Forum » Informacijska varnost » shranjevanje gesel v windows
shranjevanje gesel v windows
mulc007 ::
Če med surfanjem vpišeš kakšno geslo, se odpre zavihek z vprašanjem ali geslo shraniš ali ne.
Kakšne so slabosti in dobre strani tega če jih shraniš ali pa ne shraniš?
Kakšne so slabosti in dobre strani tega če jih shraniš ali pa ne shraniš?
smacker ::
Ne rabiš tipkat gesel, moraš pa pazit, da ustrezno zavaruješ svoj profil pred ostalimi uporabniki računalnika.
Lonsarg ::
Če nimaš bitlockerja (kriptiranje diskov za Windows sisteme) vklopljenga potem lahko vsak ki se malo bolj spozna pride do teh gesel. No prvo rabi dobit fizični dostop do računalnika za nekaj časa brez da vidiš, tak da če fizični dostop zavaruješ je že nekaj.
mulc007 ::
Če imaš trojanca potem je to tudi fizični dostop?
Slabost stalnega vtipkovanja gesel vidim v tem da se lahko geslo izmakne preko branja tipkanja po tipkovnici.
Slabost stalnega vtipkovanja gesel vidim v tem da se lahko geslo izmakne preko branja tipkanja po tipkovnici.
bobby ::
@Mulc: ce shranis in te funkcije nimas dodatno zascitene, je doatop do teh podatkov zelo lahek. Potem pa ce imas crappy AV, pol si lepo odprt za fizicni ali remote dostop s fishingom.
Vsaj oanovno geslo za to funkcijo shranjevanja gesel si nastavi.
Vsaj oanovno geslo za to funkcijo shranjevanja gesel si nastavi.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.
mulc007 ::
Potem pa ce imas crappy AV, pol si lepo odprt za fizicni ali remote dostop s fishingom.
Zgornjega stavka ne razumem najbolje. Za fizični dostop mora oseba sesti pred PC. Remote dostop pa je posledica fishinga?
Kaj je to AV?
Če je bilo zgoraj napisano mišljeno samo za slabosti uporabe shranjenih gesel, potem me zanima če ima ročno vpisovanje gesel tudi kakšne slabosti, in če, kaj bi se v tem primeru moralo narediti da se jim izogneš.
Zgornjega stavka ne razumem najbolje. Za fizični dostop mora oseba sesti pred PC. Remote dostop pa je posledica fishinga?
Kaj je to AV?
Če je bilo zgoraj napisano mišljeno samo za slabosti uporabe shranjenih gesel, potem me zanima če ima ročno vpisovanje gesel tudi kakšne slabosti, in če, kaj bi se v tem primeru moralo narediti da se jim izogneš.
Zgodovina sprememb…
- spremenil: mulc007 ()
smacker ::
AV = antivirus
phishing = https://www.cert.si/si/varnostne-groznj...
Če je nameščen keylogger (program, ki beleži vnos iz tipkovnice), potem je nekdo že dobil dostop do tvojega računalnika in v takem primeru so tudi shranjena gesla ogrožena. Tak da tega ne moreš štet kot slabost ročnega vpisovanja. Slabost je lahko, če ti kdo kuka čez ramo ali vtipkuješ gesla pod kamero. Druga slabost je, da lahko gesla pozabiš. Z namenom, da jih ne bi pozabil, si nekateri zapisujejo gesla na lokacije, ki niso varne (npr. listek pod tipkovnico), kar povečuje tveganje za razkritje gesel. To je kar velik problem v podjetjih, kjer informacijski sistem sili uporabnike k rednemu posodabljanju in uporabi kompliciranih gesel, ki si jih večina ni zmožna zapomnit.
V brskalniku se gesla običajno kriptirajo z glavnim geslom (master password), zato je v primeru shranjenih gesel nujno nastavit tudi master password. Dodatno kriptiranje diska ni potrebno.
V primeru, da nekdo dobi dostop do računalnika (fizični ali remote), pa v nobenem primeru nisi več varen. Tam je vse odvisno od domišljije in namenov napadalca.
phishing = https://www.cert.si/si/varnostne-groznj...
Če je nameščen keylogger (program, ki beleži vnos iz tipkovnice), potem je nekdo že dobil dostop do tvojega računalnika in v takem primeru so tudi shranjena gesla ogrožena. Tak da tega ne moreš štet kot slabost ročnega vpisovanja. Slabost je lahko, če ti kdo kuka čez ramo ali vtipkuješ gesla pod kamero. Druga slabost je, da lahko gesla pozabiš. Z namenom, da jih ne bi pozabil, si nekateri zapisujejo gesla na lokacije, ki niso varne (npr. listek pod tipkovnico), kar povečuje tveganje za razkritje gesel. To je kar velik problem v podjetjih, kjer informacijski sistem sili uporabnike k rednemu posodabljanju in uporabi kompliciranih gesel, ki si jih večina ni zmožna zapomnit.
V brskalniku se gesla običajno kriptirajo z glavnim geslom (master password), zato je v primeru shranjenih gesel nujno nastavit tudi master password. Dodatno kriptiranje diska ni potrebno.
V primeru, da nekdo dobi dostop do računalnika (fizični ali remote), pa v nobenem primeru nisi več varen. Tam je vse odvisno od domišljije in namenov napadalca.
BCSman ::
V chromu disablaš "offer to save passwords" in "auto sign-in". In uporabljaš lastpass. In upaš da ga ne shekajo. Če ga (gotovo pride obvestilo po mailu), menjaš čimprej vsa gesla.
Pa syncanje v chromu vedno označim samo bookmarks, na vseh napravah. Ne zaradi varnosti, ampak ker nočem, da se zgodovina brskanja in podobno pojavlja še na drugi napravah.
Pa syncanje v chromu vedno označim samo bookmarks, na vseh napravah. Ne zaradi varnosti, ampak ker nočem, da se zgodovina brskanja in podobno pojavlja še na drugi napravah.
Saul Goodman ::
Če med surfanjem vpišeš kakšno geslo, se odpre zavihek z vprašanjem ali geslo shraniš ali ne.
Kakšne so slabosti in dobre strani tega če jih shraniš ali pa ne shraniš?
shranjevanja gesel v brskalnikih se ne priporoča, ker so načeloma manj varna od namenski rešitev, kot je password manager.
edini požegnan način trenutno je uporaba password managerjev. imaš oblačne rešitve, komercialna lastpass, odprtokodna bitwarden ali lokalne password managerje, npr. odprtokodni keepassxc je kar popularen. izberi enega in se ga nauči uporabljat. osebno bi ti svetoval bitwarden, če želiš biti komot (sinhronizacija pc - telefon), sicer keepassxc.
glavna uporabna vrednost password managerjev je, da generiraš močna gesla, ki jih praviloma ne veš na pamet. če pride do vdora na eni strani in tvoje geslo postane znano (linkedin leaks, yahoo leaks ipd) je to geslo omejeno le na pohekano stran in se ga ne da zlorabit za prijave v druge servise - predpogoj je seveda, da ne uporabljaš istih gesel - vsako naj bo unikatno. druga uporabna vrednost je kriptirana baza gesel, do katerih dostopaš z glavnim geslom. v praksi si zapomniš le tega, ki ti odklene bazo ostalih gesel.
poleg tega obvezno na vseh pomembnih accountih vključi dvostopenjsko preverjanje in za shranjevanje 2FA kod uporabi program, kot je npr. Authy.
Gajec ::
.
Mah, bom kar tule vprašal, ker je naslov dokaj primeren in tema ne prestara:
Gesla in tudi druge podatke (razne kode, serial keye, podatke o registracijah), torej cel kup takih in drugačnih podatkov, ki se jih je skozi leta že precej nabralo, imam napisana v .docx datoteki, to in še druge osebne datoteke (certifikate, razne izpiske,...) paspravljeno v Veracrypt kontejnerju.
Dostop do npr. te datoteke z gesli je glede na nepogostost uporabe zadovoljivo enostaven in hiter. Večkrat pa pomislim, koliko postane npr. ta datoteka z gesli, ko jo odšifriram in odprem z libreoffice (v sistemu W10), teoretično izpostavljena.
Torej kok je tu le teoretično in kok je praktične možnosti, da se vse skupaj iz te .docx datoteke, ko jo odprem, lahko nekam prenese, zabeleži...
V tem primeru razni urejevalniki gesel ne pridejo v poštev, ker so vmes še drugi podatki.
Mah, bom kar tule vprašal, ker je naslov dokaj primeren in tema ne prestara:
Gesla in tudi druge podatke (razne kode, serial keye, podatke o registracijah), torej cel kup takih in drugačnih podatkov, ki se jih je skozi leta že precej nabralo, imam napisana v .docx datoteki, to in še druge osebne datoteke (certifikate, razne izpiske,...) paspravljeno v Veracrypt kontejnerju.
Dostop do npr. te datoteke z gesli je glede na nepogostost uporabe zadovoljivo enostaven in hiter. Večkrat pa pomislim, koliko postane npr. ta datoteka z gesli, ko jo odšifriram in odprem z libreoffice (v sistemu W10), teoretično izpostavljena.
Torej kok je tu le teoretično in kok je praktične možnosti, da se vse skupaj iz te .docx datoteke, ko jo odprem, lahko nekam prenese, zabeleži...
V tem primeru razni urejevalniki gesel ne pridejo v poštev, ker so vmes še drugi podatki.
Lonsarg ::
Največji zaj. tukaj je, da si uporabil kompleksni .docx, ki zadaj zahteva veliko bolj kompleksne operacije kot enostavnejši .txt, k bi ga recimo opiral z Notepad++.
Gajec ::
Torej premik teksta v .txt zmanjša problem? Pa še vedno, odprt plain .txt v Notepadu - se realno na čistem sistemu lahko kam zabeležijo ti podatki oz. jih kamorkoli pihne veter...?
Lonsarg ::
Cache kam na disk se tudi ne bi čudil če Word dela. Notepad zihr ne k je bolj straightforward.
Poleg programov za odpiranje obstaja še možnost da kak Windows servis kam cachira. Sicer za virtualni disk z svojo črko pogona (kot to dela VeraCrypt/TrueCrypt) bi si sicer skoraj upal trditi da ne, nisem pa nikoli bolj podrobno raziskoval.
Poleg programov za odpiranje obstaja še možnost da kak Windows servis kam cachira. Sicer za virtualni disk z svojo črko pogona (kot to dela VeraCrypt/TrueCrypt) bi si sicer skoraj upal trditi da ne, nisem pa nikoli bolj podrobno raziskoval.
Saul Goodman ::
Veracrypt je solidna rešitev za zaščito podatkov. Bi pa tvoj problem rešil s keepass bazo. Predlagam, da si namestiš KeePassXC, ki je odprtokodni password manager. Notri imaš namenska polja za take informacije kot jih shranjuješ. Baza je lahko v VeraCrypt kontejnerju za double truble, lahko pa tudi izven, saj bo itak zaščitena z močnim glavnim geslom in je prav tako zakriptirana.
Ta program je imho no 1. izbira med odprtokodnimi, lokalno inštaliranimi password managerji.
Ta program je imho no 1. izbira med odprtokodnimi, lokalno inštaliranimi password managerji.
Zgodovina sprememb…
- spremenilo: Saul Goodman ()
Gajec ::
hjah, sem probal ta Notepad++ in .txt format, sam je smotano, ker je le gol text.
Zabeleženega imam ogromno, vse skupaj pa, da je bolj pregledno, pobarvano, prečrtano,..
Je torej problem v samem formatu ali v programu? Je kakšna razlika, če v Libreoffice odprem .docx, .txt ali .odf datoteko?
Je problem v formatu samem ali v programu?
Hvala drugač za vse odgovore :)
Zabeleženega imam ogromno, vse skupaj pa, da je bolj pregledno, pobarvano, prečrtano,..
Je torej problem v samem formatu ali v programu? Je kakšna razlika, če v Libreoffice odprem .docx, .txt ali .odf datoteko?
Je problem v formatu samem ali v programu?
Hvala drugač za vse odgovore :)
Gajec ::
...Bi bilo mogoče ok, če še naprej uporabljam format .docx ali pa .odt in sicer v programu, ki ga blokiram v Firewallu. S tem kaj naredim?
Ni Libreoffice že tako odprtokoden in varna izbira? Pri kakšnem microsoft Wordu bi si kar mislil, da se lahko datoteke kam uploadajo...
Ni Libreoffice že tako odprtokoden in varna izbira? Pri kakšnem microsoft Wordu bi si kar mislil, da se lahko datoteke kam uploadajo...
gendale2018 ::
Če nimaš bitlockerja (kriptiranje diskov za Windows sisteme) vklopljenga potem lahko vsak ki se malo bolj spozna pride do teh gesel. No prvo rabi dobit fizični dostop do računalnika za nekaj časa brez da vidiš, tak da če fizični dostop zavaruješ je že nekaj.
a nima bitlocker backdoora + ko je računalnik prižgan in ti not prijavljen je itak vse odklenjno in takoj ko se pojavi kak exploit ki omogoči napadalcu da pride na tvoj računalnik (kar se dogaja redno) lahko vzame še geslo
...Bi bilo mogoče ok, če še naprej uporabljam format .docx ali pa .odt in sicer v programu, ki ga blokiram v Firewallu. S tem kaj naredim?
Ni Libreoffice že tako odprtokoden in varna izbira? Pri kakšnem microsoft Wordu bi si kar mislil, da se lahko datoteke kam uploadajo...
a si prebral in razumel vso kodo od libreoffica in vseh knjižnic ki jih uporablja potem pa še preveril v kaj se je ta koda prevedla (ozirioma da ni kompajler not vtaknil kak backdoor)
ja sam mali poštar, kurac mi je oštar
čuvajte se žene, bit ćete jebene
čuvajte se žene, bit ćete jebene
Zgodovina sprememb…
- spremenilo: gendale2018 ()
Lonsarg ::
gendale2018 je izjavil:
a nima bitlocker backdoora + ko je računalnik prižgan in ti not prijavljen je itak vse odklenjno in takoj ko se pojavi kak exploit ki omogoči napadalcu da pride na tvoj računalnik (kar se dogaja redno) lahko vzame še geslo
Jaz razmišljam tako, dobiti z nezaščitenega diska podatke zna vsak drugi sosedov mulc. Dobit in znati uporabljat programe, ki znajo skenirat RAM za ostanki bitlocker gesel zna morda tisoč ljudi v Slo. Ta "luknja" deluje zgolj če uporabiš Bitlocker TMP čip brez dodatnega gesla ob zagonu računalnika, ob odklepu tako gre geslo v RAM, kjer ostane tudi do 60 sekund po izklopi elektrike in lahko ta orodja pridejo do tega. Kombinacija dodatnega gesla + izklopa sleepa (pač uporabiš hibernate, ki je na SSDjih res hiter) na računalniku pa te zaščiti še pred zgornji luknjo, ampak to je že hard core da greš do takega nivoja, še firme se ponavadi zadostijo z enostavnim TPM čipom za bitlocker, pač zaščita pred vsakomur razen res profiči.
Gagatronix ::
Word vse kar odpres vsaj zacasno spravi v %TEMP%. Enako tudi ostali MS Office programi, verjetno Libre Office tudi, ampak ga na Windows nisem nikdar uporabljal.
Saul Goodman ::
zato sem ti predlagal namenski program za shranjevanje gesel in svetujem, da ga čim preje sprobaš in ne trmoglaviš s txtji in doci. le tako boš lahko prepričan, da se med odprtjem baze (oz. v tvojem primeru dokumenta) ne bo na disku v cleartextu shranil še kakšen TEMP fajl te datoteke. simple = gesla, licenčni ključi, številke kreditnih kartic = password manager.
ti pa sprašuješ kater traktor je najboljš za avtocesto oz. s katero formulo bi oral po njivi. does not compute.
ti pa sprašuješ kater traktor je najboljš za avtocesto oz. s katero formulo bi oral po njivi. does not compute.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Varovanje uporabniških imen in gesel v poslovnem okolju?Oddelek: Pomoč in nasveti | 2132 (1616) | d3m1g0d |
| » | Na internet pobegnilo 773 milijonov elektronskih naslovov in gesel (strani: 1 2 )Oddelek: Novice / Zasebnost | 18010 (11819) | MrStein |
| » | Passwordi me ubijajo! (strani: 1 2 3 4 )Oddelek: Informacijska varnost | 43168 (29587) | Pero_SLO |
| » | Preveč gesel in drugih podatkovOddelek: Pomoč in nasveti | 2816 (2028) | čuhalev |
| » | Google želi tvoriti in hraniti vaša gesla (strani: 1 2 )Oddelek: Novice / Zasebnost | 27570 (24189) | antonija |