» »

Shranjevanje gesel

Shranjevanje gesel

Rias Gremory ::

Pozdravljeni!

Že nekaj časa razmišljam kakšna rešitev bi bila najboljša za shranjevanje gesel. Ker bi rad večino obstoječih gesel zamenjal z bolj kompleksnimi in daljšimi postane problem ravno pri shranjevanju. Taka gesla si težko zapomnim in iščem najbolj optimalno rešitev.
Na Ubuntuju uporabljam TrueCrypt kjer imam shranjenih nekaj gesel, vendar me skrbi kaj če mi kaj crkne.
Potreboval bi tudi mobilnost, na primer da se hočem vpisati v e-mail iz knjižnice in imam kompleksno geslo, gesla pa imam shranjena doma.

Lep pozdrav, LinksysOne
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

fosil ::

Tole je precej paradoksalno.
Po eni strani imaš zaradi varnosti kompleksna gesla, po drugi pa do maila dostopaš z javnih računalnikov.
To ne gre skupaj.
Če res daš kaj na varnost potem gesel ne boš nikoli vpisoval na nobenem javnem računalniku.
Tako je!

Zgodovina sprememb…

  • spremenil: fosil ()

overlord_tm ::

Probaj tako da si zamislis stavke, ki si jih lahko zapomnis, potem pa se se zamisli algoritem, ki ti ta stavek pretvori v geslo. Ni cisto random, ampak bolje kot 123456

Oddin ::

Sam upoabljam KeePass Password Safe. Imaš tudi portable izvedbo, pa tudi za linux in androida. Vglavnem, zelo zadovoljen in čisto izgubljen brez njega.
Corsair Obsidian 750D, i5 3570 & 4.4GHz, Sapphire R9 290 Tri-X OC,
CPU+GPU EKWB Custom Liquid-Cooling Loop, Asus P8Z77-V DELUXE, Corsair Vengeance
Pro 8gb 1600MHz, Samsung SSD 850 EVO, Corsair AX860i

Zgodovina sprememb…

  • spremenil: Oddin ()

svetovid ::

Napiši si gesla na listek in ga prilepi na ekran :)

Rias Gremory ::

@fosil:
Vpisovanje na javnih računalnikih sem dal bolj kot primer, če pa že se vpisujem pa se z kakšnim manj pomembnim mailom.

@overlord_tm:
Hvala za idejo! Bom probu. :)

@Oddin:
Bom mogoče preizkusil programe ki si jih omenil. :)

@svetovid:
Do zdaj sem imel praktično vsa gesla napisana na vsaj 5 listkih in je po eni strani praktično po drugi pa ne. Dobra stran je ta da lahko odprem predal pogledam geslo, slaba pa da mi lahko kdo stika in pride do vseh gesel brez matranja. Mogoče bom imel kakšne manj pomembna gesla napisana na listku.
Hvala za predlog.

Lp, LinksysOne
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

svetovid ::

Ja no pri meni nobeden nebi stikal, zato mi je to najboljša metoda.
Pa če gledaš tisti listek vsak dan si boš ziher zapolnil geslo.

Zgodovina sprememb…

  • spremenilo: svetovid ()

metalc ::

Password Safe ali kaj podobnega (je kar nekaj alternativ), odvisno od OS ipd. V datoteki ti hrani številna up. imena, gesla itd., željenega ti niti ne prikaže, temveč vrže v clipboard in čez nekaj časa zbriše od tam. Zapomniti si pa moraš eno močno geslo, s katerim to datoteko kriptiraš. Seveda je to datoteko dobro backupirati in brez gesla itak nihče ne more nič z njo.

Zgodovina sprememb…

  • spremenilo: metalc ()

andrejus ::

To z gesli komplicirate preveč.

Malo je stvari ki potrebujejo dobro geslo. Poleg tega razlika med geslom:
"12345" in "2Fer5W1!r" je ogromna. Vmes je skoraj nešteto možnosti. Recimo geslo "MarjanCa16" je skoraj neugotovljivo. Pet takih gesel si pa ja boš zapomnil.

Združuj gesla za manjpomembnejše stvari skupaj, emaili naj imaj isto geslo, prijave v razne speltne trgovine isto geslo ipd Če je stvar res pomembna (recimo NLB klik)pa naj ima svoje geslo.

Če si paranoičen si pol nabavi tisti kartonček naključnih znakov in barv :)

Plamenjak ::

Tudi jaz uporabljam KeePass in sem precej zadovoljen. TrueCrypt je fina zadeva, ko gre za kriptiranje datotek/diskov, zgolj za gesla, še posebej, če jih želiš prenašati s sabo na usb ključkih, je pa KeePass bolj priročen. Odpreš ga z enim geslom (imaš tudi možnost kombinacije s ključem/datoteko), notri imaš pregleden vmesnik, kjer so uporabniška imena/gesla za posamezne storitve/račune/kategorije.

Namestiš ga lahko na različne operacijske sisteme, je pa open source in freeware: http://keepass.info/

BlueRunner ::

Recimo geslo "MarjanCa16" je skoraj neugotovljivo.

Kardinalna napača. Preberi si sestavek The science of password selection, da boš videl zakaj.

Na kratko povzeto: cca. 14% uporabnikov si izbere geslo na podlagi nekega osebnega imena. Kar vključuje tudi variacijo z dodano številko. Konkretno je cca. 42% od teh 14% gesel natančno v obliki, kot si jo predlagal. Delež na celotno populacijo je torej nekje v rangu 3%. Reci, da sem paranoičen, vendar pa je to dejansko dovolj velik delež, da se ga izplača specifično ciljati pri napadu s slovarčkom.

Npr... neka za lase privlečena matematika z številkami kar tako na pamet.

Vseh različnih imen v Sloveniji: 10.000
Popvrečna dolžina imena v Sloveniji: 7 znakov
Povprečno dodanih števk na koncu imena: 2 števki

Torej 10.000 * 2^7 * 10^2 == 127.000.000 kombinacij za preverbo. Sliši se veliko, vendar pa upoštevaj, da je performansa za recimo SHA-512 cca. 99MiB/s na 1,83GHz C2D procesorju. Torej bo nekdo, ki iz strežnika ukrade pravo tabelo lahko pogruntal tvoje geslo v cca. 127.000.000/99.000.000/9 sekundah. To je cca. 11,5 sekunde. No, najdem quad core CPU in poženem štiri procese vzporedno, pa bom s tem dobil recimo 10s za štiri gesla prehodnosti.

Zaključek: v bazi s 100.000 uporabniki bom tvoje in tudi vsa po tvojem "pravilu" izbrana gesla dobil ven v cca. 100.000 * 2,5s == cca. 3 dni. Torej tri dni kuhanja CPU-ja in v rokah bom verjetno imel 3.000 uporabniških imen z gesli. Zmaga je moja!

Seveda to nima veze s tvojo prijavo preko spletnega vmesnika. Vendar pa se vprašaj naslednje: kdo vzdržuje spletni vmesnik? Kako so podatki tam varovani? Ali se lahko tvoje geslo poskuša uganiti tudi kako drugače, ne samo preko spletnega vmesnika? Ali obstaja možnost kakšnih SQL injection napadov na strežnik, da bi sicer varno enosmerno zgoščena gesla dobili ven? Cel kup vprašanj na katera v bistvu nimaš nekega odgovora, stvari pa so popolnoma izven tvoje kontrole. Torej je edino logično to, da če ti račun resnično nekaj pomeni, potem gesla niti pod razno ne izbiraš na takšen način.

Združuj gesla za manjpomembnejše stvari skupaj, emaili naj imaj isto geslo, prijave v razne speltne trgovine isto geslo ipd

Prosim naj nihče nikoli ne upošteva tega nasveta. Nikoli, nikolo in res nikoli.

Razlaga je tudi tukaj enostavna in razumljiva: cross password pollination. Na kratko gre pa tako: kaj se zgodi, če vam nekdo ukrade geslo na enem računu? Ali mu bo težko uganiti še druge račune na drugih spletnih mestih/email računih/forumih/štacunah/...? Ali resnično zaupaš vsem vzdrževalcem pri vseh podjetjih, da tega ne bo poskusil kdo izmed njihovih zaposlenih?

Dva zelo slaba nasveta, ki se jih ljudje še vedno radi držijo, ker jim lajšajo življenje. V resničnem svetu pa se potem držijo za glavo, ko jim en šibak člen povzroči cel kup težav še levo in desno. Potem pa jokanja tipa "ukradel mi je mail" ali pa "ukradel mi je MSN".

PARTyZAN ::

andrejus ::

Dva zelo slaba nasveta, ki se jih ljudje še vedno radi držijo, ker jim lajšajo življenje. V resničnem svetu pa se potem držijo za glavo, ko jim en šibak člen povzroči cel kup težav še levo in desno. Potem pa jokanja tipa "ukradel mi je mail" ali pa "ukradel mi je MSN".


Ti paviš nekako takole: "Po avtocesti moraš voziti maksimalno 130 in iz nobenega razloga ne semš voziti 160" Ključno je zdrava pamet ne pa dolžina in alfanumeričnost gesla.

Al mi ukrade tisti mail od yohooja/opere/hotmaila mi je vseeno. Važno je da mi Gmail ne sunejo. Drugače glede zaposelnih pri različnih spletnih trgovinah je sicer res samo je pa res nizka verjetnost. Če imaš definirano kartico v trgovini (recimo na amazonu) pa bodi bolj pazljiv. Ta stran potemtakem spada pod Super A gesla (enkratna nepomenska gesla ustrezne dolžine nikjer zapisana). Pamet v roke. :)

Zgodovina sprememb…

  • spremenil: andrejus ()

fp4492 ::

Jaz uporabljam Keepass na PC-ju, obstaja pa tudi aplikacija na Androidu in lahko imaš na svojem GSM-u, če uporabljaš takšnega z Androidom.

RejZoR ::

Če uporabljaš Firefox, Chrome ali Opero imaš pass syncing že vgrajen in vglavnem deluje zelo dobro. Ne rabiš nalagat neke 3rd party navlake.
Angry Sheep Blog @ www.rejzor.com

PARTyZAN ::

Rabiš. Zakaj? Če imaš randomly generirana gesla je obvezno, da lahko syncaš tudi ostale prenosne naprave z katerimi lahko dostopaš do interneta. Z LastPassom in ostalimi podobnimi servisi to ni problem.

b ::

Nekateri uporabljamo gesla še za kaj drugega, ne samo za web. Mene resno mika, da bi začel uporabljat keepass, ampak mi tako na uč deluje bloated (kot večina .NET stvari :)

BlueRunner ::

andrejus je izjavil:

Dva zelo slaba nasveta, ki se jih ljudje še vedno radi držijo, ker jim lajšajo življenje. V resničnem svetu pa se potem držijo za glavo, ko jim en šibak člen povzroči cel kup težav še levo in desno. Potem pa jokanja tipa "ukradel mi je mail" ali pa "ukradel mi je MSN".


Ti paviš nekako takole: "Po avtocesti moraš voziti maksimalno 130 in iz nobenega razloga ne semš voziti 160" Ključno je zdrava pamet ne pa dolžina in alfanumeričnost gesla.

Ne, jaz pravim, da je uporaba gesel narejenih po nekem "pravilu", ki ga uporablja še množica drugih osebkov, privzeto recept kako tvoje geslo lažje pogruntati. Tvoja zdrava pamet, kot si jo demonstriral, je natančno tista "zdrava pamet", ki uporabnike ogroža. Statistika pač ni vedno inutitivna.

Ravno tako pravim, da ne uporabljati istega gesla na različnih spletnih mestih oziroma pri različnih ponudniki, če ti je karkoli do zasebnosti na teh spletnih mestih. Težave so jasno znane in dokumentirane, zlorabe iz tega naslova so se že redno dogajale in se verjetno tudi še bodo. Samo zato, ker ti ne veš, da se, to še ne pomeni, da se ne. Tvoj nasvet je tako zelo slab.

Ne razumem pa tvoje metafore o hitrostih in vožnjah. Kakorkoli obračam si napisal nekaj, kar nima zveze s problematiko gesel, njihove izbire in osnovnih pravil kako se minimalno izpostavljati zlorabam. Za super duper varne sisteme so gesla tako ali tako samo majhen košček večje slike, zaradi česar tudi 4-mestna PIN številka na kartici ne predstavlja pretirano varnostno tveganje.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Varna gesla, ki to niso: ji32k7au4a83 (strani: 1 2 )

Oddelek: Novice / Varnost
7020862 (17181) SeMiNeSanja
»

Passwordi me ubijajo! (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
17648518 (34937) Pero_SLO
»

LastPass odslej omogoča brezplačno sinhronizacijo med napravami

Oddelek: Novice / Varnost
339272 (6468) PARTyZAN
»

gmail vdor

Oddelek: Pomoč in nasveti
223477 (2735) Mesar
»

Večina ljudi ima eno geslo

Oddelek: Novice / Varnost
4415435 (11314) techfreak :)

Več podobnih tem