Slo-Tech - Nemški Zvezni urad za informacijsko varnost (BSI) je preveril najpopularnejše upravljalnike gesel (password manager) in pripravil priporočila tako za končne uporabnike kot tudi za avtorjev teh orodij. Preverjali so, kako zavarovan je dostop do gesel v upravljalniku, ali ima proizvajalec možnost gesla videti (ne sme jih!), kakšno zaščito nudijo uporabnikom, katere dodatne funkcije vključujejo in ali je kodo možno neodvisno preveriti. Preverili so deset upravljalnikov, ki so na voljo za Windows, macOS, Android oizroma iOS. Sprva so identificirali 24 upravljalnikov gesel, nato pa so preizkusili 10 finalistov.
To so bili 1Password, Avira Password Manager, mSecure - Password Manager, PassSecurium, S-Trust Password Manager, SecureSafe Password Manager, Chrome Password Manager, Mozilla Firefox Password Manager, KeePass2Android in KeePassXC. Ugotovili so, da 1Password nima nobenih pomanjkljivosti v zasnovi. Priporočljiv je tudi KeePass2Android, le varnostne kopije moramo napraviti sami. Tudi Mozilla Firefox Password Manager je varna izbira, če le nastavimo glavno geslo (omogoča namreč uporabo brez!). Avira uporablja nepreverjeni šifrirni algoritem, ki mu moramo zaupati. Chrome ne šifrira vseh polj (npr. uporabniških imen). Precej manj varni so mSecure Password Manager, PassSecurium, SecureSafe Password-Manager in S-Trust Password Manager, kjer ima lahko celo proizvajalec dostop do gesel.
BSI je izdal še nekaj priporočil za uporabnike, ki jih že dobro poznamo. V vsakem primeru svetujejo uporabo upravljalnika gesel, ki ga zaščitimo z močnim geslom. Nujno je ustvariti varnostn okopijo, zelo priporočljiva pa je dvostopenjska avtentifikacija. Pomembno je še zaklepanje računalnika oziroma upravljalnika gesel po daljši neaktivnosti.
Nekje v dokumentu je omenjen Bitwarden med "standalone password managerji", amapk ot je tudi edina omemba v dokumentu. Nikjer nisem nasel zakaj niso napisali vec detajlov. Jaz ga uporabljam in dela OK. Samo vsake toliko se logiram se v webvault in preverim tisti stevilo iteracij (security > keys) da je enako ali visje priporoceni vrednosti, to je to.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.
Uporabljam 1Password in sem zadovoljen. Nekaj časa sem sicer tudi KeepassX ampak je 1Password nekako bolj priročen, pa tudi v prejšnji službi smo ga uporabljali in sem se navadil na UI. Definitivno boljši od LastPass, sploh pa po vdoru več ne bi ravno tam shranjeval gesel :)
Ryzen 5900X,Aorus X570 Elite,32GB 3600Mhz,MSI RTX 4070TI, Samsung M2 1TB
Macbook Pro M1 Max 16" 32 GB
Nobenega. Svoje sinapse in vse z njimi povezanega in naj mi en car izvede hekerski napad na moje možgane.
Ne rabi, dovolj je, da "napade" eno stran, na katero si prijavljen in, ki ne hrani gesel na varen način, pa bo prek nje prišel do tvojega gesla.
Standardna praksa je, da za vsako prijavo uporabljaš drugo geslo. Veliko sreče s tvojimi možgani.
SDS in ne-voljenje: https://slo-tech.com/forum/t835230/p8641476#p8641476
"Levi fašist" je skovanka ljudi brez izobrazbe, ki ne vedo kaj fašizem sploh
pomeni, uporablja pa se za poizkus relativiziranja/prikrivanja pravega fašizma.
Sam uporabljam Dashlane. Kot extension na PC-ju v brskalniku ter stand alone app na mobiju. Zanekrat sem zadovoljen. So pa kar dvignili ceno. Ko sem ga kupil leta 2018 je bil mozen nakup za 5 let in je stalo 149.99$ (torej samo 30$/leto), sedaj pa stane 52.99EUR/leto (4.4EUR/mesec)
Lastpass je gnoj odkar so pred leti spremenili lastnika...sploh browser addon (vsaj za Firefox) je čedalje slabši in jim je poleti celo uspelo uničiti celotno Win11 passkey integracijo...je kar trajalo dokler nisem ugotovil kako je vsak FF addon nad verzijo 4.145.0 kriv za nedelovanje fingerprint/pin Windows Hello login v MS in Google account...Android app pa itak nikoli ni delal tako kot treba in si vedno moral ročno kopirati user/pass v appe in web browser. Sem pa uporabnik že kakih 15 let.
Na Androidu zdaj uporabljam Bitwarden, kjer autofill že od samega začetka dela brez problema, na PC-ju pa žal še vedno Lastpass, ker se mi je migracija zdela preveč komplicirana (za vsak login bi moral ročno vnašati še html tip textboxa in selection gumba)...mogoče so od začetka 2020ih do zdaj to že spremenili, ne vem.
Ne rabi, dovolj je, da "napade" eno stran, na katero si prijavljen in, ki ne hrani gesel na varen način, pa bo prek nje prišel do tvojega gesla.
Standardna praksa je, da za vsako prijavo uporabljaš drugo geslo. Veliko sreče s tvojimi možgani.
Imam sistem, ki ima zelo dolga gesla, stavke takorekoč, z dodatki ki so zahtevani, če so (številke, velike/male, posebni znaki, ...). Za nepomembne stvari imam gesla ki so pointless, takorekoč na nivoju password123. Za razbit sistem bi nekdo rabil priti do vsaj treh ali morda celo štirih gesel različnih ponudnikov. Ker tudi emaili niso isti, lahko rečem samo še - good luck to you to, sir Troll-a-lot.
Beležka in svinčnik. Pa še tu, dodaš svojo kodo (ti veš kaj gledaš) drug pa ne, prepis ne deluje.
To je imel moj oče nekaj podobnega. Velik seznam strani/servisov, potem pa samo par črk znakov. Imel je tri gesla, ki jih je malo spreminjal, zapisane je imel pa samo spremembe. Da nekdo z vdorom dobi eno geslo - možno. Da hkrati dobi še beležko? Nemogoče. Dobi nekdo beležko? Možno. Da ve originalno geslo? Izjemno malo verjetno.
Včasih pomaga tudi vnos skritih znakov v geslo (Alt + trimestna koda znaka). Nerešljiva uganka za nekatere. Ti lahko gleda pod prste in listek, pa mu ne uspe prit noter. Pač stare fore fosilov. .
?
Sem mali provokator, po potrebi diktator, dvomim v vse in nič ne vem.
Marsikdaj se motim, zato prosim me popravi.
Ne rabi, dovolj je, da "napade" eno stran, na katero si prijavljen in, ki ne hrani gesel na varen način, pa bo prek nje prišel do tvojega gesla.
Standardna praksa je, da za vsako prijavo uporabljaš drugo geslo. Veliko sreče s tvojimi možgani.
Imam sistem, ki ima zelo dolga gesla, stavke takorekoč, z dodatki ki so zahtevani, če so (številke, velike/male, posebni znaki, ...). Za nepomembne stvari imam gesla ki so pointless, takorekoč na nivoju password123. Za razbit sistem bi nekdo rabil priti do vsaj treh ali morda celo štirih gesel različnih ponudnikov. Ker tudi emaili niso isti, lahko rečem samo še - good luck to you to, sir Troll-a-lot.
Katerikoli "sistem" imaš, ki si si ga sam izmislil, je ranljiv, saj skoraj gotovo ni true random. Edino geslo, ki mu lahko točno določiš "moč" oz. entropijo, je random zgenerirano geslo iz določenega nabora znakov ali besed. Tako da ne razumem kompliciranja, če to zate naredi password manager in varno shrani.
Sicer pa - neverjetno, da v poročilu ni Bitwardena, ki je po mojem eden najboljših. Sicer je že bil čekiran pred leti in ni bilo najdenih ranljivosti.
Bitwarden dela v "offline", če uporabiš vsakič le Lock namesto Logout. Imaš pa enostavno varianto, da direktno izvoziš kriptiran .json, ki ga lahko tudi direkt odpreš v KeepassXC.
Živiš sam? Si introvertiran? Za vsak slučaj se družiš kje drugje z drugimi, ne doma?
Će je vsaj eden izmed odgovorov ne, je leak mogoč.
1. Če ni dovolj zanimiva tarča, se ga CIA, FSB in Mossad pač ne bodo lotili s fizično infiltracijo. 2. Roparjev domov ne zanimajo gesla, temveč denar in zlato. 3. Worst case scenario je vedno možno prisloniti nabito pištolo na sence in reči: "gesla, or else..." Ali so na papirju ali na najboljšem možnem password managerju, ni pomembno.
Vedno je seveda možen napad MTM ali pa na ponudnika storitve, ampak to je out of scope te debate.
Antifašizem je danes poslednje pribežališče ničvredneža, je ideologija ničesar
in neizprosen boj proti neobstoječemu sovražniku - v zameno za državni denar
in neprofitno najemno stanovanje v središču Ljubljane. -- Tomaž Štih, 2021
Bitwarden plus MFA za občutljive zadeve. To z beležnicami obožujem pri sodelavkah v firmi ko jim trikrat na leto resetiram geslo ker se ne morejo spomnit katerega imajo (vsakih 6 m jih moramo menjat v firmi).
Katerikoli "sistem" imaš, ki si si ga sam izmislil, je ranljiv, saj skoraj gotovo ni true random. Edino geslo, ki mu lahko točno določiš "moč" oz. entropijo, je random zgenerirano geslo iz določenega nabora znakov ali besed. Tako da ne razumem kompliciranja, če to zate naredi password manager in varno shrani.
Nuff' said.
Moj sistem vključuje slovensko poezijo, ki sem se jo moral učiti na pamet tekom osnovnošolskih let in jo še vedno znam na izust. Ga ni bota, ki to zgrunta, in ga ni človeka, ki to ugotovi če ne gleda vsaj več takih mojih gesel v plaintextu. Delno sem odporen tudi na keylogger napad, saj večino teh gesel ne uporabljam dnevno, tako da spet, za razbitje sistema bi kar trajalo nekaj časa. Vse kar si pa jaz rabim zapomnit je pa katera kitica katere pesmi je za katero spletno stran/storitev. Potem pa kot rečeno, če si nisem zapomnil 100% posebnosti, rabim 3-4 poskuse da ujamem le-te v obliki kakšnih dodatnih znakov, številk, idr ...
Passmanager na primer pa omogoča napadalcu da te keylogga čisto malo časa in je zmagal na celi črti, saj dobi instantno dostop do gesel za vse.
Ta MFA je navadno sranje. Potem si vezan na še en dodaten device za login...
Ti crkne telefon, ne moreš nikamor...
Še nisi slišal za TOTP? Vse kar rabiš za TOTP je seed koda, ki jo imaš lahko backupirano na N-mestih in iz katere TOTP lahko izračunaš na bilokakšni napravi/appu.
Katerikoli "sistem" imaš, ki si si ga sam izmislil, je ranljiv, saj skoraj gotovo ni true random. Edino geslo, ki mu lahko točno določiš "moč" oz. entropijo, je random zgenerirano geslo iz določenega nabora znakov ali besed. Tako da ne razumem kompliciranja, če to zate naredi password manager in varno shrani.
Nuff' said.
Moj sistem vključuje slovensko poezijo, ki sem se jo moral učiti na pamet tekom osnovnošolskih let in jo še vedno znam na izust. Ga ni bota, ki to zgrunta, in ga ni človeka, ki to ugotovi če ne gleda vsaj več takih mojih gesel v plaintextu. Delno sem odporen tudi na keylogger napad, saj večino teh gesel ne uporabljam dnevno, tako da spet, za razbitje sistema bi kar trajalo nekaj časa. Vse kar si pa jaz rabim zapomnit je pa katera kitica katere pesmi je za katero spletno stran/storitev. Potem pa kot rečeno, če si nisem zapomnil 100% posebnosti, rabim 3-4 poskuse da ujamem le-te v obliki kakšnih dodatnih znakov, številk, idr ...
Passmanager na primer pa omogoča napadalcu da te keylogga čisto malo časa in je zmagal na celi črti, saj dobi instantno dostop do gesel za vse.
Težava se skriva čisto drugje. Če nimaš unique gesel za vsako stran, se registriraš pri nismoseslisalizasalt.com, tja vdrejo, dobijo tvoje geslo, potem pa z njim pridejo na ostale tvoje storitve. Držati v glavi, četudi samo mapping med stranjo in verzom pa ni več trivialno.
Ena rešitev, ki je bila simpatična, je ponujala add on za browser, ki je vzel za salt tvoje geslo, vzel domeno in iz hasha zgeneriral geslo za določeno domeno, žal pa je zadeva zaradi različnih zahtev po kompleksnosti gesla postala neuporabna, pa še domene se spreminjajo.
Žal ni neke pametne alternative password managerju, mi je pa vseeno kakšen je, dokler preživi z vso komunikacijo zadrgnjeno na mojo domeno in ponuja razumen način syncanja (ssh, grrr...), je vsak dober, če pa nekdo do roota pride neopažen, je pa tako ali tako game over (instaliras 3rd party CA certifikat in transparentni proxy pa z mitmom sproti prestregaš poslana gesla ali pa uporabljaš login od userja).
SDS in ne-voljenje: https://slo-tech.com/forum/t835230/p8641476#p8641476
"Levi fašist" je skovanka ljudi brez izobrazbe, ki ne vedo kaj fašizem sploh
pomeni, uporablja pa se za poizkus relativiziranja/prikrivanja pravega fašizma.
Ampak saj imam unique gesla za vsako stran (ki je pomembna - torej kjer imam možnost finančnih posledic). Eno je lahko recimo valjhunsinkajtimarabojkrvavi!09, drugo pa 4kdorimadusonepotrebujegnojaI,A, trejte pa morda zlatosoncegrezamorjebelesanjecezobzorje.
Trivialno za ugibat. Jaz pa tocno vem, muri uspavanka 2 je za amazon, krst pri savici 1 za ebay, kons5 konec za bitstamp. A je težko? Imam jih okoli 20. Za forume in garbage stvari pa kot rečeno nekaj ranga "password123" - je vseeno bolj odporno a trivialno za zapomnit.
