<div><div dir="auto">In my opinion the “free lunch” here isn’t so much about money as it is convenience. The LastPass compromise affected all paid subscribers assuming they paid for peace of mind, not just the free tier users.</div><div dir="auto"><br></div><div dir="auto">Convenience can be seen both from the attacker side and the service side. For the attacker, it’s worth going to all this effort for the “convenience” of obtaining a huge amount of user data. For the service provider, storing URLs and customer info behind a common encryption key is convenient for performing certain analytics or offering certain features (like convenient annual or monthly billing).</div><div dir="auto"><br></div><div dir="auto">I’m certain all of the password manager services fall under attack relatively frequently. As unacceptable as breaches are, they happen all the time — and it comes down to good operational security and a bit of luck to avoid further compromise. LastPass suffered multiple operational security lapses leading to this compromise.</div><div dir="auto"><br></div><div dir="auto">Anyway, I hope this doesn’t scare people off from using password managers. The general public shouldn’t have to know how the sausages are made; they just have to be informed how best to use them and what to do if they have spoiled. In this case, I’d probably make sure multi factor authentication is enabled for everything I care about, slowly rotate passwords starting with the more important ones, consider using a different password management service, cook thoroughly to at least 160°F, and enjoy.</div><div dir="auto"><br></div><div dir="auto">-Rich</div></div><div><div dir="auto"><br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Dec 29, 2022 at 12:47 PM <<a href="mailto:palbin24@yahoo.com" target="_blank">palbin24@yahoo.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)"><div dir="auto">I think this falls into the “free lunch” discussion.<div>The paid subscriptions are a small price for piece of mind.</div><div><br></div><div>Full disclosure, I use Dashlane.<br><br><div dir="ltr">Peter</div><div dir="ltr"><br><blockquote type="cite">On Dec 29, 2022, at 8:17 AM, Rich Moffitt <<a href="mailto:rich@richmoffitt.org" target="_blank">rich@richmoffitt.org</a>> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"></div></blockquote></div></div><div dir="auto"><div><blockquote type="cite"><div dir="ltr"><div dir="ltr">The fact that LastPass infrastructure has been breached multiple times and are such a big target are reasons I don't feel like using them anymore. The vaults themselves are still encrypted, and (provided a good master passphrase was used) aren't likely to be cracked in a timely fashion. I'm actually more concerned about the plaintext URLs and other personal data that were scooped up as part of the breach. Some of these could include access tokens or personally identifiable data that could assist an attacker in compromising accounts without the credentials themselves.<div><br></div><div>Fortunately, there are good alternatives out there: trusty old Keepass for DIYers, Bitwarden for people who like browser integration and either want to host their own or use a decent free tier service, and 1Password / Dashlane / etc. for people looking for other convenience features and are willing to pay for them.</div><div><div><br></div><div>-Rich</div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Dec 27, 2022 at 4:51 PM Drew King (<a href="mailto:dking65@kingconsulting.us" target="_blank">dking65@kingconsulting.us</a>) <<a href="mailto:dking65@kingconsulting.us" target="_blank">dking65@kingconsulting.us</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;padding-left:1ex;border-left-color:rgb(204,204,204)"><u></u><div>All,<br><br>Some LastPass breach update information:<br><br>Android Central: LastPass confirms users' password vaults were stolen by hackers.<br><a href="https://www.androidcentral.com/apps-software/lastpass-user-data-security-breach-incident" target="_blank">https://www.androidcentral.com/apps-software/lastpass-user-data-security-breach-incident</a><br><br><div>-- <br>Drew King<br><br></div></div>===============================================<br>
::The Lexington Computer and Technology Group Mailing List::<br>
Reply goes to sender only; Reply All to send to list.<br>
Send to the list: <a href="mailto:LCTG@lists.toku.us" target="_blank">LCTG@lists.toku.us</a>      Message archives: <a href="http://lists.toku.us/pipermail/lctg-toku.us/" rel="noreferrer" target="_blank">http://lists.toku.us/pipermail/lctg-toku.us/</a><br>
To subscribe: email <a href="mailto:lctg-subscribe@toku.us" target="_blank">lctg-subscribe@toku.us</a>  To unsubscribe: email <a href="mailto:lctg-unsubscribe@toku.us" target="_blank">lctg-unsubscribe@toku.us</a><br>
Future and Past meeting information: <a href="http://LCTG.toku.us" rel="noreferrer" target="_blank">http://LCTG.toku.us</a><br>
List information: <a href="http://lists.toku.us/listinfo.cgi/lctg-toku.us" rel="noreferrer" target="_blank">http://lists.toku.us/listinfo.cgi/lctg-toku.us</a><br>
This message was sent to <a href="mailto:rich@richmoffitt.org" target="_blank">rich@richmoffitt.org</a>.<br>
Set your list options: <a href="http://lists.toku.us/options.cgi/lctg-toku.us/rich@richmoffitt.org" rel="noreferrer" target="_blank">http://lists.toku.us/options.cgi/lctg-toku.us/rich@richmoffitt.org</a><br>
</blockquote></div>
<span>===============================================</span><br><span>::The Lexington Computer and Technology Group Mailing List::</span><br><span>Reply goes to sender only; Reply All to send to list.</span><br><span>Send to the list: <a href="mailto:LCTG@lists.toku.us" target="_blank">LCTG@lists.toku.us</a>      Message archives: <a href="http://lists.toku.us/pipermail/lctg-toku.us/" target="_blank">http://lists.toku.us/pipermail/lctg-toku.us/</a></span><br><span>To subscribe: email <a href="mailto:lctg-subscribe@toku.us" target="_blank">lctg-subscribe@toku.us</a>  To unsubscribe: email <a href="mailto:lctg-unsubscribe@toku.us" target="_blank">lctg-unsubscribe@toku.us</a></span><br><span>Future and Past meeting information: <a href="http://LCTG.toku.us" target="_blank">http://LCTG.toku.us</a></span><br><span>List information: <a href="http://lists.toku.us/listinfo.cgi/lctg-toku.us" target="_blank">http://lists.toku.us/listinfo.cgi/lctg-toku.us</a></span><br></div></blockquote></div></div><div dir="auto"><div><blockquote type="cite"><div dir="ltr"><span>This message was sent to <a href="mailto:palbin24@yahoo.com" target="_blank">palbin24@yahoo.com</a>.</span><br><span>Set your list options: <a href="http://lists.toku.us/options.cgi/lctg-toku.us/palbin24@yahoo.com" target="_blank">http://lists.toku.us/options.cgi/lctg-toku.us/palbin24@yahoo.com</a></span><br></div></blockquote></div></div></blockquote></div></div>
</div>