Suosittuun salasanahallintapalveluun tunkeuduttiin
Suosittu salasanojen hallintapalvelu LastPassin mukaan se havaitsi verkossaan viime viikolla epäilyttävää toimintaa, minkä johdosta on syytä olettaa, että ulkopuolinen hyökkääjä on päässyt käsiksi tiettyihin palvelun käyttäjiin liittyviin tietoihin.
Hyökkääjällä on ollut mahdollisuus päästä käsiksi LastPassin käyttäjien sähköpostiosoitteisiin, salasanamuistutuksiin, käyttäjäkohtaisiin suolauksiin ja autentikointitiivisteisiin. Käyttäjien verkkopalveluissa käyttämiin salasanoihin ei ole kuitenkaan päästy käsiksi, eikä LasPass-tileille ole murtauduttu.
LastPass on vakuttunut, että sen suojausmenetelmät ovat olleet niin vahvoja, että useimpien käyttäjien kohdalla ei ole aihetta panikointiin. Varotoimenpiteenä LastPass kuitenkin ilmoittaa tapauksesta käyttäjilleen sähköpostitse, minkä lisäksi käyttäjien on varmennettava sisäänkirjautuminen sähköpostilla, mikäli he käyttävät LastPassia uudella laitteella tai uudesta IP-osoitteesta käsin. Käyttäjiä kehotetaan myös vaihtamaan pääsalasana.
17 KOMMENTTIA
DjZorlag1/17
On siis syytä olettaa että LastPassin käyttäjät on nyt suolattu?
RekookeR2/17
Eipä ole tullut sähköpostia asiaan liittyen ja toisaalta kukaan ei olisi tehnyt mitään mun salasanoilla tai salasanamuistutuksilla, koska vain itse kykenen purkamaan niiden salauksen.
Lumikki3/17
Vaikea sanoa kun molemmissa tilanteissa julkinen ilmoitus olisi ollut sama, päästiin niihin käsiksi tai ei. Koska yritys ei voi ilmoittaa julkisesti asiaa joka kaataisi koko sen yritystoiminnan perustan. Joten jos käyttäjä haluaa vetää varman päälle niin pitää olettaa että yritys valehtee vakavuudesta. Toisaalta ihminen joka käyttää tätä palvelua ei ole kovinkaan tietoturva tietoinen.
ramiselin4/17
Itselleni tipahti tänään kuuden aikaan aamulla viesti otsikolla "LastPass Security Notice".
user@org (vahvistamaton)5/17
Ymmärsinkö oikein, eli käytännössä kaikki vietiin.
Eli taitaa moni jopa ylittää keskiverron.
Eli tuota taitaa käyttää ne jotka ovat kyllä tietoturva tietoisia, mutta luottavaisia. (en tiedä kuinka riskaapeli ko palvelu on systeemiltään)
No vaikka pitäisi omassa pilvessä niin lähtökohta että sitä pidetään kuin itse tiedostot/kanta olisi kaikkien saatavissa. Eli salaus sen mukaan.
Sisältö taasen sen mukaan ettei haitaa jos tämänpäiväinen vuotaa julkiseksi myöhemmin.
Lumikki6/17
Ei, ne sanoo että kaikkea ei viety, mutta ongelma on että jos kaikki vietäisiin niin sanoisiko ne edes sen julkisuuteen. Koska se tarkoittaisi että koko palvelun idea olisi tavallaan pilalla. Turvaamme asian mutta se ei ole oikeasti turvassa. Ymmärrät varmaan yskän.
Miten tämän sanoisi, ihminen voi tietää mitä tietoturva on mutta hän ei välttämättä ole sisäistänyt asiaa jotta hän osaisi noudattaa tietoturvaa. Koska jos hän olisi sisäistänyt mitä tietoturva oikeasti on niin hän myös noudattaisi tietoturvaa. Ihminen joka siirtää salasanansa kolmannen osapuolen haltuun (pilveen) oli ne salattuna tai ei, ei noudata tietoturvaa.
user@org (vahvistamaton)7/17
Niin no ei sanota että viety, vaan sanotaan että on mahdollista että viety (oli mahdollisuus päästä käsiksi), jos siis uutiseen luottamista.
Tietoinen salaaminen romuttaisi uskottavuuden. se ei tarkoita etteikä yksittäisillä henkilöillä voisi olla salaamisen tietyissä tilanteissa yhtiön ja sen asiakkaiden etua painavampia syitä.
Kannattaa henkisesti varautua myös sellaisiin tilanteisiin että yhtiö ei tiedä kaikkea mitä yhkia asiakkaisiin ja heidän tietoihin kohdistunut. se uhka ja riski ehkä rankempi.
Joukkoon mahtuu varmaan heitäkin jotka eivät ole sisäistäneet. Mutta jotain on kuitenkin tarttunut jos esim uutisen palvelun on ottanut käyttöön.
Uutisen tyyppisten palveluiden käyttö on usein iso harpapus ns taviksen tietoturvassa.
Tietenkin sillä oletuksella ettei sinne tunge sellaisia asioita joiden tieturvakäytännöt kieltää.
Pilvi pelottaa, se ihan hyvä, pitää hereillä, vs paikallinen, äärrettömän vahavlla luottamuksella mutta se käytönnöss pilvenreunalla olemattomalla amatööriylläpidolla.
Keskiverto taitaa olle kuitenkin vielä surkeampi, eli se systeemi missä salasana on kymmennissä tuntemattomissa paikoissa. (samat salasanat useissa eri paikoissa)
Lumikki8/17
Kyse on useasta asiasta eli koko tietoturvassa on kyse pääsystä johonkin johon ei saisi päästä. Fyysinen pääsy vaatimus on täysin eri kuin digitaalinen pääsy. Internet on maailman turvattomin asia salaisuuksille, koska siellä internetissä ei ole oikeaa yksityisyyttä olemassakaan.
Sellaiset ihmiset jotka ei tajua tietoturvan päälle yhtään mitään niin heidän tietoturvansa ei parannu siitä että mennään ojasta allikkoon. Valheellinen turvallisuus ei ole turvallisuutta.
user@org (vahvistamaton)9/17
??, harva tuonne fyysisiä asioita pistää. Ei sillä etteikö "fyysisen" asian tallentaminen tuonne voisi olla turvallisempaa, kuin pitää fyysisenä.
Hyvä lähtökohta. En tarkoita etteikö internetissä olisi yksityisyyttä, eri asia sitten millä tasolla. Eikä se yksityisyys tässä "todellisessakaan" mailmassa ole mikään itsestään selvyys. saati 99,9%
En tiedä mitä yrität asiaan liittyän havainnollistaa.
Mutta ns holvipalveluiden käyttö on monesti isoharppaus tietoturvassa ja yleistäen varsin suositeltavaa. Tietenkin kannattaa miettiä mitä sinne pistää ja miten sitä käyttää.
En tiedä mihin moista kuvittelet yleisesti käytettävän ja unohdatko kokonaan että ne käyttäjien (netti) koneet on siellä internetissä myös, sillä erolla että niiden yllpito on täysin amatoorien käsissä.
Yleensä noita palveluita käytetään netissä käytettävien tietojen säilömiseen, esim jos tämän sivuston tunnukset on siellä, niin lähtökohtaisesti se on pienin riski. Jos siellä pidät kassakaappisi numeroyhdistelmää ja vertaat riskiä siihen että pitäisit sitä fyysisesti kassakaapin lähettyvillä. jälkimmäiseen riittää pääsy kassakaapin lähettyville, pilvipalvelu tapauksessa tarvitaan murto ja salauksen purku + se fyysinen pääsy kassakaapin luokse.
Nettiin ei kannata taltioida mitään sellaista jonka paljastuminen vuosienkin päästä olisi erittäin haitallista.Ei tiedossa salausta jonka luotettavuus voidaan 100% taata pitkällä aikavälillä. Mutta se ei niinkään moisten salasana holvien käyttöä tee sen vähempää suositelluksi, päinvastoin.
En tiedätkö suositteletkon moisen palvelun sijaan sovelluksia joilla tekee saman itse, omaan pilveen, niissäkään käyttäjä ei voi 99,9% luottaa sovellukseen ja ympäristöön jossa sitä ajaa. Pientä lisäturvaa voi hakea sillä että "holviin" tallennetut suuremmat salaisuuden hajauttaa ja suolaa omassa muistissa olevalla tavalla.
Ja muistaa "varmuuskopiointi", siis niin että muistitapaturman iskiessä ei katokäy. Ja jos kuolema iskee niin perikuntakin pääsee tarpeelliseen kiinni.
Jos mietit kokonaisuutta, niin yksi kaiken hoitava pilvi alkaa tuntumaan entistä paremmalta. (työasioissa sitte oman työnantajan oihjeiden mukaan)
Lumikki10/17
Kuinka monella ihmisellä on maailmassa internet yhteys ja näin pääsy siihen palveluun, sekä kuinka moni heistä osaisi murtaa sen julkisessa internetissä olevan palvelun.
Kuinka monella ihmisellä on mahdollisuus löytää sinut fyysessä maailmassa ja taloudelliset edellytykset päästä sinun luoksesi, sekä vielä omata kyky murtaa se kassakaappi.
Vertaa noita kahta asiaa.
Aika typerä kommentti eli verrata työasemaa ja palvelinta. Jopa ammattilaisella on vaikeuksia taata palvelimen tietoturvallisuus internetissä, mutta vähänkin tietoturvasta tietävä amatööri pystyy hyvään työasema (netti) tietoturvaan, jos haluaa noudatta tietoturvaa. Tähän asiaan on olemassa syys mutta sinä et taida edes tietää sitä.
JoniS11/17
Enneminkin mahdotonta, kuin vaikeata, eiköhän kasperskyn verkkoon murtautuminen ja sen valvominen todistanut sen.
user@org (vahvistamaton)12/17
En tiedä.
Palveluun murto on eriasia kuin salaisten tietojen saanti.
En tiedä tuotakaan.
miksi pistit jäkimmäiseen enemmän rajoittavia ehtoja ?
Mutta pyysit vertaa, jos jollain pääsy sinne kassakaapin luokse ja avain (koodin) on fyysisesti sen lähettyvillä, niin helppo nakki aukaista kassakaappi.
Jos koodi on digitaalisesti pilviholvissa, niin vaikea nakki.
Vähän tietävä amatoori kuvittelee. ns hyvää amatooritasoa voi toki saada aikaan. mutta asteikko on toki aivan eri kuin amattilaisten hyvässä.
En tiedä mitä tarkoitat.
Aivan totta, 100% on mahdotonta, varsinkin pitkälläaikavälillä.
Ei tarvi edes kuvitella vähän tietävän yksittäisen amatöörin mahdollisuuksia.
Lumikki13/17
Ei siinä ole yhtään enempää, vaan internetistä yksinkertaisesti puuttuu fyysinen matkustamien, joka tarvitaan fyysisessä maailmassa pisteen A ja B välillä. Kyse on internetin luonteesta ja se jo itsessään heikentää tietoturvaa.
Aivan, et tiedä koska et tunne tekniikkaa ja tietoturvaa riittävän hyvin, mutta silti haluat väitellä asiasta. Tässä vielä vinkki asiaan 172.16.0.0 mutta tuskin sittenkään tiedät mistä asia johtuu. Sen sijaan vähänkin tietoturvasta tietävä tajuaa asian heti. Miksi testaan sinua? Koska jos et ymmärrä edes tuota niin sinulla ei ole tietototurva väittelylle perustaa, koska luulet että internettiin kytketty työasema ja palvelin on tietoturvallisesti samalla tasolla.
Jotta voit sanoa että jokin on turvallisempi kuin toinen niin sinun pitää ymmärtää asia muutenkin kuin yleisellä tasolla. Eli ymmärtää eri vaihtoehtojen tietoturvallisuudet toisiinsa verrattuna eli muutkin vaihtoehdot kuin se mistä mentäisiin mihin. Ojasta allikkoon.
user@org (vahvistamaton)14/17
Jep, en myöskään kuvittele että vähän tietävä amatööri tuntisi, saati pystyisi huolehtiin tieturvasta ammattilais mittareilla hyvin.
En varma mitä yrität tuolla viestiä, mutta tuo lähinnä mieleen kuvtelman turvallisuudesta.
Jos tyäasemalla tarkoitat kaikkia nettiin yhteydessä olevia amatoriilaitteita ja palvelimilla ammattilaisten ylläpitämää ammattialiskamaa. niin en todellakaan luule että ovat samalla tasolla.
Häh.
Mutta siis holvipilvipalvelut nään entistä suosteltavampana, keskiverto, ja jopa vähän tietäväien amatoorien käyttöön. Kannattaa kuitenkin ensin tutustua ohjeistuksiin ja pitää mielessä että salaisuus voi niissäkin paljastua.
Lumikki15/17
Silti vaikka sinä, joka olet täysi tumpelo näissä asioissa neuvoo muille tumpeloille että joku vaihtoehto tuntuu hyvältä. Eikö sinulle edes hetkeksi ole tullut mieleen kysyä asiaa sellaiselta joka oikeasti tietää jotain.
Sanoo henkilö joka ei ymmärrä asiaa oikeasti. Sinä oletat että joku asia on parempi ilman että edes ymmärrät asioita.
Ihan hyvä neuvo kun tämä kyseinen uutinen on juuri sitä että tälläinen palvelu osittain murrettiin. Kannattaa myös pitää mielessä että mitä keskitymmin suuren massan salaisuudet ovat jossain palvelussa sitä houkuttelevammaksi sen murtaminen tulee ja Internet on huonoin mahdollinen paikka salaisuuksien säilyttämiseen.
Valkeakuulas16/17
user@org (vahvistamaton)17/17
Ammattilaiset kyllä suosittelee amatooreille kuvailtuja palveluita, samoin monet jotain tietävät amatöörit, osa heistä jopa itse käyttää.
Jos asioista ei ymmärrä niin kananttaa kääntyä ammattilaisten puoleen.
Josa ymmärtää niin ammattilaisten kimppaan.
Kyllä, nimenomaan.
Se on sekä hyvä juttu, että huono. Suosittu, tunnettu salausta monesti pidetään parempana kuin vähemmän suosittu huonosti tunnettu.
Eli suositussaon hyvää se että se kerää sitä koettelevia, eli sellaiset ovat ovat jatkuvassa syynissä ja ovat sitä olleet pitkään.
Jos jotain paljastuu, niin tieto leviää nopeasti, huono on sitten se että koskettaa laajoja joukkoja.
Mitä on vaihtoehtoja, itse tehty salaus, juu jos siitä on saa myöhemmin Nobelin. Eli ei ehkä yleisohje vähän tietäväille amatööreille.
Eräs nimemirkki antoi kuningas vihjeen, privaatti alueen IP.
Siinä taitaa olla kuvailtu IP mailman suurin tietoturvaharha.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT