Z LastPass bylo možné krást hesla uživatelů. Chyba už je opravena, ale nemusí být jediná

Taky se nějak nedokážu smířit s tím, že bych všechna svá hesla svěřil nějakému kusu softwaru. Ty dvě složitá a hlavně unikátní hesla (mail a banka) se zapamatovat dají. V kombinaci s dvoufaktorem je to celkem v pohodě.

Vybrat z nabízeného seznamu pro daný server. Nikoliv automaticky. Toto nemusí být chyba jen LastPass, ale jakéhokoliv správce hesel, i vestavěného, i offline. Chyba spočívá v chybné detekci stránky.

Ale ten přeci může být zranitelný velmi podobnou metodou. Celé je to založené na principu, kdy škodlivý kód zfalšuje stránku v prohlížeči a doplněk správce hesel do stránky vyplní heslo tak jako to dělá vždy. Díky této chybě však vyplní údaje na falešnou stránku, která pak údaje pošle útočníkovi.Jak vidíte, chyba vůbec neřeší zda máte online či offline program na ukládání hesel - cokoliv může být náchylné, jakmile dokážete vhodně zfalšovat stránku.

A co KeePass offline a bez doplňku?

šmankote to je dotaz. Nejde vůbec o to jestli to je LastLass, KeePass, JackAss nebo třeba integrovaný správce hesel v chrome.
Je to jen o tom, zda správce hesel automaticky vyplňuje údaje a jakým způsobem detekuje načtenou stránku. Pokud je stránka detekována chybně (i kdyby to bylo třeba díky falešnému DNS záznamu) pak prostě zákonitě musí dojít k selhání libovolného programu spravujícího hesla.

Názor byl 1× upraven, naposled 31. 07. 2016 16:52

môžeš mať heslo aké chceš, keď niekto hackne službu(typicky ich databázu hesiel) na ktorej ho budeš mať ani 100 špeciálnych znakov ťa nezachráni..

Což není tak docela pravda. Většina služeb která alespoň trochu dbá na bezpečnost, hesla ukládá v zašifrované formě nikoliv plaintext.

Většina služeb... Podívej se na leakedsource.com a zkus si tam vyhledat svůj mail, docela bych věřil tomu, že se tam najdeš, vč. hesla převedeného do plaintextu.Bohužel i takoví velikáni jako LinkedIn a MySpace ukládali hesla bez dostatečného zabezpečení (salt, atd.),

Pochybuji, že vůbec existuje nějaká služba kromě manažerů hesel jako je LastPass, která šifruje hesla. Ještě jsem na takový projekt, který by hesla šifroval, nenarazil.

Tak mi rekni, treba Google, MS, nebo i pitomy seznam.cz, dle tebe uklada hesla v plaintextu?

Nikde neříkám, že se hesla ukládají v plaintextu. Ale zároveň se hesla nešifrují nýbrž hashují. Takže skutečně jediná služba, která hesla šifruje, je správce hesel.

Áno o tom samozrejme viem len som komentár zle sformuloval.
Skôr šlo o to že on hovorí aké zložité ma heslo a potom sa kľudne môže nájsť v nejakej Adobe databáze hesiel a podobne.. a vtedy je úplne jedno aké zložité to heslo je/bolo.

Názor byl 1× upraven, naposled 30. 07. 2016 11:53

Tak to samozřejmě není pravda.Hesla se neukládají jako texty. Útočníci dostanou hesla ve tvaru hashí. Pokud ty hashe byly "osolené" (nejen z hesla, ale i z nějakých náhodných znaků navíc) nebo nebyly, ale to heslo nejde brute forcnout ani najít ve slovníku (takže např tvojich zmiňovaných 100 speciálních znaků), pak je jim ta hash úúúúplně k ničemu

Heslo se uklada tak, jak je urceno autorem.
Jenze u vetsiny sluzeb vubec nemate sanci zjistit, jestli to vyvinul a provozuje nejaky imbecil a neuklada to v originale, pripadne nejakou ne o mnoho lepsi formou (i na tom hashovani se toho da kua moc pohnojit a celou snahu tim znehodnotit).
Tak jako tak je UPLNE JINA OTAZKA, co s Vasim heslem dela konkretni sluzba. V clanku i diskusi jde o to, NEKOMPROMITOVAT SI HESLA SAM.