» »

Gesla

Gesla

«
1
2

xgeorgex ::

Pozdravljeni,

zanima me kje imate shranjena gesla (brskalnik, app, papir...)??

Dober dan ::

Bitwarden. Google it.

hotig ::

Gesla sem povedal mami. Ona je imela pogovor z mojo ženo. Žena jih je zaupala tašči, mama pa fotru. Tašča se je neki zdrla na tasta. In potem sta šla pa fotr in tast na pijačo, verjetno da preverita moj pin in gesla. Ko dobim naslednji mesec bančni izpisek bom najbrž menjal vsa gesla in pin. :D;((

kajtimara ::

''Gesla sem povedal maami!''
Ženi/partnerici NE zaupaš?

Sindrom ::

KeePass lokalno na disku, backup pa na drugem disku. Za tiste shrambe gesel v oblaku pa se mi zdi, da je vse skupaj le ena velika prošnja uporabnikov, da naj njihova gesla iz oblaka začnejo deževati po celem svetu, ko bo nekdo heknil strežnik.
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmerman

darkolord ::

Sindrom je izjavil:

KeePass lokalno na disku, backup pa na drugem disku. Za tiste shrambe gesel v oblaku pa se mi zdi, da je vse skupaj le ena velika prošnja uporabnikov, da naj njihova gesla iz oblaka začnejo deževati po celem svetu, ko bo nekdo heknil strežnik.
V oblaku so samo enkriptirana gesla.

bizgech ::

LastPass je super, Bitwarden še malo boljši, gLava pa najboljša.

Jakkob ::

bizgech je izjavil:

LastPass je super, Bitwarden še malo boljši, gLava pa najboljša.


gesla raje proč od LastPass-a: https://www.windowscentral.com/software...

bitwarden je boljši le toliko da je FOSS ter da se mu kaj takega do sedaj še ni zgodilo, vsaj ni prišlo v javnost.

energetik ::

bizgech je izjavil:

LastPass je super, Bitwarden še malo boljši, gLava pa najboljša.
Glava je najboljša do tistega trenutka, ko pozabi kakšnega od 200 gesel... ;((

Lastpass je bil super, seveda se tudi Bitwardenu lahko zgodi podobno, kot se je LP, pa vseeno, je vsaj opensource.

Tako da ja, predlog je Bitwarden, naslednji Keepass s sinhronizacijo v oblaku, za paranoike pa Keepass shranjen le na par komadov offline USB ključkov, hkrati z uporabo keyfile.
Seveda je pri vseh obvezno močno glavno geslo, random, 100+bit entropije.
vires in numeris

strom_15 ::

Kaj pa kakšen passwordmanager v sklopu antivirusnih paketov (Bitdefender, ESET, Kaspersky, itd)

energetik ::

Zakaj bi to uporabil, če imaš na voljo FOSS Bitwarden ali Keepass, ki preverjeno odlično delujeta in sta transparentna?
vires in numeris

GupeM ::

bizgech je izjavil:

LastPass je super, Bitwarden še malo boljši, gLava pa najboljša.

gLava je sicer super. Problem gLave je le v tem, da si težko zapomni kompleksna gesla, pa rada jih pozabi sčasoma. No, načeloma jih ne pozabi, samo najti jih je težko. Pa še backupa nimaš. Ti pa gesla iz gLave zagotovo zelo težko ukradejo.

Zaradi zgoraj naštetih pomanjkljivosti gLave pa jaz priporočam (self-hosted) Bitwarden oz Vaultwarden.

Zgodovina sprememb…

  • spremenil: GupeM ()

Jakkob ::

GupeM je izjavil:

Ti pa gesla iz gLave zagotovo zelo težko ukradejo.

energetik ::

Wrench attack :D
vires in numeris

GupeM ::

Jakkob je izjavil:

GupeM je izjavil:

Ti pa gesla iz gLave zagotovo zelo težko ukradejo.


Ampak če imaš gesla v glavi, jih lahko dobijo samo tam. Če jih imaš v password managerju, ga lahko heknejo. Ali pa še vedno z zgornjo metodo pridejo do master passworda, torej se jim je možnost precej povečala. S tem da imaš v password managerju še druge podatke. Recimo naslove spletnih strani. Ko pridejo tja, VEJO!, da imaš uporabniški račun na slo-techu. Brez password managerja ni nujno, da to vejo, zato niti na wrench attack seznam ne prideš.

Pa da ne bo pomote, sem ZA uporabo password managerja.

DePalmo ::

Še en glas za Bitwarden. Če pa iščeš nekaj za osebno in poslovno rabo, pa nevem. Bitwarden še vedno nima Chrome dodatka, na katerem bi lahko fural oboje hkrati.

darkolord ::

GupeM je izjavil:

Ampak če imaš gesla v glavi, jih lahko dobijo samo tam.
NE!!!

Če imaš gesla v glavi, jih lahko dobijo tudi tako, da heknejo spletno stran ali storitev, kjer to geslo uporabljaš.

In ker imaš v glavi precej malo unikatnih gesel, lahko z enim geslom v resnici dobijo še več drugih.

Saj ravno to je največji problem. Z uporabimo password managerja imam lahko za vsako stran unikatno geslo (ki ga sploh nikoli ne vidim). Zapomnim si jih pa kok, max 5-10?

Zgodovina sprememb…

GupeM ::

darkolord je izjavil:

Če imaš gesla v glavi, jih lahko dobijo tudi tako, da heknejo spletno stran ali storitev, kjer to geslo uporabljaš.

Kar lahko seveda storijo tudi v primeru, da uporabljaš password manager.

darkolord je izjavil:

In ker imaš v glavi precej malo unikatnih gesel, lahko z enim geslom v resnici dobijo še več drugih.

Ja, mi je jasno. Sem samo komentiral post nekoga zgoraj, ki je rekel, da je glava najboljše mesto za gesla. Sem mu navedel kup pomanjkljivosti in eno prednost. Ta prednost je, da je geslo samo v glavi in nikjer drugje (če predpostavimo, da spletne strani ne shranjujejo clear text gesel).

darkolord je izjavil:

Saj ravno to je največji problem. Z uporabimo password managerja imam lahko za vsako stran unikatno geslo (ki ga sploh nikoli ne vidim). Zapomnim si jih pa kok, max 5-10?

Jasno. Tudi jaz uporabljam self hosted Vaultwarden. Imam tono gesel, ki jih še nikoli nisem videl. Ampak to ne spremeni dejstva, da nekdo lažje pride do gesel, shranjenih tam, kot pa do gesla v moji glavi. Pa ne samo gesel. Vidi lahko tudi storitve, katere uporabljam.

Sem se pa zdaj spomnil, da je pri geslu v glavi še en problem. Moraš ga vtipkati in takrat tudi obstaja možnost kraje (keylogger, gledanje čez ramo). Tako da ja, to je še en način, da ti geslo "iz glave" ukradejo, medtem ko z autofill iz password managerja to ne gre.

energetik ::

GupeM je izjavil:

Jakkob je izjavil:

GupeM je izjavil:

Ti pa gesla iz gLave zagotovo zelo težko ukradejo.


Ampak če imaš gesla v glavi, jih lahko dobijo samo tam. Če jih imaš v password managerju, ga lahko heknejo. Ali pa še vedno z zgornjo metodo pridejo do master passworda, torej se jim je možnost precej povečala. S tem da imaš v password managerju še druge podatke. Recimo naslove spletnih strani. Ko pridejo tja, VEJO!, da imaš uporabniški račun na slo-techu. Brez password managerja ni nujno, da to vejo, zato niti na wrench attack seznam ne prideš.

Pa da ne bo pomote, sem ZA uporabo password managerja.
Password managerja ne morejo hekniti, če uporabljaš močno geslo. Razen če ti heknejo PC in namestijo keyloger.
Kako si zapomniti 200 močnih gesel glavi, je popolna uganka. Morda če si superman. Jaz imam povsod, v vsaki spletni štacuni naključno geslo z entropijo 100bit+. Ni nobene šanse, da bi si kdo to zapomnil. Raje si zapomnim samo 1 res močno geslo, ki ga imam fizično bekapirano na varnem mestu, do koder lahko dostopajo tudi družinski člani, če bi bilo potrebno (izguba spomin, smrt).
vires in numeris

GupeM ::

energetik je izjavil:

Password managerja ne morejo hekniti, če uporabljaš močno geslo. Razen če ti heknejo PC in namestijo keyloger.

Ali s 5 $ wrench attackom. Tisti, ki ste se spotaknili ob te moje izjave, še enkrat preberite, zakaj je do teh izjav sploh prišlo in če so resnično mišljene resno. Slišijo se resnično, mogoče tudi so resnične, niso pa uporabne oz. imajo hude pomanjkljivosti.

Tako kot se sliši resnično, da je bolje živeti na Marsu, ker na Zemlji je še vsak umrl, na Marsu pa še nihče. Drugi del je dejansko resničen, ampak ...

Zgodovina sprememb…

  • spremenil: GupeM ()

132932 ::

GupeM je izjavil:

Ali s 5 $ wrench attackom.


Rubberhose kriptoanaliza je delovala se na vsakem password managerju.

kajtimara ::

Torej geslo odprem enkrat, zapišem v ta PASSWORD in nikoli več ne zvem, katero geslo je?

energetik ::

8-O
vires in numeris

bizgech ::

GupeM je izjavil:

bizgech je izjavil:

LastPass je super, Bitwarden še malo boljši, gLava pa najboljša.

gLava je sicer super. Problem gLave je le v tem, da si težko zapomni kompleksna gesla, pa rada jih pozabi sčasoma. No, načeloma jih ne pozabi, samo najti jih je težko. Pa še backupa nimaš.


Jaz si gesla zapomnem s pomočjo formule (razložim v nadaljevanju). Pravzaprav ni nujno, da si zapomnem geslo... dovolj je, da si zapomnem formulo, ki me bo pripeljala do pravilnega gesla.

Imam torej formulo (oz. več njih) z dvema spremenljivkama (input) - poimenujmo jih z X in Y.
Najprej vzamem kratico storitve, na primer: FB = facebook, IG = instagram, LI = linkedin, GM = gmail itd.
Sedaj pa črke pretvorim v številke: F... s prstom grem v smeri proti številkam in pridem do 4. B ... s prstom grem v smeri proti številkam in pridem do 5.
Kratica FB mi torej da dve številki: X=4 in Y=5.
Sedaj pa spremenljivki X in Y vstavljam v formule (ki jih poznam na pamet) in vsaka mi da drugačen nek rezultat. Ko rezultate vpišem zaporedoma, dobim niz številk (oz. kar znakov), t.j. geslo za prijavo.

Vbistvu je ta moja formula nek master password. Če pozabim master password, ostanem brez vseh gesel. Če pozabim formulo, lahko ostanem brez nekaterih gesel - tista, ki jih pogosto uporabljam, si itak zapomnem. Ostal bi samo brez tistih, ki jih redko uporabljam.
Zato pravim, da je gLava bolj učinkovita kot kakšen Lastpass ipd.

energetik ::

To ni niti malo varno niti random, razen če je ta tvoja formula vsaj na ravni SHA256 ali podobnega :))
Si si dal delo, namesto da bi uporabil solid preverjeno rešitev npr. Keepass in zapomnil točno 1 močan true random passphrase.
vires in numeris

Zgodovina sprememb…

Robocop1 ::

Koliko pa so cloud password managerji kaj varni? Recimo, da gesla v njih shranjujem nekriptirana (plain text), kakšna je verjetnost, da nekega dne do mojih gesel pridejo nepridipravi in jih objavijo na internetu?
Če grem še bolj v podrobnosti, vprašljivo je lahko že delovanje password managerja. Kdo lahko jamči, da gumb "save" vpisanih podatkov ne bo poslal proizvajalcu softverja ali pa jih kdo-ve-kje objavil?

Imam sicer razvit lasten algoritem (PHP programček), ki za kriptiranje uporablja ključ (salt). Lahko se grem tudi večnivojsko enkripcijo in vmes uporabim še kakšno preverjeno rešitev, ampak to je že kompliciranje.

energetik ::

Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.
Kdo lahko jamči? Vsak, ki pogleda njihovo odprto kodo.
vires in numeris

Robocop1 ::

energetik je izjavil:

Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.


Že res, da se kriptira - v podatkovni bazi je vse kriptirano. Ampak nekje v izvorni kodi aplikacije je zapisan tudi algoritem, kako se dekriptira. Ko odpreš password manager ti ne bo izpisal šifrirano verzijo gesla, ampak točno tako geslo, kot si ga ti vnesel (temu pravim plain text). Torej če nekdo sheka LastPass, bo v podatkovni bazi dobil kriptirane verzije gesel, v izvornih datotekah pa postopek, kako se dekriptira.

mihagr ::

kaj pa gesla v word-ovi datoteki na računalniku, ki ni priključen nikamor razen na elektriko, na njemu pa teče DOS 6.22 in office 3.1?

132932 ::

mihagr je izjavil:

kaj pa gesla v word-ovi datoteki na računalniku, ki ni priključen nikamor razen na elektriko, na njemu pa teče DOS 6.22 in office 3.1?

Bi rad videl, kdo zna to se uporabljati.

111111111111 ::

energetik je izjavil:

To ni niti malo varno niti random, razen če je ta tvoja formula vsaj na ravni SHA256 ali podobnega :))
Si si dal delo, namesto da bi uporabil solid preverjeno rešitev npr. Keepass in zapomnil točno 1 močan true random passphrase.

Daj malo razloži kje šepa zadeva? Če recimo sproducira 8 mestno geslo.
Če prisloniš uho na vroč šporhet, lahko zavohaš kak si fuknjen.

132932 ::

Robocop1 je izjavil:

Koliko pa so cloud password managerji kaj varni? Recimo, da gesla v njih shranjujem nekriptirana (plain text), kakšna je verjetnost, da nekega dne do mojih gesel pridejo nepridipravi in jih objavijo na internetu?
Če grem še bolj v podrobnosti, vprašljivo je lahko že delovanje password managerja. Kdo lahko jamči, da gumb "save" vpisanih podatkov ne bo poslal proizvajalcu softverja ali pa jih kdo-ve-kje objavil?

Imam sicer razvit lasten algoritem (PHP programček), ki za kriptiranje uporablja ključ (salt). Lahko se grem tudi večnivojsko enkripcijo in vmes uporabim še kakšno preverjeno rešitev, ampak to je že kompliciranje.


Salt? wtf...

LightBit ::

Robocop1 je izjavil:

energetik je izjavil:

Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.


Že res, da se kriptira - v podatkovni bazi je vse kriptirano. Ampak nekje v izvorni kodi aplikacije je zapisan tudi algoritem, kako se dekriptira. Ko odpreš password manager ti ne bo izpisal šifrirano verzijo gesla, ampak točno tako geslo, kot si ga ti vnesel (temu pravim plain text). Torej če nekdo sheka LastPass, bo v podatkovni bazi dobil kriptirane verzije gesel, v izvornih datotekah pa postopek, kako se dekriptira.

Da dekriptiraš gesla moraš vnesti geslo, ki ga ni v njihovi bazi.

132932 ::

LightBit je izjavil:

Robocop1 je izjavil:

energetik je izjavil:

Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.


Že res, da se kriptira - v podatkovni bazi je vse kriptirano. Ampak nekje v izvorni kodi aplikacije je zapisan tudi algoritem, kako se dekriptira. Ko odpreš password manager ti ne bo izpisal šifrirano verzijo gesla, ampak točno tako geslo, kot si ga ti vnesel (temu pravim plain text). Torej če nekdo sheka LastPass, bo v podatkovni bazi dobil kriptirane verzije gesel, v izvornih datotekah pa postopek, kako se dekriptira.

Da dekriptiraš gesla moraš vnesti geslo, ki ga ni v njihovi bazi.


Kaj pa, ce je? Recimo kriptirano z njihovim public kljucem? (samo retoricno, se razume, da kodo vsake take aplikacije najprej pregledas, nato pa sam skompajlas in uporabis samo lasten binary /s)

Zgodovina sprememb…

  • spremenilo: 132932 ()

LightBit ::

132932 je izjavil:

LightBit je izjavil:

Robocop1 je izjavil:

energetik je izjavil:

Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.


Že res, da se kriptira - v podatkovni bazi je vse kriptirano. Ampak nekje v izvorni kodi aplikacije je zapisan tudi algoritem, kako se dekriptira. Ko odpreš password manager ti ne bo izpisal šifrirano verzijo gesla, ampak točno tako geslo, kot si ga ti vnesel (temu pravim plain text). Torej če nekdo sheka LastPass, bo v podatkovni bazi dobil kriptirane verzije gesel, v izvornih datotekah pa postopek, kako se dekriptira.

Da dekriptiraš gesla moraš vnesti geslo, ki ga ni v njihovi bazi.


Kaj pa, ce je? Recimo kriptirano z njihovim public kljucem?

Za to se uporablja simetrično kriptografijo.
Teoretično bi sicer lahko imeli stranska vrata, ampak z preizkušenimi algoritmi in pregledano odprto kodo precej težko.

darkolord ::

111111111111 je izjavil:

Daj malo razloži kje šepa zadeva? Če recimo sproducira 8 mestno geslo.
Lahko sproducira tudi cel roman. Ampak če ga sproducira na podlagi dveh znakov - pa še ta dva sta predvidljiva - to ni kaj posebej varno.

Temu se reče "security through obscurity" - zanašanje na to, da je zadeva varna, ker si se pač nekaj spomnil in misliš, da nihče na svetu ni tako pameten, da bi se tudi lahko spomnil kaj takšnega.

Tista formula verjetno sploh ni komplicirana (če jo lahko direkt računa na pamet), poleg tega se jo da še obrniti in iz gesla izračunati nazaj vhodne podatke.

111111111111 ::

darkolord je izjavil:

111111111111 je izjavil:

Daj malo razloži kje šepa zadeva? Če recimo sproducira 8 mestno geslo.
Lahko sproducira tudi cel roman. Ampak če ga sproducira na podlagi dveh znakov - pa še ta dva sta predvidljiva - to ni kaj posebej varno.

Temu se reče "security through obscurity" - zanašanje na to, da je zadeva varna, ker si se pač nekaj spomnil in misliš, da nihče na svetu ni tako pameten, da bi se tudi lahko spomnil kaj takšnega.

Tista formula verjetno sploh ni komplicirana (če jo lahko direkt računa na pamet), poleg tega se jo da še obrniti in iz gesla izračunati nazaj vhodne podatke.

Ta del razumem. Pa sedaj nam je tudi povedal da pri facebooku vzame FB, kako se lotimo napada na 8 mestno geslo? V teoriji vidim, kje je šibkost, v praksi pa ne.
Če prisloniš uho na vroč šporhet, lahko zavohaš kak si fuknjen.

mihagr ::

darkolord, ti kar briši čeprav ne razumem zakaj, ampak napisal sem samo tisto, kar še vedno znam!

132932 ::

LightBit je izjavil:

Za to se uporablja simetrično kriptografijo.


Ne se ne (razen, ce dela aplikacijo salabajzer). Ce bos uporabil simetricen kljuc, se do njega lahko dokoplje kdorkoli in odklepa vse baze vseh uporabnikov.

LightBit je izjavil:

Teoretično bi sicer lahko imeli stranska vrata, ampak z preizkušenimi algoritmi in pregledano odprto kodo precej težko.


Preizkuseni algoritmi so nepomembni, ce avtor aplikacije shrani zraven se tvoj kljuc, ki ga lahko samo on odkodira. In tudi, ce je koda odprta in jo nekdo preverja (kar je lari fari), me zanima kako si preveril, da je aplikacija zares scompilana iz pregledanih sourcov.

Da ni recimo vdrt build sistem dodal se malo kode v trenutku compilanja...

Zgodovina sprememb…

  • spremenilo: 132932 ()

132932 ::

Ali, pa, da kaksen mozgancek pregori, recimo kaj taksnega (1984, Turing Award) https://www.win.tue.nl/~aeb/linux/hh/th...

Vem, da ne bo nihce prebral, zato samo zakljucek:
"The moral is obvious. You can't trust code that you did not totally create yourself."

Tule lahko tudi marsikaj zveste o "pregledani open source kodi": http://www.underhanded-c.org/

Zgodovina sprememb…

  • spremenilo: 132932 ()

Karen ::

Niti ne rabiš kode, ki je nisi sam v celoti pregledal.
Najprej glede teh, ki imajo algoritve za računanje gesel; sam sem včasih občasno uporabljal za stvari, kjer so sistemi zahtevali npr. mesečno menjavo gesla, pa da ne sme biti enak - pač kombinacija offset-a številke meseca z rotacijo kombinacije znakov. Plus je ta, da si vedno znaš "izračunati" trenutno geslo glede na mesec, ob predpostavki da geslo zamenjaš vsak mesec (pa da je verjetnost da bi kdo uganil nizka - security by obscurity). Problem je pa, da je težko vsak mesec menjati več kot eno ali dve gesli. Glavni problem teh "algoritmov" za računanje pa je, da če se ti expose-a eno geslo se da dostikrat sklepati kakšni bodo ostali; ne samo to - ko imaš recimo dve zaporedni gesli pogledaš vzorec in si lahko "izračunaš" vse prihodnje za leta naprej.
Glede tega pregleda kode: recimo VaultWarden si daš v Docker, ga na firewallu na routerju zapreš navzven (torej tako, da ne more komunicirati v internet, tudi če bi imel backdoor-e), pa si rešil problem. Vse ostalo je na nivoju eksotike v smislu, da potem rabiš še tempest opremo proti prisluškovanju.

LightBit ::

132932 je izjavil:

LightBit je izjavil:

Za to se uporablja simetrično kriptografijo.


Ne se ne (razen, ce dela aplikacijo salabajzer). Ce bos uporabil simetricen kljuc, se do njega lahko dokoplje kdorkoli in odklepa vse baze vseh uporabnikov.

KeePass recimo uporablja simetrično kriptografijo. Tudi ne vidim smisla v public key kriptografiji za password manager razen če bi želel stranska vrata. Če tvoj ključ dobijo ali ugotovijo seveda lahko dešifrirajo tvoja gesla.

132932 je izjavil:

LightBit je izjavil:

Teoretično bi sicer lahko imeli stranska vrata, ampak z preizkušenimi algoritmi in pregledano odprto kodo precej težko.


Preizkuseni algoritmi so nepomembni, ce avtor aplikacije shrani zraven se tvoj kljuc, ki ga lahko samo on odkodira. In tudi, ce je koda odprta in jo nekdo preverja (kar je lari fari), me zanima kako si preveril, da je aplikacija zares scompilana iz pregledanih sourcov.

Da ni recimo vdrt build sistem dodal se malo kode v trenutku compilanja...

Dokler nisi preveril ves hardware in software ne moreš biti 100% ziher. To vedno velja. Je pa verjetno bolje kot hraniti gesla nešifrirana.

LightBit ::

132932 je izjavil:

Ali, pa, da kaksen mozgancek pregori, recimo kaj taksnega (1984, Turing Award) https://www.win.tue.nl/~aeb/linux/hh/th...

Vem, da ne bo nihce prebral, zato samo zakljucek:
"The moral is obvious. You can't trust code that you did not totally create yourself."

Problem pa je da tudi tisto kar si čisto sam naredil je lahko (in verjetno je) luknjasto.

GupeM ::

bizgech je izjavil:


Jaz si gesla zapomnem s pomočjo formule (razložim v nadaljevanju). Pravzaprav ni nujno, da si zapomnem geslo... dovolj je, da si zapomnem formulo, ki me bo pripeljala do pravilnega gesla.

In kaj se zgodi, ko uporabljaš spletno strani american airlines, anonimne alkoholike in Austrian airlines? Si zapomniš tudi to, katero kratico si kje uporabil?

111111111111 ::

Po tej logiki so vsa tri gesla enaka.
Če prisloniš uho na vroč šporhet, lahko zavohaš kak si fuknjen.

GupeM ::

Ali to, ali pa si zapomni drugačno "kratico".

132932 ::

LightBit je izjavil:


KeePass recimo uporablja simetrično kriptografijo. Tudi ne vidim smisla v public key kriptografiji za password manager razen če bi želel stranska vrata. Če tvoj ključ dobijo ali ugotovijo seveda lahko dešifrirajo tvoja gesla.


Jaz nisem nicesar rekel o nacinu kriptiranja gesel, govorim samo in izkljucno o backdooru.

LightBit je izjavil:

Je pa verjetno bolje kot hraniti gesla nešifrirana.


Ne vem, vprasaj lastpass.

Zgodovina sprememb…

  • spremenilo: 132932 ()

energetik ::

Gre za managerje, ki so na trgu in v uporabi že 10+ let in jih uporablja milijone ljudi, kakršenkoli backdoor bi se že zdavnaj pokazal.

Tudi če si imel vse v Lastpassu in sledil priporočilom (močno random glavno geslo), ti kljub ukradenim trezorjem nihče nič ne more.
Kdor je uporabljal slabo geslo, si je pač sam kriv.
vires in numeris

Zgodovina sprememb…

bizgech ::

111111111111 je izjavil:

Po tej logiki so vsa tri gesla enaka.


Ni nujno. Nikjer nisem omenil, da v formulo ne vključim tudi število znakov v imenu storitve ali pa število samoglasnikov ipd.
Načeloma pa ja, obstaja verjetnost, da se kakšno geslo ponovi. Ampak če se pri 100+ geslih kakšno 3x ponovi, je to dovolj varno.

Robocop1 ::

LightBit je izjavil:

Robocop1 je izjavil:

energetik je izjavil:

Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.


Že res, da se kriptira - v podatkovni bazi je vse kriptirano. Ampak nekje v izvorni kodi aplikacije je zapisan tudi algoritem, kako se dekriptira. Ko odpreš password manager ti ne bo izpisal šifrirano verzijo gesla, ampak točno tako geslo, kot si ga ti vnesel (temu pravim plain text). Torej če nekdo sheka LastPass, bo v podatkovni bazi dobil kriptirane verzije gesel, v izvornih datotekah pa postopek, kako se dekriptira.

Da dekriptiraš gesla moraš vnesti geslo, ki ga ni v njihovi bazi.


To govoriva o master passwordu?
Čemu potem strah pred uporabo password managerjev, če je gesla nemogoče dekriptirati brez gesla? Potemtakem tudi vdor v podatkovno bazo ne predstavlja nobenega tveganja, ker brez tega gesla dekripcija shranjenih gesel ni možna.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Med vdorom v LastPass in katastrofo le kakovost glavnih gesel uporabnikov

Oddelek: Novice / Varnost
266002 (3638) energetik
»

Hekerji ukradli del izvorne kode LastPassa (strani: 1 2 )

Oddelek: Novice / Varnost
8615447 (10856) NejcSSD
»

Passwordi me ubijajo! (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
17648624 (35043) Pero_SLO
»

LastPass odslej omogoča brezplačno sinhronizacijo med napravami

Oddelek: Novice / Varnost
339280 (6476) PARTyZAN
»

Sum vdora v LastPass povzročil množično menjavo gesel

Oddelek: Novice / Varnost
3015062 (13961) poweroff

Več podobnih tem