Gesla

Bitwarden. Google it.

''Gesla sem povedal maami!''
Ženi/partnerici NE zaupaš?

Sindrom je 6. mar 2023 ob 14:52 izjavil:

KeePass lokalno na disku, backup pa na drugem disku. Za tiste shrambe gesel v oblaku pa se mi zdi, da je vse skupaj le ena velika prošnja uporabnikov, da naj njihova gesla iz oblaka začnejo deževati po celem svetu, ko bo nekdo heknil strežnik.

V oblaku so samo enkriptirana gesla.

bizgech je 6. mar 2023 ob 15:14 izjavil:

LastPass je super, Bitwarden še malo boljši, gLava pa najboljša.

gesla raje proč od LastPass-a: https://www.windowscentral.com/software...

bitwarden je boljši le toliko da je FOSS ter da se mu kaj takega do sedaj še ni zgodilo, vsaj ni prišlo v javnost.

Kaj pa kakšen passwordmanager v sklopu antivirusnih paketov (Bitdefender, ESET, Kaspersky, itd)

bizgech je 6. mar 2023 ob 15:14 izjavil:

LastPass je super, Bitwarden še malo boljši, gLava pa najboljša.

gLava je sicer super. Problem gLave je le v tem, da si težko zapomni kompleksna gesla, pa rada jih pozabi sčasoma. No, načeloma jih ne pozabi, samo najti jih je težko. Pa še backupa nimaš. Ti pa gesla iz gLave zagotovo zelo težko ukradejo.

Zaradi zgoraj naštetih pomanjkljivosti gLave pa jaz priporočam (self-hosted) Bitwarden oz Vaultwarden.

Wrench attack

Še en glas za Bitwarden. Če pa iščeš nekaj za osebno in poslovno rabo, pa nevem. Bitwarden še vedno nima Chrome dodatka, na katerem bi lahko fural oboje hkrati.

darkolord je 7. mar 2023 ob 09:10 izjavil:

Če imaš gesla v glavi, jih lahko dobijo tudi tako, da heknejo spletno stran ali storitev, kjer to geslo uporabljaš.

Kar lahko seveda storijo tudi v primeru, da uporabljaš password manager.

darkolord je 7. mar 2023 ob 09:10 izjavil:

In ker imaš v glavi precej malo unikatnih gesel, lahko z enim geslom v resnici dobijo še več drugih.

Ja, mi je jasno. Sem samo komentiral post nekoga zgoraj, ki je rekel, da je glava najboljše mesto za gesla. Sem mu navedel kup pomanjkljivosti in eno prednost. Ta prednost je, da je geslo samo v glavi in nikjer drugje (če predpostavimo, da spletne strani ne shranjujejo clear text gesel).

darkolord je 7. mar 2023 ob 09:10 izjavil:

Saj ravno to je največji problem. Z uporabimo password managerja imam lahko za vsako stran unikatno geslo (ki ga sploh nikoli ne vidim). Zapomnim si jih pa kok, max 5-10?

Jasno. Tudi jaz uporabljam self hosted Vaultwarden. Imam tono gesel, ki jih še nikoli nisem videl. Ampak to ne spremeni dejstva, da nekdo lažje pride do gesel, shranjenih tam, kot pa do gesla v moji glavi. Pa ne samo gesel. Vidi lahko tudi storitve, katere uporabljam.

Sem se pa zdaj spomnil, da je pri geslu v glavi še en problem. Moraš ga vtipkati in takrat tudi obstaja možnost kraje (keylogger, gledanje čez ramo). Tako da ja, to je še en način, da ti geslo "iz glave" ukradejo, medtem ko z autofill iz password managerja to ne gre.

energetik je 7. mar 2023 ob 10:17 izjavil:

Password managerja ne morejo hekniti, če uporabljaš močno geslo. Razen če ti heknejo PC in namestijo keyloger.

Ali s 5 $ wrench attackom. Tisti, ki ste se spotaknili ob te moje izjave, še enkrat preberite, zakaj je do teh izjav sploh prišlo in če so resnično mišljene resno. Slišijo se resnično, mogoče tudi so resnične, niso pa uporabne oz. imajo hude pomanjkljivosti.

Tako kot se sliši resnično, da je bolje živeti na Marsu, ker na Zemlji je še vsak umrl, na Marsu pa še nihče. Drugi del je dejansko resničen, ampak ...

Torej geslo odprem enkrat, zapišem v ta PASSWORD in nikoli več ne zvem, katero geslo je?

GupeM je 6. mar 2023 ob 16:35 izjavil:

bizgech je 6. mar 2023 ob 15:14 izjavil:

LastPass je super, Bitwarden še malo boljši, gLava pa najboljša.

gLava je sicer super. Problem gLave je le v tem, da si težko zapomni kompleksna gesla, pa rada jih pozabi sčasoma. No, načeloma jih ne pozabi, samo najti jih je težko. Pa še backupa nimaš.

Jaz si gesla zapomnem s pomočjo formule (razložim v nadaljevanju). Pravzaprav ni nujno, da si zapomnem geslo... dovolj je, da si zapomnem formulo, ki me bo pripeljala do pravilnega gesla.

Imam torej formulo (oz. več njih) z dvema spremenljivkama (input) - poimenujmo jih z X in Y.
Najprej vzamem kratico storitve, na primer: FB = facebook, IG = instagram, LI = linkedin, GM = gmail itd.
Sedaj pa črke pretvorim v številke: F... s prstom grem v smeri proti številkam in pridem do 4. B ... s prstom grem v smeri proti številkam in pridem do 5.
Kratica FB mi torej da dve številki: X=4 in Y=5.
Sedaj pa spremenljivki X in Y vstavljam v formule (ki jih poznam na pamet) in vsaka mi da drugačen nek rezultat. Ko rezultate vpišem zaporedoma, dobim niz številk (oz. kar znakov), t.j. geslo za prijavo.

Vbistvu je ta moja formula nek master password. Če pozabim master password, ostanem brez vseh gesel. Če pozabim formulo, lahko ostanem brez nekaterih gesel - tista, ki jih pogosto uporabljam, si itak zapomnem. Ostal bi samo brez tistih, ki jih redko uporabljam.
Zato pravim, da je gLava bolj učinkovita kot kakšen Lastpass ipd.

Koliko pa so cloud password managerji kaj varni? Recimo, da gesla v njih shranjujem nekriptirana (plain text), kakšna je verjetnost, da nekega dne do mojih gesel pridejo nepridipravi in jih objavijo na internetu?
Če grem še bolj v podrobnosti, vprašljivo je lahko že delovanje password managerja. Kdo lahko jamči, da gumb "save" vpisanih podatkov ne bo poslal proizvajalcu softverja ali pa jih kdo-ve-kje objavil?

Imam sicer razvit lasten algoritem (PHP programček), ki za kriptiranje uporablja ključ (salt). Lahko se grem tudi večnivojsko enkripcijo in vmes uporabim še kakšno preverjeno rešitev, ampak to je že kompliciranje.

energetik je 7. mar 2023 ob 21:28 izjavil:

Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.

Že res, da se kriptira - v podatkovni bazi je vse kriptirano. Ampak nekje v izvorni kodi aplikacije je zapisan tudi algoritem, kako se dekriptira. Ko odpreš password manager ti ne bo izpisal šifrirano verzijo gesla, ampak točno tako geslo, kot si ga ti vnesel (temu pravim plain text). Torej če nekdo sheka LastPass, bo v podatkovni bazi dobil kriptirane verzije gesel, v izvornih datotekah pa postopek, kako se dekriptira.

mihagr je 7. mar 2023 ob 21:53 izjavil:

kaj pa gesla v word-ovi datoteki na računalniku, ki ni priključen nikamor razen na elektriko, na njemu pa teče DOS 6.22 in office 3.1?

Bi rad videl, kdo zna to se uporabljati.

Robocop1 je 7. mar 2023 ob 19:58 izjavil:

Koliko pa so cloud password managerji kaj varni? Recimo, da gesla v njih shranjujem nekriptirana (plain text), kakšna je verjetnost, da nekega dne do mojih gesel pridejo nepridipravi in jih objavijo na internetu?
Če grem še bolj v podrobnosti, vprašljivo je lahko že delovanje password managerja. Kdo lahko jamči, da gumb "save" vpisanih podatkov ne bo poslal proizvajalcu softverja ali pa jih kdo-ve-kje objavil?

Imam sicer razvit lasten algoritem (PHP programček), ki za kriptiranje uporablja ključ (salt). Lahko se grem tudi večnivojsko enkripcijo in vmes uporabim še kakšno preverjeno rešitev, ampak to je že kompliciranje.

Salt? wtf...

LightBit je 7. mar 2023 ob 22:01 izjavil:

Robocop1 je 7. mar 2023 ob 21:46 izjavil:

energetik je 7. mar 2023 ob 21:28 izjavil:

Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.

Že res, da se kriptira - v podatkovni bazi je vse kriptirano. Ampak nekje v izvorni kodi aplikacije je zapisan tudi algoritem, kako se dekriptira. Ko odpreš password manager ti ne bo izpisal šifrirano verzijo gesla, ampak točno tako geslo, kot si ga ti vnesel (temu pravim plain text). Torej če nekdo sheka LastPass, bo v podatkovni bazi dobil kriptirane verzije gesel, v izvornih datotekah pa postopek, kako se dekriptira.

Da dekriptiraš gesla moraš vnesti geslo, ki ga ni v njihovi bazi.

Kaj pa, ce je? Recimo kriptirano z njihovim public kljucem? (samo retoricno, se razume, da kodo vsake take aplikacije najprej pregledas, nato pa sam skompajlas in uporabis samo lasten binary /s)

111111111111 je 7. mar 2023 ob 22:00 izjavil:

Daj malo razloži kje šepa zadeva? Če recimo sproducira 8 mestno geslo.

Lahko sproducira tudi cel roman. Ampak če ga sproducira na podlagi dveh znakov - pa še ta dva sta predvidljiva - to ni kaj posebej varno.

Temu se reče "security through obscurity" - zanašanje na to, da je zadeva varna, ker si se pač nekaj spomnil in misliš, da nihče na svetu ni tako pameten, da bi se tudi lahko spomnil kaj takšnega.

Tista formula verjetno sploh ni komplicirana (če jo lahko direkt računa na pamet), poleg tega se jo da še obrniti in iz gesla izračunati nazaj vhodne podatke.

darkolord, ti kar briši čeprav ne razumem zakaj, ampak napisal sem samo tisto, kar še vedno znam!

Ali, pa, da kaksen mozgancek pregori, recimo kaj taksnega (1984, Turing Award) https://www.win.tue.nl/~aeb/linux/hh/th...

Vem, da ne bo nihce prebral, zato samo zakljucek:
"The moral is obvious. You can't trust code that you did not totally create yourself."

Tule lahko tudi marsikaj zveste o "pregledani open source kodi": http://www.underhanded-c.org/

132932 je 7. mar 2023 ob 22:36 izjavil:

LightBit je 7. mar 2023 ob 22:05 izjavil:

Za to se uporablja simetrično kriptografijo.

Ne se ne (razen, ce dela aplikacijo salabajzer). Ce bos uporabil simetricen kljuc, se do njega lahko dokoplje kdorkoli in odklepa vse baze vseh uporabnikov.

KeePass recimo uporablja simetrično kriptografijo. Tudi ne vidim smisla v public key kriptografiji za password manager razen če bi želel stranska vrata. Če tvoj ključ dobijo ali ugotovijo seveda lahko dešifrirajo tvoja gesla.

132932 je 7. mar 2023 ob 22:36 izjavil:

LightBit je 7. mar 2023 ob 22:05 izjavil:

Teoretično bi sicer lahko imeli stranska vrata, ampak z preizkušenimi algoritmi in pregledano odprto kodo precej težko.

Preizkuseni algoritmi so nepomembni, ce avtor aplikacije shrani zraven se tvoj kljuc, ki ga lahko samo on odkodira. In tudi, ce je koda odprta in jo nekdo preverja (kar je lari fari), me zanima kako si preveril, da je aplikacija zares scompilana iz pregledanih sourcov.

Da ni recimo vdrt build sistem dodal se malo kode v trenutku compilanja...

Dokler nisi preveril ves hardware in software ne moreš biti 100% ziher. To vedno velja. Je pa verjetno bolje kot hraniti gesla nešifrirana.

bizgech je 7. mar 2023 ob 19:35 izjavil:

Jaz si gesla zapomnem s pomočjo formule (razložim v nadaljevanju). Pravzaprav ni nujno, da si zapomnem geslo... dovolj je, da si zapomnem formulo, ki me bo pripeljala do pravilnega gesla.

In kaj se zgodi, ko uporabljaš spletno strani american airlines, anonimne alkoholike in Austrian airlines? Si zapomniš tudi to, katero kratico si kje uporabil?

Ali to, ali pa si zapomni drugačno "kratico".

Gre za managerje, ki so na trgu in v uporabi že 10+ let in jih uporablja milijone ljudi, kakršenkoli backdoor bi se že zdavnaj pokazal.

Tudi če si imel vse v Lastpassu in sledil priporočilom (močno random glavno geslo), ti kljub ukradenim trezorjem nihče nič ne more.
Kdor je uporabljal slabo geslo, si je pač sam kriv.

LightBit je 7. mar 2023 ob 22:01 izjavil:

Robocop1 je 7. mar 2023 ob 21:46 izjavil:

energetik je 7. mar 2023 ob 21:28 izjavil:

Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.

Že res, da se kriptira - v podatkovni bazi je vse kriptirano. Ampak nekje v izvorni kodi aplikacije je zapisan tudi algoritem, kako se dekriptira. Ko odpreš password manager ti ne bo izpisal šifrirano verzijo gesla, ampak točno tako geslo, kot si ga ti vnesel (temu pravim plain text). Torej če nekdo sheka LastPass, bo v podatkovni bazi dobil kriptirane verzije gesel, v izvornih datotekah pa postopek, kako se dekriptira.

Da dekriptiraš gesla moraš vnesti geslo, ki ga ni v njihovi bazi.

To govoriva o master passwordu?
Čemu potem strah pred uporabo password managerjev, če je gesla nemogoče dekriptirati brez gesla? Potemtakem tudi vdor v podatkovno bazo ne predstavlja nobenega tveganja, ker brez tega gesla dekripcija shranjenih gesel ni možna.