Jak to funguje? Po zběžném přečtení mi přijde, že to má heslo k online účtu (přes který se synchronizují zašifrovaná data) a heslo lokální, kterým se šifruje databáze hesel (lokálně, a synchronizuje se šifrovaná přes ten online účet). Které heslo bylo zneužito? Vypadá to, že to lokální, ale u toho přece LastPass nemá jak zjistit, že bylo zneužito, když se používá pro offline dešifrování.
Ak to chapem spravne, tak rovnake heslo sa pouziva aj na sifrovanie, aj na prihlasovanie k sluzbe. Ale dane heslo sa lokalne hashuje a az nasledne sa pouziva na overenie oproti serveru. Cize samotna sluzba nevie rozsifrovat ulozene data. Kazdopadne, ide o jedno heslo pre oba ucely.
V tom linkovaném threadu je zmíněno, že je možné, že webová extension bude kompromitována, nebo bude zranitelná. Je to jedno z vysvětlení, jak mohlo dojít k úniku. Na druhou stranu tam týpek píše jednu celkem děsivou věc o 2FA. Má prý zapnuto a když ztratí token, může prý 2FA bez problémů deaktivovat a fungovat bez tokenu. To je pak taková 2FA celkem zbytečná.
Zdar Max
Ten znám také, ale nějak mi nedochází souvislosti. Nemohu zahajovat diskusi nad tím, co se píše v linkovaném threadu, nebo o co ti přesně jde?
Zdar Max
No že u 2FA bych čekal, že je vždy vyžadováno mít dva nezávislé kanály.
Tohle jsem komentoval, že se občas "engine" chová autonomně. To je to očividné, že někdo, komu dám důvěru (tj. LastPass), se chová jinak, než bych chtěl.
Ne, že je 2FA zbytečná, ale že je to podraz v jejím ne 100% fungování.
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.