LastPass - Priljubljen upravljalnik z gesli LastPass je postal še bolj uporaben, saj odslej za sinhronizacijo med različnimi vrstami naprav ne bo zaračunaval 12 dolarjev letno, temveč bo brezplačen.
LastPass sodi med najbolj uporabljene upravljalnike z gesli, saj podpira različne brskalnike in naprave ter sinhronizacijo med njimi. Zadostuje namestitev razširitve za posamezni brskalnik in že imamo dostop do vseh shranjenih gesel. LastPass v šifrirani obliki shranjuje vsa naša gesla, dostop do njih pa imamo le sami ob vpisu glavnega gesla. Na ta način lahko poenostavimo uporabljanje z gesli, saj si ni treba zapomniti gesla za vsako stran posebej, niti nismo v skušnjavi uporabiti kakšno staro geslo. LastPass nam dejansko pomaga tudi pri izmišljanju gesel, saj ima algoritem za generiranje močnih gesel.
Njegova uporaba je brezplačna, verzija Premium pa stane 12 dolarjev. Doslej je brezplačna verzija podpirala uporabo na več napravah iste vrste (torej na več osebnih računalnikih ali na več mobilnih telefonih), ne pa medsebojne sinhronizacije. Odslej bo tudi slednja brezplačna. Verzija Premium bo obstala in bo še naprej nudila nekatere napredne funkcije, kot je deljenje gesel v skupini do pet ljudi. Vsi ostali uporabniki LastPassa na osebnih računalnikih pa si lahko sedaj aplikacijo prenesete tudi na pametni telefon, kar je tudi vse, kar je treba storiti za uporabo.
v praksi lahko na koncu vsakega gesla še par znakov ročno dodaš, če lastpassu ne zaupaš dovolj.
na slabšem si, če imaš prelahka gesla, jih rad uporabljaš na več straneh hkrati, ali pa jih neprimerno hraniš. in tvoja beležnica ne ponuja nobene enkripcije, v kolikor enkrat zaide v napačne roke. pa še malo nepraktična je za sinhronizacijo med napravami, kjer ta gesla dejansko uporabljaš.
prav tako lastpass kot vsa druga spletna mesta, ki dajo kaj nase, ponujajo mnogo uporabnih načinov 2-stopenjske avtentikacije, za katero mi je v letu 2016 že malo odveč težit folku. zadeva obstaja že par let, pa še vedno ne morem rečt, da se je uporaba pri ljudeh, ki jih poznam približala vsaj 30%. prej 1 ali 2 od 10. jo imaš nastavljeno na googlu, socialnih omrežjih in povsod, kjer je to mogoče? uspešnost napadov se z dodatnimi "varnostnimi plastmi" drastično zmanjša.
lastpass je standard med password managerji danes in ga uporablja tudi folk iz infosec communitya. za pristaše odprte kode je tu keepass, pri katerem pa moraš za podobno funkcionalnost (cross-platform, syncing) derivate pobrati iz različnih virov po spletu, poleg vplesti še kak dropbox za hosting kriptiranega password fajla, jada jada. bolj za navdušence, kot sem sam.
Sam uporabljam lastpass že leta, sem tudi uporabnik Premiuma, ker se mi je teh 12€ na leto izplačalo, ko sem lahko prepustil izbor gesel aplikaciji. Dostopam pa lahko kjerkoli. Seveda imam tudi 2-stopenjsko avtentikacijo. Poznam samo eno geslo. Ostalo več ni moja skrb. :)
Gesel ne zaupam nobeni aplikaciji, kjer je posredi online sinhronizacija. Tudi če je kriptirano end-to-end, ni garancije, da ni kje kakšne varnostne luknje. Zato uporabljam izključno KeePass, kjer 1x mesečno ročno skopiram zadnji .kdbx file na vse naprave.
Gesel ne zaupam nobeni aplikaciji, kjer je posredi online sinhronizacija. Tudi če je kriptirano end-to-end, ni garancije, da ni kje kakšne varnostne luknje. Zato uporabljam izključno KeePass, kjer 1x mesečno ročno skopiram zadnji .kdbx file na vse naprave.
Pravilno.
Le bedaki, konji, policaji in še kdo zaupa nekemu oblačnemu sinhroniziranju.
Le paranoiki s tinfoil hati pa svoje containerje na roke kopirajo. Pač, stvar potreb. Glede na to, da nimam ničesar, kar je povezano s financami v kateremkoli password managerju, rajše uživam v udobju seamless synca, kot da si po vsaki registraciji na spletni strani delam mental note, da morem reč skopirat na 5 naprav.
Že nekaj časa za pomembne stvari uporabljam 2-stopenjski auth. Ni težko kliknit ali pa prepisat kaj s telefona. Pa moram povedat da se še mi niti 1x ni zgodilo, da bi mi telefon zapiskal v prazno, da ne bi jaz bil vzrok zahteve za nek login ali potrditev. Za neumnosti, kot je tale forum, pa mi dol visi, če kdo vidi pass. Ja, kot je predhodnik napisal, mamo vsi izbiro. Meni je všeč da si ne rabim zapomnit gesel.
Aja, pa še to. Na lastpassu imam tudi vklopljeno 2-stopenjsko avtentikacijo. Še dodatno varovanje. Drugače pa smo premale ribe, da bi kdo sploh brskal za nami. Preveč pomembni se zdite sami sebi, da vas nekdo kontrolira.
zadeva nekje mora generirat promet in profit. sicer ne verjamem cisto, da bi sel nekdo res prebirat passworde (but never say never) bolj pa je zanimivo profiliranje uporabnikov. nekdo spet natancno ve kdo je uporabnik in kolikorat ter kdaj je dostopal do spletnih strani in predvsem se naprej: lokalnih omrezij, lokalnih aplikacij.... to profiliranje je precej natancnejse od uporabe piskotkov, profiliranja brskalnikov, IPjev itd. profiliranje pa JE big business in ta business ploska z usesi ob komentarjih: saj nimam kaj skrivati/pa kaj ce vedo kdaj in kam sem se logiral.
torej osebno se vedno najbolj zaupam lokalni resitvi in predvsem shrambi, ki je med mojimi usesi.
Vidim da nekateri ste ful za, nekateri pa ful proti. Ker tudi sam resno razmišljam uporabi password managerja, bi imel par vprašanj. Da se bom lažje odločil.
1.Lastpass je že kar nekaj časa na sceni, ima največ naprednih funkcij (MFA, sync,..) Imeli so že nek breach, ki naj ne bi naredil škode? Poleg tega ni opensource in si lahko kadarkoli premislijo kaj bo free in kaj ne.
2.KeepassX je druga opcija. Sem na linuxu, bolj mi diši opensource, zaenkrat nimam potrebe po synh med napravami. Lokalna baza se mi zdi še zmeraj bolj varna. Edina stvar, ki me odvrača in mi je nesprejemljiva...da ne omogoča 'autofill' opcije. Ima kdo kakšno rešitev za to? Morem imet še kak firefox plugin?
3.In še to? V čem so 'aftermarket' managerji boljši od recimo build-in firefox managerja. Isto se da master password nastavit. Če imaš spyware gor, ti pa itak prebere masterpass ne glede na to ker manager uporabljaš.
Če imaš funkcionaln spomin ne rabš da nekdo namest tebe hrani gesla. Je pa res da je fajn imet na kkšnm skrbno spravljenem listku napisana gesla za vsak slučaj.
Če imaš spyware gor, ti pa itak prebere masterpass ne glede na to ker manager uporabljaš.
Ni nujno. Obstajajo zaslonske tipkovnice, za katere avtorji trdijo, da so kompletno odporne na keylogger napade, celo na izdelavo zaslonskih slik v okolici klikov miši. Pojma sicer nimam, kako bi to lahko dosegli. Že nekaj časa imam v planu namestiti kakšen hud spyware, da bi to testiral, pa še nisem prišel do tega.
Kar se autofill funkcije tiče, KeePass jo ima, za KeePassX ne vem, ampak to naj bi bil Linux port KeePassa. Obstaja pa tudi KeePass (ne KeePassX) za Linux, kolikor vem.
da nekaj razjasnimo - lastpass ne hrani vaše baze gesel v oblaku, temveč je ta baza lokalno na računalniku, kot je to pri keepassu.
ne se delat norca s password managerji med ušesi, ker očitno nimate pojma, kaj danes je varno geslo. če ste si za nekaj 10 ali 100 accountov sposobni zapomniti dolga in naključno generirana gesla (primer: Dss3Fn!I%nkDPruiHgZDzM!%095nbfaxM$wuBCr5zQVVVEktJYdtBGjBxJWA%G&WF1H@pYgNRBk%6ZA5cj343IXdXY1^!#bO9Fhv), potem ste v tistem promilu genijev, ki v tem ne vidijo pretiranega mentalnega napora. čestitke.
danes password managerje kot je lastpass uporabljajo ljudje, ki v infosec communityu dejansko nekaj veljajo - zakaj je lahko nekaj dobro za njih in ne za vaše navade iz 90-ih? password manager NI idealna rešitev, vendar pa JE trenutno najboljša.
keepass je odprtokodni, a še daleč od tega, da bi bil brez težav. če je komu ponagajal spomin, npr: http://www.lifehacker.com.au/2016/06/ke.... Ali pa googlajte za "keepass security issues".
Pri keepassu moraš za uporabo na več platformah in morebitno sinhronizacijo namestite keepass verzije različnih avtorjev za različne platforme, za sinhronizacijo pa keepassovci radi uporabljajo dropbox account. si ne želiš sinhronizacije in gesel na večih napravah? ok. si jo? je keepass potem še tako varna rešitev?
LastPass hrani tvoja gesla v kriptirani obliki. Ne more jih pa odkriptirati, ker svoj master password nikoli ne pošlješ na LastPass, vsa kriptografija se izvaja na tvojih napravah. Tako si tudi ob morebitnem vdoru v LastPass, kjer bi napadalci dobili tvoja kriptirana gesla, z njimi ne morejo pomagati.
če ne zaupate njihovem oblaku uporabljajte Enpass password manager, ki ti pusti, da sam zberes oblak... npr gdrive, onenote, dropbox itd. Glede na to, da je baza kriptirana nima bit kaj narobe tudi ce vam kdo ukrade file. Za oblacno storitev je potem dodatno smiselno uporabljati se 2 step authentication...
LastPass hrani tvoja gesla v kriptirani obliki. Ne more jih pa odkriptirati, ker svoj master password nikoli ne pošlješ na LastPass, vsa kriptografija se izvaja na tvojih napravah. Tako si tudi ob morebitnem vdoru v LastPass, kjer bi napadalci dobili tvoja kriptirana gesla, z njimi ne morejo pomagati.
danes password managerje kot je lastpass uporabljajo ljudje, ki v infosec communityu dejansko nekaj veljajo - zakaj je lahko nekaj dobro za njih in ne za vaše navade iz 90-ih? password manager NI idealna rešitev, vendar pa JE trenutno najboljša.
Ok, skoraj si me že prepričal. Lahko na koga od teh security expertov 's prstom pokažeš'?...ala Schneier. ...da javno priporoča lastpass in/ali res kakšno dobro analizo sistema. Ker na internetu velikokrat velja ta stavek: "Most experts are not."
Za sinhronizacijo ne potrebujes nobenih javnih oblakov ampak si namestis SyncThing (SyncTrayzor klient v winsih) in je to to. Imas sam polno kontrolo s katerimi napravami delis datoteke, je kriptirano, varno, pa se ostane na tvojih napravah in ne kak dropbox, lastpass, etc, kjer nikoli ne mores biti prepricani da ne obstajajo kaki master passwordi. Sedaj tudi sam testiram KeePass pa da vidim ce se obnese za moje potrebe.
danes password managerje kot je lastpass uporabljajo ljudje, ki v infosec communityu dejansko nekaj veljajo - zakaj je lahko nekaj dobro za njih in ne za vaše navade iz 90-ih? password manager NI idealna rešitev, vendar pa JE trenutno najboljša.
Ok, skoraj si me že prepričal. Lahko na koga od teh security expertov 's prstom pokažeš'?...ala Schneier. ...da javno priporoča lastpass in/ali res kakšno dobro analizo sistema. Ker na internetu velikokrat velja ta stavek: "Most experts are not."
v zbirki imam naslednje podcaste:
pauls security weekly down the security rabbit hole risky business the southern fried security podcast ians information security podcast liquidmatrix security digest podcast
poslušaj par mesecev, vsake toliko čase pride govor o password managerjih in se casterji pogovarjajo kaj je kdo kje. predvsem priporočam pauls security weekly. niso _vsi_ pristaši lastpassa, pa vendar je ta rešitev (najbolj) razširjena tudi med takim profilom ljudi. lastpass uporablja npr. host, Paul.
nekih public endorsmentev ala snowden za signal, nisem iskal. mnenje je izdelano na podlagi mesecev poslušanja teh infosec feedov.
Za sinhronizacijo ne potrebujes nobenih javnih oblakov ampak si namestis SyncThing (SyncTrayzor klient v winsih) in je to to. Imas sam polno kontrolo s katerimi napravami delis datoteke, je kriptirano, varno, pa se ostane na tvojih napravah in ne kak dropbox, lastpass, etc, kjer nikoli ne mores biti prepricani da ne obstajajo kaki master passwordi. Sedaj tudi sam testiram KeePass pa da vidim ce se obnese za moje potrebe.
Keepass je ok...sam kaj, ko ma tako grd vmesnik, da me odvrača. Tako na na winsih kot na androidu.
