HercegBosna.org

BBC

useless je napisao/la:

BBC je napisao/la:

I kakvi su dojmovi poslije duže vremena ? I za Lastpass i 1password.

Lastpass je nešto najbolje što sam ikada plaćao kao prenumeraciju. Koristim i 2way potvrdu preko Android App. Nek se jebu virusi, virusići, trojani i trojanići. I da uhvate master password nemaju koristi.

Dojmovi ostali isti, i dalje koristim sve uredno. Koristim besplatnu verziju. Ukljucio sam jednom dvostruku potvrdu vezanu za mobitel ali mi se ucinilo nepotrebnim kompliciranjem, ne znam. Palo mi je i na pamet sta bi se onda dogodilo kad bih izgubio, razbio mobitel, sto je veca vjerojatnost nego da dobijem trojanca ili nesto slicno, ali mi se nije dalo dalje istrazivat, pa sam iskljucio tu opciju.

Od sigurnosnih opcija sam jedino ukljucio da mi se last pass svugdje odlogira 5 minuta nakon sto sam ga upotrebljava tako da ne bi slucajno na nekom kompu ostao ulogiran.

To je standaridizirano. Ja LastPass Authenticator koristim za LastPass, PayPal, Proton Mail. Možeš jedan App koristiti za što hoćeš.

5 minuta nakon prijave je premalo i nepotrebno. Ima dvije opcije da se odjavi kad se browser zatvori i kad PC ode u sleep/resume. To je više nego sigurno.

useless · **Pridružen/a:** 09 vel 2014, 20:07 **Postovi:** 3011

Mislim da mi je i to ukljuceno, znam da sam odmah isao gledat to da me sto prije odjavljuje. Bubnuo sam 5 minuta ali mislim da sam trazio sto prije da odjavljuje i u sto vise scenarija. Uglavnom zadovoljan sam, postalo je nemoguce to hendlat danas kad te svako go*no trazi da se registriras.

Desilo mi se da sam za paypal zaboravio pass i ne mogu nikako vratit racun.

BBC

Onda si zaboravio login i za mail adresu sa koje si registirao PayPal.

useless · **Pridružen/a:** 09 vel 2014, 20:07 **Postovi:** 3011

BBC je napisao/la:

Onda si zaboravio login i za mail adresu sa koje si registirao PayPal.

Nije čak ni to, nego me uz potvrdu sa email adrese traže i da upišem broj visa kartice koju sam davno bacio ili da potvrdim sms na broj kojeg se uopće ne sjećam.

novem · **Pridružen/a:** 27 lis 2010, 16:06 **Postovi:** 29685

LastPass Authenticator može zamjeniti i Google Authenticator.

BBC

useless je napisao/la:

BBC je napisao/la:

Onda si zaboravio login i za mail adresu sa koje si registirao PayPal.

Nije čak ni to, nego me uz potvrdu sa email adrese traže i da upišem broj visa kartice koju sam davno bacio ili da potvrdim sms na broj kojeg se uopće ne sjećam.

Odi u banku, potvrdi identitet i dat će ti stari broj kartice.

novem · **Pridružen/a:** 27 lis 2010, 16:06 **Postovi:** 29685

Dakle za sva četri najpoznatija programa se može reći da više-manje imaju suštinski
problem s radnom memorijom.

https://bit.ly/2CBiL6y

https://bit.ly/2X6s0oE

No ipak, njihovo korištenje ima smisla. Nesporno.

novem · **Pridružen/a:** 27 lis 2010, 16:06 **Postovi:** 29685

Po austr. Standardu samo 10% Google usera koristi 2FA. Malo.

https://apps.derstandard.at/privacywall ... usaetzlich

BBC

U Lastpass to više ne postoji, zakrpili su. Svakako se radilo o Windows App (manje od 2% korisnika, ili 0.2% nisam skužio). Browser addon je siguran.
Inače ako ne koristiš OS kao root/admin miran si. Ako koristiš kao root pa dobiješ malware nije password manager kriv za to.

Okanite se Windowsa i pređite na Linux. Sad sam opet rat pokrenuo.

useless · **Pridružen/a:** 09 vel 2014, 20:07 **Postovi:** 3011

Ne znam detalje ali to mi se ne cini ko kritican bug. Sifre se i tako kad tad moraju naci u radnoj memoriji, ali su operativni sustavi tu da sprijece da itko tom dijelu memorije moze pristupiti osim LastPassa. Ne moze jedan proces pristupati memoriji drugog procesa, to jest ne bi smio neki virus ili malware bit u mogucnosti pristupiti radnoj memoriji koju trenutno koristi LastPass. To je garancija operativnog sustava.

novem · **Pridružen/a:** 27 lis 2010, 16:06 **Postovi:** 29685

Potražio sam podrobonije informacije za 1Password:

Citat:

Autom. prijevod: U 1Password 4, glavna lozinka se ne uklanja iz memorije nakon izlaska iz otključanog načina. Iako je lozinka skrivena u memoriji, istraživači su uspjeli pročitati jasan tekst. Jedna prednost 1Password 4 je da u otključanom načinu rada postoji samo jedna aktivna lozinka u običnom tekstu u memoriji. Za usporedbu, novija inačica 1Password 7 dešifrira sve pohranjene lozinke prilikom prelaska u otključani način i ostaje im običan tekst u memoriji.

Nadalje, s 1Password 7, nakon prelaska s otključanog u zaključano stanje, glavna lozinka, sve pohranjene lozinke i privatni ključ i dalje se čuvaju u memoriji. Stoga korisnici moraju ručno zatvoriti i ponovno pokrenuti upravitelj lozinki kako bi uklonili te podatke iz memorije. Podaci dostupni u glavnoj memoriji mogu se pojaviti i u memorijskim slikama tijekom rušenja sustava.

novem · **Pridružen/a:** 27 lis 2010, 16:06 **Postovi:** 29685

Broj korisnika prema firmi Independent Security Evaluators (ISE), koja je pravila njihov test
(veljača 2019.):

10 mil. Dashlane
15 mil. 1Password
16,5 mil. LastPass
20 mil. KeePass

BBC

Moraš tražiti novije informacije. To je staro 9 mjeseci a svi oni to prate i zakrpe ako mogu.

useless · **Pridružen/a:** 09 vel 2014, 20:07 **Postovi:** 3011

novem je napisao/la:

Potražio sam podrobonije informacije za 1Password:
Jedna prednost 1Password 4 je da u otključanom načinu rada postoji samo jedna aktivna lozinka u običnom tekstu u memoriji. Za usporedbu, novija inačica 1Password 7 dešifrira sve pohranjene lozinke prilikom prelaska u otključani način i ostaje im običan tekst u memoriji.

Oni mogu vidit sta je u memoriji tih procesa jedino ako su dobili privilegije od operativnog sustava, tj administratorske ovlasti. U praksi to znaci da bi nekom virusu koji ti pokusava procitat memoriju ti morao dati ovlasti za to. Ostavljanje lozinki u memoriji dok je aplikacija u zakljucanom stanju jest bug ali ne moze ti to nitko vidit bez potrebnih ovlasti.

Ako netko daje virusima takve ovlasti onda virus moze jednostavno pricekati dok je aplikacija u otkljucanom stanju i procitat sifre tada.

Znaci u stvarnom svijetu bi trebalo bit nemoguce iskoristiti tu "manu".

Al evo bbc kaze da je zatvoren bug, komentiram cisto s tehnicke strane.

BBC

Ode LastPass za $4.3 milijarde u druge ruke. Gotovina.

BBC

Nevezano za LastPass (mislim da se ništa neće promijeniti promjenom vlasnika), šteta što Bitwarden ima takvu filozofiju. Jest jeftino, jest OS, ali ta tvrdoglavost jednog i jedinog developera da u firmu pusti još developera (i vlasnika) radi trenutne i buduće zarade čini Bitwarden vrlo rizičnim. Jedna osoba, izgubi volju, nije zadovoljan zaradom. Pa na kraju nek se teško razboli i mora posvetiti zdravlju zbogom Bitwarden. Više ga nema ko održavati. Šteta što je toliko tvrdoglav i misli da tako kompliciranu stvar može sam održavati.

BBC

Ja, lijepo. LastPass kupuje firma koja šuruje sa CIA/NSA i izraelskom obavještajnom službom. Vrijeme tražiti nešto drugo.
NSA backdoor u LastPass skrivenom kodu više nego zagaratiran.

Ako vas zanima imate ovdje detaljno na kojim principima to fercera (kupovanje firmi od CIA i (zlo)namjerno ostavljanje backdoor u "security" opremi/software):
https://www.washingtonpost.com/graphics ... espionage/

Ministry of Sound

Mislim da se svi možemo složiti da je 2FA iznimno važan (ali ne i neprobojan). S obzirom da je SMS ipak najlakši za probiti, Google Authenticator se nameće kao najbolje rješenje (u biti Google Titan, Yubikey i ostala hardverska rješenja su najbolja, ali ne funkcioniraju sa svim aplikacijama).

Tu nastaje problem jer je Google Authenticator vezan za uređaj (mobitel). Gubitak mobitela ili prodaja starog prije nego što napraviš migraciju Authenticatora ti stvara potencijalne probleme. Meni se osobno dogodilo, i rezultiralo popriličnom gnjavažom.

E sad, postoji i opcija da taj token pohranite u sam password manager:

https://support.1password.com/one-time-passwords/

https://support.logmeininc.com/lastpass/help/lastpass-authenticator-lp030014

Jel iko probao? Inače, i ovo ne radi sa svim stranicama, moraju biti na https://twofactorauth.org/

U organizaciji imam dosta clueless boomera, i znam da će biti sranja po njih kad izgube mobitel.

Niko Komadina

BBC je napisao/la:

Ja, lijepo. LastPass kupuje firma koja šuruje sa CIA/NSA i izraelskom obavještajnom službom. Vrijeme tražiti nešto drugo.
NSA backdoor u LastPass skrivenom kodu više nego zagaratiran.

Ako vas zanima imate ovdje detaljno na kojim principima to fercera (kupovanje firmi od CIA i (zlo)namjerno ostavljanje backdoor u "security" opremi/software):
https://www.washingtonpost.com/graphics ... espionage/

Citao sam ranije kako su VPN mreze i te password usluge ustvari i napravljene od strane obavjestajnih sluzbi. "Posluzile su kao *** za muhe"

novem · **Pridružen/a:** 27 lis 2010, 16:06 **Postovi:** 29685