Neuspjeli pokušaj hakiranja

[sbogovac]

[...] Obavezno - new account - new password

Da, to je jako bitno u ovoj kombinaciji... obavezno.

(Dobar!) PW menadzer - ocito - olaksava tu situaciju...

[iluvbitcoins]

Ja koristim LastPass i dosta je straightforward, nemam nikakvih problema s njime pa ga preporučujem
Bolji mi je od KeePassa jer ima automatsko dodavanje passworda u browseru kada se registriraš negdje i sinkronizira se i na tvom mobitelu.

[dkbit98]

Ja koristim LastPass i dosta je straightforward, nemam nikakvih problema s njime pa ga preporučujem
Bolji mi je od KeePassa jer ima automatsko dodavanje passworda u browseru kada se registriraš negdje i sinkronizira se i na tvom mobitelu.

Problem kod Lastpass-a je da se sve infoirmacije čuvaju na cloud-u a i desio se hack LastPass Leaked Login Credentials...
Za KeePass sada ima i ekstenzija 'Kee - Password Manager' za sve uredjaje.

[slackovic]

Čekaj, nije mi jasno... Zar nije sa sigurnosnog stajališta najbolje imati različit password za svaki račun i ne spremati taj password nigdje? Jer svaki alat koji olakšava korištenje passworda zapravo smanjuje razinu zaštite.

Ali dobro, rekao bi da je korištenje provjerenih alata slično kao korištenje hardware walleta umjesto paper walleta kod čuvanja private keya. Paper wallet je najsigurniji (dok se koristi pravilno), a hardware walleta je "next best thing" her omogućuje malo više komocije kod korištenja ujedno zadržavajući dovoljnu razinu zaštite.

E sad, problem je kome vjerovati? Mogu li ja vjerovati ljudima koji preporučuju KeePass? Isto tako, mogu li vjerovati ljudima koji preporučuju Trezor ili Ledger? Vjerujem da se većina vodi za masom pa tako vjeruju onome čemu većina ljudi vjeruje...

[dkbit98]

E sad, problem je kome vjerovati? Mogu li ja vjerovati ljudima koji preporučuju KeePass?

Ne bi ja nikome.
KeePass program je OpenSource i SVE se čuva na tvom lokalnom HD-u a ne na nekom Cloud serveru.
Svaki novi račun ima novi password.

[slackovic]

E sad, problem je kome vjerovati? Mogu li ja vjerovati ljudima koji preporučuju KeePass?

Ne bi ja nikome.
KeePass program je OpenSource i SVE se čuva na tvom lokalnom HD-u a ne na nekom Cloud serveru.
Svaki novi račun ima novi password.

Ali u to možeš biti siguran jedino ako si programer pa znaš sam u kodu provjeriti sprema li program stvarno sve samo na tvom disku i ne šalje nigdje. Ako nisi programer, opet moraš vjerovati nekome tko to tvrdi.

Da se razumijemo... Ja sve ovo govorim općenito, a ne konkretno za KeePass program. Taj program nisam nikad koristio tako da ne znam kakav je.

[dkbit98]

Ali u to možeš biti siguran jedino ako si programer pa znaš sam u kodu provjeriti sprema li program stvarno sve samo na tvom disku i ne šalje nigdje. Ako nisi programer, opet moraš vjerovati nekome tko to tvrdi.

Da se razumijemo... Ja sve ovo govorim općenito, a ne konkretno za KeePass program. Taj program nisam nikad koristio tako da ne znam kakav je.

Ne.
Fino i prosto uzmeš i blokiraš SVAKI kontakt programa sa internetom (u firewall) i ne može da šalje ništa.
To važi i za svaki drugi drugi program, ne samo za KeePass.

Za LastPass je dokazano da je hakovan.

[Stalker22]

Upravo bila reportaža u središnjem dnevniku na HRT-u o navedenom 'sextortion' mailu.
 

[slackovic]

Ali u to možeš biti siguran jedino ako si programer pa znaš sam u kodu provjeriti sprema li program stvarno sve samo na tvom disku i ne šalje nigdje. Ako nisi programer, opet moraš vjerovati nekome tko to tvrdi.

Da se razumijemo... Ja sve ovo govorim općenito, a ne konkretno za KeePass program. Taj program nisam nikad koristio tako da ne znam kakav je.

Ne.
Fino i prosto uzmeš i blokiraš SVAKI kontakt programa sa internetom (u firewall) i ne može da šalje ništa.
To važi i za svaki drugi drugi program, ne samo za KeePass.

Za LastPass je dokazano da je hakovan.

Tebi je jasno da nisu svi korisnici računala ljudi koji znaju blokirati određenom programu pristup Internetu? Recimo, ajde mi napiši kako bi starijem čovjeku objasnio to? Ja imam problem kad starijim ljudima objašnjavamo da inicijali i godina rođenja nisu dobra lozinka. Kako da im objasnim da postoji program koji će im pamtiti lozinke ali za svaki slučaj mu moraju blokirati pristup Internetu.

Razumijem to što govoriš. Ali to vrijedi za ljude koji se stvarno razumiju u IT. Čak ne bi rekao niti da svi "informatički pismeni" ljudi znaju takve stvari...

[dkbit98]

Tebi je jasno da nisu svi korisnici računala ljudi koji znaju blokirati određenom programu pristup Internetu? Recimo, ajde mi napiši kako bi starijem čovjeku objasnio to? Ja imam problem kad starijim ljudima objašnjavamo da inicijali i godina rođenja nisu dobra lozinka. Kako da im objasnim da postoji program koji će im pamtiti lozinke ali za svaki slučaj mu moraju blokirati pristup Internetu.

Razumijem to što govoriš. Ali to vrijedi za ljude koji se stvarno razumiju u IT. Čak ne bi rekao niti da svi "informatički pismeni" ljudi znaju takve stvari...

Prvo - za za KeePass nema potrebe da se to radi, jer 100% ne šalje nikakve podatke nigde.
Drugo - starijim ljudima je teško objasniti bilo šta, ali sve što treba je jedan minut u windows firewall, ili ja mogu odraditi isto za njih.

EDIT:
Još jedan info za LastPass:
https://www.ghacks.net/2020/01/23/lastpass-no-longer-listed-on-the-chrome-web-store/

[iluvbitcoins]

Ja koristim LastPass i dosta je straightforward, nemam nikakvih problema s njime pa ga preporučujem
Bolji mi je od KeePassa jer ima automatsko dodavanje passworda u browseru kada se registriraš negdje i sinkronizira se i na tvom mobitelu.

Problem kod Lastpass-a je da se sve infoirmacije čuvaju na cloud-u a i desio se hack LastPass Leaked Login Credentials...
Za KeePass sada ima i ekstenzija 'Kee - Password Manager' za sve uredjaje.

Nisam proučavao previše no pošto su informacije enkriptirane dobrom šifrom mogu provaliti koliko hoću, naše šifre su sigurne.
A iz tog razloga imam sinkronizirano iste šifre na laptopu i na mobitelu

Čekaj, nije mi jasno... Zar nije sa sigurnosnog stajališta najbolje imati različit password za svaki račun i ne spremati taj password nigdje? Jer svaki alat koji olakšava korištenje passworda zapravo smanjuje razinu zaštite.

Ali dobro, rekao bi da je korištenje provjerenih alata slično kao korištenje hardware walleta umjesto paper walleta kod čuvanja private keya. Paper wallet je najsigurniji (dok se koristi pravilno), a hardware walleta je "next best thing" her omogućuje malo više komocije kod korištenja ujedno zadržavajući dovoljnu razinu zaštite.
E sad, problem je kome vjerovati? Mogu li ja vjerovati ljudima koji preporučuju KeePass? Isto tako, mogu li vjerovati ljudima koji preporučuju Trezor ili Ledger? Vjerujem da se većina vodi za masom pa tako vjeruju onome čemu većina ljudi vjeruje...

Stranice se hakiraju i ako ne štite šifre dovoljno dobro dođe do leaka tvoje jedne šifre i emaila koji se tad isprobava za sve moguće stranice.
Password manager generira nepovezane šifre za svaku stranicu pa i ako jedna bude hakirana, hakeri će s njom moći pristupiti samo jednoj stranici.
Za pretpostaviti je da password manageri jako dobro osiguravaju sigurnost privatnih podataka.

[dkbit98]

Osim što si ispunio dnevnu Yobit kvotu.... mogao bi malo bolje to proučiti pre pisanja i makar malo pročitati nešto o hacku koji se desio i pre pisanje da su 'šifre sigurme'.
Ako je na CLOUD-u to meni i drugima nije sigurno, zato sam ja prestao da koristim LastPass odavno.
Drugi mogu da rade kako im volja.

[iluvbitcoins]

Osim što si ispunio dnevnu Yobit kvotu.... mogao bi malo bolje to proučiti pre pisanja i makar malo pročitati nešto o hacku koji se desio i pre pisanje da su 'šifre sigurme'.
Ako je na CLOUD-u to meni i drugima nije sigurno, zato sam ja prestao da koristim LastPass odavno.
Drugi mogu da rade kako im volja.

Koje su to šifre provaljene?
Moje nisu, nisam vidio da su tuđe, niti je to moguće

LastPass experienced a single security incident in our 10-year history, back in 2015. Bottom line, no encrypted vault data was compromised. Even under this most extreme test, our systems performed as designed and protected the encrypted vault data of our users; furthering our conviction and commitment to our 'zero knowledge' security model in which LastPass never has your master password or access to the data within your vault.

[dkbit98]

Nisam proučavao previše

Sam si rekao da nisi proučavao, a drsko je samo to što nosiš taj Yobit signature  

https://www.hackread.com/lastpass-hacked-this-time-for-good/
https://www.guidingtech.com/45530/lastpass-hacked/
https://www.wired.com/2015/06/hack-brief-password-manager-lastpass-got-breached-hard/
https://www.darknet.org.uk/2017/03/lastpass-chrome-extension-leaking-passwords/
https://www.forbes.com/sites/katevinton/2015/06/15/password-manager-lastpass-hacked-exposing-encrypted-master-passwords/
https://thehackernews.com/2016/07/lastpass-password-manager.html
.
.
.
.
.
.
.

[iluvbitcoins]

Nisam proučavao previše

Sam si rekao da nisi proučavao, a drsko je samo to što nosiš taj Yobit signature  

https://www.hackread.com/lastpass-hacked-this-time-for-good/
https://www.guidingtech.com/45530/lastpass-hacked/
https://www.wired.com/2015/06/hack-brief-password-manager-lastpass-got-breached-hard/
https://www.darknet.org.uk/2017/03/lastpass-chrome-extension-leaking-passwords/
https://www.forbes.com/sites/katevinton/2015/06/15/password-manager-lastpass-hacked-exposing-encrypted-master-passwords/
https://thehackernews.com/2016/07/lastpass-password-manager.html
.
.
.
.
.
.
.

Drsko je samo to što se praviš pametan a pišeš gluposti.
Da si pročitao to što si objavio vidio bi ovo

In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed.

Password Manager LastPass Hacked, Exposing Encrypted Master Passwords

Ne znam zašto si linkao 6 članaka koji govore o ukupno 2 događaja, ali dobro. Možda se čini kao više?

Naravno da nisam obraćao pozornost jer sam znao da su moje šifre sigurne.
Valjda je bitnije biti pametan online nego stvarno pročitati kako LastPass funkcionira?
Da si pročitao znao bi za ovu evidentu istinu

LastPass koristi zero-knowledge odnosno nikad ne saznaju našu šifre i naše šifre se ne mogu otkriti sa njihovog servera i ako ga daju javno na uvid.

Sve što si objavio nije relevantno danas, popravljeno je prije najmanje 3 godine i nema veze s njihovim serverom na kojem se do šifre ne može doći ni ako se javno objavi.

Pa da ponovim svoje pitanje iz zadnjeg posta
Koje su to šifre provaljene?

Baš je zgodno na KeePassu i ostalima nakon svake nove šifre raditi backup za slučaj ako ti se sruše Windowsi, pokvari laptop ili ga netko ukrade

[dkbit98]

Stavio sam samo prve stranice sa internet pretrage, a internet je pun novosti o raznim LastPass hackovima.
Zakrpili rupe pre 3 godine, a sad se čeka da se nove pojave. Dovoljno je da neko im hakuje server i ćao.

Friška novost je da im je Google store izbrisao extension... baš cool i zgodno.

2011 security incident
On Tuesday, May 3, 2011, LastPass discovered an anomaly in their incoming network traffic, then a similar anomaly in their outgoing traffic. Administrators found none of the hallmarks of a classic security breach (for example, a non-administrator user being elevated to administrator privileges), but neither could they determine the anomalies' cause. Furthermore, given the size of the anomalies, it was theoretically possible that data such as email addresses, the server salt, and the salted password hashes were copied from the LastPass database. To address the situation, LastPass took the "breached" servers offline so they could be rebuilt and, on May 4, 2011, requested all users change their master passwords. They said that while there was no direct evidence that any customer information was compromised, they preferred to err on the side of caution. However, the resulting user traffic overwhelmed the login servers, and company administrators—considering the possibility that existing passwords had been compromised was trivially small—asked users to delay changing their passwords until further notice.

2015 security breach
On Monday, June 15, 2015, LastPass posted a blog post indicating that the LastPass team had discovered and halted suspicious activity on their network the previous Friday. Their investigation revealed that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised; however, encrypted user vault data had not been affected. The company blog said, "We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed."

2016 security incidents
In July 2016, a blog post published by independent online security firm Detectify detailed a method for reading plaintext passwords for arbitrary domains from a LastPass user's vault when that user visited a malicious web site. This vulnerability was made possible by poorly written URL parsing code in the LastPass extension. The flaw was not disclosed publicly by Detectify until LastPass was notified privately and able to fix their browser extension.[31] LastPass responded to the public disclosure by Detectify in a post on their own blog, in which they revealed knowledge of an additional vulnerability, discovered by a member of the Google Security Team, and already fixed by LastPass.

2017 security incidents
On March 20, Tavis Ormandy discovered a vulnerability in the LastPass Chrome extension. The exploit applied to all LastPass clients, including Chrome, Firefox and Edge. These vulnerabilities were disabled on March 21, and patched on March 22.

On March 25, Ormandy discovered an additional security flaw allowing remote code execution based on the user navigating to a malicious website. This vulnerability was also patched.

2019 security incidents
On Friday, August 30, 2019, Tavis Ormandy reported a vulnerability in the LastPass browser extension in which Web sites with malicious JavaScript code could obtain a username and password inserted by the password manager on the previously visited site. By September 13, 2019, Lastpass publicly announced the vulnerability, acknowledging the issue was limited to the Google Chrome and Opera extensions only; nonetheless, all platforms received the vulnerability patch.

https://en.wikipedia.org/wiki/LastPass

Idemo sad 2020 ?

[iluvbitcoins]

Dovoljno je da neko im hakuje server i ćao.

Koji dio od zero-knowledge nisi razumio?
Mogu server objaviti javno i svejedno nitko ne može do tvojih šifri.

Idemo sad 2020 ?

Dakle patchirano u 2 tjedna. Nikakav problem.

Friška novost je da im je Google store izbrisao extension... baš cool i zgodno.

Koji argument! Pa, ovi ostali ni nemaju add-on!

Uklonjen je slučajno na 2 dana, s tim da si mogao pristupiti svim informacijama kroz već instalirani add-on, aplikaciju na mobitelu i naposljetku na njihovoj stranici na internetu.

https://chrome.google.com/webstore/detail/lastpass-free-password-ma/hdokiejnpimakedhajhdlcegeplioahd?hl=hr

Baš je friška vijest, skineš si ga odmah

Hashcat i KeeFarce neću spominjati iz drugih razloga ali nije ni KeePass nevin
https://www.lifehacker.com.au/2016/06/keepass-vulnerability-lets-attackers-steal-passwords-but-dont-expect-it-to-be-patched/