» »

Gesla

Gesla

1
2
»

132932 ::

energetik je izjavil:

Gre za managerje, ki so na trgu in v uporabi že 10+ let in jih uporablja milijone ljudi, kakršenkoli backdoor bi se že zdavnaj pokazal.

Tudi če si imel vse v Lastpassu in sledil priporočilom (močno random glavno geslo), ti kljub ukradenim trezorjem nihče nič ne more.
Kdor je uporabljal slabo geslo, si je pač sam kriv.


Seveda. Ali pa ne. Me zanima koliko ljudi gre analizirati binarno kodo nekega closed source produkta, glede na to, da niti open source kode ne analizirajo.

LastPassu recimo ni potrebno po nobeni zakonodaji javiti, da je bila njihova build masina kompromitirana in je gradila binarye z dodatkom, ki ogrozijo master geslo. Tega noben review kode ne bo razkril.

In, da ne bo pomote, to velja za vse projekte, ki kot deliverable dostavljajo binary kodo, open source ali closed.

To, da svojo bazo potem uploadate na neke cloud servise (ne samo od firme, ki dela kodo ampak se razne google cloude ipd.), je pa tako ali tako dodatna norija, ker nikoli ne veste ali bo v prihodnosti key derivation algoritem izkazal kaksno ranljivost, podatki na cloudih se pa brisejo - ali pa samo oznacijo, da so izbrisani.

LastPass je recimo uporabljal Argon2 @ Wikipedia, za katerega, ob pravilni uporabi ni trenutno znanih vulnerabilityev. A je bil pravilno uporabljen? Bos dissasembliral binary, potem pa bos pridno sporocil javnosti, ce kaj ne stima ali raje prodal kaksnim Izraelcem ali komu na kaksnem black-hat forumu? Preprican sem, da je lukenj v divjini vsaj 10x vec kot tistih, ki so javljene proizvajalcu.

Ali pa ce preprosto recemo, da nimate nicesar za skrivat in si lepo zapisete gesla v tekst file na zaklenjen telefon. Good enough. /s

Zgodovina sprememb…

  • spremenilo: 132932 ()

predi ::

bizgech je izjavil:

GupeM je izjavil:

bizgech je izjavil:

LastPass je super, Bitwarden še malo boljši, gLava pa najboljša.

gLava je sicer super. Problem gLave je le v tem, da si težko zapomni kompleksna gesla, pa rada jih pozabi sčasoma. No, načeloma jih ne pozabi, samo najti jih je težko. Pa še backupa nimaš.


Jaz si gesla zapomnem s pomočjo formule (razložim v nadaljevanju). Pravzaprav ni nujno, da si zapomnem geslo... dovolj je, da si zapomnem formulo, ki me bo pripeljala do pravilnega gesla.

Imam torej formulo (oz. več njih) z dvema spremenljivkama (input) - poimenujmo jih z X in Y.
Najprej vzamem kratico storitve, na primer: FB = facebook, IG = instagram, LI = linkedin, GM = gmail itd.
Sedaj pa črke pretvorim v številke: F... s prstom grem v smeri proti številkam in pridem do 4. B ... s prstom grem v smeri proti številkam in pridem do 5.
Kratica FB mi torej da dve številki: X=4 in Y=5.
Sedaj pa spremenljivki X in Y vstavljam v formule (ki jih poznam na pamet) in vsaka mi da drugačen nek rezultat. Ko rezultate vpišem zaporedoma, dobim niz številk (oz. kar znakov), t.j. geslo za prijavo.

Vbistvu je ta moja formula nek master password. Če pozabim master password, ostanem brez vseh gesel. Če pozabim formulo, lahko ostanem brez nekaterih gesel - tista, ki jih pogosto uporabljam, si itak zapomnem. Ostal bi samo brez tistih, ki jih redko uporabljam.
Zato pravim, da je gLava bolj učinkovita kot kakšen Lastpass ipd.
Idealni sistem izbire gesla posamezne atomarne dele gesla izbira resnično naključno in hkrati diskretno enakomerno porazdeljeno. Sistemi, ki ne zadostijo tema dvema pogojema, se lahko odrežejo zgolj in samo slabše. Človeški možgani niso sposobni zadostiti tema dvema pogojema brez uporabe zunanjih orodij. Stremijo k urejenosti, torej ravno nasprotno od idealnega sistema izbire gesla.

132932 ::

p.s.: glede "pravilno uporabljen", saj poznate zgodbo kako je Sony "izgubil" private key na katerem je slonel prakticno celoten njihov Playstation 3 poslovni model?

LightBit ::

132932 je izjavil:

LightBit je izjavil:


KeePass recimo uporablja simetrično kriptografijo. Tudi ne vidim smisla v public key kriptografiji za password manager razen če bi želel stranska vrata. Če tvoj ključ dobijo ali ugotovijo seveda lahko dešifrirajo tvoja gesla.


Jaz nisem nicesar rekel o nacinu kriptiranja gesel, govorim samo in izkljucno o backdooru.

Zato pa če password manager uporablja public key kriptografijo, se mu je bolje izogniti. V simetrično kriptografijo pa je težko skriti backdoor.
Seveda bi lahko password ki ga vneseš zraven sporočil na server. Neka stopnja zaupanja je potrebna (ne more/zna vsak sam vse preverit).

132932 je izjavil:

LightBit je izjavil:

Je pa verjetno bolje kot hraniti gesla nešifrirana.


Ne vem, vprasaj lastpass.

Če si imel dobro geslo za LastPass, si na boljšem kot če imaš gesla v nešifrirana na nekem oblaku (enako lahko pride do leaka).

132932 ::

LightBit je izjavil:

Zato pa če password manager uporablja public key kriptografijo, se mu je bolje izogniti.


Se pravi ne sme uporabljati httpsja?

132932 je izjavil:

Če si imel dobro geslo za LastPass, si na boljšem kot če imaš gesla v nešifrirana na nekem oblaku (enako lahko pride do leaka).

Ne. Gesel pac nimas na "nekem oblaku", ki ni pod tvojo kontrolo. Ta poteza je naravnost nora. Kriptirana ali nekriptirana.

Zgodovina sprememb…

  • spremenilo: 132932 ()

GupeM ::

Robocop1 je izjavil:


To govoriva o master passwordu?
Čemu potem strah pred uporabo password managerjev, če je gesla nemogoče dekriptirati brez gesla? Potemtakem tudi vdor v podatkovno bazo ne predstavlja nobenega tveganja, ker brez tega gesla dekripcija shranjenih gesel ni možna.

Seveda to ne drži popolnoma. Naslovi spletnih strani recimo niso bili kriptirani v primeru last pass-a. Če pa imajo napadalci seznam spletnih strani, pa lahko bolj fino izbirajo tarče. Recimo za nekoga, ki ima ogromno gesel za kriptomenjalnice shranjenih, ali nekaj podobnega.

LightBit ::

Robocop1 je izjavil:

LightBit je izjavil:

Robocop1 je izjavil:

energetik je izjavil:

Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.


Že res, da se kriptira - v podatkovni bazi je vse kriptirano. Ampak nekje v izvorni kodi aplikacije je zapisan tudi algoritem, kako se dekriptira. Ko odpreš password manager ti ne bo izpisal šifrirano verzijo gesla, ampak točno tako geslo, kot si ga ti vnesel (temu pravim plain text). Torej če nekdo sheka LastPass, bo v podatkovni bazi dobil kriptirane verzije gesel, v izvornih datotekah pa postopek, kako se dekriptira.

Da dekriptiraš gesla moraš vnesti geslo, ki ga ni v njihovi bazi.


To govoriva o master passwordu?
Čemu potem strah pred uporabo password managerjev, če je gesla nemogoče dekriptirati brez gesla? Potemtakem tudi vdor v podatkovno bazo ne predstavlja nobenega tveganja, ker brez tega gesla dekripcija shranjenih gesel ni možna.

Ja.
Predstavlja tveganje, ker lahko pride do gesla. Ni pa konec sveta, če uporabljaš dovolj dobro geslo.

LightBit ::

132932 je izjavil:

LightBit je izjavil:

Zato pa če password manager uporablja public key kriptografijo, se mu je bolje izogniti.


Se pravi ne sme uporabljati httpsja?

Za pošiljanje že šifrirane baze na server seveda lahko.

132932 je izjavil:

132932 je izjavil:

Če si imel dobro geslo za LastPass, si na boljšem kot če imaš gesla v nešifrirana na nekem oblaku (enako lahko pride do leaka).

Ne. Gesel pac nimas na "nekem oblaku", ki ni pod tvojo kontrolo. Ta poteza je naravnost nora. Kriptirana ali nekriptirana.

Še vedno je bolje če so kriptirana. Seveda je bolje če niso v oblaku, ampak tudi če niso v oblaku je bolje da so kriptirana.

McMallar ::

132932 je izjavil:

energetik je izjavil:


LastPass je recimo uporabljal Argon2 @ Wikipedia, za katerega, ob pravilni uporabi ni trenutno znanih vulnerabilityev.


Lahko kaksen link do tega? Kolikor je meni znano so uporabljali standard - PBKDF2. Bitwarden z novo verzijo omogoca uporabo Argon2.
Why can't a programmer tell the difference between Halloween and Christmas?
Because OCT31 = DEC25

sci3nc3 ::

Moje nekdanje geslo za gmail: #Jb3333333512344443332232533333335123444433355421%
Poseben znak, velika črka, mala črka in na videz naključno nametana števila od 1 do 5, na koncu še znak za procent. Skupna dolžina 50 znakov.

Povprečen uporabnik nima tako dolgih gesel in ko sem ga vpisoval, me je marsikdo začudeno gledal, kako si lahko zapomnem tako dolgo zaporedje. V resnici pa številke niso čisto naključne. Vsaka številka predstavlja ton v C-durovski lestivici (malo glasbene teorije). Iz številk tako dobim zaporedje tonov v refrenu pesmi Jingle Bells. V Pwd managerju pa sem pod vnos "gmail" imel zapisan samo naslov "jingle bells". Če bi se slučajno zgodilo, da bi kakšen ton pozabil, bi rešitev hitro našel na internetu ali pa se usedel za klavir in ponovil pesem. Zato se gesla z lahkoto spomnem tudi po 8ih letih neuporabe in kljub dolžini ga lahko natipkam v parih sekundah. Nobenega šifriranja, nobenih formul, sestavljanja in nepotrebnih komplikacij.

energetik ::

Podcenjuješ hekerske mašine in algoritme. Sploh jingle bells je svetovno znana melodija in ti imaš vzorec v geslu.

Recimo tudi jaz imam master password za moj pass. manager dolg dobrih 50 znakov. Razlika med tvojim je, da je moj iz true random izbranih 8 običajnih besed (izbranih z igralno kocko). Ima zagotovljeno entropijo preko 100bitov, ČE heker ve, iz katerega slovarja so pobrane besede, torej če mu pošljem seznam besed iz katerih sem izbiral..
Zapomnil sem si ga po nekje 3 vpisih.
vires in numeris

Zgodovina sprememb…

132932 ::

sci3nc3 je izjavil:

Moje nekdanje geslo za gmail: #Jb3333333512344443332232533333335123444433355421%
Poseben znak, velika črka, mala črka in na videz naključno nametana števila od 1 do 5, na koncu še znak za procent. Skupna dolžina 50 znakov.

Povprečen uporabnik nima tako dolgih gesel in ko sem ga vpisoval, me je marsikdo začudeno gledal, kako si lahko zapomnem tako dolgo zaporedje. V resnici pa številke niso čisto naključne. Vsaka številka predstavlja ton v C-durovski lestivici (malo glasbene teorije). Iz številk tako dobim zaporedje tonov v refrenu pesmi Jingle Bells. V Pwd managerju pa sem pod vnos "gmail" imel zapisan samo naslov "jingle bells". Če bi se slučajno zgodilo, da bi kakšen ton pozabil, bi rešitev hitro našel na internetu ali pa se usedel za klavir in ponovil pesem. Zato se gesla z lahkoto spomnem tudi po 8ih letih neuporabe in kljub dolžini ga lahko natipkam v parih sekundah. Nobenega šifriranja, nobenih formul, sestavljanja in nepotrebnih komplikacij.


Mah, pretiravas, v tem primeru nastejes predmete, ki jih vidis, ko zjutraj gres v kopalnico, pa jih ne bos pozabil, dokler bos imel sliko v glavi.

McMallar je izjavil:

132932 je izjavil:

energetik je izjavil:


LastPass je recimo uporabljal Argon2 @ Wikipedia, za katerega, ob pravilni uporabi ni trenutno znanih vulnerabilityev.


Lahko kaksen link do tega? Kolikor je meni znano so uporabljali standard - PBKDF2. Bitwarden z novo verzijo omogoca uporabo Argon2.

google.com

Celotna debata je zmesana nekje na nivoju, kateri avto je boljsi. Pac vse je pribljizno isti kurac, dokler ne nalozis v tuj cloud in obdrzis zadevo preprosto v svoji lasti. Magari sftpjas na svoj raspberry pi. Ko pa enkrat predas svoje podatke nekomu drugemu, kriptirane ali ne, postanejo algoritmi strasno pomemben detajl o katerem se nikomur tule ne sanja nic ampak pac ponavlja kar je prebral v avtomagazinu... pardon, nekje na internetu. Zato je vsaka debata nesmiselna, pazis, da nihce nima tvoje baze gesel in to je to, seveda pa to postane problem, ko je lastnik podatkov tako nesposoben, da si ne zmore postaviti preprostega streznika za datoteke doma in je prisiljen zaradi lastne lenobe ali neznanja, deliti podatke s tretjo osebo. Taksni pa potem veselo citirajo razne avtorevije in drkajo na specifikacije auspuhov.

Zgodovina sprememb…

  • spremenilo: 132932 ()

LightBit ::

@lyssa ko si že pri avtih. Ali se pripneš ali si tako sposoben da se ne zaletavaš in se ne rabiš zapeti? Sej veš "shit happens". Izgubiš ključek/računalnik z bazo, vdrejo ti v računalnik, anti-malware pošlje na analizo v cloud, ...
Ni nujno da uporabljaš cloud za gesla če uporabljaš password manager. Meni je zato všeč KeePass, ker je samo baza ki jo hraniš kjer hočeš. LastPass izgleda zelo slaba opcija glede na pretekle incidente in ne moreš imeti baze lokalno. Poleg tega ni dobro da šifrira samo gesla.

shark_nm ::

Na ključku imam zaklenjeno rar datoteko, vmes v geslu pa še kak ž in posebni znak. V rar datoteki pa txt z vsemi gesli. Jasno za forume in neboleče stvari so gesla shranjena v brskalniku, za menjalnice in podobno pa itak še 2FA poleg

LightBit ::

shark_nm je izjavil:

Na ključku imam zaklenjeno rar datoteko, vmes v geslu pa še kak ž in posebni znak. V rar datoteki pa txt z vsemi gesli. Jasno za forume in neboleče stvari so gesla shranjena v brskalniku, za menjalnice in podobno pa itak še 2FA poleg

Problem je, ker ti pusti nešifriran txt na disku ko ga odpreš.

kajtimara ::

132932 je izjavil:

p.s.: glede "pravilno uporabljen", saj poznate zgodbo kako je Sony "izgubil" private key na katerem je slonel prakticno celoten njihov Playstation 3 poslovni model?

Še kaj več mogoče?

Se da, kako, lastno DNA not vstavit?

Zgodovina sprememb…

IgorCardanof ::

Na koncu je tu vedno vprasanje prirocnost uporabe vs safety. Pa se ne gre zdej samo za gesla ampak na splosno vse kar uporabljate. Koliko izmed vas je recimo na telefonu vpisanih gmail? Ce nekdo dobis vas odklenjen telefon, ima dostop do vsega kar zelite. Je zelo prirocno bit vpisan, hkrati pa dokaj nevarno. Podobno za gesla. Lahko si zmislljujete nevem kaksne postopke kako vnest geslo v neko storitev, samo ce vam bo to vedno vzel 10 minut, pa pri sebi rabite met 4 razlicne naprave, potem mogoce ni najbolj uporabno.

Se mi zdi, da mnogi pretiravate o tem, kako hranit gesla in kater algoritem je dober in kater algoritem za generiranje gesla bi vam lahko nek heker skrekal, ce bi mu ravno na misel prisel dolocen komad. Za 99.9999% uporabnikov so taki nacini cisto dovolj varni in delajo super.

Za tisti nizek odstotek je potrebno pa res se malo bolj poglobit, ampak mislim, da slotech populacija ni del tega odstotka in da se v tej temi ne pogovarjamo o tem.

Ce pa se gremo ze neke hekerske scenarije, ce se na vas spravi dovolj sposobna ekipa, vam nobena zascita ne pomaga. Vdrli vam bodo vsepovsod in se tega sploh ne boste zavedali. Pa na sreco nismo tako pomembni, da bi tako pozornost kdaj dobil.
Retail investor, Simp, Crypto analyst, Cardano hejtr
Ne odgovarjam na DM.

xseki ::

xgeorgex je izjavil:

Pozdravljeni,

zanima me kje imate shranjena gesla (brskalnik, app, papir...)??

1Password na vseh napravah.
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Med vdorom v LastPass in katastrofo le kakovost glavnih gesel uporabnikov

Oddelek: Novice / Varnost
265894 (3530) energetik
»

Hekerji ukradli del izvorne kode LastPassa (strani: 1 2 )

Oddelek: Novice / Varnost
8615107 (10516) NejcSSD
»

Passwordi me ubijajo! (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
17648240 (34659) Pero_SLO
»

LastPass odslej omogoča brezplačno sinhronizacijo med napravami

Oddelek: Novice / Varnost
339257 (6453) PARTyZAN
»

Sum vdora v LastPass povzročil množično menjavo gesel

Oddelek: Novice / Varnost
3014939 (13838) poweroff

Več podobnih tem