Salasanojen hallintapalvelu LastPass on kertonut luvattoman kolmannen osapuolen päässeen käsiksi LastPassin käyttämään verkkopalvelimeen, jossa säilytetään käyttäjien tietoja. Yrityksen mukaan salasanat eivät todennäköisesti kuitenkaan ole akuutin hädän alla, sillä pääsalasanat, joilla salasanatiedostojen salaus avataan, eivät ole tallessa valmistajan servereillä. Vuotoa ei voi kuitenkaan pitää harmittomana, sillä käyttäjien perusasiakastilin tiedot, kuten nimet, sähköpostiosoitteet, laskutusosoitteet, puhelinnumerot ja IP-osoitteet, joista sovellusta on käytetty ovat vuotaneet.
Juuri mainittujen yhteystietojen lisäksi hakkeri on päässyt käsiksi käyttäjien salasanat sisältäviin tiedostoihin, jotka ovat LastPassin mukaan 256 bit AES -salauksella suojattuja. Suojauksen voi avata käyttäjän pääsalasanalla (master password), johon hakkerilla ei kuitenkaan ole mahdollisuutta serverin tietojen pohjalta päästä käsiksi, sillä LastPass ei säilytä sitä palvelimillaan.
Sen myötä hakkerilla on pari vaihtoehtoa, mikäli hän haluaa päästä salasanoihin käsiksi. Niin sanottu brute force, eli salasanojen perinteinen murtaminen useiden yritysten kautta, jota LastPass pitää epätodennäköisenä, mikäli salasanat mukailevat nykyajan suosituksia, eivätkä ne ole käytössä muilla verkkosivuilla, joista ne olisivat voineet vuotaa. Toisena ja kenties realistisempana vaihtoehtona LastPass mainitsee social engineerin ja phishingin, joissa hakkeri pyrkii saamaan käyttäjän itsensä paljastamaan pääsalasanan, sillä vuodon myötä hakkerilla voi olla käyttäjien yhteystietoja, joihin yhteyden ottaminen onnistuu.
LastPass muistuttaa, etteivät he itse kysy ikinä käyttäjien pääsalasanoja ja se tulee asettaa vain ja ainoastaan LastPassiin sovellukseen kirjautuessa.
Lähde: LastPass
Tämä uutinen on kyllä muuten hyvä tiivistys suomeksi siitä mitä LastPass on saanut selville
Androidilla avaa salasana-tiedoston, biometrinen autentikointi (sormenjälki), sitten kun hakee/valitsee palvelun, tulee ilmoitus-ikkunaan ylös valinnat "kopioi käyttäjänimi" ja "kopioi salasana". Tyhjentää myös leikepöydän hetken kuluttua automaattisesti.
Ehkä vähän väärä ketju, mutta copy/paste on hyvin yleinen tapa käyttää salasanoja, eli ne sitten jossain holviohjelmassa, tai viestissä, TXT tiedostossa.
Copy/paste kohdalla kun muistaa ettei sitä kautta kierrätä oikeasti tärkeää, ne voi epähuomoissa synkata leikepöytä tai näppis ym pilveen, jossa tieturva ei yhtä ihan niin kova.
Ymmärtääkseni ketjun palvelu ohjelmineen tukee ratkaisuja joissa ei tarvi kierrättää leikepöydän kautta, niin myös KeePaas kantoja tukevissa löytyy myös vastaavia ratkaisuja, mukaan lukien oma näppis.
Niin, no tietysti kannattaa miettiä, että käyttääkö palvelua joka on korkattu tänä vuonna kaksi kertaa ja aiemmin: 2011, 2015, 2016, 2017, 2019, 2021. Ja nyt kun käy ilmi, että kaikkia tietoja ei olekaan kryptattu vaikka muuta väittävät, niin voiko heidän sanaan enää luottaa? Eikä heidän uskottavuutta lisää se, että tätä asiaa on salailtu kuukausia.
Toivottavasti palvelua käyttävillä on vahva pääsalasana, tuollainen GTX 4090 kun käy 190000 arvausta sekunissa, tosin normaali käyttäjä tuskin on hakkereiden hampaissa ensimmäisenä, vaan kohteena on tärkeämpi käyttäjäkunta.
Hienoa sinisilmäisyyttä. "Ihan hyvä ja turvallinen palvelu säilyttää salasanoja, korttinumeroita. Ei se ole korkattu kuin melkein kymmenen kertaa".
Se että asiakas vaihtaa salasanaa tarkoittaa sitä että ne salasanat pitäisi vaihtaa jokaikiseen palveluun mikä on LastPassissa ollut.
"Kaikkia tietoja", siis nimeä, puhelinnumeroa, jne ei ole kryptattu? Ymmärrän näkemyksen että "kaikki" tieto pitäisi olla kryptattu ja tietysti palvelua saa kritisoida mutta en minä siihen ottanut kantaa vaan vaultteihin, joten en ihan ymmärrä miksi keuhkoat minulle palvelun tasosta kun en siihen ottanut mitään kantaa.
Joku tietoturvaexpertti voi kommentoida paremmin, mutta ymmärtääkseni AES 256 salausta ei ole vielä bruteforcetettu joten jos salaus on tehty oikein niin vaulttien tiedot ovat edelleen kohtuullisen hyvässä turvassa.
Kiitoksia sinisilmäisyys kommentista, palvelun laadusta voidaan tietysti olla montaa mieltä mutta pointtini on edelleen että jos nuo vaultit on cryptattu kunnolla AES 256 ja kryptauksessa käytetyt avaimet on luotu salasanasta generoimalla esim PBKDF2 + suolattu asianmukaisesti niin vaulttien vuotaminen ei ole välitön maailmanloppu koska niiden avaaminen on aika tuskallinen operaatio ja ne joutuu availemaan yksitellen.
Tämähän siinä juuri on olennaista. Jostain syystä Lastpass on onnistunut markkinoimaan palveluaan niin hyvin että osa kohderyhmästä käyttää ja jopa puolustelee sitä, vaikka se on kerta toisensa jälkeen korjattu ja todettu turvattomaksi. Taisin jo useampi vuosi sitten todeta, ettei tulisi enää mieleenkään käyttää sitä.
Nyt hieman arveluttaa, että muistinko varmasti aikoinaan Bitwardeniin siirtyessä deletoida Lastpassista kaiken ja toisaalta vaikka olisinkin muistanut, niin voiko edes luottaa että tiedot poistuivat sieltä.
Jep. Sitten tuohon päälle vielä järkyttävän hinta + muut sekoilut. Bitwarden lähes samoilla ominaisuuksilla maksaa 10e/vuosi ja on vielä avointa koodia.
Tammikuun lopussa olisi uusiutumassa, pitääkin yrittää etsiä mikä on seuraava veloitus.
Apple Keychain 0 euroa ja automaattisesti kaikissa Applen laitteissa.
Jos siellä oli jotain tunnuksia, ne on vuodettu ja aika näyttää saavatko hyökkääjät vaultteja auki. Siellä olleet salasanat siis vaihtoon. Tili kannattaa poistaa toki tästä huolimatta, mutta jo tapahtunutta sillä ei voi perua.
Kökkösysteemi verrattuna Keychainiin.
Ei ole ollut hetkeen enää mitään sisältöä siellä minulla. Joskus keväällä jo poistin kaiken. Tunnuksella tarkoitin siis tiliä, kuten ilmaisitkin paremmin. Joten sen suhteen ei pitäisi olla hätää.
Ei paljoa lämmitä joku kuppanen työmäkin keychain kun windows koneella tai android luurissa tarvit salasanoja.
Google Password manager 0 euroa ja automaattisesti kaikissa Googlen laitteissa ja Chrome selaimessa.
E: Minulla käytössä sekä Googlen password manager että Bitwardenin ilmaisversio.
Joo nää on aina "hyviä" kun pitää sulkeutua koko ekosysteemiin jos haluaa käyttää salasanoja
Siis AES256-salausta ei ole murrettu, mutta (lähes) kaikkea voi aina brute-forcettaa: Jos jollain on on se "master"-salasana lyhyt ja heikko muutenkin, niin ei mene nykyvehkeillä kauaa brute-forcettaa sitä AES256-salattua tiedostoa auki. Mutta jos henkilö on ollut fiksu ja käyttänyt salasanan tilalla esim. pitkää ja turvallisempaa salalausetta (tarkempaa tietoa, mikä salalause on: https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Salasanat_haltuun.pdf sivulla viisi) niin tiedoston AES256-salauksen purkaminen voi viedä tuhansia vuosia nykyvehkeillä. Ongelma on nyt, että nyt jos nuo AES256-salatut tiedostot, joiden sisällä on niitä salasanoja ovat mahdollisesti nyt vuotanut ulkopuoliselle, niin tuo taho voi vapaasti brute-forcetella niitä auki.
F-Secure ID Protection ollut käytössä jo vuosikausia ja toiminut loistavasti aina eikä ole ollut tietoturvaongelmia.
Siihen on ihan syynsä miksi mainitsin PBKDF2 + suolauksen, en tietysti tiedä onko LastPass tehnyt näin mutta tuo on "industry standard" tapa tehdä salasanasta AES-256 cryptausavain ->
" PBKDF2 applies a pseudorandom function, such as hash-based message authentication code (HMAC), to the input password or passphrase along with a salt value and repeats the process many times to produce a derived key, which can then be used as a cryptographic key in subsequent operations. The added computational work makes password cracking much more difficult, and is known as key stretching. "
Key streching -> " The concept of key stretching is to insert a random set of characters to increase the size of the password hash, making things harder for a brute-force attack "
Pankki, sähköposti, nordnet. Aika monella myös sometilit olisi sellaista, millä oikeasti pääsisi aiheuttamaan ongelmia ihmiselle. Luotan omaan päähäni ja kunnon salasanoihin/lauseisiin. Tämmöistä "EsimerkkiSatunnainen123Salasana"-rakennetta käyttävä passu on kätevä kirjoittaa, näitä muistaa kyllä sen 5 erilaista ja niitä ei ole yhtään sen helpompi murtaa kuin satunnaisia merkkejä peräkkäin olevia sotkuja. Älä käytä kriittisissä paikoissa samoja, mutta ihan turha noita on vaihdella niin kauan kun käyttämääsi palvelua ei ole korkattu.
Vähempipätöisiin ympäristöihin kuten tämä foorumi salasanat ovat sitten rakenteeltaan EsimPassu123 ja joku 5 eri salasanaa on käytössä kaikkiin mahdollisiin paikkoihin. Mitä sitten jos vuotaa joku finnkinon tunnuksen salasana? Tietenkään sinne ei mitään maksutietoja ole tallennettuna. Osoite, puhelinnumero ja syntymäaika on lähtökohtaisesti jokaiselta vuotanut joka tapauksessa jo. Ja jos ei halua niitä vuotavan, niin syötää väärin ne joka paikkaan…
”Peace of mind everywhere you go”
Keepass ja manuaalisesti siirrän kurantin salasanatiedoston kännykälle/kannettavalle jos isoja muutoksia tulee. En yhtään tykkää pilvipalveluista näissä asioissa.
Itsekin käytin LastPassia vuodet 2010-2018 ainakin. Alkoi firman jutkutus vituttaa, muunmuassa ilmaisen tilin rampauttaminen lähes käyttökelvottomaksi ja lukuisat muut ongelmat. Puhumattakaan siitä että taisivat tuplata premiumin hinnan? Siirryin Bitwardeniin, poistin LastPass tietokantani ja tunnukseni (toivottavasti? Ainakaan forget password ei anna spostiin mitään viestiä kys. paskalafkalta) ja siitä lähtien maksanut tyytyväisenä tuon kympin vuodessa, vaikka ilmaisellakin pärjäisi vallan hyvin. Osaksi maksan siitä, että voin käyttää hardware-avaimia 2FA ja osaksi siitä että haluan tukea projektia vilpittömästi.
Tuo jutkutus ja hintojen röyhkeä tuplaaminen, sekä ilmaispuolen rampauttaminen oli viimeinen naula omaan arkkuuni.
Vaan entä jos ei omista yhtään Apple laitetta?
Perustelisitko tätä väitettä? Kts. ylläoleva.
Keychain vain toimii niin sujuvasti ja ilman vaivaa. Kokeilin Bitwardenia ja poistin koska en jaksa harrastaa salasanojen hallintaa. Keychain on muuten yksi iso syy itselle mikä pitää Applen ekosysteemissä.
Sama juttu. Jotenkin salasanojen säilyttäminen jonkun ulkopuolisen tahon servereillä kuulostaa omaan korvaan sotivan koko salasanojen turvaamisen ideaa vastaan.
Itsellä oli sama mutta ainakin silloin ennen vanhaan Keepassissa ei ollut mitään integraatiota browsereihin tai android/iphone keyboardeihin joka tunnistaisi minkä palvelun salasanaa haluaa ja esimerkiksi nappaisi vaultista suoraan salasanan jos FaceId (iphonella) mätsää. Muutenkin käsin tuon vaultin viemistä android, iphone, työmäkki, desktoppi,…. ei enää kasetti kestänyt. Siksi Bitwarden nykyään.
Vaihdoin nyt kuitenkin kesällä Bitwardeniin halvemman hinnan vuoksi ja koska se on täysin open sourcea. Onhan tämä huomattavasti köykäsempi toiminnaltaan 1passwordiin verrattuna, mutta riittävä itselle.
Ajatuksen ymmärrän, mutta manuaalisiirto kuullostaa kovin työläältä, tosin pitää muistaa että käyttäjiä on erilaisia, salasana määrä voi olla pieni ja harvoin päivittyvä, jollain toisella päivittyy usein ja jos pilvisynkki toimii, niin silloin aika vahva käytettävyys etu vs käsin päivitellä.
No kumpi tahansa, niin sama lähtökohta, eli se että itse holvi tiedosto voi joutua ulkopuolisen käsiin, ja oletettava että ajankanssa nykyiset salaisuudet voivat paljastua.
Nykyään tilanne on onneksi parempi. KeePass toimii joka alustalla ja integraatiot selaimiinkin löytyy.