Pages:
Author

Topic: Neuspjeli pokušaj hakiranja (Read 512 times)

legendary
Activity: 2198
Merit: 1150
Freedom&Honor
January 27, 2020, 01:13:32 AM
#37
Quote
Dovoljno je da neko im hakuje server i ćao.

Koji dio od zero-knowledge nisi razumio?
Mogu server objaviti javno i svejedno nitko ne može do tvojih šifri.

Quote
Idemo sad 2020 ?

Dakle patchirano u 2 tjedna. Nikakav problem.

Quote
Friška novost je da im je Google store izbrisao extension... baš cool i zgodno.

Koji argument! Pa, ovi ostali ni nemaju add-on!

Uklonjen je slučajno na 2 dana, s tim da si mogao pristupiti svim informacijama kroz već instalirani add-on, aplikaciju na mobitelu i naposljetku na njihovoj stranici na internetu.

https://chrome.google.com/webstore/detail/lastpass-free-password-ma/hdokiejnpimakedhajhdlcegeplioahd?hl=hr

Baš je friška vijest, skineš si ga odmah Smiley

Hashcat i KeeFarce neću spominjati iz drugih razloga ali nije ni KeePass nevin
https://www.lifehacker.com.au/2016/06/keepass-vulnerability-lets-attackers-steal-passwords-but-dont-expect-it-to-be-patched/

legendary
Activity: 2212
Merit: 7064
January 26, 2020, 08:34:13 PM
#36
Stavio sam samo prve stranice sa internet pretrage, a internet je pun novosti o raznim LastPass hackovima.
Zakrpili rupe pre 3 godine, a sad se čeka da se nove pojave. Dovoljno je da neko im hakuje server i ćao.

Friška novost je da im je Google store izbrisao extension... baš cool i zgodno.

Quote
2011 security incident
On Tuesday, May 3, 2011, LastPass discovered an anomaly in their incoming network traffic, then a similar anomaly in their outgoing traffic. Administrators found none of the hallmarks of a classic security breach (for example, a non-administrator user being elevated to administrator privileges), but neither could they determine the anomalies' cause. Furthermore, given the size of the anomalies, it was theoretically possible that data such as email addresses, the server salt, and the salted password hashes were copied from the LastPass database. To address the situation, LastPass took the "breached" servers offline so they could be rebuilt and, on May 4, 2011, requested all users change their master passwords. They said that while there was no direct evidence that any customer information was compromised, they preferred to err on the side of caution. However, the resulting user traffic overwhelmed the login servers, and company administrators—considering the possibility that existing passwords had been compromised was trivially small—asked users to delay changing their passwords until further notice.

2015 security breach
On Monday, June 15, 2015, LastPass posted a blog post indicating that the LastPass team had discovered and halted suspicious activity on their network the previous Friday. Their investigation revealed that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised; however, encrypted user vault data had not been affected. The company blog said, "We are confident that our encryption measures are sufficient to protect the vast majority of users. LastPass strengthens the authentication hash with a random salt and 100,000 rounds of server-side PBKDF2-SHA256, in addition to the rounds performed client-side. This additional strengthening makes it difficult to attack the stolen hashes with any significant speed."

2016 security incidents
In July 2016, a blog post published by independent online security firm Detectify detailed a method for reading plaintext passwords for arbitrary domains from a LastPass user's vault when that user visited a malicious web site. This vulnerability was made possible by poorly written URL parsing code in the LastPass extension. The flaw was not disclosed publicly by Detectify until LastPass was notified privately and able to fix their browser extension.[31] LastPass responded to the public disclosure by Detectify in a post on their own blog, in which they revealed knowledge of an additional vulnerability, discovered by a member of the Google Security Team, and already fixed by LastPass.

2017 security incidents
On March 20, Tavis Ormandy discovered a vulnerability in the LastPass Chrome extension. The exploit applied to all LastPass clients, including Chrome, Firefox and Edge. These vulnerabilities were disabled on March 21, and patched on March 22.

On March 25, Ormandy discovered an additional security flaw allowing remote code execution based on the user navigating to a malicious website. This vulnerability was also patched.

2019 security incidents
On Friday, August 30, 2019, Tavis Ormandy reported a vulnerability in the LastPass browser extension in which Web sites with malicious JavaScript code could obtain a username and password inserted by the password manager on the previously visited site. By September 13, 2019, Lastpass publicly announced the vulnerability, acknowledging the issue was limited to the Google Chrome and Opera extensions only; nonetheless, all platforms received the vulnerability patch.
https://en.wikipedia.org/wiki/LastPass

Idemo sad 2020 ?
legendary
Activity: 2198
Merit: 1150
Freedom&Honor
January 26, 2020, 07:39:50 PM
#35

Drsko je samo to što se praviš pametan a pišeš gluposti.
Da si pročitao to što si objavio vidio bi ovo


Quote
In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed.

Quote
Password Manager LastPass Hacked, Exposing Encrypted Master Passwords

Ne znam zašto si linkao 6 članaka koji govore o ukupno 2 događaja, ali dobro. Možda se čini kao više? Smiley

Naravno da nisam obraćao pozornost jer sam znao da su moje šifre sigurne.
Valjda je bitnije biti pametan online nego stvarno pročitati kako LastPass funkcionira?
Da si pročitao znao bi za ovu evidentu istinu

LastPass koristi zero-knowledge odnosno nikad ne saznaju našu šifre i naše šifre se ne mogu otkriti sa njihovog servera i ako ga daju javno na uvid.

Sve što si objavio nije relevantno danas, popravljeno je prije najmanje 3 godine i nema veze s njihovim serverom na kojem se do šifre ne može doći ni ako se javno objavi.

Pa da ponovim svoje pitanje iz zadnjeg posta
Koje su to šifre provaljene?

Baš je zgodno na KeePassu i ostalima nakon svake nove šifre raditi backup za slučaj ako ti se sruše Windowsi, pokvari laptop ili ga netko ukrade Smiley
legendary
Activity: 2198
Merit: 1150
Freedom&Honor
January 26, 2020, 05:27:27 PM
#33
Osim što si ispunio dnevnu Yobit kvotu.... mogao bi malo bolje to proučiti pre pisanja i makar malo pročitati nešto o hacku koji se desio i pre pisanje da su 'šifre sigurme'.
Ako je na CLOUD-u to meni i drugima nije sigurno, zato sam ja prestao da koristim LastPass odavno.
Drugi mogu da rade kako im volja.

Koje su to šifre provaljene?
Moje nisu, nisam vidio da su tuđe, niti je to moguće Smiley

Quote
LastPass experienced a single security incident in our 10-year history, back in 2015. Bottom line, no encrypted vault data was compromised. Even under this most extreme test, our systems performed as designed and protected the encrypted vault data of our users; furthering our conviction and commitment to our 'zero knowledge' security model in which LastPass never has your master password or access to the data within your vault.
legendary
Activity: 2212
Merit: 7064
January 26, 2020, 05:05:17 PM
#32
Osim što si ispunio dnevnu Yobit kvotu.... mogao bi malo bolje to proučiti pre pisanja i makar malo pročitati nešto o hacku koji se desio i pre pisanje da su 'šifre sigurme'.
Ako je na CLOUD-u to meni i drugima nije sigurno, zato sam ja prestao da koristim LastPass odavno.
Drugi mogu da rade kako im volja.
legendary
Activity: 2198
Merit: 1150
Freedom&Honor
January 26, 2020, 04:53:13 PM
#31
Ja koristim LastPass i dosta je straightforward, nemam nikakvih problema s njime pa ga preporučujem Smiley
Bolji mi je od KeePassa jer ima automatsko dodavanje passworda u browseru kada se registriraš negdje i sinkronizira se i na tvom mobitelu.

Problem kod Lastpass-a je da se sve infoirmacije čuvaju na cloud-u a i desio se hack LastPass Leaked Login Credentials...
Za KeePass sada ima i ekstenzija 'Kee - Password Manager' za sve uredjaje.

Nisam proučavao previše no pošto su informacije enkriptirane dobrom šifrom mogu provaliti koliko hoću, naše šifre su sigurne.
A iz tog razloga imam sinkronizirano iste šifre na laptopu i na mobitelu Cheesy

Čekaj, nije mi jasno... Zar nije sa sigurnosnog stajališta najbolje imati različit password za svaki račun i ne spremati taj password nigdje? Jer svaki alat koji olakšava korištenje passworda zapravo smanjuje razinu zaštite.

Ali dobro, rekao bi da je korištenje provjerenih alata slično kao korištenje hardware walleta umjesto paper walleta kod čuvanja private keya. Paper wallet je najsigurniji (dok se koristi pravilno), a hardware walleta je "next best thing" her omogućuje malo više komocije kod korištenja ujedno zadržavajući dovoljnu razinu zaštite.
E sad, problem je kome vjerovati? Mogu li ja vjerovati ljudima koji preporučuju KeePass? Isto tako, mogu li vjerovati ljudima koji preporučuju Trezor ili Ledger? Vjerujem da se većina vodi za masom pa tako vjeruju onome čemu većina ljudi vjeruje...

Stranice se hakiraju i ako ne štite šifre dovoljno dobro dođe do leaka tvoje jedne šifre i emaila koji se tad isprobava za sve moguće stranice.
Password manager generira nepovezane šifre za svaku stranicu pa i ako jedna bude hakirana, hakeri će s njom moći pristupiti samo jednoj stranici.
Za pretpostaviti je da password manageri jako dobro osiguravaju sigurnost privatnih podataka.
legendary
Activity: 2212
Merit: 7064
January 26, 2020, 03:31:22 AM
#30
Tebi je jasno da nisu svi korisnici računala ljudi koji znaju blokirati određenom programu pristup Internetu? Recimo, ajde mi napiši kako bi starijem čovjeku objasnio to? Ja imam problem kad starijim ljudima objašnjavamo da inicijali i godina rođenja nisu dobra lozinka. Kako da im objasnim da postoji program koji će im pamtiti lozinke ali za svaki slučaj mu moraju blokirati pristup Internetu.

Razumijem to što govoriš. Ali to vrijedi za ljude koji se stvarno razumiju u IT. Čak ne bi rekao niti da svi "informatički pismeni" ljudi znaju takve stvari...

Prvo - za za KeePass nema potrebe da se to radi, jer 100% ne šalje nikakve podatke nigde.
Drugo - starijim ljudima je teško objasniti bilo šta, ali sve što treba je jedan minut u windows firewall, ili ja mogu odraditi isto za njih.

EDIT:
Još jedan info za LastPass:
https://www.ghacks.net/2020/01/23/lastpass-no-longer-listed-on-the-chrome-web-store/
legendary
Activity: 2590
Merit: 1236
January 26, 2020, 02:58:17 AM
#29
Ali u to možeš biti siguran jedino ako si programer pa znaš sam u kodu provjeriti sprema li program stvarno sve samo na tvom disku i ne šalje nigdje. Ako nisi programer, opet moraš vjerovati nekome tko to tvrdi.

Da se razumijemo... Ja sve ovo govorim općenito, a ne konkretno za KeePass program. Taj program nisam nikad koristio tako da ne znam kakav je.

Ne.
Fino i prosto uzmeš i blokiraš SVAKI kontakt programa sa internetom (u firewall) i ne može da šalje ništa.
To važi i za svaki drugi drugi program, ne samo za KeePass.

Za LastPass je dokazano da je hakovan.

Tebi je jasno da nisu svi korisnici računala ljudi koji znaju blokirati određenom programu pristup Internetu? Recimo, ajde mi napiši kako bi starijem čovjeku objasnio to? Ja imam problem kad starijim ljudima objašnjavamo da inicijali i godina rođenja nisu dobra lozinka. Kako da im objasnim da postoji program koji će im pamtiti lozinke ali za svaki slučaj mu moraju blokirati pristup Internetu.

Razumijem to što govoriš. Ali to vrijedi za ljude koji se stvarno razumiju u IT. Čak ne bi rekao niti da svi "informatički pismeni" ljudi znaju takve stvari...
legendary
Activity: 1526
Merit: 1359
January 25, 2020, 01:39:37 PM
#28
Upravo bila reportaža u središnjem dnevniku na HRT-u o navedenom 'sextortion' mailu.
 
legendary
Activity: 2212
Merit: 7064
January 25, 2020, 11:18:17 AM
#27
Ali u to možeš biti siguran jedino ako si programer pa znaš sam u kodu provjeriti sprema li program stvarno sve samo na tvom disku i ne šalje nigdje. Ako nisi programer, opet moraš vjerovati nekome tko to tvrdi.

Da se razumijemo... Ja sve ovo govorim općenito, a ne konkretno za KeePass program. Taj program nisam nikad koristio tako da ne znam kakav je.

Ne.
Fino i prosto uzmeš i blokiraš SVAKI kontakt programa sa internetom (u firewall) i ne može da šalje ništa.
To važi i za svaki drugi drugi program, ne samo za KeePass.

Za LastPass je dokazano da je hakovan.
legendary
Activity: 2590
Merit: 1236
January 25, 2020, 07:23:57 AM
#26
E sad, problem je kome vjerovati? Mogu li ja vjerovati ljudima koji preporučuju KeePass?

Ne bi ja nikome.
KeePass program je OpenSource i SVE se čuva na tvom lokalnom HD-u a ne na nekom Cloud serveru.
Svaki novi račun ima novi password.

Ali u to možeš biti siguran jedino ako si programer pa znaš sam u kodu provjeriti sprema li program stvarno sve samo na tvom disku i ne šalje nigdje. Ako nisi programer, opet moraš vjerovati nekome tko to tvrdi.

Da se razumijemo... Ja sve ovo govorim općenito, a ne konkretno za KeePass program. Taj program nisam nikad koristio tako da ne znam kakav je.
legendary
Activity: 2212
Merit: 7064
January 25, 2020, 06:54:38 AM
#25
E sad, problem je kome vjerovati? Mogu li ja vjerovati ljudima koji preporučuju KeePass?

Ne bi ja nikome.
KeePass program je OpenSource i SVE se čuva na tvom lokalnom HD-u a ne na nekom Cloud serveru.
Svaki novi račun ima novi password.
legendary
Activity: 2590
Merit: 1236
January 25, 2020, 01:29:52 AM
#24
Čekaj, nije mi jasno... Zar nije sa sigurnosnog stajališta najbolje imati različit password za svaki račun i ne spremati taj password nigdje? Jer svaki alat koji olakšava korištenje passworda zapravo smanjuje razinu zaštite.

Ali dobro, rekao bi da je korištenje provjerenih alata slično kao korištenje hardware walleta umjesto paper walleta kod čuvanja private keya. Paper wallet je najsigurniji (dok se koristi pravilno), a hardware walleta je "next best thing" her omogućuje malo više komocije kod korištenja ujedno zadržavajući dovoljnu razinu zaštite.

E sad, problem je kome vjerovati? Mogu li ja vjerovati ljudima koji preporučuju KeePass? Isto tako, mogu li vjerovati ljudima koji preporučuju Trezor ili Ledger? Vjerujem da se većina vodi za masom pa tako vjeruju onome čemu većina ljudi vjeruje...
legendary
Activity: 2212
Merit: 7064
January 24, 2020, 02:01:58 PM
#23
Ja koristim LastPass i dosta je straightforward, nemam nikakvih problema s njime pa ga preporučujem Smiley
Bolji mi je od KeePassa jer ima automatsko dodavanje passworda u browseru kada se registriraš negdje i sinkronizira se i na tvom mobitelu.

Problem kod Lastpass-a je da se sve infoirmacije čuvaju na cloud-u a i desio se hack LastPass Leaked Login Credentials...
Za KeePass sada ima i ekstenzija 'Kee - Password Manager' za sve uredjaje.
legendary
Activity: 2198
Merit: 1150
Freedom&Honor
January 24, 2020, 01:28:28 PM
#22
Ja koristim LastPass i dosta je straightforward, nemam nikakvih problema s njime pa ga preporučujem Smiley
Bolji mi je od KeePassa jer ima automatsko dodavanje passworda u browseru kada se registriraš negdje i sinkronizira se i na tvom mobitelu.
legendary
Activity: 2744
Merit: 1193
I don't believe in denial.
January 24, 2020, 09:36:34 AM
#21
[...] Obavezno - new account - new password

Da, to je jako bitno u ovoj kombinaciji... obavezno.

(Dobar!) PW menadzer - ocito - olaksava tu situaciju...
legendary
Activity: 2212
Merit: 7064
January 24, 2020, 06:45:41 AM
#20
Mislim da j i jedno i drugo jako bitno. Naravno... dobar PW je jako bitan (i da, osim iritacije spam mailova - ako nemas dobar filter - te liste nisu toliko opasne) ali isto je jako bitno imati vise email-adresa; i bitnim kontaktima dati vize adresa tako da nisi 100% ovisan o 1. adresi i u slucaju bilo koje nezgode sa nekom adresom uvijek - barem 80% - mozes nastaviti "business as usual"...

Tako je sbogovac.
Još bih samo dodao da je dobro uraditi password backup na neki USB/offline disk.

Keepass je jedan od boljih managera.
Obavezno - new account - new password
legendary
Activity: 2744
Merit: 1193
I don't believe in denial.
January 24, 2020, 06:36:31 AM
#19
Najbitnije je da koristiš password manager na kojem generiraš jaku šifru sa specijalnim znakovima i velikim i malim slovima.
Ako imaš dobru šifru, može ti mail biti na kojoj god listi hoće.

Mislim da j i jedno i drugo jako bitno. Naravno... dobar PW je jako bitan (i da, osim iritacije spam mailova - ako nemas dobar filter - te liste nisu toliko opasne) ali isto je jako bitno imati vise email-adresa; i bitnim kontaktima dati vize adresa tako da nisi 100% ovisan o 1. adresi i u slucaju bilo koje nezgode sa nekom adresom uvijek - barem 80% - mozes nastaviti "business as usual"...
legendary
Activity: 2198
Merit: 1150
Freedom&Honor
January 23, 2020, 02:09:56 PM
#18
Najbitnije je da koristiš password manager na kojem generiraš jaku šifru sa specijalnim znakovima i velikim i malim slovima.
Ako imaš dobru šifru, može ti mail biti na kojoj god listi hoće.
Pages:
Jump to: