Kateri upravljalnik gesel uporabiti?

Sam uporabljam KeePass2Android ze leta. Top UI in offline.
Backup delam na svoj NAS.

RedDrake je 10. dec 2025 ob 12:01 izjavil:

Ampak saj imam unique gesla za vsako stran (ki je pomembna - torej kjer imam možnost finančnih posledic).
Eno je lahko recimo valjhunsinkajtimarabojkrvavi!09, drugo pa 4kdorimadusonepotrebujegnojaI,A, trejte pa morda zlatosoncegrezamorjebelesanjecezobzorje.

Trivialno za ugibat. Jaz pa tocno vem, muri uspavanka 2 je za amazon, krst pri savici 1 za ebay, kons5 konec za bitstamp. A je težko? Imam jih okoli 20. Za forume in garbage stvari pa kot rečeno nekaj ranga "password123" - je vseeno bolj odporno a trivialno za zapomnit.

Vsako leto spremeniš? Dodaš letnico na konec?

RedDrake je 10. dec 2025 ob 12:01 izjavil:

Ampak saj imam unique gesla za vsako stran (ki je pomembna - torej kjer imam možnost finančnih posledic).
Eno je lahko recimo valjhunsinkajtimarabojkrvavi!09, drugo pa 4kdorimadusonepotrebujegnojaI,A, trejte pa morda zlatosoncegrezamorjebelesanjecezobzorje.

Trivialno za ugibat. Jaz pa tocno vem, muri uspavanka 2 je za amazon, krst pri savici 1 za ebay, kons5 konec za bitstamp. A je težko? Imam jih okoli 20. Za forume in garbage stvari pa kot rečeno nekaj ranga "password123" - je vseeno bolj odporno a trivialno za zapomnit.

Ampak pomembne strani imajo itak 2fa, torej zakaj bi se sekiral za moč gesla.

RedDrake je 10. dec 2025 ob 13:13 izjavil:

@energetik: Če geslo pozabim, kliknem magični gumb "pozabljeno geslo", in imam takoj nazaj dostop. Dejansko je večji problem MFA, ker tipično e-mail ne zadošča, mora bit kak idiotski app. To je še posebej fajn če se ti zgodi kot stricu od žene, ki so mu na križarjenju ukradli telefon. Instant brez dostopa do vsega e-bančništva. Nice, eh?

Še enkrat, večina MFA je v obliki TOTP. Ko ga aktiviraš, shraniš seed in ga backupiraš. Potem nima več veze ukraden/uničen telefon, ker TOTP lahko izračunaš na katerikoli napravi.

Pozabljeno geslo? Kako to narediš za npr. email ponudnika, ki pošlje reset link na mejl, za katerega si pozabil geslo? Ali za zero-knowledge storitve, kjer "pozabljeno geslo" ne obstaja? Npr. jaz v PM shranjujem tudi gesla za moje kriptirane diske in podobno. Če to geslo pozabim, gredo podatki v večni nepovrat.

RedDrake je 10. dec 2025 ob 13:33 izjavil:

Ja, in kam shranjuješ seed-e. Verjetno na kak pildek kje v stanovanju/bajti. Ajde, zamisli požar sredi noči, zbežiš ven, telefon in pildki so šli. Kaj zdaj? Če ni v fizični obliki si ranljiv na trojanca. 100% varnost in odpornost v teh primerih ne obstaja.

Email ponudnika? Self hosted od leta 2002.
Kriptirani diski? A si kriminalec? CIA? SOVA? Potem imaš verjetno boljše načine kot neko single-point-of-failure zadevo. Če nisi, 99% tega ne rabiš, je nek kriptiran "cloud" (lahko tudi self hosted, če že) mnogo boljša rešitev.

TOTP seedi so v drugem Bitwarden kontejnerju. Gesla za BW pa kot rečeno vgravirana v jeklene ploščice.

Tudi "self-hosted" kriptiran oblak potrebuje dobro geslo. Nisem kriminalec, nočem pa da mi random vlomilec na net vrže slike otrok od rojstva naprej.

RedDrake je 10. dec 2025 ob 13:54 izjavil:

Ponovim moje argumente - spomin je dobro imeti v kondiciji, možgani rabijo vadbo kot ostali deli telesa. Dolga gesla so basically unbreakable, nisem še zasledil da bi dict napadi imeli stringe dolge 40+ znakov.
Tak način nima single-point-of-failure.

Jasno je dobro imeti spomin v kondiciji, ne moreš se pa nanj zanašati. Prvi nepredviden dogodek (nesreča, bolezen) pa gre adijo.
Pri napadih s slovarjem nima toliko veze dolžina, ampak koliko besed je vsebovanih. In če so to iz neke poezije ali cajtngov itd, obstaja nezanemarljiva možnost, da bo šel bruteforce napad najprej pregledat taka zaporedja. Tistih par pik/številk vmes nima veze, to sproba spotoma vse kombinacije. Edina način, da se lahko zaneseš na geslo iz besed je, da imaš N-besed random izbranih iz nabora X-besed. Torej "correct horse battery staple" ne smeš ti logično izbrat, ampak jih moraš izbrati npr. z metom kocke.

Ne od danes, ampak že vsaj od 10. avgusta 2011 naprej.

Verjetno pa hekerji ravno zdajle v svoje slovarje dodajajo Kosovelovo poezijo...

Te vaše pesmice bi morali začiniti s kakim programčkom lastne izdelave. Pa še nekaj vmes bi bilo dobro.

Največji problem je čez čas dešifrirati vse skupaj.

Zalostno je da je tako pomembna zadeva kot je login razbita na toliko protokolov in 3rd party sistemov in tudi implementacije so ponavadi za laike prevec komplicirane in vsaka komplikacija pomeni posredno manjso varnost.

Zadeva bi morala bit taka:
1. VSE storitve ki imajo moznost preko emaila resetirat geslo (torej 99%) naj ukinejo dostop preko cesarkoli drugega kot emaila. Naj pride login link na email in konec, ce je mozno preko emaila resetirat ni nobene dodane vrednosti da je mozno mimo emaila sploh loginat. Seveda mora bit tak login samo enkrat per napravo, naprava/browser pa naj nato preko passkey (ali kako drugace, to je pac tehnicni detajl) shrani login.
2. Storitve ki hocejo varnost mimo email logina nak dodajo se 2FA. Prvi login je torej email +2FA, nadaljni pa 2FA. Ali opcijsko za srednje varne zadeve inicialni preko email+ 2FA naslednji logini pa passkey.
3. Storitve ki hocejo imeti login mimo emaila naj imajo pac dvojni/trojni faktor whatever za login, ampak passwordless. Pod to pade login do Email/Microsoft/Google racunov.

Tocka 3 je najtezja za dobro.implementirat (kje so ti faktorji prijave shranjeni da ne pride do izgube dostopa). Ampak 99.9% aplikacij pade pod prve 2 tocki in res ni razloga da smo na arhaicnih passwordih za to glavnino.

Jaz bi te tocke kar sprejel kot regulacijo in zahteval od vseh storitev da v kolikor je mozen reset preko emaila MORAJO implementirat ma ta nacin in ukinit password. Samo storitvam ki nimajo reseta preko emaila bi dovolil vec svobode ker tu se ni neke pametne standardne resitve. Bo mogla tu IT industrija se malo migat.

toro69 je 9. dec 2025 ob 19:21 izjavil:

Jaz jih imam napisane v analogne zvezku, leak je nemogoč.

Koliko gesel pa imaš shranjenih. Jaz jih imam vsaj 200, ne vem, kako bi to šlo z zvezkom. Uporabljam pa Roboform.

Geslo ti tu ne velikokrat sploh ne pomaga, ker brez dostopa do emaila naceloma ne mores spremeniti emaila.

Ampak ja, ni ok da so emaili throwaway, emaili bi morali vsi biti na domenah ki si jih lastis. Tut ta problem bi blo za resit ja :)

Kako za boga niso stestirali Devolutions Password Managerja? LP, Smeeskaa

Vecina vdorov je remote, tak da je bolj issue kaj remote pocnes (kje vpisujes gesla, kaj klilas, ali se ponavljajo...) kot pa lokalna varnost.

Odvisno sicer od tega kje puscas laptop ali je password/PIN le ekstra varovalka in je leptop ze by default varovan z s kljucem stanovanja ali ne?

Jaz razen za banke/borze res ne mislim komplicirat z password managerji ki te vprasajo za PIN ob vsakem obisku spletne strani, morda se tudi vgrajen password manager od brkalnikov da nastavit da tw vprasa vsakic za paranoicne? :)