Νέα σοβαρή ευπάθεια της τελευταίας έκδοσης του LastPass

[nnn]

Τα προβλήματα για το γνωστό password manager LastPass, δεν λένε να σταματήσουν. Με blog post της την Δευτέρα, η εταιρία του ενημερώνει τους χρήστες της εφαρμογής, για ένα πολύ σοβαρό exploit και δίνει οδηγίες προστασίας για την αποφυγή εκμετάλευσης του.

Over the weekend, Google security researcher Tavis Ormandy reported a new client-side vulnerability in the LastPass browser extension. We are now actively addressing the vulnerability. This attack is unique and highly sophisticated. We don’t want to disclose anything specific about the vulnerability or our fix that could reveal anything to less sophisticated but nefarious parties. So you can expect a more detailed post mortem once this work is complete.

In the meantime, we want to thank people like Tavis who help us raise the bar for online security with LastPass, and work with our teams to continue to make LastPass the most secure password manager on the market. And we want to offer our users with a few steps they can take to further protect themselves from these types of client-side issues.

Use the LastPass Vault as a launch pad – Launch sites directly from the LastPass vault. This is the safest way to access your credentials and sites until this vulnerability is resolved.
Two-Factor Authentication on any service that offers it – Whenever possible, turn on two-factor authentication with your accounts; many websites now offer this option for added security.
Beware of Phishing Attacks – Always be vigilant to avoid phishing attempts. Do not click on links from people you don’t know, or that seem out of character from your trusted contacts and companies. Take a look at our phishing primer.

We’ll provide further updates on the patch once complete.

Το exploit που ανακάλυψε ο ερευνητής του Google Project Zero Tavis Ormandy το περασμένο Σάββατο, αφορά ευπάθεια του client της τελευταίας έκδοσης του extension του LastPass, την οποία χαρακτήρισε “a major architectural problem.”.

Πηγές: Gizmodo, LastPass

[DVader]

Μήπως το έχουν στοχοποιήσει ..για κάποιο λόγο ..?

Λέω εγώ τώρα ...

[jap]

Τρομερό! Κανένα από τα ανταγωνιστικά προγράμματα ξέρουμε που να παίζει με Chrome και να κάνει import από το lastpass με κάποιον τρόπο;

Spoiler:

Πλάκα-πλάκα, έχω > 500 σετ με credentials εκεί μέσα.

[tsigarid]

Όσο πιο δημοφιλές είναι ένα πρόγραμμα, τόσο πιο συχνά γίνεται στόχος.

[DVader]

Όσο πιο δημοφιλές είναι ένα πρόγραμμα, τόσο πιο συχνά γίνεται στόχος.

Συμφωνώ αλλά σωστά το λές...απλά μου κάνει εντύπωση που συνεχώς βγάζει η Google και όχι ανεξάρτητοι ...
Απλα λέω μήπως σιγά θέλει να προωθήσει στο μέλλον το άμεσο κάτι δικό της..

[Wonderland]

Τρομερό! Κανένα από τα ανταγωνιστικά προγράμματα ξέρουμε που να παίζει με Chrome και να κάνει import από το lastpass με κάποιον τρόπο;

Spoiler:

Πλάκα-πλάκα, έχω > 500 σετ με credentials εκεί μέσα.

Το έχω αναφέρει ξανά με φορές με κίνδυνο... διαφήμισης, αλλά αφού τέτοια προβλήματα με το LastPass εμφανίζονται όλο και πιο συχνά, αναγκαστικά ο καθένας μας προτείνει τις εναλλακτικές που χρησιμοποιεί.

Sticky Password, σαφώς πιο ασφαλές από το LastPass μιας και είναι διαφορετικά στημένο. Δεν χρησιμοποιώ Chrome αλλά τον υποστηρίζει (και πολλούς ακόμη browser), όπως και LastPass import. Το import λογικά θα χρειαστεί έλεγχο και μικρο-διορθώσεις, αλλά τα περισσότερα θα περαστούν αυτόματα και κανονικά (συχνά-πυκνά βγάζουν εκπτώσεις για το lifetime license).

[eyw]

Εχουν γίνει βαρετοί, δίνουν λαβές σε τύπους σαν εμένα να σκέφτονται πολλά και διάφορα.
Last goodbye στο LastPass.
https://www.youtube.com/watch?v=2_4lI-V649M

[minas]

Συμφωνώ αλλά σωστά το λές...απλά μου κάνει εντύπωση που συνεχώς βγάζει η Google και όχι ανεξάρτητοι ...
Απλα λέω μήπως σιγά θέλει να προωθήσει στο μέλλον το άμεσο κάτι δικό της..

Η google ήδη προωθεί ως δικό της την αποθήκευση στον Chrome και συγχρονισμό στο cloud...

[DVader]

Η google ήδη προωθεί ως δικό της την αποθήκευση στον Chrome και συγχρονισμό στο cloud...

Σωστά πως δεν το σκέφτηκα ! Άρα λοιπόν έχει ένα ακόμα λόγο να ψάχνει προβλήματα σε ανταγωνιστικά προϊόντα......

[xhaos]

Τρομερό! Κανένα από τα ανταγωνιστικά προγράμματα ξέρουμε που να παίζει με Chrome και να κάνει import από το lastpass με κάποιον τρόπο;

Spoiler:

Πλάκα-πλάκα, έχω > 500 σετ με credentials εκεί μέσα.

keepass2

[jap]

Ευχαριστώ xhaos και Wonderland. Το keepass με είχε απογοητεύσει, το Sticky θα το δοκιμάσω. Αν δεν κάνει ίσως ξαναδώ το keepass. Τη δουλειά την κάνει και το dashlane, έχει και πολύ πιο όμορφο interface, αλλά οι δυνατότητές του σε σύγκριση με Lastpass είναι παιδικές.

Από το τεφτέρι που είχα τους κωδικούς (έγγραφο word password protected που κουβάλαγα πάντα μαζί μου) όταν είχα κάτω των 50 έχει κυλήσει πολύ νερό στο αυλάκι

[DVader]

Ευχαριστώ xhaos και Wonderland. Το keepass με είχε απογοητεύσει, το Sticky θα το δοκιμάσω. Αν δεν κάνει ίσως ξαναδώ το keepass. Τη δουλειά την κάνει και το dashlane, έχει και πολύ πιο όμορφο interface, αλλά οι δυνατότητές του σε σύγκριση με Lastpass είναι παιδικές.

Από το τεφτέρι που είχα τους κωδικούς (έγγραφο word password protected που κουβάλαγα πάντα μαζί μου) όταν είχα κάτω των 50 έχει κυλήσει πολύ νερό στο αυλάκι

Tο Word ποτέ δεν με βόλεψε ...Τo Excel όμως είναι κομπλέ...Ποτέ δεν κατάλαβα γιατί πρέπει να έχω ειδικευμένο πρόγραμμα για κωδικούς...
Εχω δοκιμάσει διάφορα ποτέ δεν βρήκα την χρηστικότητα του...

[tiatrou]

Tο Word ποτέ δεν με βόλεψε ...Τo Excel όμως είναι κομπλέ...Ποτέ δεν κατάλαβα γιατί πρέπει να έχω ειδικευμένο πρόγραμμα για κωδικούς...
Εχω δοκιμάσει διάφορα ποτέ δεν βρήκα την χρηστικότητα του...

Παρεπιμπτόντως και εγώ word αρχείο χρησιμοποιώ, μόνο τοπικά αποθηκευμένο και password protected.

[Wonderland]

Βασικές λειτουργίες των password managers είναι το autofill στους browsers, η αυτόματη δημιουργία δύσκολων κωδικών, αποθήκευση επιπλέον σχετικών πληροφοριών, logins κλπ. Τα Word και Excel δεν έχουν καμία σχέση με όλα αυτά. Μόνο σαν απλή αποθήκευση κωδικών μπορώ να τα φανταστώ, εκτός αν έχετε κάποιον άλλο ιδιαίτερο τρόπο χρήσης.

[tiatrou]

Βασικές λειτουργίες των password managers είναι το autofill στους browsers, η αυτόματη δημιουργία δύσκολων κωδικών, αποθήκευση επιπλέον σχετικών πληροφοριών, logins κλπ. Τα Word και Excel δεν έχουν καμία σχέση με όλα αυτά. Μόνο σαν απλή αποθήκευση κωδικών μπορώ να τα φανταστώ, εκτός αν έχετε κάποιον άλλο ιδιαίτερο τρόπο χρήσης.

Ακριβώς έτσι. Απλά μόνο ετσι νιώθω σχετική ασφαλεια. Τώρα τα password για email ή facebook είναι αποθηκευμένα στον browser, στον υπολογιστή του σπιτιού, τον οποίο τον χρησιμοποιώ μόνο εγώ. Αλλά τα password για webbanking σε 6 τράπεζες (δικά μου και της γυναίκας μου), οι κωδικοί των χρεωστικών καρτών, της εφορίας κ.τ.λ., δεν βρίσκονται πουθενά αλλά αποθηκευμένοι, και είναι πολυψήφιοι με γράμματα, αριθμούς και σύμβολα.