» »

Google želi tvoriti in hraniti vaša gesla

Google želi tvoriti in hraniti vaša gesla

Google - Z naraščanjem števila spletnih strani, ki za uporabo polne funkcionalnosti zahtevajo prijavo z uporabniškim imenom in geslom, se uporabniki na internetu znajdejo pred problemom prevelikega števila gesel. To vodi v zapisovanje gesel na listke, uporabo enostavnih in ne varnih gesel ter recikliranje gesel, ko isto geslo uporabijo na več straneh. Ob hekerskih napadih na eno izmed strani so potem ogroženi še vsi profili na drugih straneh, ki so jih uporabniki tvorili z istim geslom.

Ena od rešitev je uporaba standarda OpenID, kjer si uporabnik ustvari identiteto pri centralnem ponudniku (OpenID provider) in jo potem uporabi za registracijo in prijavo v več različnih strani, brez da bi jim rabil kadarkoli zaupati to nesrečno geslo. Popularni ponudniki so Google, Yahoo oz. Facebook in prijava z njimi velja tudi na Slo-Techu. Žal pa številne strani še ne podpirajo protokola, zato je Google pripravil še prehodno rešitev s sistemom samodejnega tvorjenja in upravljanja gesel v brskalniku Chrome.

Chrome bo namreč s hevristiko sam prepoznal strani, ki od uporabnika zahtevajo, da ustvari uporabniško ime in geslo (sign-up). Indic za to bo polje uporabniško ime in dve polji za vnos gesla, pomagali pa si bodo tudi s seznamom strani. Ko bo uporabnik pristal na takšni stran, bo Chrome predlagal, da sam ustvari primerno geslo in si ga zapomni. Ker so zahteve za tvorjenje gesel na različnih straneh nekoliko različne (dolžina, dovoljeni znaki, jakost ...), jih bo ponudil več, nato pa bo uporabnik izbral eno geslo. Chrome bo vsa gesla hranil v Googlovem računu, uporabniki pa bodo imeli možnost, da jih izvozijo. To pomeni, da bodo lahko s prijavo v Googlov račun v brskalniku Chrome do istih strani in gesel dostopali tudi na drugih računalnikih. S tem seveda postane Googlov račun izjemno vreden, zato bo potrebno podatke za dostop do njega zelo dobro zaščititi. Storitev bo seveda mogoče izključiti.

Ali Googlu velja prepustiti tvorjenje in hranjenje vseh gesel, bo moral vsak premisliti sam. Sicer se podjetje drži načela Ne bodi zloben, a kaj ko so zadnje vesti precej zaskrbljujoče. Pred kratkim so napovedali prenovo politike zasebnosti in stapljanje vseh podatkov o uporabnikih različnih Googlovih storitev, včeraj pa smo pisali o sledenju uporabnikom njihovim željam navkljub.

58 komentarjev

«
1
2

SuperVeloce ::

Samo Chrome? Taktika? Pridejo ostali kasneje? Do sedaj sem z le parimi gesli vozil večino stvari (eno hudo za gmail in podobne (ki naj bi bile dokazano) varne strani, drugo za forume, tretje za splošne bedarije. Vsi dokaj težki, vendar meni lahki za zapomnit. Sicer pa itak nimam kakšnih pomembnih stvari za skrivat na katerem koli računu, niti mailu...

Anyway, sem se sedaj odločil poskusiti z lastpass, so(ste) pobje pisali o njih pod eno drugo novico, deluje brez nekih problemov (opera,firefox), gesla pa hitro zgeneriraš ali shraniš. Uvoziš lahko pa svašta, kot recimo wifi gesla iz vseh shranjenih omrežij, gesla iz brskalnikov (zanimivo in hkrati zaskrbljujoče, da se gesla tako lahko dobijo ven). Edino moti me, da bi/bom moral plačati za premium account za uporabo mobilne aplikacije (mobilna opera, gesla za bančne kartice,...). Ampak glede na njihove trditve, da za iPhone morajo zaračunati (Apple politika), je nekako fer, da tudi ostalim dajo enake pogoje. Če kdo poskusi, pazite na izbiro gesla, ker če ga pozabiš, si gotov, ker ti ga nobena živa duša ne ugane :)), dostopa do repozitorija gesel pa nimaš več. Še pozna kdo kakšen primerljivi dober servis (aes256 kriptiranje, dekriptiranje lokalno, itd.)?
ryzen 5900x, MSI 5700xt Gaming X, 2x16GB 3600CL16, 850evo+860qvo, Fractal Mini C

Zgodovina sprememb…

Lonsarg ::

Ah to dokazovanje identitete z gesli.. Vse na certifikat, za certifikat pa uporabit čip implementiran pod kožo in potem preko NFC ta certifikat uporablati na katerikoli napravi.

A bom dočakal preden umrem?:)

JesusChrist ::

Lonsarg je izjavil:

Ah to dokazovanje identitete z gesli.. Vse na certifikat, za certifikat pa uporabit čip implementiran pod kožo in potem preko NFC ta certifikat uporablati na katerikoli napravi.

A bom dočakal preden umrem?:)


Ne boš ker to stane in nihče ne bo ljudem dajal free čipa... če pa že, pa ga 90% nebi sprejelo.

Drugače pa če si folk ni sposoben 3 močnih gesel zapomnit potem si pa zaslužijo biti shekani.
remember, the clock is ticking. run like no tomorrow.

Matev ::

ali pa uporabljaš gesla ki so ali 12345 ali pa 12345678 odvisno koliko znakov želijo

pa si rešen

ker tole z gesli je res traparija

zaj_tam ::

Lol.

Drugač pa SuperV. - Keepass (2) se meni zdi fajn zadeva. Imaš bazo in generacijo lokalno, podpira pa tudi neke vrste avtomatizirano izpolnjevanje obrazcev.

shinca ::

Jaz uporabljam KeePass. Zastonj, open source, obstajajo tudi verzije za pametne telefone vseh okusov.

Potem si moraš zapomniti samo eno močno geslo, datoteko z gesli pa daš recimo na dropbox, pa je dostopna povsod, kjer imaš internet. Ali pa jo nosiš s seboj na USB ključu.

SuperVeloce ::

Torej nimajo svojega serverja za repozitorij gesel kot lastpass? Ce ze imas internet, je operiranje z datotekami po dropboxu itd. nepotrebno delo. Ko se jaz usedem prvic za neko elektronsko napravo (osx,linux,win7, ipad, win mobile, ...), traja 15 sekund da namestim potreben plugin in stvar deluje, racunalniki se pa sinhronizirajo z bazo, da se izognes razlicnim podatkom (geslom) na razlicnih napravah.
Kako pri keepass resis zadevo, ce si ravno eno geslo spremenil in opravil kaksno novo registracijo, 2min za tem pa ze uporabljas drugo napravo?
ryzen 5900x, MSI 5700xt Gaming X, 2x16GB 3600CL16, 850evo+860qvo, Fractal Mini C

marko2210 ::

šit ste neumni eni. ta prvi zmaga - Pune ti je bed, ker morš premium plačat, da lahko daš gor geslo za svoj bančni račun? :) Mobilno ti to? =) ti pa si supermen heroj.

SSL se je izkazal za neumnost, certifikati tudi (še pred kratkim ste imeli članek), wifi-je se odklepa za šalo, hijackat zna danes 8 letnik že, ker vse kar more znat je angleško brat vseh 6 korakov v treh odstavkih. Vi se pa še kar podebiljate naprej.

včasih je bila lenoba gonilo napredka.. danes vas lenoba ene dela samo še bolj neumne kot ste.

Se strinjam z vgrajenim čipom. Tudi s tem, da si 90% ljudi tega žal ne bi nardilo. Ampak btk za druge..

Oberyn ::

SuperVeloce je izjavil:

Torej nimajo svojega serverja za repozitorij gesel kot lastpass? Ce ze imas internet, je operiranje z datotekami po dropboxu itd. nepotrebno delo. Ko se jaz usedem prvic za neko elektronsko napravo (osx,linux,win7, ipad, win mobile, ...), traja 15 sekund da namestim potreben plugin in stvar deluje, racunalniki se pa sinhronizirajo z bazo, da se izognes razlicnim podatkom (geslom) na razlicnih napravah.
Kako pri keepass resis zadevo, ce si ravno eno geslo spremenil in opravil kaksno novo registracijo, 2min za tem pa ze uporabljas drugo napravo?

The lastpass service is closed. Thank you for having been our user.

Kaj boš pa pol? Prej ali slej do tega pride, lahko že danes popoldne. Ali pa misliš, da to ni mogoče, ne, to pa že ne?

Kakorkoli, repozitorij gesel samo pod mojo izključno kontrolo in fizično pri meni, to je edino, kar sploh vzamem v obzir. KeePass + Dropbox + malo staromodne organizacije, to mi je zaenkrat čisto OK.

jype ::

Azgard> Ah to dokazovanje identitete z gesli.. Vse na certifikat, za certifikat pa uporabit čip implementiran pod kožo in potem preko NFC ta certifikat uporablati na katerikoli napravi.

Kaj pa storiš, ko nekdo izračuna tvoj zasebni ključ?

matejdro ::

Pri lastpassu za mobilne naprave lahko brezplačno uporabiš bookmarklets. Sicer ne moreš dodajati novih strani, ampak se še vedno z enim klikom loginaš.

amigo_no1 ::

http://strongpasswordgenerator.com + KeePass meni zadostuje.

Blisk ::

Ni mi jasn, zakaj bi uporabljal neke generatorje passwordov. Ker v končni fazi, če maš nek kolker tol password, ga ne bodo uganili kar tako. Tisti, ki pa ga hoče odkrit ti ga pa bo če tudi imaš ne vem kak password.....

gruntfürmich ::

wow. prijazna poteza od gugla:)) še malo pa nam bo predlagal strani na katere naj hodimo, s kom se naj družimo, kaj naj kupimo že itq predlaga.
na koncu bo kar prevzel našo identiteto, kar je imho njihov cilj; pač narediti AI.
ampak potem pa se bodo zadeve malce ločile; njihov boot bo šel svojo pot, mi pa svojo...:))
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

Invictus ::

Za geslo vzameš kak slovenski stavek, ga ne pogrunta noben američan in noben ameriški softver.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Lonsarg ::

jype je izjavil:

Azgard> Ah to dokazovanje identitete z gesli.. Vse na certifikat, za certifikat pa uporabit čip implementiran pod kožo in potem preko NFC ta certifikat uporablati na katerikoli napravi.

Kaj pa storiš, ko nekdo izračuna tvoj zasebni ključ?


Statistična verjetnost, da ti nekdo ugane certifikat je svetlobna leta za možnostjo, da ti kdo ugane geslo. Certifikat rocks, sploh tak, ki ni v obliki datoteke, ampak je v obliki čipa, torej ga ni možno skopirat.

No, če je vgrajen čip tak babav se pa namesto tega naredi NFC prstan, NFC nalepko,NFC verižico z tem vgrajenim čipom. Psihološkega problema se potem rešimo, pravzaprav tudi stroškovnega na tak način, potem ostane samo še problem standardizacije, kar je nažalost velik problem.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

c0dehunter ::

Končno.

// aja, še ni :(
I do not agree with what you have to say,
but I'll defend to the death your right to say it.

Zgodovina sprememb…

energetik ::

Kakšna je pa varnost shranjenih gesel v Firefoxu, če se uporablja glavno geslo? Ker potem samo 1x/sejo, ko prvič potrebuješ kako geslo pri prijavi, vtipkaš glavno geslo.

jype ::

Azgard> Statistična verjetnost, da ti nekdo ugane certifikat je svetlobna leta za možnostjo, da ti kdo ugane geslo. Certifikat rocks, sploh tak, ki ni v obliki datoteke, ampak je v obliki čipa, torej ga ni možno skopirat.

https://www.eff.org/deeplinks/2012/02/r...

energetik ::

energetik je izjavil:

Kakšna je pa varnost shranjenih gesel v Firefoxu, če se uporablja glavno geslo? Ker potem samo 1x/sejo, ko prvič potrebuješ kako geslo pri prijavi, vtipkaš glavno geslo.
V bistvu me zanima primerjava s Keepass.

P.S.: zakaj od včeraj ne morem več editirat sporočila? Oziroma ko kliknem shrani, se ne zgodi nič?

PARTyZAN ::

Oberyn je izjavil:

The lastpass service is closed. Thank you for having been our user.

Kaj boš pa pol? Prej ali slej do tega pride, lahko že danes popoldne. Ali pa misliš, da to ni mogoče, ne, to pa že ne?

Kakorkoli, repozitorij gesel samo pod mojo izključno kontrolo in fizično pri meni, to je edino, kar sploh vzamem v obzir. KeePass + Dropbox + malo staromodne organizacije, to mi je zaenkrat čisto OK.


Ni nobenega problema, ker imaš šifriran container shranjen na vseh računalnikih oz. napravah, kjer si uporabljal lastpass. Cloud se uporablja samo za sinhronizacijo sprememb.

Si me pa nasmejal z:
Kakorkoli, repozitorij gesel samo pod mojo izključno kontrolo in fizično pri meni, to je edino, kar sploh vzamem v obzir. KeePass + Dropbox + malo staromodne organizacije, to mi je zaenkrat čisto OK.


Keepass je precej inferioren Lastpassu, ko je treba stvari vpisovat v obrazce. Da ne omenjam, da ima lastpass dodatke/aplikacije za vse možne desktop in mobilne brskalnike in operacijske sisteme.

Zgodovina sprememb…

  • spremenilo: PARTyZAN ()

carota ::

Blisk je izjavil:

Ni mi jasn, zakaj bi uporabljal neke generatorje passwordov. Ker v končni fazi, če maš nek kolker tol password, ga ne bodo uganili kar tako. Tisti, ki pa ga hoče odkrit ti ga pa bo če tudi imaš ne vem kak password.....

Ne bodo ga uganili. Lahko pa vdrejo v en bolj levi page od stotih kjer si registriran in potem imajo tvoj email in password za Gmail, Facebook, eBay, ... Če bi imel 100 različnih ne bi prišli daleč.

antonija ::

Zaenkrat je bilo govora samo o lastpass in keepass. Kaj pa kaksni roboform in podobni? Kateri od teh je "one to rule them all"?

Predvsem me pa zanima ce obstajaj kaksen password manager ki bi laufal lokalno v browserjih (nobenega "centralnega" serverja pozegnanega od firm), hkrati pa bi mu lahko povedal na katero lokacijo (recimo moj domaci servercek) naj shranjujejo sifriran kontejner s passwordi in od kod naj potem pobirajo najnovejse sezname (efektivno bi se temu verjetno reklo da uporabis "domaci" oblak). Obstaja kaj takega?
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

SuperVeloce ::

marko2210 je izjavil:

šit ste neumni eni. ta prvi zmaga - Pune ti je bed, ker morš premium plačat, da lahko daš gor geslo za svoj bančni račun? :) Mobilno ti to? =) ti pa si supermen heroj.

SSL se je izkazal za neumnost, certifikati tudi (še pred kratkim ste imeli članek), wifi-je se odklepa za šalo, hijackat zna danes 8 letnik že, ker vse kar more znat je angleško brat vseh 6 korakov v treh odstavkih. Vi se pa še kar podebiljate naprej.

včasih je bila lenoba gonilo napredka.. danes vas lenoba ene dela samo še bolj neumne kot ste.

Hočeš reči, da AES256 nima tukaj veze? AES256 razbije vsak butelj z malo bruteforce ane? Nikjer tudi nisem napisal, da sem gor dal pin kartice (ker imam samo eno), le da se jo lahko da...
Preko interneta s karticami pa ne želim plačevati! Lahko 2x ugibaš zakaj... Poleg tega, da se plačuje mesečno in ne v enkratnem znesku.

Si dokazal, da ga ni bolj neumnega na tem forumu...

Blisk je izjavil:

Ni mi jasn, zakaj bi uporabljal neke generatorje passwordov. Ker v končni fazi, če maš nek kolker tol password, ga ne bodo uganili kar tako. Tisti, ki pa ga hoče odkrit ti ga pa bo če tudi imaš ne vem kak password.....

Ni samo problem, da gesla nebi bila dovolj varna, ampak hijackanje serverjev, kjer je včasih tudi vseskupaj nekriptirano. Za takšne prav pride neko unikatno geslo. Vendar imeti 50gesel v glavi... Preko servisev ala freepass pa imaš kriptirano AES256. Razbij tole brez, da bi vedel moje geslo, te bo hitro USA vlada kontaktirala za razna vprašanja :), ker s tem algoritmom kriptirajo tudi top-secret dokumente.
ryzen 5900x, MSI 5700xt Gaming X, 2x16GB 3600CL16, 850evo+860qvo, Fractal Mini C

Zgodovina sprememb…

SuperVeloce ::

antonija je izjavil:

Zaenkrat je bilo govora samo o lastpass in keepass. Kaj pa kaksni roboform in podobni? Kateri od teh je "one to rule them all"?

Predvsem me pa zanima ce obstajaj kaksen password manager ki bi laufal lokalno v browserjih (nobenega "centralnega" serverja pozegnanega od firm), hkrati pa bi mu lahko povedal na katero lokacijo (recimo moj domaci servercek) naj shranjujejo sifriran kontejner s passwordi in od kod naj potem pobirajo najnovejse sezname (efektivno bi se temu verjetno reklo da uporabis "domaci" oblak). Obstaja kaj takega?


Se tudi jaz priporočam...
ryzen 5900x, MSI 5700xt Gaming X, 2x16GB 3600CL16, 850evo+860qvo, Fractal Mini C

energetik ::

Sem zdajle preizkušal Lastpass, pa ni slaba zadeva. Če se bojiš, da ob izginotju firme ne bi več prišel do gesel, si pač vsake toliko izvoziš bazo gesel v CSV, zakriptiraš s TrueCrypt in maš še čisto po svoje shranjeno.
Antonija, saj ti kriptirano shranjuje bazo, načeloma je vseeno, če je shranjeno tudi na njihovem serverju, dokler se odšifrira le lokalno.

Lonsarg ::

jype je izjavil:

Azgard> Statistična verjetnost, da ti nekdo ugane certifikat je svetlobna leta za možnostjo, da ti kdo ugane geslo. Certifikat rocks, sploh tak, ki ni v obliki datoteke, ampak je v obliki čipa, torej ga ni možno skopirat.

https://www.eff.org/deeplinks/2012/02/r...


Ta link govori o napakah v implementaciji, ki se pojavljajo v določenih primerih.... Nima nobene veze to z certifikati nasploh. Brez skrbi da razni Halcom in podobni certifikati nimajo takih napak v svoji implementaciji, če je pa odkrita se pa prec izda nove certifikate.

Čeprav je pa res dokaj resna zadeva, če je 0.2% certifikatov, ki se uporabljajo za https kompromiziranih.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

antonija ::

Antonija, saj ti kriptirano shranjuje bazo, načeloma je vseeno, če je shranjeno tudi na njihovem serverju, dokler se odšifrira le lokalno.
Sej glih zato ker je vseeno bi jaz raje videl da se srhanjuje na lokaciji po moji izbiri (ali celo na vec lokacijah, odvisno od stopnje paranoje 8-)), ne pa v nekem centralnem repozitoriju.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

SuperVeloce ::

Očitno bo potrebno vsake nekaj časa izvoziti in kriptirati lokalno, kot je rekel energetik (za vsak slučaj, če servis pade).

antonija, te skrbi da bodo ugasnili servise ali da bo nekdo razbil tvoj repozitorij gesel? Ker če slednje, si lahko popolnoma brez skrbi (če ne deliš seveda svojega skrbno izbranega master passworda okoli kot sladoled)
ryzen 5900x, MSI 5700xt Gaming X, 2x16GB 3600CL16, 850evo+860qvo, Fractal Mini C

dope1337 ::

Lonsarg je izjavil:

jype je izjavil:

Azgard> Statistična verjetnost, da ti nekdo ugane certifikat je svetlobna leta za možnostjo, da ti kdo ugane geslo. Certifikat rocks, sploh tak, ki ni v obliki datoteke, ampak je v obliki čipa, torej ga ni možno skopirat.

https://www.eff.org/deeplinks/2012/02/r...


Ta link govori o napakah v implementaciji, ki se pojavljajo v določenih primerih.... Nima nobene veze to z certifikati nasploh. Brez skrbi da razni Halcom in podobni certifikati nimajo takih napak v svoji implementaciji, če je pa odkrita se pa prec izda nove certifikate.

Čeprav je pa res dokaj resna zadeva, če je 0.2% certifikatov, ki se uporabljajo za https kompromiziranih.


Tukaj se boljkone strinjam z Azgardom. Mislim, da so v tem članku poudarjeni certifikati, ki so res extremno kompleksni. Sam osebno ne poznam oz. še nisem zasledil, da bi se zaradi fizičnega uporabnika, nekdo lotil dekriptiranja 2048 bitnega RSA kodiranja ... To je prek bruteforcea praktično nemogoče (vsaj vkolikor jaz vem, popravte me če se motim). Navadni smrtniki uporabljamo 512 bitnega (ponavadi), ker je že ta dosti kompleksen. Edino kar pride v upoštev je man-in-the-middle. Tuki se res dajo čudeži naredit, sam za enega Janeza, se ne bo nihče s tem matru (razen če te dobi na phishing - to si si pa sam kriv).

Jz sm osebno mnenja, da so cerifikati za1x še najboljša opcija. Recimo, nove zdravstvene kartice imajo na svojem čipu še dosti prostora, da se na njih naloži certifikat ali dva (mogoče tudi več), katero maš fizično pri sebi in obstaja le ena kopija zasebnega ključa. Res je pa treba investirat 10EUR, da si kupimo čitalec teh kartic (je v prosti prodaji), pa mal nerodn je to s seboj nosit (v nekaterih primerih se splača). Sam kaj ti bo to pomagal, če vidimo, da se zbere par folka, vdrejo v bazo certifikatov (SIGEN-CA), poberejo kar dobijo in pol vse javno objavijo ... Pr varnosti je vedn tak, da je tak močna kot najšibkejši člen ... ta člen pa najdemo vedno takrat ko je prepozno ...
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein

Zgodovina sprememb…

  • spremenilo: dope1337 ()

antonija ::

antonija, te skrbi da bodo ugasnili servise ali da bo nekdo razbil tvoj repozitorij gesel?
Ugasnili servise. Izgubili podatke.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

energetik ::

Če pa je kriptirana kopija najnovejše baze na vsakem PC, kjer si nazadnje vpisal master geslo. Če servis ugasnejo/firma propade, na svojem PC lokalno izvoziš v CSV in si lepo ogledaš gesla v Beležnici.
EDIT: lahko si vsak dan delaš izvoze v CSV, če si paranoičen.

Zgodovina sprememb…

  • spremenilo: energetik ()

amigo_no1 ::

Navadni smrtniki uporabljamo 512 bitnega (ponavadi), ker je že ta dosti kompleksen.


574 biten rsa je bil že bruteforcan 2003
http://www.rsa.com/rsalabs/node.asp?id=...

In če misliš da NSA in podobne agencije nimajo "rahlo" večji proračun kot tile akademiki se motiš.

dope1337 ::

amigo_no1 je izjavil:

Navadni smrtniki uporabljamo 512 bitnega (ponavadi), ker je že ta dosti kompleksen.


574 biten rsa je bil že bruteforcan 2003
http://www.rsa.com/rsalabs/node.asp?id=...

In če misliš da NSA in podobne agencije nimajo "rahlo" večji proračun kot tile akademiki se motiš.


"The effort took almost 2000 2.2GHz-Opteron-CPU years according to the submitters, just short of 3 years of calendar time. "

A misliš, da se bo kdo z 2000 kompi 3 leta lotevu tvojega gmail accounta? xD

Verjamem, da če hočejo NSA in njej podobne agencije tvoje podatke, jih bodo dobile. Sam prosim ... kdo si pa ti/jaz/katerikoli navaden smrtnik, da bi jih tako zelo zanimal?
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein

Zgodovina sprememb…

  • spremenilo: dope1337 ()

Matev ::

"The effort took almost 2000 2.2GHz-Opteron-CPU years according to the submitters, just short of 3 years of calendar time. "


meni včasih sploh ne rata uganiti gesla
sploh če sem moral menjati ali mi ni sprejelo česa normalnega

Oberyn ::

amigo_no1 je izjavil:

Navadni smrtniki uporabljamo 512 bitnega (ponavadi), ker je že ta dosti kompleksen.


574 biten rsa je bil že bruteforcan 2003
http://www.rsa.com/rsalabs/node.asp?id=...

In če misliš da NSA in podobne agencije nimajo "rahlo" večji proračun kot tile akademiki se motiš.

Vendar če govorimo o password managerjih kot keepass in lastpass, ti uporabljajo AES enkripcijo. Vsaj keepass, ki ga sam uporabljam, za bazo uporabi 256 bitno AES enkripcijo, pa še z dodatnimi triki.

The strength of a 128-bit AES key is roughly equivalent to 2600-bits RSA key.

antonija ::

energetik je izjavil:

Če pa je kriptirana kopija najnovejše baze na vsakem PC, kjer si nazadnje vpisal master geslo. Če servis ugasnejo/firma propade, na svojem PC lokalno izvoziš v CSV in si lepo ogledaš gesla v Beležnici.
EDIT: lahko si vsak dan delaš izvoze v CSV, če si paranoičen.

Tole velja za lastpass? Ker potem je to se bojlsa resitev zame. Potem postane vsak comp (in usb kljucek z firefoxom) skladisce passwordov ki jih nebi smel noben drug razen mene bit spsoben pogledat (razen ce imam res glup masterkey).
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

zidzid ::

In tako bo google spet razpolagal in trgoval z uporabniškimi podatki.

Zgodovina sprememb…

  • spremenilo: zidzid ()

dope1337 ::

Oberyn je izjavil:



The strength of a 128-bit AES key is roughly equivalent to 2600-bits RSA key.


Če je temu tako ... potem, sploh nevem, zakaj se še uporabljajo RSA ključi ^^

Vem, da smo meli primer (na faxu) z 2046 bitnim RSA kodiranjem ... in ga je praktično nemogoče bruteforceat (v normalnem časovnem okviru).
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein

Oberyn ::

dope1337 je izjavil:


Če je temu tako ... potem, sploh nevem, zakaj se še uporabljajo RSA ključi ^^

Vem, da smo meli primer (na faxu) z 2046 bitnim RSA kodiranjem ... in ga je praktično nemogoče bruteforceat (v normalnem časovnem okviru).

Pač različni načini uporabe. AES je simetrični algoritem, prejemnik za odkodiranje potrebuje ključ, kar prinese problem izmenjave ključev.

Asimetrični RSA omogoča sistem javnih / zasebnih ključev, kjer prejemnik ne potrebuje zasebnega ključa pošiljatelja.

Oberyn ::

PARTyZAN je izjavil:


Si me pa nasmejal z:
Kakorkoli, repozitorij gesel samo pod mojo izključno kontrolo in fizično pri meni, to je edino, kar sploh vzamem v obzir. KeePass + Dropbox + malo staromodne organizacije, to mi je zaenkrat čisto OK.


Jejhata, tule sem ga pa usral. Ta lastpass sinhronizacija se mi je zdela še kar uporabna, pa pomislim, keepass + dropbox = ista stvar. Ja, samo izgubim izključno kontrolo. Tako da se popravim: keepass + malo staromodne organizacije. Končno imam samo dva računalnika, en na mizi in en v torbi, če je človek redoljuben, pa tudi ne škodi.

PARTyZAN ::

Podobna ja, a še vedno slabša. Vnos gesel je z lastpass najenostavnejši.

MrStein ::

shinca je izjavil:

Jaz uporabljam KeePass. Zastonj, open source, obstajajo tudi verzije za pametne telefone vseh okusov.

Potem si moraš zapomniti samo eno močno geslo, datoteko z gesli pa daš recimo na dropbox, pa je dostopna povsod, kjer imaš internet. Ali pa jo nosiš s seboj na USB ključu.

Kaj pa geslo za DropBox?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

MrStein ::

jype je izjavil:

Azgard> Ah to dokazovanje identitete z gesli.. Vse na certifikat, za certifikat pa uporabit čip implementiran pod kožo in potem preko NFC ta certifikat uporablati na katerikoli napravi.

Kaj pa storiš, ko nekdo izračuna tvoj zasebni ključ?

Isto, kot če ti nekdo ugane geslo.

jype je izjavil:

Azgard> Statistična verjetnost, da ti nekdo ugane certifikat je svetlobna leta za možnostjo, da ti kdo ugane geslo. Certifikat rocks, sploh tak, ki ni v obliki datoteke, ampak je v obliki čipa, torej ga ni možno skopirat.

https://www.eff.org/deeplinks/2012/02/r...

Ja, geslo 123456 se hitro ugane.
Next?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

energetik ::

antonija je izjavil:

energetik je izjavil:

Če pa je kriptirana kopija najnovejše baze na vsakem PC, kjer si nazadnje vpisal master geslo. Če servis ugasnejo/firma propade, na svojem PC lokalno izvoziš v CSV in si lepo ogledaš gesla v Beležnici.
EDIT: lahko si vsak dan delaš izvoze v CSV, če si paranoičen.

Tole velja za lastpass? Ker potem je to se bojlsa resitev zame. Potem postane vsak comp (in usb kljucek z firefoxom) skladisce passwordov ki jih nebi smel noben drug razen mene bit spsoben pogledat (razen ce imam res glup masterkey).
Ja, tako trdijo na njihovi strani. Moram pa še probat. Mrežni kabel izštekat, reset, pol pa probat izvozit. Samo zaupat jim moraš, da ne vohunijo za tvojimi gesli, ko se odkriptajo na lokalnem PC.

Zgodovina sprememb…

  • spremenilo: energetik ()

Grumf ::

>> 512 biten rsa...

512 biten RSA je bil po Mooru varen do leta 2010, verjetno bi ga danes bruteforcal
v roku tedna z nekaj graficnimi... Tako da ne serite...
Human beings, who are almost unique in having the ability to learn from the
experience of others, are also remarkable for their apparent disinclination
to do so.

SuperVeloce ::

energetik je izjavil:

antonija je izjavil:

energetik je izjavil:

Če pa je kriptirana kopija najnovejše baze na vsakem PC, kjer si nazadnje vpisal master geslo. Če servis ugasnejo/firma propade, na svojem PC lokalno izvoziš v CSV in si lepo ogledaš gesla v Beležnici.
EDIT: lahko si vsak dan delaš izvoze v CSV, če si paranoičen.

Tole velja za lastpass? Ker potem je to se bojlsa resitev zame. Potem postane vsak comp (in usb kljucek z firefoxom) skladisce passwordov ki jih nebi smel noben drug razen mene bit spsoben pogledat (razen ce imam res glup masterkey).
Ja, tako trdijo na njihovi strani. Moram pa še probat. Mrežni kabel izštekat, reset, pol pa probat izvozit. Samo zaupat jim moraš, da ne vohunijo za tvojimi gesli, ko se odkriptajo na lokalnem PC.

Nisem našel export funkcije, čeprav mam instalacijo gor, ne samo opera plugina... tako, da bi v primeru ukinitve servisa moral ročno kopirati vsak password posebej. Če kdo najde način, naj pove :) Ni pa to posebej zaskrbljujoče, je takšna stvar one-time event, do gesel pa lahko vseeno offline dostopiš.
ryzen 5900x, MSI 5700xt Gaming X, 2x16GB 3600CL16, 850evo+860qvo, Fractal Mini C

SkipEU ::

SuperVeloce je izjavil:

Preko interneta s karticami pa ne želim plačevati! Lahko 2x ugibaš zakaj... Poleg tega, da se plačuje mesečno in ne v enkratnem znesku.

Si dokazal, da ga ni bolj neumnega na tem forumu...


S paranojo se na veliko pretirava. Verjetnost, da vas okradejo, četudi niste obsedeni z varnostjo, je enaka skoraj 0. Preko interneta plačujem s karticami že 15 let, paranoičen nisem, pa do zdaj nobenih problemov.

Zgodovina sprememb…

  • spremenil: SkipEU ()

Mesar ::

Mogoče, mogoče pa prično ponujat plačljiv dostop do baze za "VIP" in še koga.
Your turn to burn!
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Vdor v android tablico

Oddelek: Pomoč in nasveti
357811 (6506) All
»

140 tisoč KPN-jevih naročnikov ohranilo isto privzeto geslo

Oddelek: Novice / Varnost
187161 (6451) Gandalfar
»

Osrednja stran za komentiranje znanstvenih člankov

Oddelek: Znanost in tehnologija
212130 (1391) gzibret
»

Ameriška carinska uprava kupuje igralne konzole PlayStation

Oddelek: Novice / Konzole
344926 (3628) MrStein
»

Kiberpipa, ker je svet zunaj

Oddelek: Novice / Kiberpipa
173471 (2856) MrStein

Več podobnih tem