By: lew 
on 23 December 2022 - 10:15
Tags:
Topics:
LastPass รายงานถึงเหตุข้อมูลรั่วจากระบบคลาวด์สตอเรจ ทำให้คนร้ายเข้าถึงข้อมูลสำรองทั้งระบบ โดยเหตุการณ์นี้เกี่ยวเนื่องกับเหตุการณ์เมื่อเดือนสิงหาคมที่ผ่านมา เพราะคนร้ายใช้ข้อมูลที่ได้ไปครั้งนั้นเอาไปเข้าระบบสตอเรจอีกที
ข้อมูลสำรองที่ได้ไป ทำให้คนร้ายข้อมูลไปจำนวนมาก โดยเฉพาะข้อมูลลูกค้า เช่น ชื่อบริษัท, ชื่อผู้ใช้, ที่อยู่เรียกเก็บเงิน, อีเมล, หมายเลขโทรศัพท์, และหมายเลขไอพีที่เข้าใช้งาน รวมถึงตัวฐานข้อมูลรหัสผ่านของลูกค้าเอง ยกเว้นข้อมูลหมายเลขบัตรเครดิตที่ไม่ได้สำรองไว้ในระบบนี้
ตัวฐานข้อมูลรหัสผ่านที่เก็บไว้กับ LastPass นั้นเข้ารหัสด้วย master password ที่ถูกแปลงเป็นกุญแจ AES-256 อีกชั้น ดังนั้นตอนนี้จึงต้องถือว่าคนร้ายได้ไฟล์ฐานข้อมูลไปแล้ว และถ้าตั้ง master password เอาไว้ไม่ดีก็อาจจะถูกคนร้ายไล่เดารหัสผ่านจนหลุดได้ หรือคนร้ายอาจจะพยายามหลอกล่อเหยื่อด้วยวิธีการต่างๆ เพื่อให้เหยื่อยอมบอกรหัสผ่านนี้
ทาง LastPass ระบุว่าผู้ใช้ตั้งแต่ปี 2018 เป็นต้นมาถูกบังคับให้ตั้งรหัสผ่านยาวถึง 12 ตัวอักษร และกุญแจยังสร้างจากฟังก์ชั่น PBKDF2 รันแฮช 100,100 รอบ ทำให้การยิงรหัสผ่านทำได้ยากมาก แต่หากผู้ใช้เป็นบัญชีเดิมที่ตั้งรหัสไว้สั้น หรือใช้ master password ซ้ำกับบริการอื่นๆ ก็ควรเปลี่ยนรหัสผ่านทั้งหมด
ที่มา - LastPass
Get latest news from Blognone
Follow @twitterapi
Comments
กุญแจก -> กุญแจ
บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P
ปวดหัวเลย ใช้ 2FA ดีสุดเปิด ได้เปิดมันให้หมดเลย ส่วนตัว ใช้ USB KEY Yubi https://www.yubico.com/
ถ้าไม่ต้องใช้ password login ได้ก็จะเปิดใช้ google ก็เปิด Advance Protection ป้องกัน
ทำไมเจ้านี้ โดนเจาะ และข่าวเรื่องหลุดบ่อยจัง จะย้ายเจ้าดีมั้ยเนี่ย
bitwarden
WE ARE THE 99%
โดนจนกลายเป็นเรื่องปกติแล้ว ค่ายนี้ แนะนำ bitwarden ประหวัติโดนโจมตีเป็น 0
KeepassXC ครับ
+1 ครับ
++ ดูแลด้วยมือเราเองดีกว่า
ผมใช้ KeepassXC ในคอมแล้ว sync ผ่าน OneDrive เอา
ส่วนใน iPhone ใช้ Keepassium
+1 Sync กับ NAS ผ่าน VPN กับพ่วง YubiKey ถ้าจะหลุดอีกคงต้องสะเพร่ากันสุดติ่งแล้วล่ะ
บล็อกส่วนตัวที่อัพเดตตามอารมณ์และความขยัน :P
จริงๆ มันเหตุการณ์เดียวกันต่อเนื่องกันมาน่ะครับ
lewcpe.com, @wasonliw
ผมใช้ vaultwarden (api compatible with bitwarden ใช้ client เดียวกันได้) host จากบ้านตัวเอง ไม่ต้องห่วงเรื่องโดนเจาะ
บ้านตัวเองจะไม่เจาะเหรอครับ ผมว่าก็มีความเสี่ยงอยู่นะครับ
ความเห็นผมนะ
ความเสี่ยงสูงไม่สูงมันอยู่ที่เป้าหมายของกลุ่มที่ผู้เจาะระบบสนใจด้วยครับ แบบข่าวนี้เขาเจาะส่วนกลางแล้วได้ก็หลายคนมันคุ้มกว่าไปหารายคนแบบ phishing และที่ฝากใว้ส่วนกลางนี่บางทีจะเป็นพวกพนักกงานบริษัทมีการเข้าร่วมด้วยเลยเป็นเป้าหมายได้ดีกว่า พวก pass ส่วนบุคคลที่ใช้กันเอง ที่ถึงจะเจาะได้มาความคุ้มค่าในการเสียเวลาเจาะอาจจะคุ้มน้อยกว่าเจาะส่วนกลางเลย
ผมใช้ 1pass เวอร์ชั่น 7 ที่ยังเป็นแบบเก็บไว้กับตัวอยู่เลย เพราะประหยัดไม่ต้องเสียรายเดือน และมันไม่ได้อันตรายขนาดนั้นถ้าเครื่องผมไม่โดน ยัดมัลแวร์ ซึ่งยากที่จะโดน เพราะผมไม้ได้ใช้โปรแกรมเถื่อนและโหลดโปรแกรมจากแหล่งที่น่าเชื่อถือเท่านั้น คือ official เลย
ver 7 นี่แอบเก่าอยู่นะครับ แต่ถ้าโชคดีไม่มีช่องโหว่ความเสี่ยงหรืออาจจะไม่เป็นที่นิยมก็โชคดี
ผมเคยเจอแบบ host เว็บ wordpress เก่าๆ ไม่ได้อัพเดตนาน เอาขึ้นมาเดือนเดียวก็โดนแฮ็คแล้วครับ
ปัจจุบันก็ ver 8 นี่แหล่ะครับ และเป็นแบบ รายเดือนเท่านั้นไม่มีซื้อขาดแล้ว
Ver 7 ยังเพิ่งมีอัพเดดล่าสุดมาน่าจะหมดระยะซัพพอตปลายปีนี้แหล่ะ
เละเทะเลยงานนี้ ดีที่ไม่ได้ใช้งานเจ้านี้
ความล้มเหลว คือจุดเริ่มต้นสู่ความหายนะ มีผลกระทบมากกว่าแค่เสียเงิน เวลา อนาคต และทรัพยากรที่เสียไป - จงอย่าล้มเหลว
ผมดันเป็นคนเคยใช้นี่สิ เดี๋ยวต้องกลับไปไล่เปลี่ยนให้หมด
นั่นสิ ปัญหาคือเคยใช้เนี่ยแหละ ถึงแม้ว่าตอนนี้จะไม่ได้ใช้แล้ว แต่จะไปไล่เปลี่ยนทั้งหมดก็หืดขึ้นคอเลย คงทำไม่ได้
Edit :
เมื่อกี้ไปลองลอกอินมา ลอกอินไม่ได้ พอไปเชคเมลมันบอกว่า Account ถูกลบไปแล้วตั้งแต่ปี 21 อันนี้จะรอดมั้ยหว่า @_@ คงไปกดลบแอคเค้าไว้ตอนที่ตัดสินใจเปลี่ยนมาเป็น Google ต้องขอบคุณตัวเอง ณ ตอนนั้นจริง ๆ
ผมก็ลบตอนย้ายมา bitwarden แต่จะมั่นใจได้งัย ว่าไม่ได้โดนลบหลอกๆ
นั่นสิ ผมเองก็กังวลในเรื่องนี้เหมือนกันครับ
โชคดีที่ย้ายจาก Lastpass ไป Bitwarden ตั้งแต่กลางปีนี้
เจอข่าวแบบนี้ก็ขอลาขาด ชาตินี้จะไม่ยุ่งเกี่ยวกับเจ้านี้อีกแล้ว
ดีนะย้ายไป Bitwarden ตั้งแต่ LastPass เริ่มเก็บเงินละ แถวตอนนี้ self host Bitwarden เอง เก็บ DB เองเลย
ผมใช้แบบเสียเงินอยู่หลายปี คงต้องขอลาจาก เพราะสื่อสารไม่ตรงไปตรงมา ถ้าแจ้งตั้งแต่ตอนสองเดือนก่อนจะได้รีบแก้ไข ตอนนี้ วิธีเดียวที่จะมั่นใจคือ เข้าไปเปลี่ยน password ทุก ๆ ตัวที่เก็บไว้ก่อนจะเกิดเหตุการณ์
ไม่เคยใช้โปรแกรมพวกนี้เลย เพราะคิดว่าไม่ปลอดภัย และต้องมีแบบนี้สักวัน
จริงๆ เคสแบบนี้ทำให้เราเห็นคุณประโยชน์ของการเข้ารหัส end-to-end เลยนะครับ ข้อมูลที่ผู้ให้บริการอ่านได้มีเฉพาะข้อมูลที่จำเป็นต่อการให้บริการ ข้อมูล core ที่เป็นของเราก็ไม่หลุด (แบบหลุดไปแล้วอ่านได้) แม้ตัวบริการจะหลุดก็ตาม
สมมติพวกบริการฝากภาพถ้าในอนาคตมันหลุด แล้วข้อมูลหลุดแบบเดียวกัน แต่ภาพเข้ารหัสไว้ ก็น่าจะช่วยลดความเสียหายได้มหาศาลเลย
lewcpe.com, @wasonliw
เห็นด้วยครับ เป็นเคสที่ดีที่จะได้ทดสอบ end-to-end
แต่ถ้ามองในความเป็นจริง ผู้ใช้ถ้าเห็นข่าวแบบนี้แล้วกังวลก็คงต้องไล่เปลี่ยนรหัสบริการต่าง ๆ ใหม่หมด 😔
ถ้ากังวลที่สุดก็คงต้องเปลี่ยนรหัสทุกบริการครับ แต่การเข้ารหัส end-to-end ก็จะทำให้มีเวลาแก้ไขไปนานมาก ผู้ใช้สักคนต่อให้ตั้ง master password ไม่ดี กว่าคนร้ายจะขุดจนเจอนี่ผมว่าก็มีเป็นเดือน เราสามารถ reset ทุกบริการในฐานข้อมูลจนครบได้ทันแน่ๆ โดยชีวิตไม่กระทบอะไรมาก
เทียบกับเหตุการณ์แบบนี้ถ้าไม่เข้ารหัสแบบ end-to-end ตอนนี้ทุกบริการต้องจับ user ทุกคนที่ได้รับผลกระทบ reset รหัสผ่านทันทีทั้งหมด ตื่นเช้ามาไม่มีอะไรใช้ได้เลย กระทบชีวิตอย่างหนักแน่ๆ
lewcpe.com, @wasonliw
ตอนนี้บันทึกรหัสผ่านอย่างไรเหรอครับ?
จำครับ 😅
แล้วรหัสก็ไม่ได้เป็นรูปแบบเดียวกันทั้งหมด
แต่มีแพทเทิร์นของตัวเอง ถ้าแย่สุดจำไม่ได้ก็แค่กด forget password แล้วเปลี่ยนใหม่ 55
ก็คงจะทำแบบนี้ไปจนกว่าจะจำไม่ได้ครับ 😅
ปรกติพาสเวิร์ดผมจะหน้าตาแบบนี้ครับ
m/(]qxYc}HctE}L?%q#ถ้าให้จำสัก 5 อันโดยที่ไม่ซ้ำกันเลยก็อาเจียนละครับ นี่คือตอนนี้มีเกินครึ่งร้อย 555
เข้าใจนะครับอาจจะเป็น generate password เป็นผมก็จำไม่ได้ครับ 😅
มันไม่มีอะไร 100% หรอกครับ สักวันบ๊กมันต้องเกิด
อ้าาาาา ขี้เกียจ แก้รหัส มันอปิด 2fa หมดแล้ว รอดไหมเนี่ย
Password web ผมก็ save ลง Chrome ส่วนบน โทรศัพท์ถ้า save บน Chrome ได้ ก็ทำ ไม่ได้ผมใช้ Samsung ก็ใช้ Samsung pass จำเอาคิดว่าชาตินี้คงไม่เปลี่ยน ยี้ห้อ อย่าง Samsung pass เวลาเปลี่ยนเครื่องก็ ย้าย Account Samsung ได้ง่ายๆ ผมใช้วิธีแยก password เป็นลำดับชั้น 3 ชั้น จะมีการเงินอันนี้บอกได้เลยว่าใช้ไม่กี่ที่ สำคัญ และ ทั่วไป ถ้าเป็นทั่วไปผมไม่สนใจเท่าไร อยาก Hack ก็เอาไป
ผมใช้ Samsung ก็ใช้ Google นะครับ คือมันซิ้งกับ Gboard ครับ ใส่รหัสผ่านที่เซฟใน Chrome บนแอพได้เลย
ได้ตัวฐานข้อมูลไปด้วย ยังดีมีเข้ารหัส แต่ก็น่ากลัว
ว่าจะๆ ย้ายค่าย ไม่ได้ย้ายซักที เห็นทีคราวนี้ต้องโบกมือลา
ป.ล. จริงๆ หลังๆ ฝากชีวิตไว้กับ Chrome Password manager ก็รู้สึกว่า อืม ก็พอสำหรับเราแล้วนะ
bitwarden กันครับ :)
ดีนะ ใช้งานอยู่เรื่องเดียวกับ vendor ที่ uk แถมเป็น password ของแอพที่รันอยู่ใน private network
..: เรื่อยไป
You have one job, bro! 😤
1Password อย่าไปเลียนแบบเค้านะลูก 😰
ใช่ๆส่วนตัวก็ใช้ 1Password ตาม Ryan Renolds อย่าให้เป็นเหมือนกันนะ
เห็นว่าเขาพลาดแบบนี้ ต่อไปเขาจะพัฒนาการป้องกันให้ดีขึ้น คงจะไม่พลาดอีก หลังจากนี้เราควรไปสมัครใช้ (ตรรกะนี้ใช้ได้มั้ยหว่า)
ตามความรู้สึกคือใช่ไม่ได้อ่ะครับ
มันก็จะดีขึ้นแหละ แต่ถ้าการแก้ไขนั้นคือทีมเดิม บริหารชุดเดิม มันก็จะออกมาแนวเดิมๆ มันก็ดีขึ้นล่ะแต่มันก็คงแนวเดิมๆ
สอบถามหน่อยครับ พวกนี้มันต่างหรือดีกว่าที่มีใน chrome ยังไงครับ
มันเก็บ password ครั้งเดียวและ sync ให้สามารถใช้ได้หลายอุปกรณ์ครับ อย่าง pc, mac, iphone, ipad มันมีตัว lastpass app อยู่บนอุปกรณ์เหล่านี้
เวลาไปสมัครสมาชิกเว็บต่างๆ เราควร random password ในการสมัคร ไม่ควรใช้ password เดียวกันซ้ำๆ หลายเว็บเพราะมันไม่ปลอดภัย
เหมือนโครมก็ทำได้เปล่าครับ บางเว็บผมก็ให้โครมมัน Gen มาให้
ถ้าว่ากันด้วยไทม์ไลน์ โครมเพิ่งทำได้ไม่นานเองครับ ตอนนี้เลยไม่ต่างกันแล้ว
จริง ๆ แล้ว MS Edge ก็ทำได้เช่นกันครับ
ไม่ต่างกันนะครับ ของเอเปิลก็มีเหมือนกัน
chrome ทำได้เฉพาะกับ sign in website ส่วน app พวกนี้ ทำกับ app ที่ติดตั้งที่เครื่องได้ด้วย
Chrome ผมไม่รู้ว่าบน iOS ทำยังไง แต่บน Android มันเชื่อมกับบัญชีเครื่องแล้ว login app ได้นะครับ
กระทั่ง Microsoft Edge ก็ยังเติมรหัสผ่านแอปอื่นๆ ได้โดยให้ browser ทำตัวเป็น password manager ของเครื่องนี่แหละครับ
iOS ก็ทำได้ครับ (แต่ผมใช้ BW)
บน Android อนุญาตให้เลือกแอพ Password Manager ได้ ซึ่งเคสนี้คือเป็นแอพ Google App (Google Search) รับบทนี้ และซิงก์กับรหัสผ่านใน Google Account ของเราอีกทีครับ
ios ก็ทำคล้ายๆแบบนี้ได้เหมือนกัน(เลือกได้ว่าจะใช้ source รหัสผ่านจากที่ไหนบ้าง) เลยรู้สึกว่าไม่มีความจำเป็นนอกจากใช้แค่ของ chrome
หลักๆ บันทึก, กรอก , สร้างรหัสได้เหมือนกัน
แต่มีลูกเล่นและใช้งานได้มากว่าคือ..
1 เพิ่มบันทึกได้มากกว่ายูเซอร์และพาสฯ เช่น ภาพ ,ข้อความสำคัญ , โอทีพี ฯลฯ
2 ประสบการณ์ใช้งานดีกว่า ดูเป็นโปรแกรมมากกว่า ค้นหาหรือจัดเก็บข้อมูลง่าย ,สวยงามและเป็นระเบียบ(บางแอพฯ)
3 แชร์หรือส่งต่อข้อมูลได้
ฯลฯ
อ้อ เท่าที่เคยเห็น มันจำ 2FA ได้ด้วยครับ
icloud keychain
google password manager
bitwarden
สามตัวนี้ ใช้ตัวไหนดีครับ
ถ้าอยู่ใน apple ecosystem อยุ่แล้วเอา keychain ไปง่ายดีครับ ถ้าสลับไปปมา หลายแพลตฟอร์ม bitwarden ดีกว่า แนะนำว่า จด recovery code ไว้อย่าให้หายนะ ผมนี้ โทรศัพท์เสียเชื่อม Goole Auth ไว้เรียบร้อยเลย
ขอบคุณสำหรับคำแนะนำมากค้าบ ❤️
recovery code นี่คือ master password ใช่ป่าวครับ
ไม่ใช่ครับ ถ้า Master Password คือกุญแจที่ไขเข้าบ้าน, หากไม่สามารถหากุญแจบ้านได้ เช่นทำหายหรือใด (รวมถึงว่าไม่สามารถรีเซ็ท Master Password ด้วยวิธีอื่นๆ ได้,) Recovery Code คือสิ่งที่จะช่วยให้เข้าบ้านได้ ซึ่งถือว่าเป็นทางเลือกสุดท้ายๆ จริงๆ
คนขี้ลืม | คนบ้าเกม | คนเหงาๆ
ใช้ของ iCloud อย่างเดียวเลย
ถ้าโดนแฮ็คนี่จบชีวิต ทุกอย่างอยู่ในนั้น
หรือจะกลับไปจำแบบเมื่อก่อนดี
ตอนนี้ใช้สมองจำรหัสผ่านทุกอย่าง ปัญหาคือจำไม่ได้ว่ารหัสไหนใส่กับเว็บไหน ._.
บริษัทที่ผมทำงานเพิ่งเปลี่ยนมาใช้ Lastpass เมื่อปลายเดือนที่แล้วนี่เอง
ผมก็เพิ่ง maintain password ต่างๆที่ใช้ในที่ทำงานและ web นอก เมื่อต้นเดือนธันวาคม
จะโดนหางเลขไปด้วยไม๊เนี่ย ?
Lastpass เลิกใช้ ตอนที่เขาเริ่มเก็บเงิน และเหมือนจำได้ว่าลบรหัสผ่านออกไปแล้ว
แฮกเกอร์มันจะยังกู้คืนได้ไหม