Käck-Tech Podcast

Lastpass Hackad: Vad betyder det och hur skyddar du dig?

Andreas & Ruben

I detta bonusavsnitt av Käck-Tech Podcast tar vi upp den aktuella händelsen där Lastpass har blivit hackade. Tillsammans diskuterar vi vad detta innebär för användare, hur man bör tänka kring sin digitala säkerhet och vilka åtgärder man bör vidta. Vi reflekterar över förtroendet för lösenordshanterare och ger konkreta råd för att skydda dina digitala uppgifter. Lyssna in för att få värdefull information och råd i ljuset av denna säkerhetsincident!

I samarbete med RØDE: För att säkerställa högsta ljudkvalitet i våra avsnitt, använder vi utrustning från RØDE. Detta samarbete baseras på utrustningsstöd i utbyte mot exponering, utan ekonomisk kompensation. Tack RØDE!

Support the show

Vill ni läsa mer om oss och podden kan ni klicka på länkarna nedan:

Musik: Splash - Harris Heller

Obs! Transkriberingen är autogenererad och kan därför innehålla felaktigheter.

Ruben:

Hej! Välkomna till extra avsnitt av podcasten. Vi ska prata om LastPass.

Andreas:

Jag har kits. Det är inte mycket tjeck teknik idag inte.

Ruben:

Men nej, det är ett kort och koncist avsnitt här nu i mellandagarna om LastPass och deras data läcka. Vi har ju nämnt LastPass flera gånger innan, bland annat för att andra har sett att någonting. Som tidigare så att jag hade haft LastPass som lösenordshanterare tidigare. Nämnde det förra avsnittet och sa att de har inte haft det läcka. Så det är nog inte så mycket att oroa sig för saker och ändra utseende. Spela in det som vi känner att vi behöver ge ut den informationen från vårt perspektiv också att vi inte har råkat rekommendera någonting som folk behöver använda.

Andreas:

Nej men så är det ju verkligen. LastPass, som ju råkade ut för en ganska så fin bransch egentligen av sin säkerhet i augusti i år. Och den informationen vi har haft fram till då, förra veckans avsnitt där vi spelade in det var att ja, det är inte så farligt, det har bara varit enkelt där. LastPass egen källkod det har varit. Lite teknisk data som företaget har sparat på sina servrar. Men nu har det kommit ut ett blogginlägg av LastPass där man erkänner att det var nu lite mer data som läckte ut i det här inlägget.

Ruben:

I.

Andreas:

Det som har hänt är egentligen att i augusti så läckte som sagt käll datan och lite teknisk data. Den datan användes inte upp Att hacka en LastPass anställd som genom att hacka den här fick man tag på en nyckel som ledde till en tredjeparts molntjänst där LastPass sparar lösenord. Bankvalvet eller valvet med alla lösenord. Så det som egentligen är summan av kardemumman här är att allas lösenord valv. Har lekt så. Man ska inte förringa risken med det här. Vi ska gå igenom det också. Men den är fortfarande krypterad. LastPass har inte huvud lösenordet till ditt data valv. Så den är fortfarande krypterad med 256 AES kryptering. Men för att öppna dessa behöver du ditt huvud lösenord. Dilemmat är ju att det här har ju varit läckt sen nån gång i augusti och. Normalt sett när till exempel jag loggar in i min lösenordshanterare så använder jag mitt huvud lösenord och sen har man en tvåfaktorsautentisering. När man får tag i valvet så behöver du bara lösenordet för att köra av kryptering tjänst och då kan du egentligen bara köra bibliotek av vanliga lösenord. Att de som har väldig bra lösenord sitter väl hyfsat säkert i båten för tillfället. Övrigt så här. Om man har ett bra lösenord så kanske man och använder LastPass kanske man inte behöver stressa med att fixa allting, men har man ett dåligt huvud lösenord då är det dags att byta lösenord på LastPass. De byta lösenord på alla såna här tjänster som är. Viktiga för att till exempel din huvudman blir inte av med ditt.

Ruben:

När de vill rekommendera han Och ansåg jag att om man har och har haft så ett lösenord på och det tävlas tumlas fort som rackarns om du tro mig det är lite halv osäkert och även föreslå att du säkert byter låt för säkerhets skull. Men. Också någonstans. Om du tror att det är halvsegt så byt på alla ställen du har loggat in på belastas med. Ska du eller byta alla ställen? Kanske det är dags att byta till en annan lösenordshanterare då för att låsa eller göra jobbet

Andreas:

att jag skulle vilja säga vid det här laget att jag tror för Vi har rekommenderat LastPass tidigare och jag har använt LastPass tidigare. Sen så har väl jag jag slutat använda det för att det numera kostar det pengar och har de basala funktionerna jag ville ha. Men. Vi kan nog ganska enigt säga att vi tar bort rekommendationen för LastPass, i alla fall för nu. För som det ser ut nu. Sånt här kan hända alla företag. Det är jätte oturligt och det är nånstans också. Jag vet inte hur mycket den mänskliga faktorn spelat in här eftersom du har varit en anställd på LastPass som har blivit hackad, men det visar också på den mänskliga faktorn i det hela tycker jag. Och ja, alla tjänster kan bli hackade. Absolut. I det här fallet så är det som irriterar mig mest är. Den brist på transparens som har saknats från början. För om de här valven läckte i det här valvet så finns ju till exempel folk som har sparat sina kreditkort, folk som har sparat användarnamn, lösenord

Ruben:

I.

Andreas:

och säkra anteckningar man kan ha sparat. Allt. Det ligger ju i valvet, det är krypterat. Men sedan i augusti om du har tillräckligt bra dator som är duktig på att köra x antal miljoner varianter av lösenord så det är klart att man kan brute force det under den tiden. Samt det är klart att det tar tid också. Men har du en någorlunda bra dator och folk råkar ha någorlunda dåliga lösenord så går det ganska fort. Vilket. Innebär att de saker kan ju börja läcka. Någonting också som har kommit med det här är att. När du har valvet får du också tillgång till den mejlen som i valvet är kopplat till. Vilket innebär att de som har LastPass kan ska nog akta sig för nätfiske i mail som försöker se ut vara LastPass och försöka få ut lösenordet med huvud. Lösenordet är ju nånstans det som krypterar i snitt totalen liksom. Och en annan sak Som en säkerhetsforskare upptäckte för något år sedan att LastPass till exempel inte har noll på allt. De har sedan nolla på vilket användarnamn och lösenord du använder, för det är krypterat. Men det är de inte. Har noll koll på vilka hemsidor du har sparade i ditt valv. Vilket innebär att d d gjorde var att man använde ett visst kommando som ligger under http för att spara ner småsmå loggor som var knutna till valvet för att man ska kunna. När man loggar in i LastPass låser loggarna till exempel amazon.com. När du har en Amazon länk. Och dem upptäckte man för något år sedan att de. Är också kopplad till arbetet om du får tag på. Valmet får också tag på vilka hemsidor som finns i valvet.

Ruben:

Jag hade ju bytt lösenord på alla ställen jag kan och bara varit väldigt vaksam om jag haft LastPass mot alla mail som kommer hemsidan

Andreas:

I.

Ruben:

mer än tidigare.

Andreas:

när jag såg det här så gick jag in och bytte lösenord på alla mina vitala sidor eftersom jag använde LastPass. När jag börjar använda lösenordshanterare så kommer jag ut. Jag är ju lite osäker nu på hur många av de lösenorden som är samma fortfarande. Nu bytte jag för kanske 03:04 år sedan, men. Till exempel, Vad vet jag. Outlook frågar ju inte mig konstant om att jag ska byta lösenord.

Ruben:

Nej.

Andreas:

Nej, och det jag gjorde var att jag bara exporterade valvet från LastPass rätt in och så importerar jag det i ditt val. Så det man ska man ska nog vara Har man LastPass. Ditt lösenord på alla vitala ställen. Byt lösenord och funderar seriöst på om du ska byta lösenordshanterare. Jag säger att. Det här kan hända vem som helst och det är en klar risk. Det därför är viktigt att ha 01:01 starkt huvud lösenord, men. Hur de har hanterat det här rent PR mässigt gör mig orolig. För det är den här informationen måste komma ut direkt så folk kan börja byta lösenord och spara sina kort och liknande. De ska inte ligga så länge innan innan man meddelar allmänheten. Sen kan inte jag lagarna och sånt omkring det här. Det kan vara så att de inte har behövt rent legalt. Men jag tycker att det är. Det är en självklarhet att meddela användarna att nu är ni i riskzonen och de har tagit för lång tid på sig. I min rekommendation är det vården eller pass för till exempel sagt, jättebra lösenordshanterare. Har erfarenhet av den också och känner man inte får lägga så mycket pengar så var den opensource väldigt betrodd. De flesta experter rekommenderar den. Jag skulle säga att det var det jag köpte var den. Jag börjar faktiskt nu i veckan betala för mitt hårda. Hela den sjuka summan av 10 euro om året.

Ruben:

Oj så dyrt du!

Andreas:

Men då får du också sådana rapporter som till exempel om du har svaga lösenord eller om du har vågat använda samma lösenord på flera ställen, eller om till exempel hemsidor som du har lösenord sparade på har blivit berikade och man har hittat om lösenorden någon annanstans. Jag tycker det samtidigt det känns som jag tog om, så då är det bara att betala för. Så. Har du läst? Funderar på att byta bytt lösenord på alla vitala ställen och byt på LastPass för guds skull. Problemet är att. Vi har ingen aning om den här backen som blivit tagen. Är en åtta månader gammal, en ett år gammal eller en månad gammal? Vi har ingen aning. Så för säkerhets skull, utgå ifrån att allting är kört. Byt lösenord. Byt allt. Och funderar på att byta lösenordshanterare. De har inte hanterat detta super snyggt. Så käckt! X Rekommendation av LastPass är därmed borttagen. Har du någonting du vill lägga till?

Ruben:

Nej, det tror jag inte.

Andreas:

Då säger vi så här. Vill man kontakta oss så mejlar man till Tactical Dimension com. Man ska inte glömma att prenumerera som inte missar såna här extra avsnitt och bonus avsnitt som till exempel kan informera om en tjänst som har blivit att man av någon anledning använder. Och när man ändå är inne i sin post eller kan man passa på och betygsätta oss. Vi är tillbaka igen som vanligt 9 januari i din favorit motspelare. Ha det gött så länge! Gott nytt år!

Ruben:

Hade.

Andreas:

Tja,

People on this episode