Ravnanje z gesli

Načeloma bi morale spletne strani gesla šifrirati in uporabljati seed. Ampak kako so zadeve implementirane po navadi ne veš, zato je najbolje, da uporabljaš naključna gesla kjer ima vsaka stran svoje. Jaz uporabljam za generacijo in shranjevanje gesel keepass, kjer imaš možnost tudi vtičnika kjer browser potegne geslo iz odklenjenega kontenerja.

Sam imam stvari urejene tako, da imam gesla v keepass shranjena pod različnimi šifriranimi datotekami.

Kar se tiče e-mailov imam 4 emaile in pri loginu uporabljam v odvisnosti od spletne strani.

Ena najboljših rešitev za shranjevanje gesla je, da imaš razvit svoj password manager, četudi je ta nekje v cloudu. V plusu si že zaradi tega, ker poznaš sistem delovanja (veš kako si zadeve razvil). Če si pri tem upošteval še varnostne riske in jih rešil na ustrezen način, je taka rešitev najbolj varna in zanesljiva. Razna že razvita orodja so samo sekanje ovinkov - enkrat sekaš levo, drugič desno, vmes pa polno možnosti, da gre kaj narobe.

Google ima v varnostnih nastavitvah poročilo, kjer ti pokažejo seznam spletnih mest oz. strani, ki so jih našli oz. so bile objavljene na darknetu, pri katerih je bil uporabljen tvoj gmail email naslov.



Podobno lahko sicer najdeš tudi na https://haveibeenpwned.com/.

Če bo komu prav prišlo, moj setup: VW (VaultWarden = odprtokodna inačica Bitwarden-a - celo Bitwarden plugin dela z njim), samo ga self-host-aš v Dockerju, na lastnem serverju (ali NAS-u). Simpl za nastavit, simpl za syncat. Na vsaki mašini imaš v brskalniku plugin pa je (na telefonu je tud app Bitwarden, tako da tud tam imaš vault), vsi podatki se med seboj syncajo na domač cloud (docker), backupirat se da simpl na NASu. Aja, na svojem portu, pa router tako nastavljen da mi synca gesla samo znotraj domačega omrežja, kar je ponavadi zadosti (od zunaj mi ne synca - nima dostopa tako da tudi če bi bila komunikacija prestrežena ne gre nič čez - razen če se VPN-jam, tako da če bi nujno rabil sync bi tudi to naredil remote).
Nobenih zunanjih zgodb, vsaj pri geslih je meni to res neumno da zaupaš tretjim karkoli, ne glede na njihov ugled (pa razlaganja kako je baza pri njih šifrirana in tudi sami nimajo dostopa blablabla - temu pač by default ne moreš zaupati). Pač posamezna storitev ali pa stran lahko pade, ker ni odvisno od tebe, tu rešiš različna gesla v različnih servisih.
Realno gledano je za enih 80% stvari vseeno če ponucaš enako geslo ker ni kritično (dol mi visi če mi na dom naročijo Aboutyou tangice, jih pač zavrneš, važno je da nimaš paypal accounta linkanega al pa kartice), tovrstnih servisov je precejšnja večina. Ostalo pa unique, pa kar je na plačilna sredstva vezano TOTP oz. 2fa pa si z veliko verjetnostjo relativno na varnem.

Tudi sam imam tako. Pravzaprav je preprosto. Lokalni Keepass (na Winsih v službi, na Linuxu doma in na Androidu), kriptirana baza pa je mapi, ki se sinhronizira med temi računalniki in je hkrati v oblaku (in tudi v ločenem backupu).

Za povprečnega janeza je že to da sploh ima za vsako stran drugo geslo in da sploh uporablja password manager amerika.

Za povprečnega janeza bo ukinitev passworda in prehod na passkey (kar je poenostavljeno povedano nič drugega kot posredna prisila v uporabo password managerja, namreč passkey ne boš mogel brez password managerja uporabljat) dejansko konkretni konkretni plus. Čimprej tem bolje.

Za nas ko že imamo password manager bo preskok iz gesla na passkey sam morebitna menjava/prilagoditev password/passkey managerja. Namreč password/passkey managerji morali passkey podpreti na integriran način preko OS APIja. Odpadli bodo taki ki se zanašajo na copy/paste (kar jaz trenutno počnem z KeePass). Ker je ok, ker copy/paste je varnostna ranljivost.

Karen je 14. jul 2024 ob 12:33 izjavil:

Če bo komu prav prišlo, moj setup: VW (VaultWarden = odprtokodna inačica Bitwarden-a - celo Bitwarden plugin dela z njim), samo ga self-host-aš v Dockerju, na lastnem serverju (ali NAS-u). Simpl za nastavit, simpl za syncat. Na vsaki mašini imaš v brskalniku plugin pa je (na telefonu je tud app Bitwarden, tako da tud tam imaš vault), vsi podatki se med seboj syncajo na domač cloud (docker), backupirat se da simpl na NASu. Aja, na svojem portu, pa router tako nastavljen da mi synca gesla samo znotraj domačega omrežja, kar je ponavadi zadosti (od zunaj mi ne synca - nima dostopa tako da tudi če bi bila komunikacija prestrežena ne gre nič čez - razen če se VPN-jam, tako da če bi nujno rabil sync bi tudi to naredil remote).
Nobenih zunanjih zgodb, vsaj pri geslih je meni to res neumno da zaupaš tretjim karkoli, ne glede na njihov ugled (pa razlaganja kako je baza pri njih šifrirana in tudi sami nimajo dostopa blablabla - temu pač by default ne moreš zaupati). Pač posamezna storitev ali pa stran lahko pade, ker ni odvisno od tebe, tu rešiš različna gesla v različnih servisih.
Realno gledano je za enih 80% stvari vseeno če ponucaš enako geslo ker ni kritično (dol mi visi če mi na dom naročijo Aboutyou tangice, jih pač zavrneš, važno je da nimaš paypal accounta linkanega al pa kartice), tovrstnih servisov je precejšnja večina. Ostalo pa unique, pa kar je na plačilna sredstva vezano TOTP oz. 2fa pa si z veliko verjetnostjo relativno na varnem.

Tudi Bitwarden je odprtokoden, tako da če bi kaj mutili s šifriranjem, bi se to zelo hitro ugotovilo. Bitwarden vault se kodira na uporabnikovi mašini, vedno. Njihov strežnik je le sredstvo za syncanje. 1x mesečno naredim za backup še password encrypted .json izvoz in ga hranim lokalno, da sem neodvisen od obstoja podjetja.

Cr00k je 15. jul 2024 ob 11:41 izjavil:

+ Bitwarden lahko tudi lokalno hostas na svojem domačem serverju.

morda veš kako in do kam (z minimalnimi zahtevmai) naj bi bil domač server odprt "navzven" da lahko syncaš gesla tudi ko nisi v domačem omrežju in brez vpnja?

Če imaš geslo random in unikatno, ga ni treba menjati nikoli. Zakaj ne 2FA? Ravno to se splača, kjer je možno. Telefonsko tudi, kot si sam ugotovil, za lažje pojasnjevanje lastništva, če vendarle kdo vdre v tvoj račun.

Legon je 22. jul 2024 ob 07:59 izjavil:

energetik je 22. jul 2024 ob 07:36 izjavil:

Če imaš geslo random in unikatno, ga ni treba menjati nikoli. Zakaj ne 2FA? Ravno to se splača, kjer je možno. Telefonsko tudi, kot si sam ugotovil, za lažje pojasnjevanje lastništva, če vendarle kdo vdre v tvoj račun.

Rotirat gesla se vedno splaca, sicer nima skislq to delat vsakih par tednov ampak enrat na leto dve pa ne skodi. Se pa strinjam da to ni bistvena zadeva ce res dosledno uporabljas unikatna gesla, skodi pa tudi ne. Ze to da enkrat na dve leti pogledas kje vse si prijavljen ne skodi:)

Zakaj bi se splačalo? Od kar uporabljam password manager (kakih 15 let že), je vsako geslo za vsako storitev random generirano in drugačno. Niti 2 nista enaka. Shekali jih ne bodo nikoli, če pa pridejo do posameznega gesla na kak drug način (fail na strani serverja, keyloger, phishing,...), je problem le tista storitev. In tudi če ga menjam na 1 teden, lahko slučajno pridejo na tak način do njega le 5min po menjavi.

Dodatni layer varnostu (2FA) je konkretno bolj pomemben kot rotiranje gesla (izboljsevanje enega layerja).

In ce imas enkrat dva layerja je rotiranje za prvi layer dokaj nepomembno, skodi sicer ne.

In ja 2FA za pomembne stvari kot so Google in Microsoft je nujno, kdor se nima naj si uredi.

Zato jih pač naučiš uporabljati password manager, tisto eno geslo si pa že zapomnijo.

darkolord je 22. jul 2024 ob 09:49 izjavil:

Zato jih pač naučiš uporabljati password manager, tisto eno geslo si pa že zapomnijo.

Tako je, bistveno bi bilo naučit uporabnike uporabljat PM, pa za prijavo v službeni PC/domeno ne postavljat absurdnih pogojev za geslo, le minimalno dolžino. Potem ostane le še za zapomnit si "Correct Horse Battery Staple". 2x, eno za PC, drugo za PM.

bemfa je 22. jul 2024 ob 09:50 izjavil:

In kaj če kdo hackne password managerja?

Kako?

V primerih, kjer so prišli do dejanskih gesel, je šlo ali za phishing ali za ponovno uporabo istih gesel.

darkolord je 22. jul 2024 ob 10:22 izjavil:

V primerih, kjer so prišli do dejanskih gesel, je šlo ali za phishing ali za ponovno uporabo istih gesel.

Različno, večinoma za phishing, ponekod za vdore, kjer je so bile odtujeni podatki o uporabnikih. Ampak pod črtvo, kot razumem nikjer ni šlo za situacijo, kjer bi prišli do dejaskih gesel zaradi napake/malomarnosti ponudnika.

ampak tako kot drugje - 2FA + močno geslo je predpogoj za varno uporabo pasword managerja. In že to je svetlobna leta pred tem kar uporablja večina.

Uporaba selfhosted rešitve, ki prebiva za VPN (recimo Bitwarden) je načeloma še boljša rešitev, ker omogoča dodatne varnostne elemente (certifikati, geoblokiranje...).

Daj se enkrat preberi. Napisal sem da po mojem vedenju niso nikjer zaradi malomarnosti ponudnika prisli do gesel.

Bitwarden lahko namestis na svojo infrastrukturo in ne rabis uporabljat njihovega clouda.

solatjek je 28. jul 2024 ob 19:36 izjavil:

Kaj pa če nimaš svoje infrastrukture?

Saj si napisal, da bi imel v svojem oblaku!
Kako imaš svoj oblak brez infrastrukture?

Če pa misliš na kak Onedrive, potem pač uporabljaj Keepass in datoteko sinhroniziraj tam.

solatjek je 28. jul 2024 ob 19:36 izjavil:

Kaj pa če nimaš svoje infrastrukture?

Kje pa imas potem svoj oblak? Na nebu?

solatjek je 28. jul 2024 ob 20:24 izjavil:

Onedrive sem imel v mislih, ja ?

V cem je to kakorkoli bolj varno od namenske resitve?

Lonsarg je 28. jul 2024 ob 20:37 izjavil:

Prednost KeePass (ali kak podoben program) + OneDrive kot storage vs all-in-one storitev je, da ni zadaj ista firma ki ti da software ki ščiti private key in firma ki ti ponudi cloud storage. Najbrž ni to nekam gromozanska prednost, malo pa že.

V tej smeri razmišljam, ja, ni vse pri enem ponudniku. Sicer pa imam v onedrive marsikaj, s tem, da vse pomembno je zaklenjeno dodatno v onedrive še s kriptomatorjem, plus tega imam še 2FA na MS računu.

Keepass mi načeloma deluje OK, a deluje tudi v iOS in androidu?

Ce nimas kje hostat bitwarden potem je keypass najblizje tvojim zeljam. Osebno mi ni prinsrcu ker zahteva prevec vestnosti uporabnika in potem zadeva hitro ne sluzi svojemu namenu. Ne recem da se ne da, ampak IMO vecina ne bo dovolj vestna in potem ugotovis, da je vseeno boljse imet namensko cloud resitev. Se posebej to pride do izraza ce resitev uporablja vec kot ena oseba.

solatjek je 28. jul 2024 ob 20:40 izjavil:

Lonsarg je 28. jul 2024 ob 20:37 izjavil:

Prednost KeePass (ali kak podoben program) + OneDrive kot storage vs all-in-one storitev je, da ni zadaj ista firma ki ti da software ki ščiti private key in firma ki ti ponudi cloud storage. Najbrž ni to nekam gromozanska prednost, malo pa že.

V tej smeri razmišljam, ja, ni vse pri enem ponudniku. Sicer pa imam v onedrive marsikaj, s tem, da vse pomembno je zaklenjeno dodatno v onedrive še s kriptomatorjem, plus tega imam še 2FA na MS računu.

Keepass mi načeloma deluje OK, a deluje tudi v iOS in androidu?

Keepass file lahko postaviš na povsem nezaščiten oblak, magari če imajo tudi drugi dostop. Pogoj je seveda močno geslo in dober KDF.
Ne vem kaj te moti pri Bitwardenu. File se kodira na tvojem računalniku in nikjer drugje. Vsak lahko to preveri, saj je opensource. In če bi kdo kdaj ugotovil, da temu ni tako, Bitwarden kmalu ne bi obstajal več.

solatjek je 28. jul 2024 ob 21:17 izjavil:

Še en vidik mi je pomemben, če je datoteka pri meni. Če namenska rešitev crkne (podjetje propade), da vseeno še dostopam do gesel v datoteki, ki jo imam pri sebi.

Saj z Bitwardenom delaš backup baze, v zakodiranem .json. Tudi Keepass za file moraš delati backup.