keskiviikko 16. syyskuuta 2015

LastPass murrettavissa. Vai onko?

Tieto­turva­tutkijat Alberto Garcia ja Martin Vigo ai­ko­vat pal­jas­taa mar­ras­kuus­sa et­tä Last­Pass oli­si mur­ret­ta­vis­sa, jo­pa kak­si­vai­hei­nen tun­nis­tau­tu­mi­nen oli­si ohi­tet­ta­vis­sa. Hie­man epäi­len asiaa, var­sin­kin jos käy­tös­sä on Google Authenticator, jos­sa vaih­tuu tun­nus­luku 30 se­kun­nin vä­lein. Mut­ta mis­tä­pä si­tä tie­tää.

Mut­ta eh­kä­pä mur­tau­tu­mi­ses­sa on käy­tet­tä­vis­sä jo­tain niin fik­sua että ei ole vä­liä miten kaksi­vaihei­nen to­den­nus on to­teu­tet­tu. Mi­nä en näis­tä niin ym­mär­rä.


Taasko turhaa kohua?

Hieman epäil­len suhtau­dun koko tähän uuti­seen, ja luu­len että taus­talta pal­jas­tuu jäl­leen ker­ran monta helpo­tusta verrat­tuna oikean elämän tilanteisiin. Näin­hän on ol­lut aikai­semmin­kin kun on väi­tet­ty Last­Passin mur­tu­neen. Mutta asia pal­jas­tunee mar­ras­kuus­sa. Sii­hen asti käyt­te­len Last­Passia täy­sin tur­val­li­sin mie­lin. Si­nä et aina­kaan sin­ne mur­tau­du! :)

Olen miettinyt myös, kuinka paljon on merkitystä sillä, että LastPassin voi asettaa hyväksymään kirjautumisen vain tietyistä maista.



Lisäys klo 10:12
LastPass on vastannut näihin väitteisiin:
  1. These reports were responsibly disclosed to our team over a year ago.
  2. All reports were addressed immediately at that time and do not pose an ongoing risk to LastPass users.
  3. Users do not need to wait to understand what the reports were about - all of them are covered in Martin's post from last year with the exception of the account recovery report, which was addressed at that time but was not covered in his original blog post.
  4. It's also worth noting that we explicitly warn users not to use the Remember Password option.


Linkkejä

Ei kommentteja: