2014 a fost numit “Year of the Breach” după Heartbleed, Shellshock și alte “bubițe”. Da’ nici 2015 nu este de lepădat în privința asta, cea mai nouă ispravă fiind petrecută în curtea celor de la LastPass.
Adică da, fix serviciul care ar trebui să aibă grijă în cloud de parolele voastre a făcut o buba mică și oamenii răi au pus mâna pe niște date sensibile. Mai precis, după cum zic cei de la LastPass:
In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, however, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.
Deci nu-i dracul chiar așa negru, este mai mult un gri foarte închis. Să sperăm (adică să spere cei care folosesc LastPass) că algoritmul lor de criptare este suficient de sigur încât să nu poată cineva să afle ceva din hash-urile furate.
Dar tot rămâne imaginea destul de șifonată.
“… that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.”
din cate stiu conturile salvate sunt criptate cu parola master cel putin si salturile trebuie sa-si faca treaba.
ce e mai interesant … cand si-au dat seama de probleme si de cand au fost informatiile compromise
Conform articolului de la ei de pe blog și-au dat seama vineri de treaba asta. De când sunt compromise n-au zis.
Da, corect, sunt criptate cu master și ar trebui să fie ok cu salturile. Dar dacă au scăpat hash-uri de master și alea erau 123456, cam nasol.
Oricum, frumos cu ouăle ținute prin cloud.
Stii alta solutie mai buna?! Ca eu nu am gasit, si imbatranesc, mi-e greu sa tin minte 250 miliarde de parole …
KeePass e o alternativa, plus ca are si plugin pt autocomplete in browser. E local, poti sa-l instalezi sau sa il folosesti portable. Eu il folosesc pe mai multe calculatoare, iar dabatase-ul de parole il sincronizez cu wuala (encrypted cloud, mai nou nu mai ofera planuri gratis).
Si lastpass are pluginuri pentru autocomplete in browser. Si ceva aplicatii mobile (contra plan), dar pe care nu le folosesc (nu prea am incredere in browserele de tablete / telefoane).
La LastPass database se sincronizeaza cu oarece client propriu, care a functionat impecabil in ultimii 2 ani or so.
Corect, dar alternativa KeePass e un software local, nu in cloud.