь на клаве и пиши пропало.

Отсутствует

 

№2116-05-2011 10:19:52

hydrolizer
Участник
 
Группа: Extensions
Зарегистрирован: 22-07-2009
Сообщений: 1945
UA: Firefox 4.0

Re: Возможно, был взломан LastPass

lozmetakon пишет

Да даже если ты все пароли в голове держишь, все равно впихнуть тебе какой нить троян

Да ну... К чему такие трудности? уж если кому-то очень понадобится - то будет как в той разбаянистой истории про главного сисадмина ЮКОСа. Главного, но наивного.

Отсутствует

 

№2216-05-2011 17:13:09

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 4.0
Веб-сайт

Re: Возможно, был взломан LastPass

Радик245 пишет

Keepun
Не понял, что именно Вы предлагаете.

Использовать символы из MD5 в качестве пароля.
Формула может быть любая.

Например формула: MD5(домен 2 уровня + слово) = 3-13 символы -  пароль
MD5(mozilla-russia.org love) = 4be1d97bca8cd16b5234a8bfad078ab8 = e1d97bca8c - пароль от этого форума
MD5(google.com love) = 3e1dd6be106a2530a60a757257deca18 = 1dd6be106a - пароль от Google

У каждого сайта получается свой уникальный пароль yahoo.gif


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№2316-05-2011 17:19:12

krigstask
друг народа
 
Группа: Members
Откуда: Rampova, Inkerimaa
Зарегистрирован: 13-09-2005
Сообщений: 4593
UA: Opera 11.1
Веб-сайт

Re: Возможно, был взломан LastPass

Жаль только, у каждого пользователя не получается уникального пароля.


Ядрёная консоль делает меня сильней!

Отсутствует

 

№2416-05-2011 18:20:07

Keepun
Участник
 
Группа: Extensions
Зарегистрирован: 08-12-2007
Сообщений: 591
UA: Firefox 4.0
Веб-сайт

Re: Возможно, был взломан LastPass

krigstask пишет

Жаль только, у каждого пользователя не получается уникального пароля.

Это еще почему?
Ну, добавь еще логин в генерацию.

Формула может быть любая.


Зачем вашему компу оперативная память, если вы сами не хотите, чтобы софт ее всю использовал?

Отсутствует

 

№2517-05-2011 00:24:24

lozmetakon
Участник
 
Группа: Members
Откуда: Харьков
Зарегистрирован: 28-04-2011
Сообщений: 12
UA: Chrome 13.0
Веб-сайт

Re: Возможно, был взломан LastPass

Пароль он для того и нужен, чтобы его украли)))

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]