Forum » Informacijska varnost » Passwordi me ubijajo!
Passwordi me ubijajo!
Pesimist ::
Imam ze toliko razlicnih racunov.
Preko roke jih je ziher vec kot 10+ ki so vazni kolikor toliko. Gor so igre in ves shit.
Ni mozno da ne uporabljam isti password na vecini le teh.
Potem pa mali miljon passwordov za razne strani bedne.
Kako vi to obvaldate?
Preko roke jih je ziher vec kot 10+ ki so vazni kolikor toliko. Gor so igre in ves shit.
Ni mozno da ne uporabljam isti password na vecini le teh.
Potem pa mali miljon passwordov za razne strani bedne.
Kako vi to obvaldate?
janezvalva ::
IQ test: v enem vedru imaš 2l vode, v drugem 1l vode. koliko veder imaš?
Zgodovina sprememb…
- spremenilo: janezvalva ()
Pesimist ::
samo ti appi oz servisi kot so. To ima tudi chrome vgrajeno by default da si zapomni na google racunu in ne vem zakaj bi bilo boljse ali varneje imeti tam to.
Zgodovina sprememb…
- spremenilo: Pesimist ()
next3steps ::
Si zapomnim gesla.
Horsbrcnu45ljudi
j0ghurtpada/neba
5ulph4t3
Gesla, ki si jih enostavno zapomniš in so dokaj varna
Horsbrcnu45ljudi
j0ghurtpada/neba
5ulph4t3
Gesla, ki si jih enostavno zapomniš in so dokaj varna
andromedar ::
Jaz uporabljam "formulo", ki sem si jo sam izmislil. Prednost je v tem, da si mi ni potrebno zapomniti posameznih passwordov, ampak si samo zapomnim formulo, po kateri si lahko "izračunam" password za karkoli.
Eh?
lambda ::
KeepassX ali LastPass. Prvo, ce zadosca offline (manj tveganja), drugo ce rabis sinhronizacijo.
Ribič ::
andromedar je izjavil:
Jaz uporabljam "formulo", ki sem si jo sam izmislil. Prednost je v tem, da si mi ni potrebno zapomniti posameznih passwordov, ampak si samo zapomnim formulo, po kateri si lahko "izračunam" password za karkoli.
In katere so spremenljivke, ki jih vstaviš v to formulo, da dobiš geslo?
Lonsarg ::
Saj je res za znoret. Piše se leto 2017 pa še vedno uporabljamo gesla namesto certifikatov za privat zadeve kot je mail in logiranje na postaje v službah.
m0LN4r ::
andromedar je izjavil:
Jaz uporabljam "formulo", ki sem si jo sam izmislil. Prednost je v tem, da si mi ni potrebno zapomniti posameznih passwordov, ampak si samo zapomnim formulo, po kateri si lahko "izračunam" password za karkoli.
Enako. No razen za slo-tech pa partis ne.
Sicer meni se tu pa tam zgodi, da narobe "zracunam"
https://www.youtube.com/user/m0LN4r
Zgodovina sprememb…
- spremenil: m0LN4r ()
andromedar ::
andromedar je izjavil:
Jaz uporabljam "formulo", ki sem si jo sam izmislil. Prednost je v tem, da si mi ni potrebno zapomniti posameznih passwordov, ampak si samo zapomnim formulo, po kateri si lahko "izračunam" password za karkoli.
In katere so spremenljivke, ki jih vstaviš v to formulo, da dobiš geslo?
Svoje formule seveda ne bom objavil :)
Lahko pa vzameš kot spremenljivko na primer prvo in tretjo črko imena "servisa" na katerega se prijavljaš. Ali drugi soglasnik iz imena servisa, ali pa...število samoglasnikov v imenu servisa, whatever... Potem lahko rečeš, da če je zadnja črka imena servisa soglasnik, je na začetku vprašaj, sicer je na koncu podčrtaj. V glavnem, lahko konkretno zakompliciraš ali pa tudi ne. Seveda se ni treba omejit na ime, to je samo primer.
Eh?
imagodei ::
Tole zadnje je zanimiva ideja, se mi pa vseeno zdi zakomplicirano. Mogoče ni več, ko se zverziraš?
Drugače, še en glas za KeePass.
Se mi pa zanimiva ideja zdi tudi PasswordCard. Kartico si natisneš, jo magari plastificiraš, ter tudi na varno mesto shraniš ID kartice. S tem ID-jem lahko na omenjeni spletni strani vedno generiraš identično kartico, če pač izgubiš svojo različico.
Ideja je, da si za posamezen servis izbereš X in Y koordinato, od tam naprej pa v poljubni smeri N znakov. Ko se prijavljaš, potegneš iz denarnice kartico in vneseš svoje geslo. Pri tem je v bistvu popolnoma nepomembno, če nekdo drug s pogledom ošine tvojo kartico, ker je možnih kombinacij za gesla enostavno preveč, da bi si s tem kdo lahko kaj pomagal.
Kartica ima seveda svoje slabosti, ampak tudi druge metode niso brez njih. Jaz jo trenutno uporabljam za en sam servis. Moj pomislek je, če bi si želel za vsak servis izbrati svoje geslo (začetek na drugi X Y koordinati, dolžina pa npr. vedno 8 znakov), kako bi si recimo zapomnil, kje se začne vsako od 20 različnih gesel?
Drugače, še en glas za KeePass.
Se mi pa zanimiva ideja zdi tudi PasswordCard. Kartico si natisneš, jo magari plastificiraš, ter tudi na varno mesto shraniš ID kartice. S tem ID-jem lahko na omenjeni spletni strani vedno generiraš identično kartico, če pač izgubiš svojo različico.
Ideja je, da si za posamezen servis izbereš X in Y koordinato, od tam naprej pa v poljubni smeri N znakov. Ko se prijavljaš, potegneš iz denarnice kartico in vneseš svoje geslo. Pri tem je v bistvu popolnoma nepomembno, če nekdo drug s pogledom ošine tvojo kartico, ker je možnih kombinacij za gesla enostavno preveč, da bi si s tem kdo lahko kaj pomagal.
Kartica ima seveda svoje slabosti, ampak tudi druge metode niso brez njih. Jaz jo trenutno uporabljam za en sam servis. Moj pomislek je, če bi si želel za vsak servis izbrati svoje geslo (začetek na drugi X Y koordinati, dolžina pa npr. vedno 8 znakov), kako bi si recimo zapomnil, kje se začne vsako od 20 različnih gesel?
- Hoc est qui sumus -
Zgodovina sprememb…
- spremenil: imagodei ()
mojster_joni ::
za razne nepomembne strani imaš komot lahko za vse isto in kratko geslo, navsezadnje kaj slabega se bo pa zgodilo, če ti nekdo sheka keslo vistesupki za nek xyz forum kjer si jim pac hotel rect da so supki
za bolj pomembne strani imaš lahko kjerega od prej omenjenih programov če jim ne zaupaš najbolj pa si delaj gesloa v smislu nekhash(nekega osnovnega gesla + ime strani/username/mail, število iteracij = ura/datum ob času registracije), potem rabiš vedet samo tisto osnovno geslo, uporabljen hash in št iteracij, ime strani/username/mail za registracijo naj bi itak poznal, vse razen osnovnega gesla imaš komot shranjeno na disku ker imaš itak kriptiran disk (menda nimaš nekriptiranega), osnovno geslo je lahko recimo 'vi vsi ste ogromni šupki in pizduni jebem vam mater vsem po spisku', geslo za disk pa tudi nekaj v tem smislu + key file s sliko tvoje punce/fanta/psa/mačka/avta/.. (ni nujno ta je vse to isto bitje).... če nekdo sune bazo strani si s takim geslom ne more pomagat, če sune disk ga bo tudi praktično nemogoče dekriptirat (če si se zameril kaki tričrkovni organizaciji te bodo pa itak mučili dokler ga ne poveš, ker medtem ko mučenje ni uporabno za pridobivanje težko preverljivih informaciji, deluje čisto ok za hitro preverljive inforomacije)
za bolj pomembne strani imaš lahko kjerega od prej omenjenih programov če jim ne zaupaš najbolj pa si delaj gesloa v smislu nekhash(nekega osnovnega gesla + ime strani/username/mail, število iteracij = ura/datum ob času registracije), potem rabiš vedet samo tisto osnovno geslo, uporabljen hash in št iteracij, ime strani/username/mail za registracijo naj bi itak poznal, vse razen osnovnega gesla imaš komot shranjeno na disku ker imaš itak kriptiran disk (menda nimaš nekriptiranega), osnovno geslo je lahko recimo 'vi vsi ste ogromni šupki in pizduni jebem vam mater vsem po spisku', geslo za disk pa tudi nekaj v tem smislu + key file s sliko tvoje punce/fanta/psa/mačka/avta/.. (ni nujno ta je vse to isto bitje).... če nekdo sune bazo strani si s takim geslom ne more pomagat, če sune disk ga bo tudi praktično nemogoče dekriptirat (če si se zameril kaki tričrkovni organizaciji te bodo pa itak mučili dokler ga ne poveš, ker medtem ko mučenje ni uporabno za pridobivanje težko preverljivih informaciji, deluje čisto ok za hitro preverljive inforomacije)
BorutK-73 ::
janezvalva ::
IQ test: v enem vedru imaš 2l vode, v drugem 1l vode. koliko veder imaš?
Zgodovina sprememb…
- spremenilo: janezvalva ()
MrStein ::
Saj je res za znoret. Piše se leto 2017 pa še vedno uporabljamo gesla namesto certifikatov za privat zadeve kot je mail in logiranje na postaje v službah.
Certifikati so na poti ven. Žal. Ali na srečo.
andromedar, kak pa spremeniš geslo?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
zee ::
LastPass. Ze nekaj let. Enostavno se integrira z vsemi brskalniki in operacijskimi sistemi. Podpira dvostopenjsko avtentikacijo za odklep, kar je kul.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
scipascapa ::
Ko omenjate keepass in lastpass, imam vprašanja...oba "programa" preskenirata vse obstoječe in si jih zapomneta, potem pa editiriaš če se kaj podvaja ali narobe gesla ipd? Ali pobrišeš spletne strani z gesli, ki jih ne uporabiš več? Bi lahko to dejali, da naredita?
zee ::
Lastpass ti ponudi uvoz obstojecih gesel iz brskalnika, nakar je priporocljivo narediti varnostno analizo, s katero lahko ugotovis, katera gesla so sibka in bi jih bilo potrebno zamenjati. Spletne strani, ki jih ne uporabljam vec, tipicno pobrisem, se prej pa poskusim pobrisati racun.
zee
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
Linux: Be Root, Windows: Re Boot
Giant Amazon and Google Compute Cloud in the Sky.
knesz ::
Jaz pa enpass. Verjetno isti šmorn kot pa keepass in lastpass in ostale denarnice.
Ne vem za ostale, ampak v redu mi je, ker na Android podpira fingerprint unlock.
Ne vem za ostale, ampak v redu mi je, ker na Android podpira fingerprint unlock.
Zgodovina sprememb…
- spremenil: knesz ()
frudi ::
Točno tako, kot je zee napisal. Dodal bi še to, da z LastPass lahko uvoziš gesla iz večih brskalnikov na večih napravah. In da ti ponudi, da po uvozu gesla odstrani iz brskalnika (priporočljivo, ker tam večinoma niso preveč varno shranjena).
Še ena zelo fajn opcija je uporaba in možnost dodajanja 'ekvivalentnih' domen, za katere naj se uporablja isto geslo. Npr. amazon.com, amazon.co.uk in amazon.de ali pa google.com, gmail.com in youtube.com.
Zna vzeti kar nekaj časa, da ob začetku uporabe sčistiš vsa podvojena gesla in zamenjaš vsa šibka gesla, ampak se imho zelo splača.
Še ena zelo fajn opcija je uporaba in možnost dodajanja 'ekvivalentnih' domen, za katere naj se uporablja isto geslo. Npr. amazon.com, amazon.co.uk in amazon.de ali pa google.com, gmail.com in youtube.com.
Zna vzeti kar nekaj časa, da ob začetku uporabe sčistiš vsa podvojena gesla in zamenjaš vsa šibka gesla, ampak se imho zelo splača.
1ACDoHVj3wn7N4EMpGVU4YGLR9HTfkNhTd... in case I've written something useful :)
RockyS ::
knesz ::
samo ti appi oz servisi kot so. To ima tudi chrome vgrajeno by default da si zapomni na google racunu in ne vem zakaj bi bilo boljse ali varneje imeti tam to.
This! Zakaj so *pass boljši od default funkcionalnosti browserja?
Ker so uporabni tudi za kaj drugega, kot pa samo za spletne prijave. Bančne pin, pin/puk telefoni, možnost uporabe denarnic je zelo velika.
Zgodovina sprememb…
- predlagalo izbris: next3steps ()
Ribič ::
andromedar je izjavil:
Svoje formule seveda ne bom objavil :)Nisem te prosil za formulo, prosil sem te za seznam spremenljivk. Jaz namreč počnem nekaj podobnega, pa me zanimajo kake nove ideje. V bistvu sem za spremenljivke uporabljal že dolžino imena servisa, prvo in zadnjo črko imena ter nekaj črk iz imena domene servisa npr. "slo-tech.com". Nisem se pa spomnil na soglasnike oz. samoglasnike, hvala za idejo. Imaš še kaj predlogov?
Lahko pa vzameš kot spremenljivko na primer prvo in tretjo črko imena "servisa" na katerega se prijavljaš. Ali drugi soglasnik iz imena servisa, ali pa...število samoglasnikov v imenu servisa, whatever... Potem lahko rečeš, da če je zadnja črka imena servisa soglasnik, je na začetku vprašaj, sicer je na koncu podčrtaj. V glavnem, lahko konkretno zakompliciraš ali pa tudi ne. Seveda se ni treba omejit na ime, to je samo primer.
lp
NejcSSD ::
+1 za LastPass. Prej sem plačeval 1$ na mesec, sedaj pa so premium možnosti zastonj. Med njih je spadala sinhronizacija na telefonih, se mi zdi.
PC : MAG B550 Tomahawk, Ryzen 5600X, 32Gb 3200Mhz CL16, 2x 1TB NVME, MSI 1070Ti
RockyS ::
This! Zakaj so *pass boljši od default funkcionalnosti browserja?
Zato.
Oh...
Still, experts recommend the use of a dedicated password manager, like LastPass, 1Password, or Dashlane. If they store your information in the cloud, they can still be breached—researchers unearthed a handful of LastPass vulnerabilities earlier this summer—but at least they can help you create, and keep, better passwords.
Kartice si tudi chrome zapomni. Za bančne pine pa ne vem kako, ker mi itak ne pridejo v poštev, zaradi generatorja dostopnih kod.
Zgodovina sprememb…
- spremenil: RockyS ()
Rias Gremory ::
KeePassX.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.
saj za časa našega življenja ne bo popolnoma propadel.
Glugy ::
Jz si vse iz glave zapomnm. Je pa res da ko se registriram na novo stran/storitev najprej geslo napišem na listek za par mescev tud do pol leta če je recimo res zakomplicirano geslo. Pol pa je. Si zapomnm in stvar deluje perfektno. Raznim shranjevalcem gesel ne zaupam. Če ti kdo vdre ti najprej pogleda v ta program al pa v beležke če imaš kje gesla shranjena. To je svetilnik za vdiralce.
3p ::
next3steps je izjavil:
Si zapomnim gesla.
Horsbrcnu45ljudi
j0ghurtpada/neba
5ulph4t3
Gesla, ki si jih enostavno zapomniš in so dokaj varna
5ulph4te? Sulphate (1 beseda iz slovarja + leetspeech substitucija) je gotovo v vseh rainbow tabelah.
Prvi dve sta boljši, deloma tudi zaradi obskurnosti slovenščine.
RockyS ::
Uporabiš besedo "peglajzl" , dodaš "ček" da dobiš "pejglajzlček" in ni šans da najde :)
Vidim, pa da se izogibate rabi šumnikov, čemu?
Vidim, pa da se izogibate rabi šumnikov, čemu?
Ales ::
Uporabiš besedo "peglajzl" , dodaš "ček" da dobiš "pejglajzlček" in ni šans da najde :)
Vidim, pa da se izogibate rabi šumnikov, čemu?
Ni šans da najde... kdo? Gesel ne išče človek, tega se ne počne ročno.
Torej "pejglajzlček", 12 malih črk? No, saj ne da nisem videl tudi dosti slabša gesla, na žalost. A tvoj primer uporablja premajhen nabor znakov, kljub č-ju.
BT52 ::
Predem gremo dalje prosim si poglejte tale video:
Potem ta gesla niso več tako varna, kot se zdi.
next3steps je izjavil:
Si zapomnim gesla.
Horsbrcnu45ljudi
j0ghurtpada/neba
5ulph4t3
Gesla, ki si jih enostavno zapomniš in so dokaj varna
Potem ta gesla niso več tako varna, kot se zdi.
Zgodovina sprememb…
- spremenilo: BT52 ()
MrStein ::
Uporabiš besedo "peglajzl" , dodaš "ček" da dobiš "pejglajzlček" in ni šans da najde :)
Vidim, pa da se izogibate rabi šumnikov, čemu?
Ker jih veliko sistemov ne podpira. Celo NLB Klik ne.*
* oziroma nazadnje ko sem probal ni podpiral znakov ala minus in podčrtaj, za šumnike se ne spomnim. Ampak veliko sistemov sploh ne dovoli vpisa šumnikov (takoj zavrne), ali še huje, nič ne reče, ampak si jih ne zapomni pravilno. Pretvori jih v presledek, vprašaj ali podobno.
... Nisem se pa spomnil na soglasnike oz. samoglasnike, hvala za idejo. Imaš še kaj predlogov?
Isto vprašanje: Kaj ko je čas za spremenit geslo? (eni sistemi vztrajajo na tem)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Zgodovina sprememb…
- spremenil: MrStein ()
MrStein ::
This! Zakaj so *pass boljši od default funkcionalnosti browserja?
Zato.
To isto se lahko z dedicated password managerji tudi zgodi.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
NejcSSD ::
Dodatek gornjemu mojemu postu:
Uporabljam generirane 16 mestne kode:
Primer ene zdaj zgenerirane:
yniLM!BDoifwo3w2
In ne rabim si je nikol več zapomnit, samo za trezor imam eno ornk geslo in to je to...
Za ostalih 119 spletnih strani v trezorju pa imam podobna zgornja gesla, preračunajte kok je možnosti za niz 16 znakov!
Vdrejo lahko v vsako stvar, ampak k tebi lažje, ker definitivno si mojih 16 mestnih gesel iz vseh možnih znakov ne da zapomnit
Uporabljam generirane 16 mestne kode:
Primer ene zdaj zgenerirane:
yniLM!BDoifwo3w2
In ne rabim si je nikol več zapomnit, samo za trezor imam eno ornk geslo in to je to...
Za ostalih 119 spletnih strani v trezorju pa imam podobna zgornja gesla, preračunajte kok je možnosti za niz 16 znakov!
Jz si vse iz glave zapomnm. Je pa res da ko se registriram na novo stran/storitev najprej geslo napišem na listek za par mescev tud do pol leta če je recimo res zakomplicirano geslo. Pol pa je. Si zapomnm in stvar deluje perfektno. Raznim shranjevalcem gesel ne zaupam. Če ti kdo vdre ti najprej pogleda v ta program al pa v beležke če imaš kje gesla shranjena. To je svetilnik za vdiralce.
Vdrejo lahko v vsako stvar, ampak k tebi lažje, ker definitivno si mojih 16 mestnih gesel iz vseh možnih znakov ne da zapomnit
PC : MAG B550 Tomahawk, Ryzen 5600X, 32Gb 3200Mhz CL16, 2x 1TB NVME, MSI 1070Ti
Zgodovina sprememb…
- spremenil: NejcSSD ()
BorutK-73 ::
Jz si vse iz glave zapomnm. Je pa res da ko se registriram na novo stran/storitev najprej geslo napišem na listek za par mescev tud do pol leta če je recimo res zakomplicirano geslo. Pol pa je. Si zapomnm in stvar deluje perfektno. Raznim shranjevalcem gesel ne zaupam. Če ti kdo vdre ti najprej pogleda v ta program al pa v beležke če imaš kje gesla shranjena. To je svetilnik za vdiralce.
Si zapomneš različna user+gesla za 100 strani?
KeePass in podobni programi imajo master password.
Saul Goodman ::
sem poskušal marsikaj, imel sem tudi svojo formulo "za računanje" gesel. pa ste že kdaj preverili, koliko servisov, kjer ste uporabili svojo formulo na geslih, je bilo že kompromitiranih?
kako enostavno je vašo formulo "razbiti", če se ugotovi (in se ugotovi), da so "sestavljena"?
password manager ni idealna rešitev (single point of failure), je pa trenutno daleč najboljša. Lastpass ima kup dodatnih varnostnih mehanizmov za zaščito accounta (country blocking, 2FA, ipd.) in je za večino ljudi super izbira.
Če si paranoičen over 9000 lahko kakšen account še "furaš peš". Ostalo pa samo random generirana gesla z max dovoljenimi dolžinami, dober Master Password in 2FA. Že nekaj let nimam več težav z gesli.
kako enostavno je vašo formulo "razbiti", če se ugotovi (in se ugotovi), da so "sestavljena"?
password manager ni idealna rešitev (single point of failure), je pa trenutno daleč najboljša. Lastpass ima kup dodatnih varnostnih mehanizmov za zaščito accounta (country blocking, 2FA, ipd.) in je za večino ljudi super izbira.
Če si paranoičen over 9000 lahko kakšen account še "furaš peš". Ostalo pa samo random generirana gesla z max dovoljenimi dolžinami, dober Master Password in 2FA. Že nekaj let nimam več težav z gesli.
Zgodovina sprememb…
- spremenilo: Saul Goodman ()
MrStein ::
Kje gor?
Jaz sem edini pisal o certifikatih, in to diametralno nasprotje.
Jaz sem edini pisal o certifikatih, in to diametralno nasprotje.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Stra ::
Kdor noče uporabljati password managerjev naj si prebere (in posluša) še tole:
https://www.grc.com/haystack.htm
TL;DR: uporabi po najmanj 1 znak iz vsakega nabora (velike, majhne, številke in znaki) dolžino (padding) pa tvori iz lahko zapomnljivih besed.
https://www.grc.com/haystack.htm
TL;DR: uporabi po najmanj 1 znak iz vsakega nabora (velike, majhne, številke in znaki) dolžino (padding) pa tvori iz lahko zapomnljivih besed.
Cervantes ::
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Varna gesla, ki to niso: ji32k7au4a83 (strani: 1 2 )Oddelek: Novice / Varnost | 18672 (14991) | SeMiNeSanja |
| » | LastPass odslej omogoča brezplačno sinhronizacijo med napravamiOddelek: Novice / Varnost | 8806 (6002) | PARTyZAN |
| » | Autofill Siol mailOddelek: Omrežja in internet | 2440 (2148) | bosmla |
| » | Google želi tvoriti in hraniti vaša gesla (strani: 1 2 )Oddelek: Novice / Zasebnost | 27472 (24091) | antonija |
| » | Sum vdora v LastPass povzročil množično menjavo geselOddelek: Novice / Varnost | 13779 (12678) | poweroff |