Password manager

Pri vseh cloud rešitvah moraš imeti scenarij, kaj narediti če le ta ne dela...

GupeM je 26. maj 2025 ob 08:04 izjavil:

velikBrokoli je 25. maj 2025 ob 22:22 izjavil:

Bitwarden deluje tudi offline. Če imaš master password lahko lokalno bazo unlockas in dela tudi ce crkne njihov cloud solution.

Če imaš lokalno bazo. Če dostopaš prek URL-ja, pa baze nimaš.

Vedno je potrebno imeti backup.
Bitwarden ima to dobro izvedeno, saj lahko izvoziš celo bazo direktno v password protected json; torej izvoziš direktno v kriptiran fajl .json, za katerega si lahko določiš novo geslo ali uporabiš kar istega kot sicer. Velika prednost je, da ta .json lahko direktno odpreš v FOSS programu KepassXC, ki je povsem lokalna baza - brez sledov na diskih. Jaz si po vsaki večji spremembi trezorja izvozim -json in hranim med dokumenti na PC. Tako lahko Bitwarden popolnoma crkne, pa bom v parih sekundah imel delujočo bazo v KeepassXC.

Grizzly je 26. maj 2025 ob 10:55 izjavil:

bm1973 je 26. maj 2025 ob 07:31 izjavil:

Pri vseh cloud rešitvah moraš imeti scenarij, kaj narediti če le ta ne dela...

Če uporabljaš 2 password managerja (tudi če oba v cloudu), si načeloma varen. Verjetnost, da bosta oba crknila hkrati, je minimalna.
Alternativna opcija je, da delaš kak data export. Je pa to manj varno, saj znajo datoteke priti med uporabnike (oz. oni do njih).

Si prebral, kaj sem pisal o kriptiranem .json? Ko izvoziš iz Bitwardena, so vnosi kriptirani ves čas in nikoli niso nikjer na diskovju v plain obliki. Če imaš dobro master geslo (kar itak moraš imeti), lahko tak .json naložiš kamor hočeš, tudi direktno na Gdrive, pa bodo podatki na varnem.

Ker z Bitwardenom nimaš nobenega dela in deluje seamlessly na vseh možnih napravah, brez potrebe po ukvarjanju z oblakom in add-oni. Dela v vsakem browserju, kot desktop aplikacija na win ali Linux, na Androidu, povsod.

V najslabšem primeru pač resetiraš gesla, ki so skoraj že pase. Za kaj bolj pomembnega pa password managarji niso.

Torej sklepam imaš seed za kripto denarnico (tudi) v PM-ju?

Aja, saj je bila zadnjič debata. BIP39 passphrase je v PM-ju?

Kako imate pa rešeno, da svojci dobijo dostop do pomembnih zadev, če se vam od danes na jutri kaj zgodi?

delavec44 je 26. maj 2025 ob 16:49 izjavil:

Torej sklepam imaš seed za kripto denarnico (tudi) v PM-ju?

Aja, saj je bila zadnjič debata. BIP39 passphrase je v PM-ju?

Kako imate pa rešeno, da svojci dobijo dostop do pomembnih zadev, če se vam od danes na jutri kaj zgodi?

Tako je, passphrase v PMju, seed pa vedno popolnoma offline na jeklu.

Glede svojcev, tudi Bitwarden glavno geslo in 2FA recovery imam vgravirano in spravljeno na tak način, da svojci vedo. Imaš možnosti vse od bančnih trezorjev do zakopavanja v zemljo, kakor komu ustreza.

Moje izkušnje s password managerji pa so malo drugačne. Dolgo časa sem imel gesla shranjena v LastPass (free account). Potem sem postopoma začel spreminjati gesla, in sicer sem jih spremenil tako, da so bila unikatna, a hkrati sestavljena na način, da sem si jih lahko tudi zapomnil. Ker sem naenrkat večino gesel v glavi, sem LastPass začel bolj po redko uporabljati. Enkrat po dolgem času sem hotel malo organizirati LastPass podatke in prijava naenkrat ni več delala. Obvestilo o napaki je govorilo, da sem vpisal napačen mail, čeprav dobro vem, da je bil pravilen. Skratka, moj account je bil kar naenkrat brez kakšnega opozorila izbrisan, s tem pa tudi vsi shranjeni podatki. Če večino gesel ne bi poznal na pamet, bi imel resen problem.

Morda je bil vzrok, ker sem uporabljal free account in sem po redko dostopal do gesel, pa so se odločili account izbrisati. Ampak vseeno bi se spodobilo poslati kakšen mail z opozorilom. Nikjer ne piše, da se kaj takega ne more zgoditi pri BitWarden ali kateremu drugemu managerju. Od takrat uporabljam svoj password manager - programsko kodo sem spisal sam, jo imam pri sebi in tudi podatkovna baza je pri meni. Edina varna rešitev.

Razlog zakaj se to ne more zgodit pri bitwardnu je ravno zato, ker ti omogoča, da imaš program self hosted in bazo pri sebi. Zakaj bi izumljal toplo vodo?

da so bila unikatna, a hkrati sestavljena na način, da sem si jih lahko tudi zapomnil.

Načeloma ni slab sistem, ga tudi sam uporabljam za cold gesla, ki jih tudi pasword managerju ne zaupam. Ranljivost tega, če jo širiko uporabljaš je, da je v veliki večini primerov izjemno enostavno uganit sistem, če nekdo pozna dve tri gesli. Tako, da za random spletne strani je naključno generirano geslo še vedno najbolj varna rešitev.

Če večino gesel ne bi poznal na pamet, bi imel resen problem.

V resnici sta je res problematičnih mogoče 5 servisev, kjer bi imel resen problem. Ostalo je neprijetnost, ki zahteva klik na link forgot my password.

energetik je 31. maj 2025 ob 14:25 izjavil:

Če so sestavljena na način, da si jih zapomniš, torej po nekem tvojem algoritmu, so zanič. Le za popolnoma random generirano geslo lahko točno določiš kvaliteto.
Če prijava po dolgem času ni delovala, gre zelo verjetno za tvojo napako, ne more bit kar "napačen mail".
In pa, namesto da si si sprogramiral svoje, ki ni pregledano in preverjeno, bi komot samo vzel Bitwarden kodo in si jo naložil na svoj strežnik - pa imaš audited rešitev, ki je preverjeno varna in dobro deluje.
In nazadnje - za VSAKO stvar rabiš backup, tudi če laufaš svojo rešitev na svojem strežniku. In to Bitwarden elegantno rešuje, tako da si izvoziš direktno kriptiran .json in si ga shraniš na N-naprav, po želji. VEDNO boš lahko odprl ta .json, če imaš le dobro shranjeno glavno geslo. Npr. jaz ga imam vgraviranega v jekleno ploščico.

Gesla generirana po lastnem algritmu (takem, ki ga ima človek v glavi) so vsekakor boljša od uporabe enega gesla za več storitev. Sistem je predvsem ranljiv kadar si tarča napada in nekdo pride do par tvojih gesel. Z vidika napadov preko uporabe baz ukradenih gesel pa je zadeva čisto ok. ČE imam na eni spletni strani geslo jožkoVelikiSLOTECH in na drugi strani jožkoVelikiGMAIL je to z vidika avtomatiziranih napadov povsem različno geslo.

energetik je 31. maj 2025 ob 14:25 izjavil:

Če so sestavljena na način, da si jih zapomniš, torej po nekem tvojem algoritmu, so zanič. Le za popolnoma random generirano geslo lahko točno določiš kvaliteto.
Če prijava po dolgem času ni delovala, gre zelo verjetno za tvojo napako, ne more bit kar "napačen mail".
In pa, namesto da si si sprogramiral svoje, ki ni pregledano in preverjeno, bi komot samo vzel Bitwarden kodo in si jo naložil na svoj strežnik - pa imaš audited rešitev, ki je preverjeno varna in dobro deluje.
In nazadnje - za VSAKO stvar rabiš backup, tudi če laufaš svojo rešitev na svojem strežniku. In to Bitwarden elegantno rešuje, tako da si izvoziš direktno kriptiran .json in si ga shraniš na N-naprav, po želji. VEDNO boš lahko odprl ta .json, če imaš le dobro shranjeno glavno geslo. Npr. jaz ga imam vgraviranega v jekleno ploščico.

Saj navidez vsako moje geslo deluje popolnoma random. Če ti dam 5 primerov svojih gesel, med njimi ne boš našel nobene povezave. Ampak načim, kako sem navidez random črke, znake in številke povezal v geslo, določa algoritem. Če slučajno kakšno geslo pozabim, potrebujem samo formulo, master password, list in svinčnik pa na hitro pridem do gesla.
To da je rešitev moja, pomeni, da vem za vsako vrstico kode čemu je namenjena in jo lahko kadarkoli nadgradim z novimi funkcionalnostmi. Tisti ki uporabljajo Bitwarden kodo (ali katerokoli drugo) ponavadi ne preverjajo vrstice za vrstico (kar pomeni, da ne veš točno, kaj vse se lahko izvede poleg shranjevanja) in so odvisni od funkcionalnosti, ki jih ponuja provider storitve.
Ker imam svojo rešitev, imam backup izveden tako, da meni ni treba narediti niti klika, saj se vse zgodi avtomatizirano (še ena prednost).
O kriptografiji vem kar nekaj, tako da nisem ravno začetnik. Nikakor pa ne trdim, da je moja rešitev popolnoma varna. Izpolnjuje moje zahteve in dokler bo tako, drugih password managerjev ne potrebujem. Res pa je tudi, da nisem dovolj velika riba, da bi nekdo mesece časa vložil v to, da bi se dokopal do mojih gesel.

crocodile je 31. maj 2025 ob 20:14 izjavil:

Saj navidez vsako moje geslo deluje popolnoma random. Če ti dam 5 primerov svojih gesel, med njimi ne boš našel nobene povezave. Ampak načim, kako sem navidez random črke, znake in številke povezal v geslo, določa algoritem.

Zakaj misliš, da se z ustreznimi orodji ne da najti povezave, če pa gesla niso naključna niti noben njihov del ni naključen?

Teoretično se tvoj algoritem da dobiti ven z reverse engineeringom, o tem ni dvoma. In potem si mrzel pri prav vseh geslih.

To je seveda bolj teoretično kot ne, nekdo bi te moral targetirati, napadu na tvoja gesla nameniti dovolj resursov, itd..

Teoretično so tvoja gesla manj varna. Praktično pa... pač presodiš sam, tudi v odvisnosti od važnosti reči, ki jih varujejo. Ne rečem, da se maš v praksi kaj dosti za sekirat.

Pri nas v firmi najboljši inženirji (z direktorjem na čelu) prisegajo na shranjevanje gesel v A5 beležko, ta pa je shranjena v posebnem trezorju, do katerega ima dostop le peščica zaposlenih.

Če imate pomisleke glede password managerjev, gesla pač shranjujte drugam. Ena od možnosti je, da si doma postaviš nek server (magari Raspberry računalnik) in ga preko pametne vtičnice vklopiš samo takrat, ko nekaj potrebuješ. Gor sprogramiraš neko aplikacijo, ki gesla shranjuje lokalno (seveda šifrirana) in to je to. Ko rabiš neko geslo, preko pametne vtičnice vklopiš server, s telefonom se preko VNC-ja povežeš gor in lokalno preveriš geslo, nato pa vse skupaj izklopiš. Vsake toliko časa aplikacijo in bazo gesel zazipaš, datoteko šifriraš (s preverjenim softverjem), nato pa jo skopiraš na par USB ključkov, ki jih shranjuješ na skritih mestih, za katera veš samo ti. Ni ga hekerja, ki bi prišel do tako shranjenih gesel.

Če bi že hotel biti 100% varen, bi moral vsa software razviti sam oz. imeti dostop do source code. Kaj ti pomaga preverjen password manager, če geslo potem vpišeš v aplikacijo, katere avtor nisi ti? Na telefonu imam en kup aplikacij, za katere vem le čemu so namenjen... kaj se dogaja v ozadju pa nimam pojma. Morda prav ta trenutek kakšna aplikacija prisluškuje mojemu pogovoru v sobi in posnetek pogovora pošilja drugam. Kdo bi vedel? Enako je z gesli.

Spomnil sem se, da sem enkrat nekje prebral neko zanimivo zamisel. Namreč, dovolj je, da gesla razrežeš na 2 dela in jih hraniš ločeno v različnih bazah - prvi del gesla v eni bazi, drugi del gesla v drugi bazi. Če gesla niso ravno neka smiselna beseda in se tabela/datoteka ne imenuje "passwords" ali "gesla", je to že dovolj varno. Tudi če ti nekdo odpre tako bazo, ne bo vedel, da gleda gesla. Pa tudi če bi to vedel, vidi samo polovico gesla - za katerega pa niti ne ve, kam paše. Ni treba nobenega šifriranja in ne vem kako varnih protokolov za dostop.

Sicer pa danes je tako, da tudi če imaš geslo in se boš prvič vpisal z nove naprave ali nepreverjene lokacije, boš poleg gesla moral vpisati še kak drugi varnostni podatek. Nadležna zadeva, a po svoje tudi koristna.

Odvisno od namena gesel, če so recimo (tudi) za spletne strani, obstajajo vtičnki za brskalnike, ki iz lokalnega password managerja na zahtevo sami vstavijo up. ime in geslo v formular na spletni strani. Nobenega ročnega dela nimaš s tem.

Se mojih 5 centov, če koga zanima.

Truenas, na njemu je Syncthing. Mislim, da tudi out of the box nasi podpirajo Syncthing.
Itak sem Syncthing uporabljal za Backup telefona.
Potem pa Keepass, baza je vezana na Syncthing in pa tam, kjer mi je to merodajno je Syncthing portable ali ae nameščen.

Ali pa so vsa gesla v password manager ju nepopolna. Torej gesla pac so ampak na koncu manjkata recimo 2 znaka ki jih ti pri vsakem vpisu ročno dodaš. Kar pomeni, četudi je baza ogrožena, je nepopolna.

bobby je 2. jun 2025 ob 08:41 izjavil:

Ali pa so vsa gesla v password manager ju nepopolna. Torej gesla pac so ampak na koncu manjkata recimo 2 znaka ki jih ti pri vsakem vpisu ročno dodaš. Kar pomeni, četudi je baza ogrožena, je nepopolna.

2 znaka ti vsak na domačem PC bruteforca v stotinkah sekunde... Je pa res, da spletni servisi imajo časovne in absolutne omejitve poizkusov.
Boljša praksa je, da si 2FA začetne kode shraniš v ločeni bazi in povsod uporabljaš 2FA. In skrbiš za higieno PC in telefona, ker ko ti enkrat okužijo naprave, si itak gotof.

MrStein je 2. jun 2025 ob 11:08 izjavil:

Kako pa napadalec ve, da manjkata točno 2 znaka?

Si kdaj videl, kako poteka brute-force napad? Namenski programi obdelajo v sekundah ali minutah vse variacije gesel z nekaj znaki, torej lahko dosegljive "sadeže".
V tem primeru kombinacije delnega gesla z 1,2,3.. znaki pred in za geslom. Razen če napadalec ne pogrunta, da je to zgolj delno geslo, ampak zanašat se na srečo v teh primerih ni glih pametno. Pri tem da obstajajo preverjene rešitve.

Komplicirate v božju mater za brezveze..

Password manager in 2fa povsod, kjer je možno, pa je zadeva rešena...

Varnost je potrebno čutit

Torej enako kot če stran omogoča recimo prijavo z Googlom?

finally someone who gets it


Z dodatkom: email je potem res kritičen. Če ga izgubiš, si se lahko prej prijavil z geslom in spremenil email. Zdaj pa... No, imaš še passkey.

Predvsem bi se pa folk moral zavedat kako pomemben je danes email in da to ni nekaj kar lahko zaupas nekomu tretjemu v upravljanje (govorim o samem emai naslovu, ne toliko o dejanskem upravljanju s sami sporocili). IMO je samo vprasanje casa kdaj bo primarni email podobno kot emso/davcna moral bit unikatno dodeljen posamezniku.

Pod certo so vsi ti scenariji izjemno problematicni, ce ze v osnovi nimas lastnistva nad emailom. Zato se IMO danes varnost ne zacne pri password managerjih in ne vem kaksnih bolj ali manj kompleksnih metodah za varovanje gesel.

Ljudje radi pozabijo, da je varnost (pa naj bo digitalna ali fizicna) koncept, ki ga sestavljajo stevilni gradniki. In da je vsak sistem samo tako varen, kot je varen njegov najsibkejsi clen.

Vdrli in ukradli googlov račun

Tipičen primer zakaj je v 21. stoletju zelo zelo problematično, če nimaš kontrole nad lastnim emailom.