» »

Password manager

Password manager

1 2
3
4

bm1973 ::

Pri vseh cloud rešitvah moraš imeti scenarij, kaj narediti če le ta ne dela...

GupeM ::

velikBrokoli je izjavil:

Bitwarden deluje tudi offline. Če imaš master password lahko lokalno bazo unlockas in dela tudi ce crkne njihov cloud solution.

Če imaš lokalno bazo. Če dostopaš prek URL-ja, pa baze nimaš.

energetik ::

GupeM je izjavil:

velikBrokoli je izjavil:

Bitwarden deluje tudi offline. Če imaš master password lahko lokalno bazo unlockas in dela tudi ce crkne njihov cloud solution.

Če imaš lokalno bazo. Če dostopaš prek URL-ja, pa baze nimaš.
Vedno je potrebno imeti backup.
Bitwarden ima to dobro izvedeno, saj lahko izvoziš celo bazo direktno v password protected json; torej izvoziš direktno v kriptiran fajl .json, za katerega si lahko določiš novo geslo ali uporabiš kar istega kot sicer. Velika prednost je, da ta .json lahko direktno odpreš v FOSS programu KepassXC, ki je povsem lokalna baza - brez sledov na diskih. Jaz si po vsaki večji spremembi trezorja izvozim -json in hranim med dokumenti na PC. Tako lahko Bitwarden popolnoma crkne, pa bom v parih sekundah imel delujočo bazo v KeepassXC.
vires in numeris

Grizzly ::

bm1973 je izjavil:

Pri vseh cloud rešitvah moraš imeti scenarij, kaj narediti če le ta ne dela...


Če uporabljaš 2 password managerja (tudi če oba v cloudu), si načeloma varen. Verjetnost, da bosta oba crknila hkrati, je minimalna.
Alternativna opcija je, da delaš kak data export. Je pa to manj varno, saj znajo datoteke priti med uporabnike (oz. oni do njih).

energetik ::

Grizzly je izjavil:

bm1973 je izjavil:

Pri vseh cloud rešitvah moraš imeti scenarij, kaj narediti če le ta ne dela...


Če uporabljaš 2 password managerja (tudi če oba v cloudu), si načeloma varen. Verjetnost, da bosta oba crknila hkrati, je minimalna.
Alternativna opcija je, da delaš kak data export. Je pa to manj varno, saj znajo datoteke priti med uporabnike (oz. oni do njih).
Si prebral, kaj sem pisal o kriptiranem .json? Ko izvoziš iz Bitwardena, so vnosi kriptirani ves čas in nikoli niso nikjer na diskovju v plain obliki. Če imaš dobro master geslo (kar itak moraš imeti), lahko tak .json naložiš kamor hočeš, tudi direktno na Gdrive, pa bodo podatki na varnem.
vires in numeris

Caracas ::

Zakaj potem sploh Bitwarden in ne kar KeepassX ki ga imaš na enem cloudu? In sinhroniziran z lokalnim.

Zgodovina sprememb…

  • spremenilo: Caracas ()

energetik ::

Ker z Bitwardenom nimaš nobenega dela in deluje seamlessly na vseh možnih napravah, brez potrebe po ukvarjanju z oblakom in add-oni. Dela v vsakem browserju, kot desktop aplikacija na win ali Linux, na Androidu, povsod.
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

GupeM ::

energetik je izjavil:

Vedno je potrebno imeti backup.

Normalno. Ampak glede na vprašanje OP, bi rekel, da to ni njegovo razmišljanje. Mislim... Če to sprašuješ, potem na backup niti pomisliš ne, ampak se zanašaš na to, da bo service pač vedno delal.

delavec44 ::

V najslabšem primeru pač resetiraš gesla, ki so skoraj že pase. Za kaj bolj pomembnega pa password managarji niso.

energetik ::

Unikatno geslo za vsako prijavo nikoli ne poteče, ker ni potrebe.

Niso za kaj bolj pomembnega? Za praktično vse zadeve imam podatke v PM-ju. Zato pa obstaja 2FA OTP, za katere kode hranim drugje.
vires in numeris

delavec44 ::

Torej sklepam imaš seed za kripto denarnico (tudi) v PM-ju?

Aja, saj je bila zadnjič debata. BIP39 passphrase je v PM-ju?

Kako imate pa rešeno, da svojci dobijo dostop do pomembnih zadev, če se vam od danes na jutri kaj zgodi?

Zgodovina sprememb…

nlist ::

Živjo,

Zanima me vaše mnenje o Keeper(ju).
Deluje na win, android, ios...

Hvala

energetik ::

delavec44 je izjavil:

Torej sklepam imaš seed za kripto denarnico (tudi) v PM-ju?

Aja, saj je bila zadnjič debata. BIP39 passphrase je v PM-ju?

Kako imate pa rešeno, da svojci dobijo dostop do pomembnih zadev, če se vam od danes na jutri kaj zgodi?

Tako je, passphrase v PMju, seed pa vedno popolnoma offline na jeklu.

Glede svojcev, tudi Bitwarden glavno geslo in 2FA recovery imam vgravirano in spravljeno na tak način, da svojci vedo. Imaš možnosti vse od bančnih trezorjev do zakopavanja v zemljo, kakor komu ustreza. :D
vires in numeris

Legon ::

delavec44 je izjavil:


Kako imate pa rešeno, da svojci dobijo dostop do pomembnih zadev, če se vam od danes na jutri kaj zgodi?


Povsem enako kot do ostalih pomembnih informacijami. Preko odvetnika, ki jih sme posredovat pooblašečenim osebam. Konkretno eden razpolaga s kriptano cold storage napravo, drugi z 2fa. Geslo je vezano na online service, ki me obvesti 7 dni (nastavljivo po želji) preden posreduje podatke. Tukaj govorimo seveda o kripto denarnicah, longterm bitwarden arhivu, infromacijah o naložbah, itd... Day to day stvari pa so tako ali tako dostopne partnerki že 30 let, če bi rabila. V primeru, da je nenadni dogodek smrt, pa je to definirano tudi v oporoki.

crocodile ::

Moje izkušnje s password managerji pa so malo drugačne. Dolgo časa sem imel gesla shranjena v LastPass (free account). Potem sem postopoma začel spreminjati gesla, in sicer sem jih spremenil tako, da so bila unikatna, a hkrati sestavljena na način, da sem si jih lahko tudi zapomnil. Ker sem naenrkat večino gesel v glavi, sem LastPass začel bolj po redko uporabljati. Enkrat po dolgem času sem hotel malo organizirati LastPass podatke in prijava naenkrat ni več delala. Obvestilo o napaki je govorilo, da sem vpisal napačen mail, čeprav dobro vem, da je bil pravilen. Skratka, moj account je bil kar naenkrat brez kakšnega opozorila izbrisan, s tem pa tudi vsi shranjeni podatki. Če večino gesel ne bi poznal na pamet, bi imel resen problem.

Morda je bil vzrok, ker sem uporabljal free account in sem po redko dostopal do gesel, pa so se odločili account izbrisati. Ampak vseeno bi se spodobilo poslati kakšen mail z opozorilom. Nikjer ne piše, da se kaj takega ne more zgoditi pri BitWarden ali kateremu drugemu managerju. Od takrat uporabljam svoj password manager - programsko kodo sem spisal sam, jo imam pri sebi in tudi podatkovna baza je pri meni. Edina varna rešitev.

energetik ::

Če so sestavljena na način, da si jih zapomniš, torej po nekem tvojem algoritmu, so zanič. Le za popolnoma random generirano geslo lahko točno določiš kvaliteto.
Če prijava po dolgem času ni delovala, gre zelo verjetno za tvojo napako, ne more bit kar "napačen mail".
In pa, namesto da si si sprogramiral svoje, ki ni pregledano in preverjeno, bi komot samo vzel Bitwarden kodo in si jo naložil na svoj strežnik - pa imaš audited rešitev, ki je preverjeno varna in dobro deluje.
In nazadnje - za VSAKO stvar rabiš backup, tudi če laufaš svojo rešitev na svojem strežniku. In to Bitwarden elegantno rešuje, tako da si izvoziš direktno kriptiran .json in si ga shraniš na N-naprav, po želji. VEDNO boš lahko odprl ta .json, če imaš le dobro shranjeno glavno geslo. Npr. jaz ga imam vgraviranega v jekleno ploščico.
vires in numeris

Legon ::

Razlog zakaj se to ne more zgodit pri bitwardnu je ravno zato, ker ti omogoča, da imaš program self hosted in bazo pri sebi. Zakaj bi izumljal toplo vodo?

da so bila unikatna, a hkrati sestavljena na način, da sem si jih lahko tudi zapomnil.

Načeloma ni slab sistem, ga tudi sam uporabljam za cold gesla, ki jih tudi pasword managerju ne zaupam. Ranljivost tega, če jo širiko uporabljaš je, da je v veliki večini primerov izjemno enostavno uganit sistem, če nekdo pozna dve tri gesli. Tako, da za random spletne strani je naključno generirano geslo še vedno najbolj varna rešitev.

Če večino gesel ne bi poznal na pamet, bi imel resen problem.

V resnici sta je res problematičnih mogoče 5 servisev, kjer bi imel resen problem. Ostalo je neprijetnost, ki zahteva klik na link forgot my password.

energetik je izjavil:

Če so sestavljena na način, da si jih zapomniš, torej po nekem tvojem algoritmu, so zanič. Le za popolnoma random generirano geslo lahko točno določiš kvaliteto.
Če prijava po dolgem času ni delovala, gre zelo verjetno za tvojo napako, ne more bit kar "napačen mail".
In pa, namesto da si si sprogramiral svoje, ki ni pregledano in preverjeno, bi komot samo vzel Bitwarden kodo in si jo naložil na svoj strežnik - pa imaš audited rešitev, ki je preverjeno varna in dobro deluje.
In nazadnje - za VSAKO stvar rabiš backup, tudi če laufaš svojo rešitev na svojem strežniku. In to Bitwarden elegantno rešuje, tako da si izvoziš direktno kriptiran .json in si ga shraniš na N-naprav, po želji. VEDNO boš lahko odprl ta .json, če imaš le dobro shranjeno glavno geslo. Npr. jaz ga imam vgraviranega v jekleno ploščico.


Gesla generirana po lastnem algritmu (takem, ki ga ima človek v glavi) so vsekakor boljša od uporabe enega gesla za več storitev. Sistem je predvsem ranljiv kadar si tarča napada in nekdo pride do par tvojih gesel. Z vidika napadov preko uporabe baz ukradenih gesel pa je zadeva čisto ok. ČE imam na eni spletni strani geslo jožkoVelikiSLOTECH in na drugi strani jožkoVelikiGMAIL je to z vidika avtomatiziranih napadov povsem različno geslo.

Zgodovina sprememb…

  • spremenilo: Legon ()

bm1973 ::

Narediš sel-fhosted password manager, ali pa app,

kjer potem deliš bazo preko kakega clouda, ali doma, ali pač javnega.

Prva rešitev ni za vsakega, druga pa je...

Če so te baze res dobro zakodirane, ne bi smel biti problem, če ti jo ukradejo.

Plus, če je password edini način, kjer ščitiš svoje podatke, že v osnovi delaš nekaj narobe...

crocodile ::

energetik je izjavil:

Če so sestavljena na način, da si jih zapomniš, torej po nekem tvojem algoritmu, so zanič. Le za popolnoma random generirano geslo lahko točno določiš kvaliteto.
Če prijava po dolgem času ni delovala, gre zelo verjetno za tvojo napako, ne more bit kar "napačen mail".
In pa, namesto da si si sprogramiral svoje, ki ni pregledano in preverjeno, bi komot samo vzel Bitwarden kodo in si jo naložil na svoj strežnik - pa imaš audited rešitev, ki je preverjeno varna in dobro deluje.
In nazadnje - za VSAKO stvar rabiš backup, tudi če laufaš svojo rešitev na svojem strežniku. In to Bitwarden elegantno rešuje, tako da si izvoziš direktno kriptiran .json in si ga shraniš na N-naprav, po želji. VEDNO boš lahko odprl ta .json, če imaš le dobro shranjeno glavno geslo. Npr. jaz ga imam vgraviranega v jekleno ploščico.


Saj navidez vsako moje geslo deluje popolnoma random. Če ti dam 5 primerov svojih gesel, med njimi ne boš našel nobene povezave. Ampak načim, kako sem navidez random črke, znake in številke povezal v geslo, določa algoritem. Če slučajno kakšno geslo pozabim, potrebujem samo formulo, master password, list in svinčnik pa na hitro pridem do gesla.
To da je rešitev moja, pomeni, da vem za vsako vrstico kode čemu je namenjena in jo lahko kadarkoli nadgradim z novimi funkcionalnostmi. Tisti ki uporabljajo Bitwarden kodo (ali katerokoli drugo) ponavadi ne preverjajo vrstice za vrstico (kar pomeni, da ne veš točno, kaj vse se lahko izvede poleg shranjevanja) in so odvisni od funkcionalnosti, ki jih ponuja provider storitve.
Ker imam svojo rešitev, imam backup izveden tako, da meni ni treba narediti niti klika, saj se vse zgodi avtomatizirano (še ena prednost).
O kriptografiji vem kar nekaj, tako da nisem ravno začetnik. Nikakor pa ne trdim, da je moja rešitev popolnoma varna. Izpolnjuje moje zahteve in dokler bo tako, drugih password managerjev ne potrebujem. Res pa je tudi, da nisem dovolj velika riba, da bi nekdo mesece časa vložil v to, da bi se dokopal do mojih gesel.

Poldi112 ::

Bitwarden oz. Vaultwarden sta zastonj in preverjeni rešitvi. Ideja, da boš napisal lastno, ki bo vsaj tako varna, je precej optimistična, praktično nikoli pa tudi ne bo upravičila investicije v lastno implementacijo, razen če res nujno potrebuješ kak feature, ki ga Vaultwarden nima. Pa še takrat bo verjento neprimerno hitreje, če pohekaš obstoječo rečitev.

Ja, definitivno si odvisen od funkcionalnosti rešitve, samo kaj točno pa manjka obstoječim rešitvam, da ti ne ustrezajo? Backup shranjenih keystore-ov je pa enako trivialno narediti, če kodiraš svojo implementacijo, ali če uporabiš kakšno od obstoječih.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Ales ::

crocodile je izjavil:

Saj navidez vsako moje geslo deluje popolnoma random. Če ti dam 5 primerov svojih gesel, med njimi ne boš našel nobene povezave. Ampak načim, kako sem navidez random črke, znake in številke povezal v geslo, določa algoritem.

Zakaj misliš, da se z ustreznimi orodji ne da najti povezave, če pa gesla niso naključna niti noben njihov del ni naključen?

Teoretično se tvoj algoritem da dobiti ven z reverse engineeringom, o tem ni dvoma. In potem si mrzel pri prav vseh geslih.

To je seveda bolj teoretično kot ne, nekdo bi te moral targetirati, napadu na tvoja gesla nameniti dovolj resursov, itd..

Teoretično so tvoja gesla manj varna. Praktično pa... pač presodiš sam, tudi v odvisnosti od važnosti reči, ki jih varujejo. Ne rečem, da se maš v praksi kaj dosti za sekirat.

delavec44 ::

Kako gre s tisto iniciativo, ki zagovarja ukinitev gesel?

Če delaš v takem poslovnem okolju kjer ti vsake par mesecev potečejo vsa gesla in jih ne gre reciklirati, postane hitro precej nadležno. Password managerji seveda odpadejo, ker niso požegnani.

GummyBear ::

Pri nas v firmi najboljši inženirji (z direktorjem na čelu) prisegajo na shranjevanje gesel v A5 beležko, ta pa je shranjena v posebnem trezorju, do katerega ima dostop le peščica zaposlenih.

Če imate pomisleke glede password managerjev, gesla pač shranjujte drugam. Ena od možnosti je, da si doma postaviš nek server (magari Raspberry računalnik) in ga preko pametne vtičnice vklopiš samo takrat, ko nekaj potrebuješ. Gor sprogramiraš neko aplikacijo, ki gesla shranjuje lokalno (seveda šifrirana) in to je to. Ko rabiš neko geslo, preko pametne vtičnice vklopiš server, s telefonom se preko VNC-ja povežeš gor in lokalno preveriš geslo, nato pa vse skupaj izklopiš. Vsake toliko časa aplikacijo in bazo gesel zazipaš, datoteko šifriraš (s preverjenim softverjem), nato pa jo skopiraš na par USB ključkov, ki jih shranjuješ na skritih mestih, za katera veš samo ti. Ni ga hekerja, ki bi prišel do tako shranjenih gesel.

Če bi že hotel biti 100% varen, bi moral vsa software razviti sam oz. imeti dostop do source code. Kaj ti pomaga preverjen password manager, če geslo potem vpišeš v aplikacijo, katere avtor nisi ti? Na telefonu imam en kup aplikacij, za katere vem le čemu so namenjen... kaj se dogaja v ozadju pa nimam pojma. Morda prav ta trenutek kakšna aplikacija prisluškuje mojemu pogovoru v sobi in posnetek pogovora pošilja drugam. Kdo bi vedel? Enako je z gesli.

energetik ::

Pišeš, da datoteko šifriraš (s preverjenim softverjem). A temu pa zaupaš? Zakaj potem ne zaupaš kar preverjenim open source rešitvam, ki naredijo vse v kompletu? Za paranoike, lahko vzameš KeePass, ga hkraniš zgolj lokalno, lahko dodaš keyfile poleg master passworda, itd. Pa še vedno, karkoli boš naredil, če imaš svojo bazo odprto, medtem ko ti na tvojo napravo naložijo spyware, si kljub vsemu gotof. Bulletproof rešitev je le HW ključ, npr. Yubikey.
vires in numeris

crocodile ::

Spomnil sem se, da sem enkrat nekje prebral neko zanimivo zamisel. Namreč, dovolj je, da gesla razrežeš na 2 dela in jih hraniš ločeno v različnih bazah - prvi del gesla v eni bazi, drugi del gesla v drugi bazi. Če gesla niso ravno neka smiselna beseda in se tabela/datoteka ne imenuje "passwords" ali "gesla", je to že dovolj varno. Tudi če ti nekdo odpre tako bazo, ne bo vedel, da gleda gesla. Pa tudi če bi to vedel, vidi samo polovico gesla - za katerega pa niti ne ve, kam paše. Ni treba nobenega šifriranja in ne vem kako varnih protokolov za dostop.

Sicer pa danes je tako, da tudi če imaš geslo in se boš prvič vpisal z nove naprave ali nepreverjene lokacije, boš poleg gesla moral vpisati še kak drugi varnostni podatek. Nadležna zadeva, a po svoje tudi koristna.

delavec44 ::

Za pomembne zadeve je itak 2fa obvezen.

V čem je slabše od lokalnega password managerja, če imaš gesla v kriptiranem excelu zaščitenem z master password?

Ales ::

Odvisno od namena gesel, če so recimo (tudi) za spletne strani, obstajajo vtičnki za brskalnike, ki iz lokalnega password managerja na zahtevo sami vstavijo up. ime in geslo v formular na spletni strani. Nobenega ročnega dela nimaš s tem.

delavec44 ::

Ales je izjavil:

Odvisno od namena gesel, če so recimo (tudi) za spletne strani, obstajajo vtičnki za brskalnike, ki iz lokalnega password managerja na zahtevo sami vstavijo up. ime in geslo v formular na spletni strani. Nobenega ročnega dela nimaš s tem.


Ja, to mi je jasno. Sprašujem zgolj iz vidika varnosti. Gre za poslovno okolje kjer taki vtičniki tako ali tako ne delujejo, večina gesel pa ni za browser.

bobby ::

Se mojih 5 centov, če koga zanima.

Truenas, na njemu je Syncthing. Mislim, da tudi out of the box nasi podpirajo Syncthing.
Itak sem Syncthing uporabljal za Backup telefona.
Potem pa Keepass, baza je vezana na Syncthing in pa tam, kjer mi je to merodajno je Syncthing portable ali ae nameščen.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.

energetik ::

crocodile je izjavil:

Spomnil sem se, da sem enkrat nekje prebral neko zanimivo zamisel. Namreč, dovolj je, da gesla razrežeš na 2 dela in jih hraniš ločeno v različnih bazah - prvi del gesla v eni bazi, drugi del gesla v drugi bazi. Če gesla niso ravno neka smiselna beseda in se tabela/datoteka ne imenuje "passwords" ali "gesla", je to že dovolj varno. Tudi če ti nekdo odpre tako bazo, ne bo vedel, da gleda gesla. Pa tudi če bi to vedel, vidi samo polovico gesla - za katerega pa niti ne ve, kam paše. Ni treba nobenega šifriranja in ne vem kako varnih protokolov za dostop.
S tem močno zmanjšaš moč gesla, če jih kar tako razpoloviš. Kdor bo dobil eno bazo, bo drugo polovico bruteforcal za šalo. Razen če ni že osnovno geslo tako dolgo, da to ne bo šlo.
Za take zadeve se uporablja SSS, kjer se ne izgublja moč gesla, pa še določiš lahko, koliko koščkov potrebuješ (npr. 2 od 3), da lahko uporabiš geslo.
vires in numeris

bobby ::

Ali pa so vsa gesla v password manager ju nepopolna. Torej gesla pac so ampak na koncu manjkata recimo 2 znaka ki jih ti pri vsakem vpisu ročno dodaš. Kar pomeni, četudi je baza ogrožena, je nepopolna.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.

bm1973 ::

delavec44 je izjavil:

Kako gre s tisto iniciativo, ki zagovarja ukinitev gesel?

Če delaš v takem poslovnem okolju kjer ti vsake par mesecev potečejo vsa gesla in jih ne gre reciklirati, postane hitro precej nadležno. Password managerji seveda odpadejo, ker niso požegnani.

Precej firm uporablja password managerje, z neko svojo politiko...

So kar default inštalirane aplikacije, v mojih 2 primerih KeePass.

energetik ::

bobby je izjavil:

Ali pa so vsa gesla v password manager ju nepopolna. Torej gesla pac so ampak na koncu manjkata recimo 2 znaka ki jih ti pri vsakem vpisu ročno dodaš. Kar pomeni, četudi je baza ogrožena, je nepopolna.

2 znaka ti vsak na domačem PC bruteforca v stotinkah sekunde... Je pa res, da spletni servisi imajo časovne in absolutne omejitve poizkusov.
Boljša praksa je, da si 2FA začetne kode shraniš v ločeni bazi in povsod uporabljaš 2FA. In skrbiš za higieno PC in telefona, ker ko ti enkrat okužijo naprave, si itak gotof.
vires in numeris

MrStein ::

Kako pa napadalec ve, da manjkata točno 2 znaka?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

energetik ::

MrStein je izjavil:

Kako pa napadalec ve, da manjkata točno 2 znaka?
Si kdaj videl, kako poteka brute-force napad? Namenski programi obdelajo v sekundah ali minutah vse variacije gesel z nekaj znaki, torej lahko dosegljive "sadeže".
V tem primeru kombinacije delnega gesla z 1,2,3.. znaki pred in za geslom. Razen če napadalec ne pogrunta, da je to zgolj delno geslo, ampak zanašat se na srečo v teh primerih ni glih pametno. Pri tem da obstajajo preverjene rešitve.
vires in numeris

Zgodovina sprememb…

bobby ::

Ja ampak če je baza komprimitirana, in has razbit in mu pokaže geslo, ki pa ni popolno, in se napadalec proba logirat na neko storitev z USR/PASS ampak pass je incomplete ti noben hashcracking ne pomaga, ker login v servise ni razbiajnje hashev. Tvoja opomba je delno na mestu ampak zgrešil si pri točki, da napadalec ne ve, da še kaj manjka in pa sekundarno, količina loginov na servise so ponavadi omejene.
Ce eksplicitno ne odgovorim osebam PNG ali PR,..I dont care about your opinion.

velikBrokoli ::

Komplicirate v božju mater za brezveze..

Password manager in 2fa povsod, kjer je možno, pa je zadeva rešena...

Robocop1 ::

Kot je nekdo že napisal zgoraj: Povprečen uporabnik je napadalcu nezanimiv. Nisem banka, ne upravljam kakšnih velikih informacijskih sistemov, nimam nobenih informacij politične narave itd. Zakaj bi nekdo zgubljal čas za razbijanje mojih gesel?

Mene dosti bolj moti, ko hočem na hitro priti v chatGPT in moram najprej rešiti uganko s puzzli. Včasih niti ne vem, kako je treba reševati. Ko končno pravilno rešim, moram vpisati začasno geslo, ki so ga poslali na moj mail. Ok, se grem prijavit v mail in tam hočejo, da preko telefona potrdim, da sem to res jaz. En kup potez in dokazovanja, da se za trenutek prijavim v nek servis. Na koncu več časa porabim za prijavo kakor dejansko servis uporabljam.

JA23 ::

Varnost je potrebno čutit >:D

Lonsarg ::

Vse "obicne" non cryitical strani bi morale presaltati na email-only login brez dodatnih kolobocij. Pac preko emaila se ob prvi prijavi generira lokalni passkey in za vse naslednje logine je avtomatsko. Ce je nova naprava spet email login in nato od tam naprej lokalni passkey, sploh ne rabis kakih passkey sync.

Obicne strani namrec ze tako ali tako imajo email password reset...

Zgodovina sprememb…

  • spremenil: Lonsarg ()

delavec44 ::

Torej enako kot če stran omogoča recimo prijavo z Googlom?

Lonsarg ::

S stalisca varnosti priblizno enako, s stalisca privatnosti pa je ogromna razlika. Google Login gre vsakic preko Google streznikov. Login preko linka/kode na gmail pa gre preko Google le enkratna koda enkrat, pa se sam zberes email providerja, ne pa stran.

Glavni point je, da vse strani kjer je mozno preko emaila resetirat geslo (torej 99%) so ze itak izpostavljene na email, torej je neumno da sploh imajo password login ker s tem samo dodajo izpostavljenost. Ce je email dovolj za reset naj bo dovolj se za initial login in passworda ne rabis, kot tudi ne rabis passkey sync ker ga itak inicializiras lahko per napravo preko emaila.

Mimogrede to ene strani in mobilne aplikacije ze dlje pocnejo (custom implementacija mimo OS passkey APIjev).

Izjema so kriticne strani ala email, onedrive, banka, kjer hoces dodatno zascito, da dostop preko emaila ni dovolj. Za te je treba nagruntat kako to narediti v passwordless svetu za laike, da bo hkrati secure in hkrati ne prevec komplicirano.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

MrStein ::

finally someone who gets it ;)


Z dodatkom: email je potem res kritičen. Če ga izgubiš, si se lahko prej prijavil z geslom in spremenil email. Zdaj pa... No, imaš še passkey.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Lonsarg ::

Prav nic drugace ni glede izpostavljenosti do emaila kot je ze sedaj. Ce ti nekdo ukrade dostop do emaila gre seveda spremenit geslo ce ti ima namen dostop vzet in ti to da imas star password nic ne pomaga.

Skratka email login al pa email reset gesla je cisto enaka izpostavljenost. V kolikor seveda ni dodatnih varovalk, ampak vecina strani jih nima. In za razne dummy strani je to itak ok, ker email itak varujemo. Itak ce b8 namesto emaila bil to centralni passkey/password manager bi pa ta bil single point namesto emaila, vedno nek single point je.

V perfect svetu bi ta single point bil cip v mozganih aktiviran z unikatno mislijo. Zato da ni mozno ukrast :)

Zgodovina sprememb…

  • spremenil: Lonsarg ()

Legon ::

Predvsem bi se pa folk moral zavedat kako pomemben je danes email in da to ni nekaj kar lahko zaupas nekomu tretjemu v upravljanje (govorim o samem emai naslovu, ne toliko o dejanskem upravljanju s sami sporocili). IMO je samo vprasanje casa kdaj bo primarni email podobno kot emso/davcna moral bit unikatno dodeljen posamezniku.

Zgodovina sprememb…

  • spremenilo: Legon ()

MrStein ::

Lonsarg je izjavil:

Prav nic drugace ni glede izpostavljenosti do emaila kot je ze sedaj. Ce ti nekdo ukrade dostop do emaila gre seveda spremenit geslo ce ti ima namen dostop vzet in ti to da imas star password nic ne pomaga.

Jaz sem mislil na scenarij, da izgubiš dostop do svojega emaila, ne pa da si ga pridobi napadalec. Torej pozabiš geslo, ponudnik propade itd...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Legon ::

Pod certo so vsi ti scenariji izjemno problematicni, ce ze v osnovi nimas lastnistva nad emailom. Zato se IMO danes varnost ne zacne pri password managerjih in ne vem kaksnih bolj ali manj kompleksnih metodah za varovanje gesel.

Ljudje radi pozabijo, da je varnost (pa naj bo digitalna ali fizicna) koncept, ki ga sestavljajo stevilni gradniki. In da je vsak sistem samo tako varen, kot je varen njegov najsibkejsi clen.

energetik ::

Legon je izjavil:

Pod certo so vsi ti scenariji izjemno problematicni, ce ze v osnovi nimas lastnistva nad emailom. Zato se IMO danes varnost ne zacne pri password managerjih in ne vem kaksnih bolj ali manj kompleksnih metodah za varovanje gesel.

Ljudje radi pozabijo, da je varnost (pa naj bo digitalna ali fizicna) koncept, ki ga sestavljajo stevilni gradniki. In da je vsak sistem samo tako varen, kot je varen njegov najsibkejsi clen.
To je res, ampak po mojem je enako pomembno upravljanje z gesli kot tudi "opsec", torej da se preveri, kaj se klika, da se skrbi za varnost domačega omrežja itd. Ampak tudi to, kako folk v povprečju ravna z gesli, je katastrofa.
vires in numeris

Legon ::

Vdrli in ukradli googlov račun

Tipičen primer zakaj je v 21. stoletju zelo zelo problematično, če nimaš kontrole nad lastnim emailom.

delavec44 ::

Ni imel 2fa.

Meni se zdi večji problem, da ti ga Google lahko samovoljno zapre. Na zadnje sem bral, zaradi pošiljanja slik lastnega nagega otroka njegovemu pediatru. Bo potrebno take priponke šifrirati in paziti, da ti je že telefon ob slikanju ne porine v oblak.

Lastnik računa pa menda ni imel veliko sreče s pritožbo.
1 2
3
4


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Ravnanje z gesli

Oddelek: Informacijska varnost
453730 (2041) energetik
»

Gesla (strani: 1 2 )

Oddelek: Pomoč in nasveti
679190 (7205) xseki
»

Med vdorom v LastPass in katastrofo le kakovost glavnih gesel uporabnikov

Oddelek: Novice / Varnost
266947 (4583) energetik
»

LastPass ponovno napaden, odtujeni osebni podatki, a ne gesla

Oddelek: Novice / Varnost
388449 (5892) -Nevsky-
»

Hekerji ukradli del izvorne kode LastPassa (strani: 1 2 )

Oddelek: Novice / Varnost
8618242 (13651) NejcSSD

Več podobnih tem