sok jelszó letárolása tippek

Security-all

Az ember idővel egyre több géphez fér hozzá SSH-n, különböző, hosszú jelszavak, stb.

Ti hogyan tároljátok le őket?

Amit én használok [jajdebajhogyelárulomkitérdekel]: a laptopomban a teljes vinyó titkosítva, fizikai hozzáférés kizárólag nekem van [ha esetleg elmegyek előle egy pillanatra, akkor már zárolom, stb.

Erre "ráadásként.." az, hogy:

gpg -c somefile.txt

-vel titkosítom a jelszavakat tároló filét, amit:

gpg -o - somefile.txt.gpg | less

-el olvasok, ha kell [priv. kulcs+jelszó].

Kreativitás! Go! [de a "portable" megoldások lennének az igaziak..mármint a meglévő gpg-s jó, csak hátha van valakinek sokkal értelmesebb ötlete, köszi]

( goodbyte v | 2010. 06. 23., sze – 22:28 )

http://keepass.info/

Én ezt használom cégnél is, meg otthon is.
------------------------------------------
"Nincs ez el**szva, csak másra lesz jó!"

Ráadásul teljes mértékben hordozható, mert a windows-os változat telepítés nélkül, usb-s eszközről is fut. Sőt a windows-os változat wine-nal is fut, így akkor is használható, ha valamiért nem lehet az aktuális linux-ra feltelepíteni.

-----
Innen most töltsünk tiszta vizet a nyílt kártyákba: ...

Ne keverd, a KeePassX egy fork. A normál KeePass is létezik (egy jó ideje) Linuxra.

keepass.x86_64 : Password manager
keepassx.x86_64 : Cross-platform password manager

Cégnél a simát toljuk, itthon az X van fent, mindkettő tökéletesen teszi a dolgát.

szerk.: na jól beugrottam egy felélesztett topicnak.... sry

( cheoppy | 2010. 06. 23., sze – 22:51 )

Nekem egy rarban van egy szövegfájl, abba írom a jelszavakat. Pár éve azért ezt választottam, mert akkor rar jelszót még nagyságrendekkel lassabban lehetett törni, mint zipet vagy hasonló tömörítős megoldásokat.
Na meg ez portable is, csak vigyázni kell a frissítéskor a szövegfájl kódolására.

( peterson v | 2010. 06. 24., cs – 06:33 )

Abban a szerencsés helyzetben vagyok, hogy otthon dolgozom.
Van egy szép nagy (A0) irodai könyöklő jegyzetelő soklapos naptáras... biztos ismeritek....
Na ezen, teljesen ad-hoc módon elszórva más számára értelmezhetetlen karaktersorok vannak, ezek a jelszavak. Az hogy mely jelszó milyen user-rel, és milyen ip-hez tartozik, az a fejemben van. Ugyanis nekem fejben az a papír egy vizuális ábra, és így az egyes pozíciók megjegyezhetők.
Az íróasztalomhoz csak én férek hozzá. A laptopom pedig szerencsére még nem olvassa az alatta lévő kézzel írt papírt.

Szerintem ez biztonságos. :)
De ez egy irodában kollégák mellett már nem annyira security...

---
"A megoldásra kell koncentrálni nem a problémára."

Ha nem érnek annyit az adataid, hogy betörjenek hozzád (és megbízol azokban, akik bejuthatnak a lakásba), akkor biztonságos, de akkor az összevissza felírás is fölösleges. Ha érnek annyit, akkor meg nem sokat ér: nem az lesz, hogy találnak összevissza jelszavakat, és megpróbálják (de nem tudják) kitalálni, hogy mi minek a jelszava, hanem egy adott dolog jelszavát akarják megszerezni, és végigpróbálják az összeset, ami ott van.

"A laptopom pedig szerencsére még nem olvassa az alatta lévő kézzel írt papírt."

webcam nem lát rá? :)

( kovi | 2010. 06. 24., cs – 07:58 )

kb 20-25 jelszó a fejemben van, ebből ~5+ ami nem értelmes vagy nekem nem jelent semmi értelmeset. sehová sincsenek felírva, jól van ez így. kiugró iskolapéldája a netbankos full accountom, ahol csak számok vannak a fejemben ~36 szám sorrendben. ezt sehová sem jegyezném fel azt hiszem ha agyonvernének sem.

kb 30 jelszó az amit "egy évben max egyszer" használok, ezek egy kicsi noteszben vannak felírva, ott is pl visszafelé, kis / nagy betűket rendesen kavarva (pl mindig a második és negyedik karaktereket cserélem kicsiről nagyra és fordítva), egyebekkel néha pl a csillaggal jelzett jelszavakban mondjuk minden x. karakter felesleges. ez a para azért kell, ha esetleg a notesznek lába kél legyen némi esélyem, vagy legalább 1-2 óra előnyöm.

én erre esküszöm, illetve ezt követem évek óta és működik.
pl filemanager-ekben és böngészőkben és úgy egyáltalán PC-n sosem hagyok jelszót semmilyen formában semmilyen állományban.

--
Leave me alone...

( f0xhu v | 2010. 06. 24., cs – 10:27 )

Truecrypt tároló + password safe

--
A gyors gondolat többet ér, mint a gyors mozdulat.

( MGy v | 2010. 06. 24., cs – 10:30 )

Annak idején amikor kerestem nem találtam ideálisat. Végül a választott a Tombo lett, mert nagyon egyszerű és mindenféle feljegyzés titkosítható vele.
Ha most kellene választanom akkor a Keepass lenne a nyerő.
Többször próbáltam áttérni, de az összes cuccot átrakni fárasztó és mivel nem dobtam ki az összes gépen a Tombo-t
egy idő után nem tudtam, hogy melyik a legfrissebb.
Rá kellene szánni az időt és egyszerre kidobni az összes régit amit már átvittem a Keepassba.

( Gyuszk v | 2010. 06. 24., cs – 10:41 )

Én nem tárolom sehol a jelszavaimat. Az eljárás a következő:
mindenhol ugyanaz az erős jelszó, az adott szolgáltatás valamilyen (számomra egyértelmű) sajátossága szerint variálva.

...

( hrgy84 | 2010. 06. 24., cs – 13:41 )

Elsosorban fejben. Van ket-harom jelszo, amit valtogatok, bar SSH eleres az kizarolag kulccsal mukodik nalam, ha en telepitem a gepet, es szabad kezet kapok, akkor meg esely sincs normal SSH porton jelszoval probalkozni.

Ha megis valami megjegyezhetetlen megvaltoztathatatlant kell lejegyezni, akkor en gpg, bar en sign+encrypt, igy bekeri a GPG jelszavamat, ami viszont a fejemben van.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

( kila | 2013. 06. 01., szo – 04:41 )

Esetenként ilyenre is jól jöhet a messagevault.html ( Message Vault : A Self-Decrypting Archive, in Javascript and HTML with a 128-bit AES algorithm )

szerk.
aktuális oldal: http://messagevault.org/
eredeti oldal: http://web.archive.org/web/20090419143844/http://messagevault.org/
további infó: http://www.kokogiak.com/gedankengang/2007/03/introducing-message-vault…
--
Légy derűs, tégy mindent örömmel!

( BlackCode | 2010. 06. 29., k – 23:09 )

KeePassX-et használok
http://www.keepassx.org/

Cross platformos, megbízható. Főleg netes regisztrációkhoz kreált jelszavakat tárolom vele, amiért meg ölni lehet az csak is fejben marad. ;)

( Lightning | 2010. 07. 06., k – 21:05 )

Ismer valaki webes platformra is ilyen programot?
Például PHP,MySQL alapon, de lehet perl, python, akármi.

A javascriptet keszito ceg hozzafer a jelszavakhoz. Ha meg azt is meg lehet adni, hogy mi a usernev, es ez hova jelszo... Hat ize. Nagyon olyan cegnek kell lennie, akiben komolyan meg is lehet bizni, minimum verisign. De inkabb akkor se hasznalnam.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Ehem, csak ahhoz, hogy ezzel kezdhess is valamit, visszaporgetheto titkositas kell. Aki a js-t irja, az mar az algoritmussal tisztaban van, az encryptalas kulcsa meg... ahogy en az embereket ismerem, tul konnyen megfejtheto.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

En mindent ertek, csak ez a mondat olyan, mintha egy idealis vilag kovete mondta volna, nem ismerve az itteni allapotokat. Az userek ugyanis nem szoktak eros jelszavakat valasztani, hanem olyanokat, amit meg tudnak jegyezni.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Nem szolgáltatást keresek, programot. Egy virtualhostban van az összes webes felület, saját gépen. Csak SSL2,3/TLS felett érhető el és "globálisan" base auth van.
Ami számítana tehát az, hogy a böngészőben ne maradjon semmi adat. A MySQL tud AES128, sőt AES256 titkosítással is dolgozni, úgyhogy a tárolás nem hiszem, hogy gondokat okozhat. A mester jelszó kezelése, amíg be vagyok jelentkezve már esetleg. Én sajnos nem találtam még ilyen programot/scriptet, írni meg se időm, se kedvem.

Tudom, hogy a KeePass, akár http-n keresztül is képes behúzni az adatbázist és mivel portable és elméletben crossplatform így ezzel is bárhonnan hozzáférhetek, ha nagyon akarok. De, hogy mentem el, vagy írok bele? Nem nyitok FTP-t, SSHFS-t meg nem tud.

"webes platformra" - a fentebb említett messagevault.html jó lehet arra is... http://hup.hu/node/89150#comment-1059890

szerk.: vagy esetleg encryption pluginnal ellátott tiddlywiki is megfelelhet. https://web.archive.org/web/20110109043134/http://tiddlywiki.org/wiki/E…

szerk.2: ahogy telik az idő az eredeti tartalom már csak az archive.org-os linken érhető el...

Viszont a teljesen újraírt TiddlyWiki 5 Stanford Javascript Crypto Libraryt használ így már ismeri az AES-t és nem kell külön plugin a teljes TiddlyWiki fájl titkosításához.
http://tiddlywiki.com/#Encryption
https://bitwiseshiftleft.github.io/sjcl/
--
Légy derűs, tégy mindent örömmel!

( Nyosigomboc v | 2010. 07. 06., k – 23:21 )

Narancssarga postit a monitorra ragasztva.
-multiplatform (os-tol, monitormerettol, geptol fuggetlen)
-a ragaszto miatt nem hagyod el
-elterjedt, tobb gyarto forgalmaz ilyet (szoval nincs vendor lock in, nem allnak le a programfejlesztessel)
-igeny szerint bovitheto (bar ha sok a titkolnivalod, nagy monitorra lesz szukseged)
-biztonsagos: hiaba torik fel a gepedet tavolrol, hiaba tesznek fel egy rakas spywaret/keyloggert/trojait, nem fogjak tudni leolvasni, mert a monitor szele kiesik a webcam latoterebol
-1000000 titkarno es manager ezt ajanlja (de ha nem is hirdetik, minimum hasznaljak)
-egyszeru, nincs szukseg bonyolult programokra (ami esetleg meg haza is "telefonalhat")
-konnyen telepitheto, csak hozza kell nyomni a monitor keretehez, es kesz is
-dualboot eseten is a megszokott helyen talalod a jelszavakat

--
-Tolthetek egy kis teat?
-Tolthetsz, de akkor seedeld is!

( Gorkhaan (nem ellenőrzött) | 2010. 07. 06., k – 23:54 )

Fejben tartom, de én még csak kicsiben utazom. Ha új jelszó kell, meg eltolom 1 billentyűvel az egészet. Visszamondani sokszor nem is tudnám, már csak reflexből zongorázom befelé... :D ( 10 év szintetizátor után meg sem kottyan, 20-30 karakteres sem )

|| "Software is like sex: it's better when it's free." Linus Torvalds || Visit Gorkhaan's Homepage

( gd | 2010. 07. 07., sze – 00:40 )

kwallet (KDE programokhoz, SSH jelszavakat nem mentem).

( Husky | 2010. 07. 07., sze – 18:10 )

A konyhában van a "Nagy süteményes könyv" nevű kiadvány. Ott a rigójancsi és a narancsos trüffeltorta között van egy sárga postit. Na azon van egy rakás thePh9Ahth, queu9Phooz, Beegaivoo8, aegh6ohNie...

Aki szakácskönyvet lop az max kidobja, én meg tudom melyik mihez jó.
Ha elfelejteném melyik mi, akkor is relatív keveset kell próbálgatni.
Ha meg meg kell adnom valakinek, akkor aszondom, trüffeltorta.

Bár most hogy ezt így elárultam nyilvánosan, asszem átrakom a sült csirkés könyvbe.

(Ja, a gépen meg dm-crypten sima txt, bootolásnál meg fejből jelszó, backup a postiten.)

( uid_18247 | 2013. 06. 02., v – 09:50 )

keepassx+fallback openssl egy sima szövegfájlon, ha valami kódolási hiba miatt nem tudnám olvasni az elsőt

( kila | 2016. 06. 04., szo – 18:43 )

Ki milyen újabb programot ismer a témában?
KeePassX 2-ből már kb. fél éve van stabi kiadás.
Van KeeWeb Web App is, valakinek van tapasztalata vele?
https://keeweb.info/
--
Légy derűs, tégy mindent örömmel!

Biztos van erre valami matematikai megoldas (checksum pl.).
Nem letezik, hogy ez egy megoldatlan problema, tanusitvany ide vagy oda...

En ezzel a megoldassal szemezgetek:
http://stackoverflow.com/a/27958965/3378034

Alapvetoen meg ezek jutnak eszembe:
- Napi limitalt hanyszor lehet a jelszo oldalt lekerni
- jelszavak fejezetekre vannak osztva, es csak egy-egy fejezetet kerhetsz le, on-time url-t kapva meg.
- jelszo lekerdezesrol sms ertesitest kapsz (voipblazer.com), ahol egy one-time password is kijar
- AES256, a jelszot meg pbkdf2-on attolni elotte.
- Es az egesz meg be lenne csomagolva gpg-be, a privat kulcs meg mondjuk egy gmail draft-ban :), https://github.com/openpgpjs/openpgpjs/blob/master/README.md#getting-st…

Alapvetoen a cleartext-nel barmi jobb.

Lehet a fenti 5letemet megjaratom a security stackexchange-en is...

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Még egy pár ötlet:
- Jelszavanként megadható, hogy hány naponta kérhető le (OTP 5 naponta, hup.hu naponta :))
- Egyszerre csak egy jelszó kérhető le
- SMS-ben kapod a beírandó kulcsot, amivel eddig nem használt IP-ről is használhatod. "Ismert" IP-re nincs SMS.
- Nem is tároljuk, hogy a jelszó mihez való (http://xxx.tld), csak annak hash-ét. Nem is az url+pass párost kapod meg, hanem egy URL-re ad pass-t, ha létezik a hash-éhez érték.
- A jelszót nem plain-ben kapod, hanem egy véletlen karaktersorozat (200-2000 karakter) részeként, de csak te tudod, hogy hova van elrejtve a szöveg.
- Fenti 2000 karakter text/plain helyett egy PDF-ben jön, gép nem tudja olvasni, végigpróbálni.
--------------------------------
www.symbolcloud.hu

A KeeWeb WebApp saját webszerverről is használható, ebben az esetben pedig nem kell tartanod hogy 1000-ből egy alkalommal más kódot töltesz le.
https://github.com/keeweb/keeweb
http://www.linux-magazine.com/Online/Blogs/Productivity-Sauce/KeeWeb-A-…
--
Légy derűs, tégy mindent örömmel!

( log69 | 2016. 06. 06., h – 09:08 )

Ez a jelszó tárolás a felhőben visszataszító. Használjatok sózott hash-t jelszóként. Például:

echo "user nevem+domain.com+ez az erős master jelszavam" | sha1sum

És ennek adott karakter hosszúságú részét. Ezen kívül jegyeztessétek meg a böngészővel, de a böngészőben is használjatok mester jelszót. Így minden egyes weboldalnak külön jelszava van és erősek és teljesen véletlenszerűek is.

Mivel tudjuk a használt hash típusát, a weboldalt amihez kell a jelszó és a login nevünket (használhatunk mindenhol azonos email címet vagy nevet), illetve tudjuk az egyetlen erős jelszót amit meg kell jegyeznünk - mindig le tudjuk generálni a weboldalhoz tartozó jelszót.

Javaslom hogy ha olyan karakter sorozatot kaptok amely nem felel meg, akkor a jelszóhoz hozzá írni további karaktert adott logikával.

Illetve hexa kimenet helyett bináris base64 output. Ruby-ban pl:

ruby -e 'require "digest"; puts Digest::SHA1.base64digest("titkos")'
jD8/CAyPkNRFlMK92PrgAflViA4=

A só az "random", míg a bors az előredefiniált
(vagy algoritmus alapján képezhető).

Én így értem ezt a só és bors témakörét:
1. Ha a sima jelszó hashét tárolsz, akkor rainbow táblával támadható
2. ezért megsózod a jelszót, ami minden jelszónál *random*,
így nem lehet rainbow táblát előre generálni.
3. A sót is tárolni kell, általában ugyanabban az adatbázisban van,
ahol a jelszót is tárolod. Így az ismert sóval, egy-egy jelszóhoz lehet
rainbow táblát generálni.
4. Ezért az alkalmazásban (ami az adatbázistól elszeparáltan van,
lehetőleg külön gépen), használsz egy borsot. Így a jelszót sózva és borsozva teszed el.
5. A bors globális, egy van egy egész alkalmazásra (adatbázisra).

Bors hátrányai:
1. "új" koncepció, a hashelés kitaláláskor fel se merült,
2. így kriptográfiailag nem lesz biztonságosabb a jelszó,
hogyha előtte megborsozzuk és utána megsózzuk (2x hashelünk)
3. bonyolultabb az implementáció
4. tipikusan a bors az fix, a kulcs nem rotálódik, így biztonsági rés.
További magyarázat itt: http://stackoverflow.com/a/16896216/3378034

Bors előnye:
Ha külön gépen van az adatbázis és az alkalmazás,
akkor adatbázis ellopásánál,
nem kerül a támadó a bors birtokába.

De a lényeg, hogy a bors az kb. egy állandó,
vagy valami algoritmus alapján képződik
(pl. egy "random" szám, plusz a domain neve amin fut az alkalmazás).
Míg a só, az minden jelszónál igazi random szám.

Így a te okfejtésed inkább bors, mint só.

Persze nem vagyok egy kriptográfiai szakértő, stb, stb,
lehetnek hibák, abban amit írok.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Egy apt-get install pass (vagy ekvivalens) utan megteheted, a cucc egy shell script.

Amugy eleg jo, nekem csak az a bajom vele, hogy az egyes titkokat tartalmazo fileok neveben plain text benne van, hogy minek a jelszava van benne. Ertem, hogy igy lehet alap unix toolokkal kezelni, meg gitbe rakni, stb., de akkor is.

Ha mar ugyis GnuPG agenttel kezeli a privat kulcs jelszavat, esetleg lehetne meg egy reteg benne: eloszor kinyit egy "ids_of_secrets.db" filet, abban megkeresi a plain textet ami most a filenev, majd a hozza tartozo G3J4HG3FISDF7GW43FKS stilusu filenevet, aztan ezt a file-t kinyitva adna vissza a jelszot.

Az "ids_of_secrets.db" file kinyitasat csinalhatna a tab-kiegeszites kezdetekor, hogy az is mukodjon. (OK, az lehet, hogy zavaro, hogy a GnuPG passwd ablak a tab-kiegeszites kozben ugrik fel.)

( Nextra | 2016. 06. 06., h – 15:48 )

Ha már így újjáéledt a topic, kérdezném, hogy miként lehetne egyszerűbb az életem?
Sok jelszavam van, és a keepasx-re bíztam őket, és egy kulcsfájlt is generáltam hozzá.
A jelszavak fent vannak a box.com-on, mert azt érem el Linuxból a legkönnyebben davfs-sel, és simán lekezeli a keepassx is. Ezt az utat azért választottam mert van egy netbookom is, így arról is elérem, és akármelyik géppel piszkálom meg, az adatbázis mindig jó.
Viszont tavaly bekerült a képbe egy android telefon is. A playen van jópár keepass progi, de egyik se komálja a box.com-ot. Viszont Linuxból nem tudok elérni más ismertebb felhőket. Mert a böngészőn keresztüli elérés az nem ugyanaz.

Androidon amit leszedtem az a Keepass2Android s ez az alábbi lehetőségeket támogatja:
helyi fájl, Dropbox, Dropbox (KPA2) mappa, GoogleDrive, OneDrive, sFtp (SSH fájl transzfer), FTP, HTTP(Webdav)
SHTTP(webdav), külső alkalmazás. Ha ekkor a Box-ot adom meg neki, akkor pampog, hogy szinkronizálási problémája van és hogy leszedi a fájlt a felhőből, és helyileg tárolja.

Nos ezt az utóbbit próbáltam, de bizonyára nem jó útvonalat adtam meg. Linuxon a box-ot így érem el: (fstab)
https://dav.box.com/dav /mnt/https/Box davfs stb

A Boxon tárolt főmappa így néz ki: Private/keepassx/pdata.kbdx2

Mindezeket figyelembe véve így adtam meg az androidos alkalmazásnak a fájl helyét:
https://dav.box.com/dav/Private/keepassx/pdata.kbdx2 - de ez nem csinált semmit.
Gondolom közben hiányzott az azonosító, de azt meg külön kérte. Vagyis nem tudom hol található a fájl.
Viszont most találtam Linux támogatást a dropboxhoz. Lehet hogy dobni kéne a box.comot? De itt már van 10GB tárhelyem.

( les10 v | 2016. 06. 06., h – 20:00 )

Nagyon sok éve Steganos LockNote-ot használok ( https://sourceforge.net/projects/locknote/ ), nekem működik, mert jelszavakon kívül sok más hasznos infot is tartok benne. Használ más is ilyent rajtam kívül? Láttok benne valamilyen veszélyt?

( uid_20269 | 2016. 06. 06., h – 21:20 )

off
Rovásírásban kell tárolni a jelszavakat, mert akkor csak becsületes, igaz magyar emberek férnek hozzá, nem pedig az idegenszívűek, plusz Soros.. Amúgy szabad még használni a soros port kifejezést.?
on
+1 Keepass és KeePassDroid
--
God bless you, Captain Hindsight..

( BlinTux v | 2016. 06. 21., k – 01:05 )

Én Google docs-ban tárolom egy privát fájlban őket már évek óta ;)