Forum » Pomoč in nasveti » Gesla
Gesla
hotig ::
Gesla sem povedal mami. Ona je imela pogovor z mojo ženo. Žena jih je zaupala tašči, mama pa fotru. Tašča se je neki zdrla na tasta. In potem sta šla pa fotr in tast na pijačo, verjetno da preverita moj pin in gesla. Ko dobim naslednji mesec bančni izpisek bom najbrž menjal vsa gesla in pin.
Sindrom ::
KeePass lokalno na disku, backup pa na drugem disku. Za tiste shrambe gesel v oblaku pa se mi zdi, da je vse skupaj le ena velika prošnja uporabnikov, da naj njihova gesla iz oblaka začnejo deževati po celem svetu, ko bo nekdo heknil strežnik.
"If privacy is outlawed, only outlaws will have privacy." - Phil Zimmerman
darkolord ::
Jakkob ::
LastPass je super, Bitwarden še malo boljši, gLava pa najboljša.
gesla raje proč od LastPass-a: https://www.windowscentral.com/software...
bitwarden je boljši le toliko da je FOSS ter da se mu kaj takega do sedaj še ni zgodilo, vsaj ni prišlo v javnost.
energetik ::
LastPass je super, Bitwarden še malo boljši, gLava pa najboljša.Glava je najboljša do tistega trenutka, ko pozabi kakšnega od 200 gesel...
Lastpass je bil super, seveda se tudi Bitwardenu lahko zgodi podobno, kot se je LP, pa vseeno, je vsaj opensource.
Tako da ja, predlog je Bitwarden, naslednji Keepass s sinhronizacijo v oblaku, za paranoike pa Keepass shranjen le na par komadov offline USB ključkov, hkrati z uporabo keyfile.
Seveda je pri vseh obvezno močno glavno geslo, random, 100+bit entropije.
vires in numeris
strom_15 ::
Kaj pa kakšen passwordmanager v sklopu antivirusnih paketov (Bitdefender, ESET, Kaspersky, itd)
energetik ::
Zakaj bi to uporabil, če imaš na voljo FOSS Bitwarden ali Keepass, ki preverjeno odlično delujeta in sta transparentna?
vires in numeris
GupeM ::
LastPass je super, Bitwarden še malo boljši, gLava pa najboljša.
gLava je sicer super. Problem gLave je le v tem, da si težko zapomni kompleksna gesla, pa rada jih pozabi sčasoma. No, načeloma jih ne pozabi, samo najti jih je težko. Pa še backupa nimaš. Ti pa gesla iz gLave zagotovo zelo težko ukradejo.
Zaradi zgoraj naštetih pomanjkljivosti gLave pa jaz priporočam (self-hosted) Bitwarden oz Vaultwarden.
Zgodovina sprememb…
- spremenil: GupeM ()
GupeM ::
Ti pa gesla iz gLave zagotovo zelo težko ukradejo.
Ampak če imaš gesla v glavi, jih lahko dobijo samo tam. Če jih imaš v password managerju, ga lahko heknejo. Ali pa še vedno z zgornjo metodo pridejo do master passworda, torej se jim je možnost precej povečala. S tem da imaš v password managerju še druge podatke. Recimo naslove spletnih strani. Ko pridejo tja, VEJO!, da imaš uporabniški račun na slo-techu. Brez password managerja ni nujno, da to vejo, zato niti na wrench attack seznam ne prideš.
Pa da ne bo pomote, sem ZA uporabo password managerja.
DePalmo ::
Še en glas za Bitwarden. Če pa iščeš nekaj za osebno in poslovno rabo, pa nevem. Bitwarden še vedno nima Chrome dodatka, na katerem bi lahko fural oboje hkrati.
darkolord ::
Ampak če imaš gesla v glavi, jih lahko dobijo samo tam.NE!!!
Če imaš gesla v glavi, jih lahko dobijo tudi tako, da heknejo spletno stran ali storitev, kjer to geslo uporabljaš.
In ker imaš v glavi precej malo unikatnih gesel, lahko z enim geslom v resnici dobijo še več drugih.
Saj ravno to je največji problem. Z uporabimo password managerja imam lahko za vsako stran unikatno geslo (ki ga sploh nikoli ne vidim). Zapomnim si jih pa kok, max 5-10?
Zgodovina sprememb…
- spremenilo: darkolord ()
GupeM ::
Če imaš gesla v glavi, jih lahko dobijo tudi tako, da heknejo spletno stran ali storitev, kjer to geslo uporabljaš.
Kar lahko seveda storijo tudi v primeru, da uporabljaš password manager.
In ker imaš v glavi precej malo unikatnih gesel, lahko z enim geslom v resnici dobijo še več drugih.
Ja, mi je jasno. Sem samo komentiral post nekoga zgoraj, ki je rekel, da je glava najboljše mesto za gesla. Sem mu navedel kup pomanjkljivosti in eno prednost. Ta prednost je, da je geslo samo v glavi in nikjer drugje (če predpostavimo, da spletne strani ne shranjujejo clear text gesel).
Saj ravno to je največji problem. Z uporabimo password managerja imam lahko za vsako stran unikatno geslo (ki ga sploh nikoli ne vidim). Zapomnim si jih pa kok, max 5-10?
Jasno. Tudi jaz uporabljam self hosted Vaultwarden. Imam tono gesel, ki jih še nikoli nisem videl. Ampak to ne spremeni dejstva, da nekdo lažje pride do gesel, shranjenih tam, kot pa do gesla v moji glavi. Pa ne samo gesel. Vidi lahko tudi storitve, katere uporabljam.
Sem se pa zdaj spomnil, da je pri geslu v glavi še en problem. Moraš ga vtipkati in takrat tudi obstaja možnost kraje (keylogger, gledanje čez ramo). Tako da ja, to je še en način, da ti geslo "iz glave" ukradejo, medtem ko z autofill iz password managerja to ne gre.
energetik ::
Password managerja ne morejo hekniti, če uporabljaš močno geslo. Razen če ti heknejo PC in namestijo keyloger.Ti pa gesla iz gLave zagotovo zelo težko ukradejo.
Ampak če imaš gesla v glavi, jih lahko dobijo samo tam. Če jih imaš v password managerju, ga lahko heknejo. Ali pa še vedno z zgornjo metodo pridejo do master passworda, torej se jim je možnost precej povečala. S tem da imaš v password managerju še druge podatke. Recimo naslove spletnih strani. Ko pridejo tja, VEJO!, da imaš uporabniški račun na slo-techu. Brez password managerja ni nujno, da to vejo, zato niti na wrench attack seznam ne prideš.
Pa da ne bo pomote, sem ZA uporabo password managerja.
Kako si zapomniti 200 močnih gesel glavi, je popolna uganka. Morda če si superman. Jaz imam povsod, v vsaki spletni štacuni naključno geslo z entropijo 100bit+. Ni nobene šanse, da bi si kdo to zapomnil. Raje si zapomnim samo 1 res močno geslo, ki ga imam fizično bekapirano na varnem mestu, do koder lahko dostopajo tudi družinski člani, če bi bilo potrebno (izguba spomin, smrt).
vires in numeris
GupeM ::
Password managerja ne morejo hekniti, če uporabljaš močno geslo. Razen če ti heknejo PC in namestijo keyloger.
Ali s 5 $ wrench attackom. Tisti, ki ste se spotaknili ob te moje izjave, še enkrat preberite, zakaj je do teh izjav sploh prišlo in če so resnično mišljene resno. Slišijo se resnično, mogoče tudi so resnične, niso pa uporabne oz. imajo hude pomanjkljivosti.
Tako kot se sliši resnično, da je bolje živeti na Marsu, ker na Zemlji je še vsak umrl, na Marsu pa še nihče. Drugi del je dejansko resničen, ampak ...
Zgodovina sprememb…
- spremenil: GupeM ()
132932 ::
kajtimara ::
Torej geslo odprem enkrat, zapišem v ta PASSWORD in nikoli več ne zvem, katero geslo je?
bizgech ::
LastPass je super, Bitwarden še malo boljši, gLava pa najboljša.
gLava je sicer super. Problem gLave je le v tem, da si težko zapomni kompleksna gesla, pa rada jih pozabi sčasoma. No, načeloma jih ne pozabi, samo najti jih je težko. Pa še backupa nimaš.
Jaz si gesla zapomnem s pomočjo formule (razložim v nadaljevanju). Pravzaprav ni nujno, da si zapomnem geslo... dovolj je, da si zapomnem formulo, ki me bo pripeljala do pravilnega gesla.
Imam torej formulo (oz. več njih) z dvema spremenljivkama (input) - poimenujmo jih z X in Y.
Najprej vzamem kratico storitve, na primer: FB = facebook, IG = instagram, LI = linkedin, GM = gmail itd.
Sedaj pa črke pretvorim v številke: F... s prstom grem v smeri proti številkam in pridem do 4. B ... s prstom grem v smeri proti številkam in pridem do 5.
Kratica FB mi torej da dve številki: X=4 in Y=5.
Sedaj pa spremenljivki X in Y vstavljam v formule (ki jih poznam na pamet) in vsaka mi da drugačen nek rezultat. Ko rezultate vpišem zaporedoma, dobim niz številk (oz. kar znakov), t.j. geslo za prijavo.
Vbistvu je ta moja formula nek master password. Če pozabim master password, ostanem brez vseh gesel. Če pozabim formulo, lahko ostanem brez nekaterih gesel - tista, ki jih pogosto uporabljam, si itak zapomnem. Ostal bi samo brez tistih, ki jih redko uporabljam.
Zato pravim, da je gLava bolj učinkovita kot kakšen Lastpass ipd.
energetik ::
To ni niti malo varno niti random, razen če je ta tvoja formula vsaj na ravni SHA256 ali podobnega
Si si dal delo, namesto da bi uporabil solid preverjeno rešitev npr. Keepass in zapomnil točno 1 močan true random passphrase.
Si si dal delo, namesto da bi uporabil solid preverjeno rešitev npr. Keepass in zapomnil točno 1 močan true random passphrase.
vires in numeris
Zgodovina sprememb…
- spremenilo: energetik ()
Robocop1 ::
Koliko pa so cloud password managerji kaj varni? Recimo, da gesla v njih shranjujem nekriptirana (plain text), kakšna je verjetnost, da nekega dne do mojih gesel pridejo nepridipravi in jih objavijo na internetu?
Če grem še bolj v podrobnosti, vprašljivo je lahko že delovanje password managerja. Kdo lahko jamči, da gumb "save" vpisanih podatkov ne bo poslal proizvajalcu softverja ali pa jih kdo-ve-kje objavil?
Imam sicer razvit lasten algoritem (PHP programček), ki za kriptiranje uporablja ključ (salt). Lahko se grem tudi večnivojsko enkripcijo in vmes uporabim še kakšno preverjeno rešitev, ampak to je že kompliciranje.
Če grem še bolj v podrobnosti, vprašljivo je lahko že delovanje password managerja. Kdo lahko jamči, da gumb "save" vpisanih podatkov ne bo poslal proizvajalcu softverja ali pa jih kdo-ve-kje objavil?
Imam sicer razvit lasten algoritem (PHP programček), ki za kriptiranje uporablja ključ (salt). Lahko se grem tudi večnivojsko enkripcijo in vmes uporabim še kakšno preverjeno rešitev, ampak to je že kompliciranje.
energetik ::
Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.
Kdo lahko jamči? Vsak, ki pogleda njihovo odprto kodo.
Kdo lahko jamči? Vsak, ki pogleda njihovo odprto kodo.
vires in numeris
Robocop1 ::
Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.
Že res, da se kriptira - v podatkovni bazi je vse kriptirano. Ampak nekje v izvorni kodi aplikacije je zapisan tudi algoritem, kako se dekriptira. Ko odpreš password manager ti ne bo izpisal šifrirano verzijo gesla, ampak točno tako geslo, kot si ga ti vnesel (temu pravim plain text). Torej če nekdo sheka LastPass, bo v podatkovni bazi dobil kriptirane verzije gesel, v izvornih datotekah pa postopek, kako se dekriptira.
mihagr ::
kaj pa gesla v word-ovi datoteki na računalniku, ki ni priključen nikamor razen na elektriko, na njemu pa teče DOS 6.22 in office 3.1?
132932 ::
111111111111 ::
To ni niti malo varno niti random, razen če je ta tvoja formula vsaj na ravni SHA256 ali podobnega
Si si dal delo, namesto da bi uporabil solid preverjeno rešitev npr. Keepass in zapomnil točno 1 močan true random passphrase.
Daj malo razloži kje šepa zadeva? Če recimo sproducira 8 mestno geslo.
Če prisloniš uho na vroč šporhet, lahko zavohaš kak si fuknjen.
132932 ::
Koliko pa so cloud password managerji kaj varni? Recimo, da gesla v njih shranjujem nekriptirana (plain text), kakšna je verjetnost, da nekega dne do mojih gesel pridejo nepridipravi in jih objavijo na internetu?
Če grem še bolj v podrobnosti, vprašljivo je lahko že delovanje password managerja. Kdo lahko jamči, da gumb "save" vpisanih podatkov ne bo poslal proizvajalcu softverja ali pa jih kdo-ve-kje objavil?
Imam sicer razvit lasten algoritem (PHP programček), ki za kriptiranje uporablja ključ (salt). Lahko se grem tudi večnivojsko enkripcijo in vmes uporabim še kakšno preverjeno rešitev, ampak to je že kompliciranje.
Salt? wtf...
LightBit ::
Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.
Že res, da se kriptira - v podatkovni bazi je vse kriptirano. Ampak nekje v izvorni kodi aplikacije je zapisan tudi algoritem, kako se dekriptira. Ko odpreš password manager ti ne bo izpisal šifrirano verzijo gesla, ampak točno tako geslo, kot si ga ti vnesel (temu pravim plain text). Torej če nekdo sheka LastPass, bo v podatkovni bazi dobil kriptirane verzije gesel, v izvornih datotekah pa postopek, kako se dekriptira.
Da dekriptiraš gesla moraš vnesti geslo, ki ga ni v njihovi bazi.
132932 ::
Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.
Že res, da se kriptira - v podatkovni bazi je vse kriptirano. Ampak nekje v izvorni kodi aplikacije je zapisan tudi algoritem, kako se dekriptira. Ko odpreš password manager ti ne bo izpisal šifrirano verzijo gesla, ampak točno tako geslo, kot si ga ti vnesel (temu pravim plain text). Torej če nekdo sheka LastPass, bo v podatkovni bazi dobil kriptirane verzije gesel, v izvornih datotekah pa postopek, kako se dekriptira.
Da dekriptiraš gesla moraš vnesti geslo, ki ga ni v njihovi bazi.
Kaj pa, ce je? Recimo kriptirano z njihovim public kljucem? (samo retoricno, se razume, da kodo vsake take aplikacije najprej pregledas, nato pa sam skompajlas in uporabis samo lasten binary /s)
Zgodovina sprememb…
- spremenilo: 132932 ()
LightBit ::
Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.
Že res, da se kriptira - v podatkovni bazi je vse kriptirano. Ampak nekje v izvorni kodi aplikacije je zapisan tudi algoritem, kako se dekriptira. Ko odpreš password manager ti ne bo izpisal šifrirano verzijo gesla, ampak točno tako geslo, kot si ga ti vnesel (temu pravim plain text). Torej če nekdo sheka LastPass, bo v podatkovni bazi dobil kriptirane verzije gesel, v izvornih datotekah pa postopek, kako se dekriptira.
Da dekriptiraš gesla moraš vnesti geslo, ki ga ni v njihovi bazi.
Kaj pa, ce je? Recimo kriptirano z njihovim public kljucem?
Za to se uporablja simetrično kriptografijo.
Teoretično bi sicer lahko imeli stranska vrata, ampak z preizkušenimi algoritmi in pregledano odprto kodo precej težko.
darkolord ::
111111111111 je izjavil:
Daj malo razloži kje šepa zadeva? Če recimo sproducira 8 mestno geslo.Lahko sproducira tudi cel roman. Ampak če ga sproducira na podlagi dveh znakov - pa še ta dva sta predvidljiva - to ni kaj posebej varno.
Temu se reče "security through obscurity" - zanašanje na to, da je zadeva varna, ker si se pač nekaj spomnil in misliš, da nihče na svetu ni tako pameten, da bi se tudi lahko spomnil kaj takšnega.
Tista formula verjetno sploh ni komplicirana (če jo lahko direkt računa na pamet), poleg tega se jo da še obrniti in iz gesla izračunati nazaj vhodne podatke.
111111111111 ::
111111111111 je izjavil:
Daj malo razloži kje šepa zadeva? Če recimo sproducira 8 mestno geslo.Lahko sproducira tudi cel roman. Ampak če ga sproducira na podlagi dveh znakov - pa še ta dva sta predvidljiva - to ni kaj posebej varno.
Temu se reče "security through obscurity" - zanašanje na to, da je zadeva varna, ker si se pač nekaj spomnil in misliš, da nihče na svetu ni tako pameten, da bi se tudi lahko spomnil kaj takšnega.
Tista formula verjetno sploh ni komplicirana (če jo lahko direkt računa na pamet), poleg tega se jo da še obrniti in iz gesla izračunati nazaj vhodne podatke.
Ta del razumem. Pa sedaj nam je tudi povedal da pri facebooku vzame FB, kako se lotimo napada na 8 mestno geslo? V teoriji vidim, kje je šibkost, v praksi pa ne.
Če prisloniš uho na vroč šporhet, lahko zavohaš kak si fuknjen.
mihagr ::
darkolord, ti kar briši čeprav ne razumem zakaj, ampak napisal sem samo tisto, kar še vedno znam!
132932 ::
Za to se uporablja simetrično kriptografijo.
Ne se ne (razen, ce dela aplikacijo salabajzer). Ce bos uporabil simetricen kljuc, se do njega lahko dokoplje kdorkoli in odklepa vse baze vseh uporabnikov.
Teoretično bi sicer lahko imeli stranska vrata, ampak z preizkušenimi algoritmi in pregledano odprto kodo precej težko.
Preizkuseni algoritmi so nepomembni, ce avtor aplikacije shrani zraven se tvoj kljuc, ki ga lahko samo on odkodira. In tudi, ce je koda odprta in jo nekdo preverja (kar je lari fari), me zanima kako si preveril, da je aplikacija zares scompilana iz pregledanih sourcov.
Da ni recimo vdrt build sistem dodal se malo kode v trenutku compilanja...
Zgodovina sprememb…
- spremenilo: 132932 ()
132932 ::
Ali, pa, da kaksen mozgancek pregori, recimo kaj taksnega (1984, Turing Award) https://www.win.tue.nl/~aeb/linux/hh/th...
Vem, da ne bo nihce prebral, zato samo zakljucek:
"The moral is obvious. You can't trust code that you did not totally create yourself."
Tule lahko tudi marsikaj zveste o "pregledani open source kodi": http://www.underhanded-c.org/
Vem, da ne bo nihce prebral, zato samo zakljucek:
"The moral is obvious. You can't trust code that you did not totally create yourself."
Tule lahko tudi marsikaj zveste o "pregledani open source kodi": http://www.underhanded-c.org/
Zgodovina sprememb…
- spremenilo: 132932 ()
Karen ::
Niti ne rabiš kode, ki je nisi sam v celoti pregledal.
Najprej glede teh, ki imajo algoritve za računanje gesel; sam sem včasih občasno uporabljal za stvari, kjer so sistemi zahtevali npr. mesečno menjavo gesla, pa da ne sme biti enak - pač kombinacija offset-a številke meseca z rotacijo kombinacije znakov. Plus je ta, da si vedno znaš "izračunati" trenutno geslo glede na mesec, ob predpostavki da geslo zamenjaš vsak mesec (pa da je verjetnost da bi kdo uganil nizka - security by obscurity). Problem je pa, da je težko vsak mesec menjati več kot eno ali dve gesli. Glavni problem teh "algoritmov" za računanje pa je, da če se ti expose-a eno geslo se da dostikrat sklepati kakšni bodo ostali; ne samo to - ko imaš recimo dve zaporedni gesli pogledaš vzorec in si lahko "izračunaš" vse prihodnje za leta naprej.
Glede tega pregleda kode: recimo VaultWarden si daš v Docker, ga na firewallu na routerju zapreš navzven (torej tako, da ne more komunicirati v internet, tudi če bi imel backdoor-e), pa si rešil problem. Vse ostalo je na nivoju eksotike v smislu, da potem rabiš še tempest opremo proti prisluškovanju.
Najprej glede teh, ki imajo algoritve za računanje gesel; sam sem včasih občasno uporabljal za stvari, kjer so sistemi zahtevali npr. mesečno menjavo gesla, pa da ne sme biti enak - pač kombinacija offset-a številke meseca z rotacijo kombinacije znakov. Plus je ta, da si vedno znaš "izračunati" trenutno geslo glede na mesec, ob predpostavki da geslo zamenjaš vsak mesec (pa da je verjetnost da bi kdo uganil nizka - security by obscurity). Problem je pa, da je težko vsak mesec menjati več kot eno ali dve gesli. Glavni problem teh "algoritmov" za računanje pa je, da če se ti expose-a eno geslo se da dostikrat sklepati kakšni bodo ostali; ne samo to - ko imaš recimo dve zaporedni gesli pogledaš vzorec in si lahko "izračunaš" vse prihodnje za leta naprej.
Glede tega pregleda kode: recimo VaultWarden si daš v Docker, ga na firewallu na routerju zapreš navzven (torej tako, da ne more komunicirati v internet, tudi če bi imel backdoor-e), pa si rešil problem. Vse ostalo je na nivoju eksotike v smislu, da potem rabiš še tempest opremo proti prisluškovanju.
LightBit ::
Za to se uporablja simetrično kriptografijo.
Ne se ne (razen, ce dela aplikacijo salabajzer). Ce bos uporabil simetricen kljuc, se do njega lahko dokoplje kdorkoli in odklepa vse baze vseh uporabnikov.
KeePass recimo uporablja simetrično kriptografijo. Tudi ne vidim smisla v public key kriptografiji za password manager razen če bi želel stranska vrata. Če tvoj ključ dobijo ali ugotovijo seveda lahko dešifrirajo tvoja gesla.
Teoretično bi sicer lahko imeli stranska vrata, ampak z preizkušenimi algoritmi in pregledano odprto kodo precej težko.
Preizkuseni algoritmi so nepomembni, ce avtor aplikacije shrani zraven se tvoj kljuc, ki ga lahko samo on odkodira. In tudi, ce je koda odprta in jo nekdo preverja (kar je lari fari), me zanima kako si preveril, da je aplikacija zares scompilana iz pregledanih sourcov.
Da ni recimo vdrt build sistem dodal se malo kode v trenutku compilanja...
Dokler nisi preveril ves hardware in software ne moreš biti 100% ziher. To vedno velja. Je pa verjetno bolje kot hraniti gesla nešifrirana.
LightBit ::
Ali, pa, da kaksen mozgancek pregori, recimo kaj taksnega (1984, Turing Award) https://www.win.tue.nl/~aeb/linux/hh/th...
Vem, da ne bo nihce prebral, zato samo zakljucek:
"The moral is obvious. You can't trust code that you did not totally create yourself."
Problem pa je da tudi tisto kar si čisto sam naredil je lahko (in verjetno je) luknjasto.
GupeM ::
Jaz si gesla zapomnem s pomočjo formule (razložim v nadaljevanju). Pravzaprav ni nujno, da si zapomnem geslo... dovolj je, da si zapomnem formulo, ki me bo pripeljala do pravilnega gesla.
In kaj se zgodi, ko uporabljaš spletno strani american airlines, anonimne alkoholike in Austrian airlines? Si zapomniš tudi to, katero kratico si kje uporabil?
111111111111 ::
Po tej logiki so vsa tri gesla enaka.
Če prisloniš uho na vroč šporhet, lahko zavohaš kak si fuknjen.
132932 ::
KeePass recimo uporablja simetrično kriptografijo. Tudi ne vidim smisla v public key kriptografiji za password manager razen če bi želel stranska vrata. Če tvoj ključ dobijo ali ugotovijo seveda lahko dešifrirajo tvoja gesla.
Jaz nisem nicesar rekel o nacinu kriptiranja gesel, govorim samo in izkljucno o backdooru.
Je pa verjetno bolje kot hraniti gesla nešifrirana.
Ne vem, vprasaj lastpass.
Zgodovina sprememb…
- spremenilo: 132932 ()
energetik ::
Gre za managerje, ki so na trgu in v uporabi že 10+ let in jih uporablja milijone ljudi, kakršenkoli backdoor bi se že zdavnaj pokazal.
Tudi če si imel vse v Lastpassu in sledil priporočilom (močno random glavno geslo), ti kljub ukradenim trezorjem nihče nič ne more.
Kdor je uporabljal slabo geslo, si je pač sam kriv.
Tudi če si imel vse v Lastpassu in sledil priporočilom (močno random glavno geslo), ti kljub ukradenim trezorjem nihče nič ne more.
Kdor je uporabljal slabo geslo, si je pač sam kriv.
vires in numeris
Zgodovina sprememb…
- spremenilo: energetik ()
bizgech ::
111111111111 je izjavil:
Po tej logiki so vsa tri gesla enaka.
Ni nujno. Nikjer nisem omenil, da v formulo ne vključim tudi število znakov v imenu storitve ali pa število samoglasnikov ipd.
Načeloma pa ja, obstaja verjetnost, da se kakšno geslo ponovi. Ampak če se pri 100+ geslih kakšno 3x ponovi, je to dovolj varno.
Robocop1 ::
Pa da si malo preberi kako delujejo pravi password managerji. Kakšen plain text, če je vse kriptirano in to pri tebi lokalno, šele nato se pošlje v oblak.
Že res, da se kriptira - v podatkovni bazi je vse kriptirano. Ampak nekje v izvorni kodi aplikacije je zapisan tudi algoritem, kako se dekriptira. Ko odpreš password manager ti ne bo izpisal šifrirano verzijo gesla, ampak točno tako geslo, kot si ga ti vnesel (temu pravim plain text). Torej če nekdo sheka LastPass, bo v podatkovni bazi dobil kriptirane verzije gesel, v izvornih datotekah pa postopek, kako se dekriptira.
Da dekriptiraš gesla moraš vnesti geslo, ki ga ni v njihovi bazi.
To govoriva o master passwordu?
Čemu potem strah pred uporabo password managerjev, če je gesla nemogoče dekriptirati brez gesla? Potemtakem tudi vdor v podatkovno bazo ne predstavlja nobenega tveganja, ker brez tega gesla dekripcija shranjenih gesel ni možna.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Med vdorom v LastPass in katastrofo le kakovost glavnih gesel uporabnikovOddelek: Novice / Varnost | 5895 (3531) | energetik |
» | Hekerji ukradli del izvorne kode LastPassa (strani: 1 2 )Oddelek: Novice / Varnost | 15108 (10517) | NejcSSD |
» | Passwordi me ubijajo! (strani: 1 2 3 4 )Oddelek: Informacijska varnost | 48240 (34659) | Pero_SLO |
» | LastPass odslej omogoča brezplačno sinhronizacijo med napravamiOddelek: Novice / Varnost | 9257 (6453) | PARTyZAN |
» | Sum vdora v LastPass povzročil množično menjavo geselOddelek: Novice / Varnost | 14939 (13838) | poweroff |