Адрес для входа в РФ: exler.world

А вы пользуетесь LastPass?

29.12.2021 20:33  13282   Комментарии (98)

А то тут новости по поводу LastPass приходят несколько тревожные.

Что-то интересное уже пару дней происходит с облачным менеджером паролей Lastpass. Пользователи жалуются на форумах (например, Hacker News), что кто-то заходит или пытается зайти в их аккаунты с бразильских IP-адресов с правильными паролями.

Lastpass прокомментировал, что это credential stuffing, в смысле атакующие берут пары имейл-пароль из известных утечек и пытаются логиниться ими в аккаунты Lastpass, и иногда успешно. Если это правда, то это чистое безумие. То есть живет себе пользователь и пользуется одним и тем же паролем везде. Ему говорят, переходи на менеджер паролей а то безопасность. И он такой, ага, отлично, и ставит свой старый пароль от всех аккаунтов еще и мастер-паролем от облачного менеджера паролей.

Правда, одновременно с этим исследователи, которые сейчас ковыряют логи малвари Redline Stealer, ворующей пароли из браузеров, говорят, что в этих логах - тысячи паролей от Lastpass. Совпадение?)))

https://news.ycombinator.com/item?id=29705957
https://twitter.com/MayhemDayOne/status/1475897344537374722

Я LastPass никогда не пользовался: пробовал, мне он не понравился. Я пользуюсь RoboForm. Да, он платный, я ему плачу какие-то очень небольшие деньги за год, но его работой вполне доволен, тем более что менеджер продолжает развиваться. И я там совершенно на автомате для каждого нового логина генерирую устойчивый пароль минимум в 16 символов и в самом же Roboform сохраняю. Одинаковые пароли у меня не используются нигде. (Когда-то давно, лет двадцать назад, была у меня такая порочная практика, но я себя от нее быстро отучил.) И так как RoboForm, разумеется, имеет версии для смартфонов, причем они тоже неплохо развиваются, никаких проблем такой подход не создает. 

Также, разумеется, везде, где хранится хоть что-то более или менее конфиденциальное, обязательно устанавливается двойная аутентификация.

Комментарии 98

Я не знаю, как организовано хранение у Roboform, но подозреваю, что разница с LastPass будет не очень большая.

Поэтому, лично я не пользуюсь ни одной облочной системой хранения паролей.
30.12.21 14:18
1 0

облочной
"облачной"
===

Если бы речь шла о Keychain Access, то эту систему хранения паролей можно было бы, по идее, назвать "облочной" (облако+яблоко). 😄

Вот чего я не понимаю - это генерировать случайные пароли для сервисов и отдавать их на хранение куда-то. Может с одноразовыми сервисами такое и прокатит, куда больше не вернёшься, а вот от того, что используешь регулярно, пароль должен быть в голове.
aik
30.12.21 10:34
6 0

У меня пароли такого вида RH5+BVu1Mes4Rq"NQmk^
Я не могу такое запомнить. ?
30.12.21 12:05
0 3

Запомнить всё можно. В том числе и длинные пароли.
Если пароли вида Cjhjr+Nsczx+F,bpzy вам не нравятся, то разбивайте ваши пароли на части да запоминайте частями.
У меня есть пароли 16 символов - я их помню как 8+8.

Но, само собой, я не придумываю на каждый сервис индивидуальный пароль. Есть несколько степеней важности и несколько паролей. Индивидуальные сложные - только у жизненно важных сервисов, типа почты, банков. Плюс авторизация по смс.
Всякие одноразовые сервисы получают общий пароль вида "пароль", постоянные, но не слишком важные - типа форумов и соцсетей - пароль посложнее, но тоже общий. К примеру, я ничего не потеряю, если кто-то уведёт мой фэйсбук или вконтакт. Нахрена мне там иметь сложный пароль? Гораздо хуже, когда я не могу войти в сервис, потому что пароль не знаю.
aik
30.12.21 12:32
5 1

Понятно, спасибо!
30.12.21 12:35
1 0

К примеру, я ничего не потеряю, если кто-то уведёт мой фэйсбук или вконтакт.
Ого. Если там от вашего имени опубликуют призывы к свержению государственной власти, то вам придется несладко.
31.12.21 03:01
0 1

А что мешает кому-то завести поддельный аккаунт и там от "моего" имени публиковать? Даже взламывать ничего не придётся.
aik
31.12.21 07:09
0 1

RoboForm рекомендую всем. Уже лет десять на нем сижу. Все ок.
30.12.21 09:37
0 0

Пользуюсь LastPass несколько лет. Даже оплачиваю, так как установлен на нескольких устройствах. Удобно, но не с чем сравнить, ничем другим еще не пользовался )
30.12.21 07:40
0 0

Перешел с LastPass на Bitwarden где-то год назад. Работает лучше LastPass в большинстве случаев, для бесплатного сервиса так вообще отлично.
30.12.21 07:13
0 8

Плюсую неистово. В бесплатном варианте ограничения совсем уж необременительные - типа количества людей, с которыми можешь расшаривать пароли, отсутствие генерации TOTP (хранить ключи можешь как и раньше) и отсутствие возможности аттачить файлы (что изредка было бы полезно).
Отлично работает приложение на андроиде, стоит аддон в браузере, всё как часики.

При этом ничто не мешает развернуть сервер на своих мощностях - битварден опенсорсный.
30.12.21 11:54
0 2

О, я тоже с LastPass на Bitwarden ушел. И да, с удивлением обнаружил, что он работает лучше (не идеально, конечно, особенно на смартфоне, но лучше).
30.12.21 14:09
0 2

У lastpass лет пять назад утащили базу и соль.
Надо отдать им должное, реакция была очень своевременная и адекватная. Пострадать, техникли, могли только пользователи с главным паролем типа "password1234567", "qwerty","sveta1987" etc
30.12.21 05:04
0 0

Я использую bitwarden с 2FA через yubico. То есть нужен физический доступ к физическому ключу. Работает на Windows, Mac OS, iPhone. В каждом девайсе свой физический ключ.
30.12.21 01:57
1 2

То есть вам, чтобы зайти на сайт, нужно к айфону подключать физический донгл?
Это ж ппц неудобно.
30.12.21 11:55
1 1

Пользовался им лет 5, премиум. Видел, как эти куркули взвинтили цену в 4 раза, ввели кучу тормозов, и убили весь UX. Теперь перехожу на pass, git. Это же просто чудо какое-то. Все на открытых технологиях, полностью под твоим контролем, ровно то же самое, что умеет этот кривой ластпасс, только быстро и удобно.
30.12.21 01:23
0 1

У нас корпоративная авторизация через lastpass. Как-то пока не очень, bitwarden казался удобнее
30.12.21 00:48
0 1

Использую много лет SafeInCloud. Менеджер паролей с облачной синхронизацией (Google Диск, Dropbox, OneDrive и любые WebDAV-совместимые облака)
30.12.21 00:39
0 0

А вот скажем LastPass... Ну пусть он хороший. А может такое быть, что его кто-то потихоньку купит и прочитает все пароли? Например яндекс. Или например yahoo, который непонятно кому принадлежит и зачем нужен и у кого и так все течёт.
30.12.21 00:27
0 0

Только если в клиентскую часть засунуть бэкдор, который передает на сервер мастер-ключ. Это уже не "всё течет", это сознательные мошеннические действия со стороны компании. Причем откровенные - это не удастся выдать за разгильдяйство.
30.12.21 01:00
0 3

Удастся - насвзломали... Ну или сотрудник вчера уволен.
30.12.21 02:35
1 0

Удастся - насвзломали... Ну или сотрудник вчера уволен.
Шмишно.
30.12.21 04:45
1 1

Пользуюсь LastPass с 2FA разумеется уже лет 5, все устраивает
30.12.21 00:10
0 0

После очередного забытого "надежного" мастер-пароля от Sticky плюнул и поставил себе Google Authenticator и двухфакторную аутентификацию везде, где это только можно было. После этого наступил полный дзен: получать смски не нужно, работает даже в самом глухом роуминге, пароли можно лепить элементарные и хоть везде одинаковые. Ну и отдельный привет товарищ майору, влезть по дубликату сим-карты не выйдет.
29.12.21 23:20
0 2

И не дай бог в этом глухом роуминге потерять телефон...
30.12.21 01:02
0 2

И от этого таблетка есть. MS authenticator делает бэкап себе в облако.
30.12.21 01:20
0 1

И не дай бог в этом глухом роуминге потерять телефон...
Вот да. А я однажды окирпичив телефон получил потерю всех данных 2-факторки.
Потом долго и болезненно восстанавливал.
30.12.21 11:54
0 0

Юзаю ластпасс для личных целей, но на работе 1Password - корпоративная политика, понимаешь...
29.12.21 22:57
0 0

Гугл постоянно жалуется что у меня на 70 сайтах украдены пароли.

Но как же лень их менять)
29.12.21 22:30
0 8

Гугл постоянно жалуется что у меня на 70 сайтах украдены пароли.
Если бы только на семидесяти ( я о себе вообще-то) 😉
30.12.21 09:48
0 0

Слабак. У меня порядка 500+.
30.12.21 11:50
0 0

Снимаю шляпу!
30.12.21 11:57
0 0

Долго пользовался, года 3 назад удалил аккаунт. С тех пор Bitwarden, доволен.
29.12.21 22:15
0 2

Вот и я Roboform пользуюсь с 2005 года, и этот мастер пароль у меня никогда ни с чем не совпадает.
29.12.21 22:09
0 0

KeePass
29.12.21 22:04
1 7

Раньше пользовался Ластпасс. Мне нравилась прога, но неохота покупать, и так плачу за кучу подписок. Сейчас юзаю Битварден. Очень удобна синхронизация на всех устройствах, бесплатно.
29.12.21 21:56
0 3

Я именно что LastPass и пользуюсь уже лет 10. Причем, у меня платная версия, которая работает везде, и на мобильных устройствах.

Естественно, что давно стоит двойная аутентификация, и только 5 устройств (в смысле, или собственно устройства типа мобильного, или конкретный браузер) разрешены мной как безопасные, чтобы зайти с других - надо делать нелепые телодвижения. Сам пароль от LastPass у меня в принципе нигде не сохраняется. Я его помню и меняю раз в полгода. Длиной от 15..18 символов, естественно, там общеизвестных паттернов длиннее 5 символов нет.

Никаких предупреждений я не получал. Хотя, конечно, все предупреждения у меня включены, и это работает (когда приходилось заходить с временных браузеров).

В своих браузерах я храню пароли только от устройств с IP из RFC-1918, т.е., всякие мои домашние раутеры и пр. шушера, к которой вообще снаружи не доберешься. Да и то, не от всех...
29.12.21 21:55
0 0

Посмотреть, так куча самых важных паролей у людей.
Для меня их всего три - Гугл, банк и profil zaufany (типа госуслуги в Польше). Они уникальные, не связаны ни со мной, ни с важными датами, ни с семьёй. Их я знаю напамять.

А остальные - да и фиг с ними. Угонит кто-то учётку тут, например - о боже мой, что делать, как жить?)))
29.12.21 21:40
6 3

Отношусь к этому немного раздолбайски. Менеджер хрома. Предпочитаю простые одинаковые пароли для ерундовых сайтов. Для прочего больше полагаюсь на двухфакторность, нежели на количество символов. Девайсы, которые контролирую сам - вообще без паролей, ключи.
29.12.21 21:38
0 5

Пользовался ластпассом некоторое количество лет. Про робоформ знал, пробовал, но он был заметно дороже. Понятно, что во многом лучше, но дороже, а разница для меня была не очень важна.
Несколько лет назад, когда ластпасс изменил тарифную политику, экспортировал пароли и ушел в робоформ. Возможно, следовало пароли все сменить, но несколько сот не в силах.
29.12.21 21:34
0 0

А чем Робоформ хранение лучше хранения паролей в Хроме?
29.12.21 21:27
1 6

Тем что хром это привязка к одному браузеру и что еще хуже одной корпорации, которая в любой момент может забанить ваш аккаунт. Сторонние менеджеры паролей это универсальное решение под любые браузеры/платформы, ну а офлайновые/selfhosted решения - защита от банов.
29.12.21 22:18
3 4

Базу хрома может открыть любой подготовленный троян
30.12.21 10:43
1 1

Прямо не спрашивая мастер пароль?
30.12.21 20:42
0 1

насколько помню, в хроме нет мастер-пароля. там лишь нужен вход от локальной учетки. этого достаточно, чтобы без особого труда посмотреть пароли, получив каким-либо способом привилегии
30.12.21 20:54
1 0

А я прям в хроме храню. И в хром логинюсь. Вот чтоб таких штук не было.
Чем плохо?
29.12.21 21:22
3 1

Забанит вас гугл (примеров много в интернете) и останетесь без паролей
29.12.21 21:30
3 1

Пароли хранятся на клиенте, ничего никуда не потеряется.
29.12.21 21:35
0 3

Если с основного аккуанта ничего не постать наверное не забанят.

И вообще если пропадут не так страшно по сравнению с тем, что стырят. Тем более, что вероятность все-таки маленькая.
29.12.21 21:48
0 0

Доступ к хранилищу всех хромов имеет локальный пользователь. Соответственно любой троян может запросить и расшифровать базу. Что-то из хромообразных для защиты паролей есть у Яндекс. Браузера, но честно, давно не слежу за этой темой
30.12.21 10:41
0 0

Вот чем:
www.anti-malware.ru
30.12.21 11:57
0 0

Я пользуюсь 1password и вполне доволен, каждый сервис имеет отдельный пароль, на самых важных стоит двухфакторная аутентификация.

LastPass тестировал, не подошёл, даже не помню почему
29.12.21 21:20
0 0

Я пользуюсь и абсолютно доволен. И пароли он генерирует и все делает. И версии для всего есть.

"И он такой, ага, отлично, и ставит свой старый пароль от всех аккаунтов еще и мастер-паролем от облачного менеджера паролей."
А вот это сам себе злобный Буратино. Это ж надо до такого додуматься - использовать потенциально скомпрометированный пароль как мастер-пароль!
29.12.21 21:19
0 2

Я для семьи поднял свой инстанс bitwarden
29.12.21 21:17
0 7

Я пользуюсь RoboForm. Да, он платный
Будто платность что-то гарантирует.
29.12.21 21:14
1 17

Можно поплакаться в техподдержку за деньги 😄
30.12.21 11:49
0 1

Sticky Password. Уже пять лет. Периодически меняю мастер-пароль.
29.12.21 21:14
3 1

Что бы войти в программу.
30.12.21 08:42
0 1

А вы пользуетесь LastPass?
Если честно, даже не слышал о таком...
Вполне себе довольствуюсь паролями, которые генерирует в автоматическом режиме iPhone.
29.12.21 21:13
9 6

Несколько лет назад ушел из онлайнового Lastpass на оффлайновый keepass(XC), вполне доволен. Хоть и чуть менее удобно чем онлайнсервисы.
29.12.21 21:10
0 9

В плане юзабилити ластпасс хорош. Но тоже недавно заставил себя переехать на Кипас. Добавил аддоны для браузера. На Андроиде тоже нормально работает. Все оказалось не так страшно, как лет 6-7 назад
29.12.21 22:19
0 5

А как процесс перехода с lastpass на keypass выглядит? Можно как то перенести все пароли?
rb3
30.12.21 02:33
0 0

Да, там есть экспорт базы в csv-файл.
Отличный повод провести инспекцию своих паролей, удалить дубли и кучу неактуального мусора. А в KeePass есть импорт из csv, нужно только колонки сопоставить. KeePassXC это довольно удобно позволяет делать.
30.12.21 08:46
0 1

Чем KeePassXC отличается от KeePass?
30.12.21 11:04
0 2

Ничем по сути.
Форк, который развивается параллельно.
30.12.21 11:50
0 1

Никогда о нём не слышал, пользовался старым кипасом. Посмотрел - выглядит очччень симпатично.
Он обратно совместим? Ну, чтобы базы скормить?
30.12.21 12:00
0 1

Да, оба они поддерживают одни и те же базы.
30.12.21 12:08
0 1

Я раньше использовал, вполне было удобно, потом легко всё экспортировал и перешел на Bitwarden, затем с некоторыми неудобствами на 1Password. Неудобства связаны были в основном с несколько иной логикой и интерфейсом 1пасса, в то время как lastpass и bitwarden, были похожи. Но сейчас ничего, привык.
29.12.21 21:06
0 2

Я чего-то не совсем понимаю причем тут ластпасс....
Та же фигня может быть и с roboform.
Суть новости в том, что пользователи сохраняют в менеджере паролей броузера мастер пароли от ластпасса.

И да, Ластпассом пользуюсь уже >10 лет, практики подобные тем, что использует Алекс - must have. В свое время пробовал roboform - не зашло (ластпасс для меня оказался удобнее)
29.12.21 21:06
0 9

Тоже пользуюсь Ластпассом больше 10 лет, самый удобный для меня. К сожалению, недавно они стали требовать денег если больше одного девайса используешь (т.е. можно бесплатно использовать или на десктопе или на телефоне), но я его на телефоне и так не использовал, так что на меня это не повлияло.
29.12.21 21:24
0 2

Да, это правда. На телефоне на самом деле тоже было удобно, но в принципе допускаю покупку - семейная 40 с копейками евро в год на 6 человек. С одной стороны жалко конечно денег, но с другой ластпассом я в день по 100 раз пользуюсь....А вот guitar pro как купил 6 лет назад, так играть и не начал 😄
29.12.21 21:29
0 1

я храню на кипас, бесплатно
29.12.21 20:59
0 18

Да, отличный вариант. А уже его файл я через облако сихронизирую на всех устройствах.
Само собой что мастер-пароль очень сложный и не хранится нигде кроме как в голове.
30.12.21 09:56
0 4

Да, KeePass использую, но он очень неудобен в качестве кроссплатформенного облачного сервиса.
Потому что им не является.
Для облачной синхронизации у меня BitWarden, тоже бесплатный и пока (т-т-т) не дырявый.
30.12.21 11:49
0 1

А я придумываю и записываю сложные пароли в блокнотик. Дублирую в еще один блокнотик, который лежит в другом месте. Так никакой вирус не доберется.
Не доверяю всяким там менеджерам.
29.12.21 20:59
5 11

А я придумываю и записываю сложные пароли в блокнотик. Дублирую в еще один блокнотик, который лежит в другом месте.
Года до 2010 я довольствовался парой-тройкой однообразных паролей, используемых мною при авторизации в почте, на сайтах и форумах.
Усложнение потребовалось, наверное, как и у большинства, с плавным вторжением в жизнь сервисов, использующих персональные данные - как-то госуслуги и подобное.
А так бы и не заморачивался. ?
29.12.21 21:19
1 6

Вообще не понимаю, как можно кому-то доверять хранить все свои пароли, пусть они хоть мамой клянутся что никуда не уйдёт
29.12.21 20:59
1 5

У ластпасса уйти чтото может только если пользователь идиот - вся база паролей шифруется мастер-паролем на клиентской стороне и уже в таком виде заливается на сервера. То есть если вы не провороните свой мастер-пароль, то даже если ластпасс взломают вы ничего не теряете.
29.12.21 21:12
1 7

Подозреваю, что все менеджеры паролей так делают. В противном случае я не завидую быть CTO такой конторы.
30.12.21 00:13
0 1

Все элементарно - взламывают сам ластпасс, выкладывают апдейт с бекдором, все его бодро скачивают и пороли утекли разом все.

Если вы не сами написали парольный менеджер - не стоит его использовать.
30.12.21 02:28
5 1

Парольный менеджер - не та программа которую надо обновлять постоянно. Раз в год обновить и достаточно.
Обновлять софт раз в неделю - это вообще идиотизм.
30.12.21 09:59
1 0

А если мастер-пароль уйдёт?
30.12.21 11:37
0 0

А если мастер-пароль уйдёт?
Тогда ССЗБ.
30.12.21 11:51
0 0

Тогда нужно искать проблему у себя, сервис тут не виноват.
30.12.21 13:05
0 0

Я как бы привык, что софт сам обновляется. Возможно, это и неправильно.
30.12.21 14:33
0 0

Я везде, где можно, включил 2фактора.
Думаю для lastpass этого тоже хватит.
Ну и пароли лютые.
Вопрос другой: откуда ПРАВИЛЬНЫЕ мастер-пароли?
29.12.21 20:52
0 5

Из браузеров, с других взломанных сервисов(форумов, сайтов и т.п.), где использовалась пара логин-мастер от ластпасса
29.12.21 21:19
0 2

1) Какие сервисы, если для lastpass используется уникальный master-pass?
2) Какой браузер, которые данные форм куда-то там передает?
29.12.21 23:01
0 0

Ну вот этот уникальный мастер особо-талантливые и используют для разных сервисов. Он же надежный. Из браузеров трояны угоняют за милую душу www.anti-malware.ru
29.12.21 23:28
0 0

"Как отметили эксперты по кибербезопасности, этот зловред крадёт учётные данные из Google Chrome, Microsoft Edge и Opera." - ни один не использую. 😉
30.12.21 09:50
2 0

1) Какие сервисы, если для lastpass используется уникальный master-pass?
А если нет? Люди ленивы, везде ставят один пароль.
30.12.21 11:52
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 442
видео 3997
вино 359
еда 500
ЕС 60
игры 114
ИИ 29
кино 1581
попы 191
СМИ 2761
софт 930
США 132
шоу 6