» »

Ravnanje z gesli

Ravnanje z gesli

karafeka ::

Ravno gledam na mojem google računu seznam spletnih strani v katere so vdrli in so sedaj moj email naslov, uporabniška imena in predvsem gesla v tekstovni obliki objavljena na darknetu.

Milo rečeno, sem se zgrozil. Seznam je dolg. In kako je sploh mogoče, da so gesla v tekstovni obliki? Ali jih ti portali oz. spletne strani oz. spletne trgovine kar direktno shranijo v bazo? Brez hashanja?

Glavno vprašanje je, kako najbolj varno ravnati z gesli? Z obzirom, da uporabljam več naprav - računalniki, tablica, telefon, z različnimi brskalniki - Edge, Chrome, Firefox, Safari. Gesla pa morajo biti seveda dolga in naključno sestavljena. Verjetno jih tudi ni priporočljivo shranjevati v brskalnike?

2FA uporabljam za res kritične stvari, ampak vse strani niti ne podpirajo tega, prav tako ne bi ravno tega uporabljal za vsak obskurni forum.

Tu sem bral tudi, da si postavite svoj lastni email server in potem za vsako registracijo uporabite drug email alias. Tudi to se mi ne zdi slaba ideja.

johnnyyy ::

Načeloma bi morale spletne strani gesla šifrirati in uporabljati seed. Ampak kako so zadeve implementirane po navadi ne veš, zato je najbolje, da uporabljaš naključna gesla kjer ima vsaka stran svoje. Jaz uporabljam za generacijo in shranjevanje gesel keepass, kjer imaš možnost tudi vtičnika kjer browser potegne geslo iz odklenjenega kontenerja.

Sam imam stvari urejene tako, da imam gesla v keepass shranjena pod različnimi šifriranimi datotekami.

Kar se tiče e-mailov imam 4 emaile in pri loginu uporabljam v odvisnosti od spletne strani.

Cr00k ::

Se mi zdi da je Bitwarden zadnje case med najbolj favoriziranimi, sploh ker lepo deluje preko vseh moznih platformah, pa ker je bilo med konkurenco nekaj incidentov. Keepass moras npr. syncat med napravami, je IMO za povprecnega cloveka malo prevec, ceprav tudi ni nek bavbav.

Proton pass je tudi lustn, ti omogoca email aliase za vsak login posebej. Ni potrebe po lastnem email strezniku.

Preberi kaksne reviewje, poskusi nekaj resitev... vse so naceloma super.

sci3nc3 ::

Ena najboljših rešitev za shranjevanje gesla je, da imaš razvit svoj password manager, četudi je ta nekje v cloudu. V plusu si že zaradi tega, ker poznaš sistem delovanja (veš kako si zadeve razvil). Če si pri tem upošteval še varnostne riske in jih rešil na ustrezen način, je taka rešitev najbolj varna in zanesljiva. Razna že razvita orodja so samo sekanje ovinkov - enkrat sekaš levo, drugič desno, vmes pa polno možnosti, da gre kaj narobe.

energetik ::

karafeka je izjavil:

Ravno gledam na mojem google računu seznam spletnih strani v katere so vdrli in so sedaj moj email naslov, uporabniška imena in predvsem gesla v tekstovni obliki objavljena na darknetu.

Milo rečeno, sem se zgrozil. Seznam je dolg. In kako je sploh mogoče, da so gesla v tekstovni obliki? Ali jih ti portali oz. spletne strani oz. spletne trgovine kar direktno shranijo v bazo? Brez hashanja?

Glavno vprašanje je, kako najbolj varno ravnati z gesli? Z obzirom, da uporabljam več naprav - računalniki, tablica, telefon, z različnimi brskalniki - Edge, Chrome, Firefox, Safari. Gesla pa morajo biti seveda dolga in naključno sestavljena. Verjetno jih tudi ni priporočljivo shranjevati v brskalnike?

2FA uporabljam za res kritične stvari, ampak vse strani niti ne podpirajo tega, prav tako ne bi ravno tega uporabljal za vsak obskurni forum.

Tu sem bral tudi, da si postavite svoj lastni email server in potem za vsako registracijo uporabite drug email alias. Tudi to se mi ne zdi slaba ideja.

Uporabljaj password manager (priporočam ali Bitwarden ali Keepass) in za vsako stran unikatno, random geslo. Potem ti ob shekanju tiste strani vdrejo samo v tisto stran, vse drugo je še vedno 100 % varno.
Ne vem pa kaj si hotel sploh povedati glede svoje google računa. So ti vdrli v gugl račun ali kaj hočeš rečt?
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

karafeka ::

Google ima v varnostnih nastavitvah poročilo, kjer ti pokažejo seznam spletnih mest oz. strani, ki so jih našli oz. so bile objavljene na darknetu, pri katerih je bil uporabljen tvoj gmail email naslov.



Podobno lahko sicer najdeš tudi na https://haveibeenpwned.com/.

Zgodovina sprememb…

  • spremenil: karafeka ()

Lonsarg ::

Definitivno password manager z unikatnim geslom per stran. In definitivno za vse kriticne zadeve (email, banke,...) se 2FA.

Za navadnega ne hudega paranoika je poljubni password manager, magari cloud, cisto ok zadeva. Tudi vgrajeni password mamager v browserju sploh ni slaba zadeva, pac ponudniku browserja itak moras zaupat.

Jaz osebno imam vsa gesla v KeePass (zvezan v ozadju na OneDrive storage kamor se KeePass v kriptirani obliki shrani). Dodatno za vecina strani (z izjemo bank, borznih racunov,..) tudi v browserju shranim, da ne rabim vedno keepass odpirat.

Karen ::

Če bo komu prav prišlo, moj setup: VW (VaultWarden = odprtokodna inačica Bitwarden-a - celo Bitwarden plugin dela z njim), samo ga self-host-aš v Dockerju, na lastnem serverju (ali NAS-u). Simpl za nastavit, simpl za syncat. Na vsaki mašini imaš v brskalniku plugin pa je (na telefonu je tud app Bitwarden, tako da tud tam imaš vault), vsi podatki se med seboj syncajo na domač cloud (docker), backupirat se da simpl na NASu. Aja, na svojem portu, pa router tako nastavljen da mi synca gesla samo znotraj domačega omrežja, kar je ponavadi zadosti (od zunaj mi ne synca - nima dostopa tako da tudi če bi bila komunikacija prestrežena ne gre nič čez - razen če se VPN-jam, tako da če bi nujno rabil sync bi tudi to naredil remote).
Nobenih zunanjih zgodb, vsaj pri geslih je meni to res neumno da zaupaš tretjim karkoli, ne glede na njihov ugled (pa razlaganja kako je baza pri njih šifrirana in tudi sami nimajo dostopa blablabla - temu pač by default ne moreš zaupati). Pač posamezna storitev ali pa stran lahko pade, ker ni odvisno od tebe, tu rešiš različna gesla v različnih servisih.
Realno gledano je za enih 80% stvari vseeno če ponucaš enako geslo ker ni kritično (dol mi visi če mi na dom naročijo Aboutyou tangice, jih pač zavrneš, važno je da nimaš paypal accounta linkanega al pa kartice), tovrstnih servisov je precejšnja večina. Ostalo pa unique, pa kar je na plačilna sredstva vezano TOTP oz. 2fa pa si z veliko verjetnostjo relativno na varnem.

Lonsarg ::

Vsako digitalno stvar nujno rabiš vsaj na dveh lokacijah v razmaku 50km, torej če si res čisto brez cloud rabiš še starše ali prijatelja da tja offlovdaš v kritirani obliki vsaj enkrat letno.

Meni se kljub nezaupanja do cloud ponudnikov zdi dovolj, da je ponudnik samega shranjevanja gesla/sinhonizacije "software only" rešitev, ki jo namestiš zgolj lokalno na vse naprave/domač strežnik (v mojem primeru je to Seafile za sync ter KeePass za gesla). Potem pa v kriptirani obliki pač izbereš nekega cloud ponudnika kamor to daš (kot dodatna lokacija, ne primarna). S tem ko je ponudnik software rešitve (morda je to celo open source zadeva, toliko bolje) ločen od ponudnika kamor shranjuješ kriptirano, bi dejansko morala biti kompromirana oba hkrati, da bi kdo do tvojih podatkov prišel.

Zato je meni Keepass všeč, ki je v osnovi goli client-only software, brez cloud storitve in pač podpira da je baza kriptirana. Potem pa lahko to bazo kamorkoli shraniš, v mojem primeru pač OneDrive.

dunda ::

Tudi sam imam tako. Pravzaprav je preprosto. Lokalni Keepass (na Winsih v službi, na Linuxu doma in na Androidu), kriptirana baza pa je mapi, ki se sinhronizira med temi računalniki in je hkrati v oblaku (in tudi v ločenem backupu).
https://www.kacnje.eu

Cr00k ::

Za povprecnega Janeza je Bitwarden + Yubikey vrh glave... ce bi vsak imel vsaj tako poslihtano, bi bilo ful kicasto.

Lonsarg ::

Za povprečnega janeza je že to da sploh ima za vsako stran drugo geslo in da sploh uporablja password manager amerika.

Za povprečnega janeza bo ukinitev passworda in prehod na passkey (kar je poenostavljeno povedano nič drugega kot posredna prisila v uporabo password managerja, namreč passkey ne boš mogel brez password managerja uporabljat) dejansko konkretni konkretni plus. Čimprej tem bolje.

Za nas ko že imamo password manager bo preskok iz gesla na passkey sam morebitna menjava/prilagoditev password/passkey managerja. Namreč password/passkey managerji morali passkey podpreti na integriran način preko OS APIja. Odpadli bodo taki ki se zanašajo na copy/paste (kar jaz trenutno počnem z KeePass). Ker je ok, ker copy/paste je varnostna ranljivost.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

johnnyyy ::

Lonsarg je izjavil:

Za nas ko že imamo password manager bo preskok iz gesla na passkey sam morebitna menjava/prilagoditev password/passkey managerja. Namreč password/passkey managerji morali passkey podpreti na integriran način preko OS APIja. Odpadli bodo taki ki se zanašajo na copy/paste (kar jaz trenutno počnem z KeePass). Ker je ok, ker copy/paste je varnostna ranljivost.

Saj KeePass ima tudi http vtičnik za Firefox/Chromium, kjer se ti avtomatsko poveže s Keepass in ponudi geslo. Prav tako imaš možnost tudi direktno shranjevanje gesel in generiranje direktno v brskalniku.

energetik ::

Karen je izjavil:

Če bo komu prav prišlo, moj setup: VW (VaultWarden = odprtokodna inačica Bitwarden-a - celo Bitwarden plugin dela z njim), samo ga self-host-aš v Dockerju, na lastnem serverju (ali NAS-u). Simpl za nastavit, simpl za syncat. Na vsaki mašini imaš v brskalniku plugin pa je (na telefonu je tud app Bitwarden, tako da tud tam imaš vault), vsi podatki se med seboj syncajo na domač cloud (docker), backupirat se da simpl na NASu. Aja, na svojem portu, pa router tako nastavljen da mi synca gesla samo znotraj domačega omrežja, kar je ponavadi zadosti (od zunaj mi ne synca - nima dostopa tako da tudi če bi bila komunikacija prestrežena ne gre nič čez - razen če se VPN-jam, tako da če bi nujno rabil sync bi tudi to naredil remote).
Nobenih zunanjih zgodb, vsaj pri geslih je meni to res neumno da zaupaš tretjim karkoli, ne glede na njihov ugled (pa razlaganja kako je baza pri njih šifrirana in tudi sami nimajo dostopa blablabla - temu pač by default ne moreš zaupati). Pač posamezna storitev ali pa stran lahko pade, ker ni odvisno od tebe, tu rešiš različna gesla v različnih servisih.
Realno gledano je za enih 80% stvari vseeno če ponucaš enako geslo ker ni kritično (dol mi visi če mi na dom naročijo Aboutyou tangice, jih pač zavrneš, važno je da nimaš paypal accounta linkanega al pa kartice), tovrstnih servisov je precejšnja večina. Ostalo pa unique, pa kar je na plačilna sredstva vezano TOTP oz. 2fa pa si z veliko verjetnostjo relativno na varnem.
Tudi Bitwarden je odprtokoden, tako da če bi kaj mutili s šifriranjem, bi se to zelo hitro ugotovilo. Bitwarden vault se kodira na uporabnikovi mašini, vedno. Njihov strežnik je le sredstvo za syncanje. 1x mesečno naredim za backup še password encrypted .json izvoz in ga hranim lokalno, da sem neodvisen od obstoja podjetja.
vires in numeris

Cr00k ::

+ Bitwarden lahko tudi lokalno hostas na svojem domačem serverju.

Dzuro10 ::

Cr00k je izjavil:

+ Bitwarden lahko tudi lokalno hostas na svojem domačem serverju.

morda veš kako in do kam (z minimalnimi zahtevmai) naj bi bil domač server odprt "navzven" da lahko syncaš gesla tudi ko nisi v domačem omrežju in brez vpnja?

Zgodovina sprememb…

  • spremenil: Dzuro10 ()

polozweii ::

Ko je ravno govora o e-mailih in da ne odpiram nove teme... Zanima me kaj je na gmailu smiselno postoriti okoli varnosti.
Na primer geslo zamenjaš na vsake tolk časa. Napišeš svojo telefonsko za vsak primer če bi bilo treba dokazovati lastništvo. Je to to ali je smiselno še kaj?
Nekateri se ukvarjajo še z 2FA ampak ne vem če je smiselno da se gre tako daleč, morda za kakšne firme ne vem.

energetik ::

Če imaš geslo random in unikatno, ga ni treba menjati nikoli. Zakaj ne 2FA? Ravno to se splača, kjer je možno. Telefonsko tudi, kot si sam ugotovil, za lažje pojasnjevanje lastništva, če vendarle kdo vdre v tvoj račun.
vires in numeris

Legon ::

Dzuro10 je izjavil:

Cr00k je izjavil:

+ Bitwarden lahko tudi lokalno hostas na svojem domačem serverju.

morda veš kako in do kam (z minimalnimi zahtevmai) naj bi bil domač server odprt "navzven" da lahko syncaš gesla tudi ko nisi v domačem omrežju in brez vpnja?

Jaz imam pac port forward, certifikat in obvezno 2fa za vse uporabnike. Imam ca 20 uporabnikov (druzina in prijatelji).

energetik je izjavil:

Če imaš geslo random in unikatno, ga ni treba menjati nikoli. Zakaj ne 2FA? Ravno to se splača, kjer je možno. Telefonsko tudi, kot si sam ugotovil, za lažje pojasnjevanje lastništva, če vendarle kdo vdre v tvoj račun.

Rotirat gesla se vedno splaca, sicer nima skislq to delat vsakih par tednov ampak enrat na leto dve pa ne skodi. Se pa strinjam da to ni bistvena zadeva ce res dosledno uporabljas unikatna gesla, skodi pa tudi ne. Ze to da enkrat na dve leti pogledas kje vse si prijavljen ne skodi:)

polozweii je izjavil:

Ko je ravno govora o e-mailih in da ne odpiram nove teme... Zanima me kaj je na gmailu smiselno postoriti okoli varnosti.
Na primer geslo zamenjaš na vsake tolk časa. Napišeš svojo telefonsko za vsak primer če bi bilo treba dokazovati lastništvo. Je to to ali je smiselno še kaj?
Nekateri se ukvarjajo še z 2FA ampak ne vem če je smiselno da se gre tako daleč, morda za kakšne firme ne vem.

2fa za Gmail je absolutno nujna zadeva, ki bi jo moral vsak nardit takoj. Razmisli kaj vse imas vezano na email in potem se se enkrat vprasaj ali res ne rabis 2fa.

Zgodovina sprememb…

  • spremenilo: Legon ()

energetik ::

Legon je izjavil:

energetik je izjavil:

Če imaš geslo random in unikatno, ga ni treba menjati nikoli. Zakaj ne 2FA? Ravno to se splača, kjer je možno. Telefonsko tudi, kot si sam ugotovil, za lažje pojasnjevanje lastništva, če vendarle kdo vdre v tvoj račun.

Rotirat gesla se vedno splaca, sicer nima skislq to delat vsakih par tednov ampak enrat na leto dve pa ne skodi. Se pa strinjam da to ni bistvena zadeva ce res dosledno uporabljas unikatna gesla, skodi pa tudi ne. Ze to da enkrat na dve leti pogledas kje vse si prijavljen ne skodi:)


Zakaj bi se splačalo? Od kar uporabljam password manager (kakih 15 let že), je vsako geslo za vsako storitev random generirano in drugačno. Niti 2 nista enaka. Shekali jih ne bodo nikoli, če pa pridejo do posameznega gesla na kak drug način (fail na strani serverja, keyloger, phishing,...), je problem le tista storitev. In tudi če ga menjam na 1 teden, lahko slučajno pridejo na tak način do njega le 5min po menjavi.
vires in numeris

Legon ::

Pač dodaten element varnosti, že za to, da periodično (govorim enkrat na par let, ne na teden) pregledaš kje vse si logiran in kdo vse ima tvoje osebne podatke.

Lonsarg ::

Dodatni layer varnostu (2FA) je konkretno bolj pomemben kot rotiranje gesla (izboljsevanje enega layerja).

In ce imas enkrat dva layerja je rotiranje za prvi layer dokaj nepomembno, skodi sicer ne.

In ja 2FA za pomembne stvari kot so Google in Microsoft je nujno, kdor se nima naj si uredi.

Invictus ::

Tako ali tako je brez zveze vse skupaj, ker če uvedeš strict password policy z dolgimi gesli, si jih uporabnik zapišejo na listke, ki jih pozabijo povsod...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

darkolord ::

Zato jih pač naučiš uporabljati password manager, tisto eno geslo si pa že zapomnijo.

bemfa ::

In kaj če kdo hackne password managerja?

energetik ::

darkolord je izjavil:

Zato jih pač naučiš uporabljati password manager, tisto eno geslo si pa že zapomnijo.

Tako je, bistveno bi bilo naučit uporabnike uporabljat PM, pa za prijavo v službeni PC/domeno ne postavljat absurdnih pogojev za geslo, le minimalno dolžino. Potem ostane le še za zapomnit si "Correct Horse Battery Staple". 2x, eno za PC, drugo za PM.
vires in numeris

darkolord ::

bemfa: gesla v password managerju so zakodirana in jih lahko odkodiraš samo z glavnim geslom

Zgodovina sprememb…

  • spremenilo: darkolord ()

energetik ::

bemfa je izjavil:

In kaj če kdo hackne password managerja?
Kako?
vires in numeris

bemfa ::

darkolord ::

V primerih, kjer so prišli do dejanskih gesel, je šlo ali za phishing ali za ponovno uporabo istih gesel.

energetik ::

Še pri Lastpassu, kjer je prišlo do ornk napake s strani ponudnika, če si imel za master nastavljeno močno geslo (random, dovolj dolgo), se nimaš česa bati, ker nikoli ne bodo dekriptirali tvojega trezorja, kljub temu da ga offline obdelujejo brez omejitev.
Vprašanje o hekanju PMja je brez veze, enako lahko vprašaš, kaj če ti kdo hekne tvoj PC ali telefon. Ker je ravno tako game-over, ko imaš enkrat naložen spyware.
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()

Legon ::

darkolord je izjavil:

V primerih, kjer so prišli do dejanskih gesel, je šlo ali za phishing ali za ponovno uporabo istih gesel.


Različno, večinoma za phishing, ponekod za vdore, kjer je so bile odtujeni podatki o uporabnikih. Ampak pod črtvo, kot razumem nikjer ni šlo za situacijo, kjer bi prišli do dejaskih gesel zaradi napake/malomarnosti ponudnika.

ampak tako kot drugje - 2FA + močno geslo je predpogoj za varno uporabo pasword managerja. In že to je svetlobna leta pred tem kar uporablja večina.

Uporaba selfhosted rešitve, ki prebiva za VPN (recimo Bitwarden) je načeloma še boljša rešitev, ker omogoča dodatne varnostne elemente (certifikati, geoblokiranje...).

Zgodovina sprememb…

  • spremenilo: Legon ()

delavec44 ::

Kako ni malomarnost ponudnika, če jim vdrejo v sistem?

Legon ::

Daj se enkrat preberi. Napisal sem da po mojem vedenju niso nikjer zaradi malomarnosti ponudnika prisli do gesel.

solatjek ::

Ali obstaja kakšen password manager, ki se sinhronizira med vsemi platformami (Windows, iOS, Android) in bi to počel preko mojega oblaka, npr. onedrive? Vsi hvalijo Bitwarden, a ta ima njihov oblak, kar mi ne diši.

Enako bi želel za Authentikator, sedaj ga imam samo na Androidu (M$), sinhronizacija z iOS ne gre. Če izgubim telefon, niti iz backupa ne morem potegniti, dokler ne uredim SIM z novo isto številko (imam 2FA na MS računu).

Iz zgornjega razloga mi je pomembno, da je oboje sinhronizirano na vseh treh napravah, ki jih uporabljam.

Spogledujem se z Authy in Bitwarden, pri obojem me moti njihov cloud (koliko je to varno?). Žele bi nekaj, kjer je kriptirana datoteka v mojem oblaku.

Zgodovina sprememb…

  • spremenilo: solatjek ()

Legon ::

Bitwarden lahko namestis na svojo infrastrukturo in ne rabis uporabljat njihovega clouda.

Zgodovina sprememb…

  • spremenilo: Legon ()

solatjek ::

Kaj pa če nimaš svoje infrastrukture?

energetik ::

solatjek je izjavil:

Kaj pa če nimaš svoje infrastrukture?

Saj si napisal, da bi imel v svojem oblaku!
Kako imaš svoj oblak brez infrastrukture?

Če pa misliš na kak Onedrive, potem pač uporabljaj Keepass in datoteko sinhroniziraj tam.
vires in numeris

solatjek ::

Onedrive sem imel v mislih, ja ?

Legon ::

solatjek je izjavil:

Kaj pa če nimaš svoje infrastrukture?

Kje pa imas potem svoj oblak? Na nebu?

solatjek je izjavil:

Onedrive sem imel v mislih, ja ?

V cem je to kakorkoli bolj varno od namenske resitve?

Zgodovina sprememb…

  • spremenilo: Legon ()

Lonsarg ::

Prednost KeePass (ali kak podoben program) + OneDrive kot storage vs all-in-one storitev je, da ni zadaj ista firma ki ti da software ki ščiti private key in firma ki ti ponudi cloud storage. Najbrž ni to nekam gromozanska prednost, malo pa že.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

solatjek ::

Lonsarg je izjavil:

Prednost KeePass (ali kak podoben program) + OneDrive kot storage vs all-in-one storitev je, da ni zadaj ista firma ki ti da software ki ščiti private key in firma ki ti ponudi cloud storage. Najbrž ni to nekam gromozanska prednost, malo pa že.

V tej smeri razmišljam, ja, ni vse pri enem ponudniku. Sicer pa imam v onedrive marsikaj, s tem, da vse pomembno je zaklenjeno dodatno v onedrive še s kriptomatorjem, plus tega imam še 2FA na MS računu.

Keepass mi načeloma deluje OK, a deluje tudi v iOS in androidu?

Zgodovina sprememb…

  • spremenilo: solatjek ()

solatjek ::

Še en vidik mi je pomemben, če je datoteka pri meni. Če namenska rešitev crkne (podjetje propade), da vseeno še dostopam do gesel v datoteki, ki jo imam pri sebi.

Legon ::

Ce nimas kje hostat bitwarden potem je keypass najblizje tvojim zeljam. Osebno mi ni prinsrcu ker zahteva prevec vestnosti uporabnika in potem zadeva hitro ne sluzi svojemu namenu. Ne recem da se ne da, ampak IMO vecina ne bo dovolj vestna in potem ugotovis, da je vseeno boljse imet namensko cloud resitev. Se posebej to pride do izraza ce resitev uporablja vec kot ena oseba.

Zgodovina sprememb…

  • spremenilo: Legon ()

Lonsarg ::

Ja zato je meni všeč KeePass ki lahko shrani kamorkoli. Jaz pač shranim v PCju v lokalni folder, ki je mimogrede sinhroniziran še v OneDrive. Android verzija KeePassa pa je sicer malo drugačna, to sem usmeril da gleda direkt v OneDrive. Ker vsi KeePassi (2 PCja in Android) usmerim v isto datoteko si vse naprave real-time sharajo zadevo in deluje super.

S tem da na PCju uporabljam "KeePassXC" ker ima vseeno malo bolj normalen sodobni vmesnik, ne uporabljam tiste klasične stare varjante. Na Androidu pa "Keepass2Android". Oboje sta forka originalne KeePass aplikacije, ampak sta tudi oba forka opensource, tako kot original.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

energetik ::

solatjek je izjavil:

Lonsarg je izjavil:

Prednost KeePass (ali kak podoben program) + OneDrive kot storage vs all-in-one storitev je, da ni zadaj ista firma ki ti da software ki ščiti private key in firma ki ti ponudi cloud storage. Najbrž ni to nekam gromozanska prednost, malo pa že.

V tej smeri razmišljam, ja, ni vse pri enem ponudniku. Sicer pa imam v onedrive marsikaj, s tem, da vse pomembno je zaklenjeno dodatno v onedrive še s kriptomatorjem, plus tega imam še 2FA na MS računu.

Keepass mi načeloma deluje OK, a deluje tudi v iOS in androidu?
Keepass file lahko postaviš na povsem nezaščiten oblak, magari če imajo tudi drugi dostop. Pogoj je seveda močno geslo in dober KDF.
Ne vem kaj te moti pri Bitwardenu. File se kodira na tvojem računalniku in nikjer drugje. Vsak lahko to preveri, saj je opensource. In če bi kdo kdaj ugotovil, da temu ni tako, Bitwarden kmalu ne bi obstajal več.

solatjek je izjavil:

Še en vidik mi je pomemben, če je datoteka pri meni. Če namenska rešitev crkne (podjetje propade), da vseeno še dostopam do gesel v datoteki, ki jo imam pri sebi.
Saj z Bitwardenom delaš backup baze, v zakodiranem .json. Tudi Keepass za file moraš delati backup.
vires in numeris

Zgodovina sprememb…

  • spremenilo: energetik ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Password manager (strani: 1 2 )

Oddelek: Loža
9610712 (375) Scena56
»

Gesla (strani: 1 2 )

Oddelek: Pomoč in nasveti
676875 (4890) xseki
»

Med vdorom v LastPass in katastrofo le kakovost glavnih gesel uporabnikov

Oddelek: Novice / Varnost
265896 (3532) energetik
»

Lastpass alternativa?

Oddelek: Informacijska varnost
271328 (556) dunda
»

Hekerji ukradli del izvorne kode LastPassa (strani: 1 2 )

Oddelek: Novice / Varnost
8615111 (10520) NejcSSD

Več podobnih tem