Fórumok
Érdekelne, hogy milyen secret menedzsment rendszert használtok / ajánlotok?
Secret alatt értek minden jelszó és kulcs jellegű dolgot, beleértve a felhasználók különböző jelszavait + a különböző szolgáltatásokhoz tartozó kulcsokat (szimmetrikus és aszimmetrikus) ... stb.
Tudtok teljesen integrált megoldást ajánlani, vagy a különböző célokra, különböző eszközöket használtok?
Open-source preferált, de SAAS is elfogadható lehet, ha open-source eszközzel nem, vagy sokkal rosszabban megoldható.
(Szándékosan nem specifikálom jobban a problémát, azt remélem ez serkenteni fogja a "brainstormingot". Aztán majd meglátjuk. :) )
Hozzászólások
Keepass.
KeePassXC
Néhány korábbi elhalt próbálkozás után, most nekiveselkedtem megint, mert kéne már valami. Most a keepass2android jónak tűnik. Amit eddig másban nem találtam meg (első próbára), hogy megy a mobilon offline is, de szinkronizálni is lehet egy saját nextcloude-ra, azon meg akár web-en állítgatni utána tovább.
keepassxc windowson, keepass2android androidon, es keepassx linuxon.
Windowson is keepassx volt, de úgy tűnik, befejezték a fejlesztését. Emiatt lehet, hogy Linuxon is hamarosan valami új lesz (pl. keepassxc, ha van (még nem néztem utána)).
Ja, az adatbázis meg google drive-on van, minden eszközre szinkronizál.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
csepcsop ~ # apt-cache show keepassxc
Package: keepassxc
Architecture: amd64
Version: 2.6.6+dfsg.1-1
Priority: optional
Section: universe/utils
Origin: Ubuntu
Maintainer: Ubuntu Developers <ubuntu-devel-discuss@lists.ubuntu.com>
Original-Maintainer: Julian Andres Klode <jak@debian.org>
Bugs: https://bugs.launchpad.net/ubuntu/+filebug
Installed-Size: 20721
Depends: libargon2-1 (>= 0~20171227), libc6 (>= 2.34), libgcrypt20 (>= 1.8.0), libqrencode4 (>= 3.2.0), libqt5concurrent5 (>= 5.6.0~rc), libqt5core5a (>= 5.15.1), libqt5dbus5 (>= 5.0.2), libqt5gui5 (>= 5.15.1) | libqt5gui5-gles (>= 5.15.1), libqt5network5 (>= 5.0.2), libqt5svg5 (>= 5.6.0~beta), libqt5widgets5 (>= 5.14.1), libqt5x11extras5 (>= 5.6.0), libquazip5-1 (>= 0.7.3), libsodium23 (>= 1.0.8), libstdc++6 (>= 5.2), libx11-6, libxi6, libxtst6, libykpers-1-1 (>= 1.20.0), libzxcvbn0 (>= 0.20150103), zlib1g (>= 1:1.1.4)
Recommends: fonts-font-awesome
Suggests: webext-keepassxc-browser, xclip
Filename: pool/universe/k/keepassxc/keepassxc_2.6.6+dfsg.1-1_amd64.deb
Size: 5347994
MD5sum: 3694ba841a46d1ee5182cd9e71c3e57d
SHA1: 79d3f61b1edaa76e1ed85edcd1c875ddbf2e0349
SHA256: ec31560f01fa12e30c2432b23d557c6bf605438919453628488d19a72c40d318
SHA512: 5fbf655bdd6e893bc51b1726f33be94c4d7a2052b6521c19e96b723729760ae039afe67b90a44cdf9f674766ab449b55404bc88bc332a747d5db93f2e9674730
Homepage: https://www.keepassxc.org/
Description-en: Cross Platform Password Manager
KeePassXC is a free/open-source password manager or safe which helps you
to manage your passwords in a secure way. You can put all your
passwords in one database, which is locked with one master key or a
key-disk. So you only have to remember one single master password or
insert the key-disk to unlock the whole database. The databases are
encrypted using the algorithms AES or Twofish.
.
In contrast to KeePassX (package keepassx), KeePassXC is actively developed
and has more features, e.g., connectivity to a Web Browser plugin (package
webext-keepassxc-browser).
Description-md5: 5584cb9ad73a0660f4c66ea6039698f2
+++
Teljesen offline, tehát a lokális fájlrenszeren lakik (természetesen erős mesterjelszóval). Backup az egész drive-al együtt készül rőla, mentődik több helyre, telefonon is hordom magammal, kézzel tartom szinkronban.
Igy nulla az esélye annak hogy valami szolgáltatós betörés áldozata lesz, cserébe havonta egyszer rá kell szánni 30 másodpercet, hogy a 3-4 helyre ahol megvan, up to date legyen.
Ha el is lopják, semmit sem számit, mert nem lehet csak úgy nyitni.
Szóval nekem ez igy jó.
Bitwardern - privat (vannak fizetos 'business' opcioi is)
1Password for Teams - ceges
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
+1 Nemrég migráltam Bitwardenre és nagyon tetszik ...
The worst or stupidest ideas are always the most popular.
+1 Bitwarden
Szintén most állok rá a bitwardenre, egyelőre szimpatikus:
+ open source alapú
+ saját szerveren is hosztolható
+ minden platformon van (böngésző kiegészítők, android, ios)
+ fájdalommentes a használata
+ az ingyenes verzió is tud mindent ami a hétköznapokra kell
+ a fizetős verzió 10 dollár/év(!), ami ad pl. hardver 2FA-t, jelszavaidról "auditot"
- nem tudsz fotót tárolni rajta (pl. személyi)
Szerintem ha fizetsz akkor lehet feltolteni csatolmanyokat (kepet, stb.). Nem probaltam, de az applikacioban ott az opcio, csak ingyenes verzioban nem hasznalhato.
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
Ez igaz, valóban azt írják az oldalukon a Premium Features alatt, hogy "1 GB encrypted file storage", de én (is) ingyenélő vagyok, így nem tűnt fel :-)
Én viszont fizettem érte és megtudom erősíteni, hogy lehet képeket tárolni.
Ha már bitwarden, bitwarden_rs -sel van valakinek tapasztalata?
En hasznalom, kb 1-2 hete migraltam lastpassrol. Eddig minden szuper vele.
http://szoftvervasarlas.co.hu - szoftverek legjobb áron
Használom, megy.
kb 1-1.5 éve használom, eddig semmi baj nem volt vele, hibátlanul működött.
Egy kérdés: a premium és a self-hosting milyen kapcsolatban áll egymással? A self-hosted csak a free dolgokat tartalmazza? Vagy netán a premium tiert is? Ha előfizetek a premiumra, akkor a self-hostinggal bukom a premium előnyöket?
A bitwarden_rs a teljes server oldali suit opensource újaírása. Vagyis self hostedben ingyért tud mindent, amit a prémium, működik az official kliensekkel is (tehát ugyanaz az android app, ugyanaz a böngésző beépülő).
Ha jól tudom, akkor a "rendes" is úgy van, hogy elkarcol self-hostedben a free feature setje, és ha van family vagy enterprise subscriptionöd, akkor tudsz letölteni hozzá licenszet.
Csak a rendesnek a min 2, recommended 4 giga memóriája, meg az adatbázis mögé, az olyan jajjnak tűnt egyébként is...
Most nézem a követelményeket. Minek ennek 4 GB RAM és két mag, meg 25 GB storage?
Szerintem egyébként el lenne kevesebbel, csak sose teszteltek, mert nagy installokra lőnek. Meg valami vastag csharp, vagy mem tudom.
Az rs meg elmegy egy kenyérpirítón is gondolom
FreeBSD-n futtatom PostgreSQL adatbázissal, kb 2 éve. Ezalatt talán kétszer fordult elő hogy minden különös ok nélkül leállt. A service újraindítása után gond nélkül működött, úgyhogy nem kezdtem nyomozni, hogy miért.
Eleve postgressel kezdtél, vagy sikerült kinőni az sqliteot?
Azzal kezdtem. Az sqlite is elég lenne, de már volt postgres a szerveren, akkor meg miért ne.
ah so, hacsak úgy nem :)
Bitwarden_rs dockerből
hup.hu##article[data-comment-user-id="16401"]
hup.hu##article[data-comment-user-id="4199"]
1Password Family, nagyon szeretjük.
Mi LastPass-t használunk és nincs is vele problémánk.
Felmerült azonban a gondolat - egyelőre csak teoretikusan -, hogy saját backend-re költöztessük a ,,secret management system"-et is.
A családi nyomkövetőink pl. már így mennek: open source progi és backend saját szerveren.
Ami fontos: menjen Androidon, és PC-n legyen Firefox és Chrome addon.
Lehetne mókolni, hogy a szinkronizációt megoldjuk SyncThinggel, de ennél valamivel straightforward-abb megoldás kellene.
Ilyesmit használ valaki?
Szóval bitwarden_rs
hup.hu##article[data-comment-user-id="16401"]
hup.hu##article[data-comment-user-id="4199"]
Köszi. Megnézem.
Hátrány, hogy nincs belőle fdroid repóban. Túllépek ezen, ha beválik.
hashicorp vault
Tudnál esetleg írni a tapasztalataidról vele? Open-source / enterprise verzió? Miket használtok belőle?
Attól függ hol. Ha nekem fontos akkor fejben tartom.
Ha nem (meló, cég), akkor plaint text file a desktopon, a gép úgyis titkosítva van, meg lockolódik 10 másodperc után meg meg kisf*zom. A gépre nem telepíthetek kb semmit (az időt sem állíthatom be, vírusírtót nem kapcsolhatok le akármi miatt, az internet felét nem nyithatom meg, de még a billentyuzetkiosztás is központilag menedzselt, stb.. még a desktop háttérképet sem állíthatom be) szóval amúgy is öröm a fejlesztés így... havonta amúgy 20 féle rendszerben kell átírnom a jelszavaimat - így nem maradt más opcióm mint ez. A jelszavam számlálója egyébként is "valamiNemtudom_27"-nél tart.. kivéve ott ahol 3 hetente kell átírni mert ott meg mondjuk 35-nél.
Tényleg nem tudok jobbat, ne bántsatok. Esetleg papír-ceruza játszhatna még, de az kényelmetlenebb számomra.
Azért van annak egy diszkrét bája, amikor a corporate IT bekorlátozza a felhasználót, de normális eszközöket (itt secret / jelszó menedzsment) nem biztosít. Én biztos, hogy CIO / CTO elé vinném a kérdést, hogy ez szerinte miért is jó így.
A céges hierarchy-chart alapján közte és köztem van 6 ember még... ugyan. Kell nekem a fájdalom? A probléma forrása akarok én lenni? Nem akarom én megváltani a világot és az enterprise világ leckéjét rég megtanultam már: felszólalhatok, de olyan megoldást fognak kitalálni, ami számomra ezt a jelenleg kényelmes megoldást csak elrontani tudja majd. Egyébként is mire meglesz a megoldás én a következő kb 12. munkahelyemen leszek.
Ha nem szolalsz fel akkor:
1. semmi sem fog valtozni
2. az okosok fent nem fogjak tudni, hogy valamin kellene valtoztatni
3. nem muszaj rogton a legfelso szintre menni, lentebb is lehet probalkozni
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."
1. Nekem a mostani nagyon kényelmes, de biztonság szempontjából sz*r. A biztonságért való aggódásért viszont nem én kapok fizetést. Úgy cselekszem, ahogy a lélektelen multi elvárja: csak a magam dolgával törődök, mindenre rámondom hogy szuper, mindenkit megdícsérek és nagyon elégedett vagyok és semmiképpen sem gerjesztek szükségtelen hullámokat.
2. Az okosok fent nem akarnak problémákról tudni.
3. Alsóbb szinteken sem akarnak hallani probémákról.
Ezek az én általános tapasztalataim, de még még "pályakezdő" vagyok. Éppencsak közelítem a negyvenet és nem dolgoztam elég munkahelyen, csak ~10 helyen eddig. Országból is alig néhányat próbáltam ki a ~200-ból.
Erről nekem a szakik jutnak eszembe (burkoló, kőműves, ... - tisztelet a kevés kivételnek).
Feltételezem, hogy informatikusként alkalmaznak, ergó kapsz érte fizetést, ugyanis minden szakmának vannak bizonyos alapjai melyek ismerete és alkalmazása elvárható.
Informatikusként szinte biztosan nem. Gondolom se ISDN-nel nem kell foglalkoznia, se processzor tervezéssel... :) Ha mondjuk fejlesztő, akkor meg elépakolták a munkakörülményetek, amit az enterspájz ájti itsec, meg mindenkije így szuperjónak talál, és kész. Nem is várják, hogy bárki belepofázzon, hogy helo itt mindenki plaintextben írkál a 34 jelszót a 74 rendszerhez. Egy másik topikban erre írta valaki, hogy egy célzottabb phisingnél nem csodálkozik, ha többen benézik a dolgot.
Minden szavad arany! De komolyan. Ahány nagy IT-s multinál megfordultam idehaza, a CIO mindnél kb. 2 de max 3 évente cserélődött (mint ahogy a középvezetés sok kulcsfigurája is állandósult rotán volt ennyi időn belül). Az aktuális CxO-nak mindnek az volt a legfontosabb, h. belekezdjen valaminek a megváltoztatásába, megreformálásába. És mire a végére értek volna, már vagy leléptek v. leváltották őket. Illetve gondolom nempublikusan meg mindegyik azon ügyködött munkaidőben, h. jó politikus módjára megszedje magát azalatt a kis rövid idő alatt amíg éppen hatalmon van (gyors beszerzések mindenféle vendortól mindenféle felesleges de legalább drága szarokra, amikből visszacsurog neki a lelépti pénz mellé még egy kis mellékes, nyilván soha nem derültek ki nyilvánosan ezek a svindlik). Ilyen környezetben vmi legalsó szintű szaros excelbejegyzés (ez lenne a munkavállaló) szakmai nyavalygásai és fájdalmai senkit nem érdekeltek. Az IT meg a szekusok dógába meg ne pofázz bele, nem a te asztalod, tudják azt ők jobban tenálad h. neked mire van szükséged a napi munkádhoz.
Ja de természetesen mindenkinek nyitva állt az ajtaja mindig papíron, ha bármit akarnál. Igen, mivel technikailag valóban a request-et megnyithattad, a ticketet a robotok le is generálták. Aztán a humán robot olvasás nélkül rejectelte, és zárta le.
Bakker Te véletlenül nem nálunk dolgozol? :-D
Én nem kérdeztem meg senkit, használok password managert. Mert a legjobb tudásom és belátásom szerint így a legjobb.
A gép kényszerített lock-olódását meg úgy trükközöm ki, hogy egy kis scripttel random időközönként megmozdítom az egeret. F*szom oldogassa fel állandóan.
Van egy külön kis környezetem VirtualBox-ban, abban futtatom amit kockázatosnak vélek vagy a víruskeresővel összeakadna. Mivel van USB redirect, a külső hardvert kezelő cuccokat is meg tudom így oldani.
az egyik nagyon paranoid multinal lattam, hogy a rendszergazdak login utan elinditanak valami nosleep.exe progit kezzel, ez megakadalyozza hogy 1-2 perc utan lockoljon...
Pusztulat ez az egész. Nekem is bootkor indul az egerész script :-D
Inkább a tudatosságot fejlesztenék, mint policy enforcementtel gyenge jelszavakra és trükközésre kényszerítik a népet.
Mellesleg egy több vonalban őrzött irodában majd pont a melletted ülő fog adatot lopni a gépedről (amikor el is kérhetné lol), feltűnés nélkül.
Ahol jó szokások alakulnak ki, ott akkor zárják le az emberek a gépüket, amikor az valóban indokolt.
mousemove.exe
Ismerjük :-)
Mondjuk kíváncsi volnék h. az ide járó sysadminok közül hányan rúgatnák ki habzó szájjal azt a kollégát, aki ilyen módon vét a korporét IT poliszi ellen és ilyenek futtatásával kerüli meg a biztonságosságot?
Én biztos nem, a többiek tőlem kapták. :D
Én meg arra, hogy mennyien gondolkodnának el azon, hogy lehet nem a dolgozóval van baj, hanem szar a poliszi, ha mindenki arra veszi a fáradtságot hogy inkább kijátssza, mint betartsa.
A túlbonyolított, túlerőltetett védelmek mindig kontraproduktívak.
Amikor indult az okmányiroda rendszer sok éve, akkor újdonság volt, hogy név+jelszó+kártya+PIN kell a csatlakozáshoz, majd minden al-rendszerhez újabb (másik, semmiképp sem azonos) név+jelszó. Ezek mind max. havonta csere, és az utolsó 24-et nem lehet újra használni semmiből. Ennek az lett az eredménye, hogy az ügyintézők 95%-nál a billentyűzet alatt volt a kártya, mellette papíron a PIN kód és az összes név+jelszó, 24 db visszamenőleg. Nesze neked biztonság. Ilyen egy szarul kitalált (ál)biztonság a valóságban.
Ahelyett, hogy lenne a személyes munkaállomásra egy kellően hosszú tetszőleges jelszó előírás (tök mindegy milyen karakterek, ha mondjuk 16 vagy 20 vagy 24 minimum a hossza), meg kötelező lock, ha elhagyja a munkahelyét. Esetleg kötelező csere X időnként.
Ilyenkor a szekusok azt szokták mondani, hogy a dolgozó ne kerülgesse meg a szabálokat csak mert nem tetszik neki, mert attól azok még ugyanúgy vonatkoznak rá. Jelezni jelezheti hogy nem tetszik neki, de attól még tartsa be!
Bennem felmerült, de ennél "F*szom oldogassa fel állandóan." elvetettem.
Volt cégemnél az volt a móka, hogy ha úgy hagytad, kaptál egy Hoffot háttérnek, esetleg másnapra kiírtál a csapatodnak egy csoki meetinget. Egyszer egy kedves középvezető megsértődött, uh megkérdeztem, hogy nekem jó, akkor legközelebb a securitynak szóljak, hogy itt találtam, rajta egy konkrét budget excellel?
20 éve mikor windows NT / Windows 2000 / XP környékén bejött az átlag userek windows-os világába a multi-user módi, és ez a lockolósdi, akkor volt menő ez a lezáratlanul hagyott gépekkel idétlenkedés. 20 év után ennek talán már nem kéne akkora poénnak lennie. A mobilját se basztatjuk a másiknak ha otthagyja az asztalon.
Szomorú, ha ebből annyit értesz meg, hogy vicceskedtünk. Egy átlagos multi átlagos irodájában az elemi security része, hogy nem hagyod a gépedet lockolatlanul, mert fogalmad sincs, ki fog egy kicsit hozzáférni, messze nem az az isoláltan védett környezet, még akkor sem, ha egyébként a szinten levő másik 70 emberből mindenkiben megbízna a cég (de nem teszi). Ennek a rögzítésének egy egészen emberi módja, ha valami kissé szar belsős poénnal bünteti a céges kultúra a hibát.
+1, ezért minimum jár a lofaszos hatter elsore, masodik alkalommal gyalu c:\, harmadik az elkoszones.
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
Volt cégemnél az volt a móka
Ezzel indítottad... Feloldatlan desktopot lófaszos háttér nélkül is lehet jelentgetni meg a dolgozót kirúgatgatni.
Egyrészt lófaszról szó nem volt, hoffról volt szó :) Másrészt igen lehet. És az az, ami szerintem teljesen kontraproduktív, sokkal emberibb egy olyan környezet, ahol önmagától kialakul az az izomreflex, hogy lezárom a gépem ha felállok, és ez bele fog fájni néha 2 tábla csokimba, amikor egyébként dumálunk egyet a konyhában, mint hogy odamenjek a secushoz, hogy józsika elfelejtette lezárni a gépét. Aki max annyit tud tenni, hogy lebassza józsikát, csodálatos hangulatot teremtve ezzel, meg kitesz még 5 plakátot, hogy ez fontos. Ez azt, aki eddig is tudta, csak leszarta, mert ő ugyan nem fogja állandóan feloldogatni nem fogja meghatni, cserébe még ő lesz majd a mártír, hogy hát ilyen piszlicsáré hülyeségek miatt basztatják, az Security meg a manager meg a gonosz, akit mindenki utálni fog, és a szabályaik is emiatt természetesen mindenki szerint faszságok lesznek. Sokkal jobb ezt óvodás viccekkel a csoporton belül megoldani, ahol a némi ésszel rendelkezők nagy része a havi csoki emésztgetése közben azért fel fogja fogni, hogy ez mind potenciális para volt, és nem hülyeség a szabályzat.
wtf "hoff" ?
Erre gondolhatott...
jep.
Így van. Hiába van auto lock a desktopokon, az ember ugyanúgy nem hagyja nyitva a gépét mint ahogy sliccét, vagy tömött buszon a táskáját.
Nálunk aki nem lockolja le a gépét, az azon kapja magát, hogy levélben mindenkit meghívott egy sörözésre, természetesen úgy, hogy ő fizet.
Sajnos ez a hülye vírus tönkretette ezt a játékot.
Most a távmunkában már nem a kollégáktól féltem a gépemet, hanem mondjuk attól, hogy mit püföl a root promtba az óvodásom, ha teheti. Inkább ne tehesse. :-)
Nekem úgy tűnik hogy sokan dolgozunk ugyanott... vagy sok helyen elterjedt a szokás :D
Ja, nálunk is ez a módi. Bár a múltkor az "ügyvezető igazgató" mindenkinek fizetésemelést "ígért", a "másik kolléga" meg "bevallotta", hogy szerelmes a mellette ülő nagy hasába :-)
Az álmodott biztonságra gondolsz? Mert egy sok ilyen policy többet árt, mint használ sajnos, ez jól látszik a mousemove és társaiból. A túltolt policyk helyett fejben kéne felhozni a hozzáállást.
Azt hiszem a sűrű kötelező jelszóváltásról már kijött, hogy igazából az egyszerűjelszó++ változatot erősíti, ráadásul manapság ott a 2FA lehetősége. (https://gkaccess.com/why-password-change-requirements-are-bad/)
Jól emlékszel: manapság már nem ajánlott a sűrű jelszóváltoztatás. Sokkal kisebb a hozzáadott értéke, mint a komplex jelszavaknak vagy a 2FA-nak. Csak sokan még le vannak maradva, sajnos.
Források:
- https://cloudinfrastructureservices.co.uk/nist-password-guidelines-requ…
- https://pages.nist.gov/800-63-3/
Auditon tuti megdicsérnék őket érte.. :)
Hell is empty and all the devils are here.
-- Wm. Shakespeare, "The Tempest"
Milyen audit, ugyanmár!
Amúgy mivel jobb a nosleep.exe, mint a powerpoint prezentálási mód aktiválása? Utóbbi ugyanúgy nem engedi sem alvóba sem lockolódni a gépet.
Bármilyet, ha ingyen van! :-D
Ebben tényleg nincs igazad. Igen, kényelmetlen állandóan oldogatni, de te biztonságodat és nyugalmadat szolgálja, és simán megszokható reflexként, onnantól már kényelmetlenségnek sem fogod érezni. Nem véletlen, hogy az összes modern rendszeren van ilyen lock funkció, ami x idő után aktiválódik is. Céges policy-kba sem dísznek veszik fel. A telefonodat sem hagyod mindenhol lezáratlanul ugyebár, meg a pénztárcádat mindenkinek hozzáférhetően, hogy hadd mazsolázgassanak belőle.
Én még ebben tovább is szoktam menni, home usereket is le szoktam beszélni az autologinról, hogy ne kelljen jelszót beírni, meg sudo-nál se legyen trükközés, hogy jelszó nélküli működést állítsanak be, meg menjen mindenre a könnyelmű 666 és 777 chmod-ként. De, legyen csak jelszó, kelljen beírogatni bejelentkezéskor, felcsatoláskor, és x időnként járjon is le, kérja újra a rendszer, ne legyen lazázás. Idegesítő lesz elsőre, de ez a helyes gyakorlat. Ennek tetejében még a titkosítást is szoktam propagálni, kicsit is használható, modernebb hardveren nem lassít érezhetően, de az ember az adatait biztonságba tudja, a gép ellopása esetén is, meg nem szerelik át az adathordozóját valami másik gépbe, ahol simán hozzáférhetnek mindenéhez. Még hálózati megosztásoknál is nagyon hasznos, ha nem automatán csatolódik fel, hanem kell hozzá user/pass, nagyon sok ransomware-es tragédiát is megfogna, ha nem lennének hozzá lusták, birkák a userek, cégek.
Kivételesen ez egy olyan modern IT-s dolog, ami nem farokság, hanem még értelme is van, még egy egyszeri home user esetén is. A webes hülyeségekhez, felhőhöz, konténerizációhoz, stb.-hez ragaszkodás az valóban vitatható, de ez az elemi lockolás az pont nem. Ezt meg kell szokni, hogy komplexebb lett a világ, nőtt a hozzáférhetőség mindenhez, ma már minden netre van kötve, kellenek védelmi vonalak. Ez már nem a 80-as évek, ahol a tévére kötött C64-et bevillantod, aztán 1 mp-en belül kényelmesen READY, és már mehet is róla mindenféle low level közvetlen elérés korlátlanul. Ezt a komplexitási fokot rég átléptük. A Unixoknál már a 70-es években sztenderd volt a jogosultságkezelés, jelszavas login, stb., nem véletlenül.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Arról nem beszélve, hogy manapság a legtöbb helyen laptop a desktop, és azokban vagy mindenképp van, vagy kérhető az ujjlenyomat olvasó. Azzal meg aztán tényleg nem nagy dolog az automata lock után a visszalépés. Persze nyilván kijátszható (mint minden), de nekem nem tűnik kevésbé biztonságosnak, mint a lock megakadályozása...
Nem akarlak bántani, csak felvilágosítani, hogy ez így gáz. Ezzel egy kb szinten vannak az Exceles jelszókezelések, amik sajnos eléggé elterjedtek.
Tényleg nem értem, hogy egy Keepass használatának mi lehet az akadálya azon kívül, hogy az elején rá kell szánni max 1 órát a megértésére, használatának átgondolására. Az előnyei nagyon behozzák azt a kemény 1 órát, azt nem számítva, hogy mekkora bajtól tud megkímélni szivárgás esetén (attól, hogy titkosított a notebook, más módon lehet szivárgás).
Ezzel sokáig én is így voltam, hogy főleg ilyen szisztéma szerint alkalmazott és torzított jelszósémáim vannak (torzítás = cifrázás olyan oldalakon, amelyek valami speciális karaktert előírnak). Vallottam, hogy ilyen jelszómenedzser csak a gyépéseknek kell. De néhányszor megszívtam, mikor úton telóról be kellett volna lépnem valami ritkán használt szolgáltatásba, és nem emlékeztem a jelszóra. Azóta beadtam a derekam, és használok én is, KeePass-t, mivel multiplatformos és megbízható. Ingyenes, sok időbe nem kerül, eszközök között is használható. Ma már annyi szar weboldalhoz és géphez, háttértártitkosításhoz, stb. kell a jelszót fejben tartani, hogy lehetetlen, még memóriarekorder zseniknek sem, még akkor sem, ha a legtöbb helyen nem kell x időnként változtatni.
Papír-ceruza kiváltképp nem jó ötlet, nem csak azért, mert kényelmetlen, hanem elhagyható, meg ha más találja meg, akkor kompromittálva vagy. Ezt ragozhatjuk, hidd el, nem véletlen találták ki ezeket a jelszómenedzsereket, hanem mert tényleg szükség van rájuk. Azt, hogy mit használsz, az attól függ, hogy milyen platformokon akarod használni. Nekem pl. elég lenne egy titkosított partíción lévő .txt fájl, de ugye én telón is akarom használni, meg esetleg olyan gépen a jövőben, ahol nincs titkosítás, így ez nem játszik. Esetleg tudnék PGP kulcsokkal operálni, pl. pass linuxos parancssorból, de ennek elég kétes implementációi vannak pl. androidon, így megint kiesik. Akárhogy ragozhatjuk, mindig visszajutunk, hogy valami nagyobb, kész, minősített jelszómenedzsert éri csak meg használni, mindenféle saját feltalálása a keréknek csak szuboptimális és időpocsékolás, meg gányolás.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Keepass-t hogyan szinkronizálod? Erről írnál pár sort?
Igen, kézzel másolgatom rá az eszközökre az épp aktuális .kdbx fájlt, amit online is tárolok feltöltve, rendszeresen újrafeltöltve, eszközök között rendszeresen átmásolva a linuxos mesterpéldányt. Kicsit favágó, meg egyszerű. Linuxon a kpcli nevű Python CLI KeePass klienst használom hozzá (régebben a KeePassXC-s Gtk-s klienst használtam), androidos telón az ingyenes KeePassDroid-ot, Windowson nem használom, de ott meg ott van rá a hivatalos KeePass-kliens. Pont ezért esett erre a választásom, mert elterjedt formátum, sok app támogatja, sok platformon, ingyenes, offline is használható, nincs vendor-lock-in, meg online accounthoz kötöttség. Ezt sem mondanám legideálisabb megoldásnak, de a sok kompromisszumos alternatíva között nekem még ez válik be a legjobban.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
A keepass-ban az az egyik nagyszerű fícsőr, hogy például több felhasználós üzemmód esetén automatikusan szinkronizál: ha többen ugyanazt a fájlt nyitják meg és rámentenek, akkor automatikusan szinkronizál.
Gondolom itt nem erre gondolsz, hanem több hely között, itt talán találsz megoldást: https://keepass.info/help/v2/sync.html
Ezzel nekem az a bajom, hogy a KeePassDroid meg a GUI-s kliensek tudnának szinkronizálni, de Linuxon átálltam arra, hogy szinte minden program terminálos CLI/TUI program, meg billetnyűzetorintált workflow, ezért használok kpcli-t, és az nem tud szinkronizálni. Így gmk-köpenyes, micisapkás jómunkásemberként helyi .dbkx fájlokat nyitogatok meg. Abban igazad van, hogy KeePass-t tekintve ez lehet szuboptimális, mikor ott van a rendes syncelési feature is támogatva.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Na, már dobtam is a KeePass-t. Pedig alapvetően nem rossz, főleg keepassxc linuxos klienssel, de a GUI miatt bloat. Emiatt kpcli-vel használtam terminálban, ami meg egy Rijandel crypto Perl modulra dependel, és ez utóbbi szeret rendszeresen eltörni, mert le-le van maradva az aktuális legújabb Perl-től. Ebből lett elegem, ezért áttértem GNU GPG-re, amit szintén terminálban használok, jelszavak egyszerű UTF8 plain text fájlban vannak összeömlesztve, amit titkosított rendszeren, shellben kiadott gpg paranccsal titkosítok le (cat jelszófájl | gpg -c --cipher-algo aes-256 > kódoltfájl), szimmetrikus kulccsal, jelszóval, AES256-tal. Utána ezt a lekódolt fájlt cat kódoltfájl | gpg -d | less -i segítségével nyitogatom egy terminálban futó scriptből, így férek hozzá a jelszavakhoz Linuxon. Androidon meg OpenKeychain ingyenes, reklámmentes, opensorce app, ami tud GPG-t kikódolni, és RAM vágólapra tenni, és onnan törölni, mikor kérem, vagy képernyőzárra is törli automatikusan, így az Android eszköz háttértárára nem íródik ki a titkosítatlan adat, és a memóriában sem marad bent. Ez így sokkal egyszerűbb, mint a KeePass, bár nem auditált, ezért a biztonságossága elvi alapon alacsonyabb, de cserébe kevésbé bloat, meg eszközfüggetlen. A jelszófájlt épp úgy kézzel mentem, másolom eszközök között, meg mentem felhős tárhelyre is, ahogy eddig ezt a KeePass .kdbx fájljával is tettem, ilyen szempontból a két megoldás ekvivalens, ahogy az AES256-ban is megegyeznek.
Amire még gondoltam, az a pass parancs, szintén shellből, de az mindenféle tárolókat hoz létre, meg aszimmetrikus kulcsozik, meg állandóan GPG kulcsot kell újragenerálgatni meg importálgatni hozzá, ami pain in the ass. Inkább maradtam ennél a legprimitívebb megoldásnál. Még a primitivitása ellenére is biztonságosabb, mint a felhőben futó, meg zárt forráskódú jelszókezelők, amikben a fene tudja milyen hátsó kapu van a hatóságoknak. A GPG-t meg rendszeresen karban tartják, és ilyen formában annyira ritkán használt egyéni megoldás, hogy hackerek se állnak neki törni.
Persze elismerem, hogy az ilyen megoldás nem mindenkinek jó, mert nincs automatikus online szinkronizáció, meg eszközök közötti sync, nincs böngészőbe beépülés, automata vágólapkezelés, és egyéb kényelmi funkciók. De nekem nem is kell, csak annyi, hogy ha elfelejtem a jelszót, akkor ki tudjam valahonnan nézni, minél szög egyszerűbb formában, ez titkosított Linux rendszeren nem is probléma, de olyan megoldás kellett, amire van kulturált androidos megoldás, mert az a része, ahol sebezhető vagyok. A jelszófájl módosítása is problémás, mert ki kell kódolni, és a kódolatlan példányt át kell szerkeszteni, majd újra kell kódolni, ami kicsit körülményes, de elég ritkán kerítek erre sort. Akár még gitre is kitolhatnám a kódolt adatbázist, szinkronizációképpen. Kicsit a kerék újrafeltalálása, de annyira egyszerű, hogy emiatt nem gáz újra feltalálni valamit, lényegében 0 overheadje van, mert se speciális kliens, se GUI, se semmi nem kell hozzá, alap beépített shellparancsokkal dolgozik, ami minden unixlike vagy Linux kerneles rendszeren jelen vannak, és az egész nyílt szabványra is épít, meg kicsi, áttekinthető kódbázisra. Az androidos része nem a legbiztonságosabb, de nem is rosszabb, mint a kész megoldások, Android ilyen téren úgyse lesz soha teljesen biztonságos.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Nekem Linuxon Googledrive-ban van az adatbázis, és a kulcs dropbox-ban.
Androidra mindkettőhoz van sync-elő app.
Saját cloud-ot is kezel? Mondjuk ownCloud-ot?
Amúgy csak azért nyitottam meg a témát, hogy esetleg egy SSC huszár beírja-e hogy excel. Eskü rákerestem a szokásos gépelési hibákkal is.
excel?? meg kell jegyezni azt jovan.
vagy az advanced megoldas, hogy a macskak neve a jelszo. csak egy ido utan mar nem gazdasagos annyi macsekot etetni :)
Szerintem tuti vannak olyan emberek. Csak nem itt, vagy van itt is, de nem meri bevállalni :D A legprofibb MS Paintben felírt, és .bmp-ben mentett kézírásos nyilvántartás lenne, még haladóbbaknak sztenográf képként tárolni. Azt a malware-ek se tudják kiolvasni, ha a gépre meg nem jut be senki fizikailag, akkor akár még biztonságos is lehet.
Mint írtam, akár én is tárolnám hardveresen AES titkosított meghajtókon titkosítatlan .txt-ben, de mivel nem csak PC-n használom, hanem okostelón is, ott irtó nagy gáz lenne, bár ki tudja, .bmp meg .xls(x) lehet játszanak ott is :-)
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Ennyi erővel szkennelt, majd jelszavazott PDF. Még se clear text, igaz plusz egy jelszó.
Vagy lehet jelszavazott html is, mint a TiddlyWiki (egy html-ben van minden szöveg, kép és jelszavazható) csak böngésző kell hozzá de vannak rá appok is.
https://tiddlywiki.com/
--
Légy derűs, tégy mindent örömmel!
Akkor rám vártatok :D
Annyi, hogy nem excel, hanem LO Calc, és természetesen titkosított. Őszintén szólva nem néztem soha utána, hogy a LO titkosítása mennyire korszerű.
De nem szeretek fekete doboz progik foglya lenni. Nekem ez megfelel. A gyakran használt jelszók úgyis mennek fejből, ami meg ritkán kell (mittomén, biztosító, etc.), arra jó.
És bármi jelszókezelőt használsz, a mélyén ott is egy (remélhetőleg encrypted) adatbázist fogsz találni. Én csak kihagyom a felsőbb rétegeket, amiken könnyebb lehet adatot lopni.
Többféle jó megoldás van, amit írsz, az is tökéletesen működik. Én plain text-et használok, amit open-gpg aes-256-tal titkosítok, saját script hívja a parancsokat, de még openssl-t is használhatnék, vagy pass-t (ez benne van régóta minden Unix, unixlike rendszerben). Viszont ilyen primitív megoldásnál nincs szinkronizáció (git-es tárolóval megoldható), illetve nincs böngészővel integráció (nekem kell a jelszavakat kézzel kikeresni, és beilleszteni, de ezt az árat az egyszerűség oltárán megfizetem, plusz nem kell az adatokat kiadni a kezemből).
Ahol a te megoldásod elvérzik, az az, hogy pl. telón hogy használod? Lehet ott is van valami LO-megoldás, de nekem körülményesnek tűnik. gpg-hez, openssl-hez, keepass-hez vannak mobilappok.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Mint írtam, a sűrűn használt jelszókat tudom fejből. Amúgy nem nagyon netezek telóról, mert nem alkalmas rá (8110 4G). Szinkronizálás: saját Nextcloud-ban van.
És mikor megnyitod a jelszó kezelődet, akkor 50 másik jelszó látszik... Innen szerintem sokkal könnyebb adatot lopni. Nagyon-nagyon vállalatoknál is van ilyen nagyon szekjúr gyakorlat, elég röhejes.
Ezenkívül így macerás a korábbi jelszavakat visszakeresni (mert pl. korábbi mentésben levő rendszernél még másik jelszó volt).
Azt nem értem, hogy ez mitől kevésbé fekete doboz, mint pl. egy kdbx fájl.
És? Lefényképezi? Annyi erővel már kamerával is felveheti, ahogy begépelem a mesterjelszót, vagy bármelyiket.
Majd ha a Firefox lehetővé teszi normálisan, hogy saját profile szervert futtassak, akkor majd el fogok rajta gondolkodni, hogy abban tároljam a jelszavaimat. Amíg az ő szerverükre kell feltenni, addig NEM. Nem érdekel hány réteg titkosítást tesznek elvileg rá.
Egyébként is az egész jelszavasdi egy baromira elavult dolog már. Az a biztos, amikor az "identitásod" egy kulcs, ami egy hardveren van generálva, és arról nem tud kikerülni. Erre kéne már rég áttérni. A 2FA-k mai megvalósítását én rühellem az idóta SMS-ekkel, vagy emailekkel.
> egy kulcs, ami egy hardveren van generálva, és arról nem tud kikerülni
amig el nem romlik / el nem veszik
Konkrétan igen, például lefényképezi.
Nem egy Teamviewer vagy hasonló munkamenetem volt már, amikor a rendszergazda megnyitotta az XLS-t a szuper titkos jelszavakkal.
Senki nem mondta, hogy valakinek a szerverére tedd fel, a Keepass esetén ilyenre például nincs szükség.
Egyelőre teljesen mindegy, hogy mennyire ósdi a jelszó technológia, ez van. És remélem még marad is legalább részben, mert tanulmányainkból tudjuk, hogy a 3 tényezős azonosítás lenne a legjobb: tudás, birtok és pl. biometria. Persze kérdés, hogy jelszó kezelő esetén a jelszó mennyire tekinthető tudás alapú tényezőnek, ez erősen megvalósítás/használat függő is.
Ja, dolgoztam ilyen kornyezetben, ahol az okos jelszocsere miatt lett kevesbe biztonsagos a rendszer...
Egy FAANG cegnel ugy volt ez megoldva, hogy minden gepen volt software, amivel a belso "App Storebol" lehetett leolteni appokat, viszont ha ez nem volt eleg, ranyomtal a gombra es local admin lettel. Persze kozben ment minden sarkon az irodaban, hogy ne dugj be ismeretlen usb kulcsot a gepedbe, mert jon az infosec es jajneked.
Vajon melyik cégnél lehetett az 5-ből? :) Az Apple-t kihúzhatjuk, mert a Local Admin Windows-os szóhasználat. Bár az "App Store" gyanús... :)
;)
KeePass portable?
gopassw
Itt jártam, érdekel.
Ui ez az első szál, ahol bejelentkezés nélkül nem jelent meg a “hozzászóláshoz be kell jelentkezned” gomb. Még jó, hogy olvasni tudtam :)
Vortex Rikers NC114-85EKLS
Nem lehet, hogy automatikusan bejelentkeztetett az alairasodban levo nevvel es jelszoval? :-)
Dehogynem simán lehet
Vortex Rikers NC114-85EKLS
Fontos cuccra 220 karakteres jelszóval openssl encryptelt (+ salt + iv) fileok, luks-os hordozható msata tárolón, külső hddn vagy pendriveon néha cd/dvd lemezen. Felhőbe privát cucc openssl-t kap.
Cégesen keepass, külön kulcs file + jelszóval védve.
Ez tetszik, szimpatikusabb, mint a régi KeePass-os, és a mostani gpg-s megoldásom. Ahol ez nálam bukna, hogy a kódolt fájlt mivel kódolod ki biztonságosan, pl. Androidon? Plusz nekem a 220 karakteres jelszó még gépírva is agyrém lenne, 16-32 karakteresnél hosszabbat nem szoktam az ilyenre megadni, mert ugye fejben is kell tartani. Le nem írom, meg kulcsfájl nincs, mert azzal bekészítettem a kulcsot a lábtörlő alá, és az egész értelme ment le a lefolyóba.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Qubes-OS -en vault gepen levo .txt file, mert ennek a gepnek nincs halozati interface, igy nehez tavolrol torni.
Amugy kiserleti jelleggel felelesztettem a Pocket Loox 720 PDA-mat, a 16 evvel ezelotti technologia mokas, pl. nem tudok wifire csatlakozni, mert a WPA2 -t mar nem ismeri... De jelszavak, vagy jelszo emlekeztetoj tarolasara lehet, hogy hasznalni fogom. Nagyin szerettem ezt a kutyumet, a butatelefonok vilagaban ez volt az okostelefon, GPS, iGO 2006, Wifi, BT, infra, SD es CF kartyahely, es 1.2 megapixeles kamera, (LOL) es 640x480 kepernyo. Nem lehet nem imadni.
Most funkciot keresek neki, hogy legyen urugyem hasznalni. A jelszo tarolas szerintem egy kivalo ok!
Kar, higy ha megjon a Librem 5, akkor valszeg rajta lesz a vault egy resze, ha nem is konkret jelszavak, de emlekeztetok.
Lastpass premium mar 4-5 eve, raadasul a cegnel is most vezettek be. En nagyon elegedett vagyok vele.
Nálunk passbolt van ~3éve (on-prem), szereti mindenki, gyors, egyszerű, jó a browser plugin is
-1 a passbolt borzasztó :D
- Egyszerűnek egyszerű, de azért először a group management featuret vagy 5 percig kerestem, hogy ami csoportot van jogom bántani, ott hoverre feljön a kis plusz. Instant szerelem volt.
- Gyorsnak is biztos gyors, csak ne kelljen sok embernek jogot adni, vagy sok dologhoz, vagy pláne ne egyszerre, mert akkor mire mindenkit egyesével végig gpgzik, az halál.
- És nehogy véletlen a passwordon kívűl mást is bele akarj tenni secure modón, mert azt nem lehet. Cserébe még a jelszó mezőben is elbassza az entereket, egy fostos id_rsa-t nem lehet beletenni rendesen armorban.
Az egyetlen előnye, hogy mivel nincs device sync, így lehet access logot nézegetni, ha valaki arra izgul.
Mentségemre szóljon, mást még nem nagyon használtam - kivéve a privát LastPass-t de az céges környezetben nem játszott akkor amikor ez telepítve lett.
De amúgy a userek csak ennyit akartak, hova milyen adatokkal lépnek be és kész. Volt egy 1 hónapos próba aminek a végén meg lett kérdezve, hogy:
-jó lesz?
-jó!
Akkó' jól van akkó' :D
A "végigpgp"-zés tényleg szívás de csak kb. 5-600 jelszó van fent és szerencsére nem nagy a vándorlás a cégnél így ritkán kell túlélni :)
Nézd, én le nem beszélnélek róla, ha jó, hát jó :) Nekünk is van, és szerintem erősen kompromisszumos, de biztos van az a usecase, ahova pont elég.
Ezt használom:
https://www.passwordstore.org/
Nahát, ezt még nem ismertem!
Amúgy ezt használom: bitwarden
Privat: Bitwarden (cloud)
Ceges: Psono (self-hosted)
Én olyat keresek, amelyik ki tudja tölteni a http basic auth popupját. Kényelmesen, "egy kattintással", úgy, mint ahogy azt a html formokkal is majdnem mindig sikerül.
Van ilyen?
Windowsos KeePass CTRL+V-re begépeli az előző ablakba. Én is használom ezt a ficsört.
Részletek itt: https://keepass.info/help/base/autotype.html
Nade ehhez nekem előbb ki kell keresnem, nem? Mert többnyire az a baj, hogy hiába ugrik fel az ablak, nem kapja el a jelszókezelő (v.ö.: persze, támogat mindent, amit az api támogat - jaa, ezt az api nem támogatja).
Plusz asszem pont a keepasst használtam korábban, és a telefonon valami elképesztően rossz élményt nyújtott (bár eddig kb. mind).
Keepass-szal nagyon jó triggereket is lehet definiálni.
Például:
Username: valaki
Password: titok
URL: ad://ad.domain.com/domain
Nekem vannak gombjaim, gombtól függően gépeli valaki TAB titok ENTER (űrlapok) vagy valaki ENTER titok ENTER (SSH), de a "valaki" helyett "domain\valaki" vagy akár "valaki@domain.com" is választható attól függően, hogy a rendszer miként tudja értelmezni.
Szerintem a http basic auth nagyon rossz felhasználói élményt nyújt human 2 machine kommunikációnál. Nyilván machine 2 machine esetben mindegy. Lehet, hogy itt inkább át kéne nyomni az IT-n, hogy legyen normális auth flow.
Ahogy lentebb írod is, szerintem a böngésző API-k nem teszik lehetővé azt, hogy az extensionök elkapják a http basic auth ablakot, innentől kezdve max. valami külön appból accessibility API-val lehetne megpróbálni. Persze nem néztem meg, hogy tényleg így van-e, szóval a fentieket kérlek tekintsd fotelszakértésnek. :)
A bitwarden chrome plugin szerintem ki tudja tölteni a basic authot.
Feltámasztanám a topicot, ha nem gond. Átnéztem pár megoldást, mindegyik elbukott valamin. Nagyjából az alábbiak lennének fontosak:
- Self hosted szerver oldal (ha Windows, IIS, és hasonló dolgok merülnek itt fel mint követelmények, akkor instant kuka).
- Multiuser működés: ez a fő cél, céges környezetben működő csapat (~30 user), tudjon hatékonyan jelszavakat managelni, és használni. Privát funkciók nem kellenek, illetve ez sokadlagos szempont.
- Legyen hozzá desktop kliens (Windows 10/11 és MacOS minimum), öröm ha ez nem böngészőplugin, de le tudjuk nyelni ha minden más szempontnak megfelel a megoldás, és csak ennyi baj van vele. Az hogy ne Electronos bloat legyen már nem is írom, ezzel az erővel rúdon pörgő ***vákat is álmodhatnék hozzá.
- Tudjon offline működni, mert gyakori eset, hogy valaki egy rack mellett dolgozik egy DC-ben, ahol se mobilinternet nincs (térerő hiányában), sem más egyéb lehetőség. Nem akkora gond, ha ilyenkor read-only módba megy át a kliens, de öröm, ha fel tudná szinkronizálni az offline végzett módosítást később. Ha csak böngészőplugin áll rendelkezésre, akkor tudnia kell ezt a fajta működést, azaz ne jöjjön zavarba, ha egy frissen bekapcsolt internet nélküli laptopon elindítja valaki, úgy hogy nincs kapcsolat a szerverrel, és akár 2 hete loginolt be rá utoljára (nyilván az akkori db állapotot sikeresen leszinkronizálva).
- Bár szakemberek fognak vele dolgozni, azért vegyes a csapat, van olyan kolléga aki egész nap hálózati eszközöket hegeszt, vagy éppen egy nagyobbacska SAN-t tervez, javít, implementál, stb... Őket nem terhelhetem devops-oknak szánt megoldásokkal, mint amilyen pl. a Hashicorp Vault, Gopass, és társai. Egy gui-s egyszerű alkalmazás kell nekik, pont olyan mint a Keepass, csak kliens-szerver megoldással (igen, van KeePass-unk, VPN-ünk meg filszerverünk is, ennél szeretnénk egy kicsit többet/jobbat, ha nincs, akkor marad ez).
Nem kell nagyon sokat kutakodni, mert ugye erre az internet rávágja rögtön, hogy Bitwarden/Vaultwarden. Futottam vele egy kört, aztán még egyet, de egyszerűen nem tudom megemészteni amit látok. Rettenetes ez a bénázás az organizationökkel, collectionökkel, hogy a kliens nem tud ezekben subfoldert kezelni, de közben mégis, ha "/" -t írogatunk a foldernevekbe, és még sorolhatnám... De mondjuk oké, lenyeljük ezt is, viszont azt már nem tudjuk, ahogy mindez a desktop GUI-n vagy a böngészőben kinéz. Nem igazán érdekesek ott a family/credit card/stb... személyes funkciók és menük, mi csak mappákba rendezve szeretnénk látni és managelni azt a kb. 1000-1500db bejegyzést, amire szükségünk van, ezt viszont kényelmesen, átláthatóan, minimum úgy mint egy KeePassban. Ehhez képest erre az egészre van a GUI-n egy kicsinyke hely az oldalsávban, ráadásul olyan működéssel, hogy indítás után pl. kinyitja a teljes fastruktúrát, aztán lehet az egérmoziban scrollozni a végtelenbe és tovább, amit nem is tudok hova tenni. Na meg mindehhez van egy totál szarul működő kereső. Szóval ez így kuka egyelőre :(
Amit próbáltam még:
Passbolt: nem tud offline működést.
Lastpass: nincs self hosted megoldás.
KeePass HUB (aka Pleasant Password Server): azt hazudja magáról hogy a KeePasst teszi képessé kollaboratív működésre jópénzért, de valójában egy módosított egyedi KeePass klienst használ (nyilván máshogy nem is tudna működni), amiből a MacOS változat egy vicc, kb. mutatóban van, használhatatlan, funkciószegény.
Psono: ennek még nem futottam neki, de elvileg megfelel a fenti szempontrendszernek. Jól látom ezt, érdemes beletenni az időt/energiát egy komolyabb tesztbe?
Egyéb ötlet esetleg? Vagy engedjük el? Maradjunk a Keepass+VPN+fileszerver megoldásnál? Nem igazán szeretjük, de a magunk ellenségei se akarnánk lenni.
Én csak +1 szempontot tennék hozzá, mert engem is érdekelne: Auto-Type. Na jó, még egy szempont: keepass szintű testreszabhatóság (eszköztár gombok).
Szerintem itt a HUPon hallottam róla és azóta használom - egymagam. KeePass vonalon maradva van egy érdekes elgondolás: https://keeweb.info/ esetleg?
raneztem, szep, de...
2021-es az utolso release, azota 1 commit volt a README-be:
+Looking for a new maintainer, see [#2022](https://github.com/keeweb/keeweb/issues/2022)
Ohhbakker... Kösz hogy helyettem is ránéztél! Kár lenne érte...
> Bitwarden/Vaultwarden. Futottam vele egy kört, aztán még egyet, de egyszerűen nem tudom megemészteni amit látok.
par eve en is raszantam magam hogy elkezdek valami jelszobizgetot hasznalni, es vszinu a fenti topic hatasara a Bitwarden kiprobalasa mellett dontottem. iszonyu gaz volt az UI/UX, nem is maradt sokaig... ezexerint nem csak nekem nem tetszik.
Nagyon érdekel találsz-e valamit, ami megfelel az elvárásoknak, mert amiket írsz, az valóban csak a Vaultwarden-re illik, az meg olyan amilyen. Szívesen kipróbálnék én is valami jobbat az eddigieknél.
A Kee* vonal ott bukik meg, hogy semmiféle osztott használatot nem támogat (maga a a formátum). Nekem sikerül úgy tönkretenni egy kxdb-met, hogy a Keeweb-ben meg volt nyitva Nextcloud felületen és megnyitottam dekstop klienssel is a Nexcloud szinkron mappából, és a kettőből valamelyikkel mentettem bele új tételt. Szóval nálam ez egyéni használatra sem vált be.
Saját részre Lastpass-t használok, céges osztottra pedig Vaultwarden lett, és mindenki megszokja/megszokta, hogy olyan-amilyen.
Miért, milyen a vaultwarden? Vagy a bitwarden is olyan, amilyen?
A Vaultwarden egy ingyenes szerver-megoldás a Bitwardenhez, amit self-hostolni lehet.
Pontosan tudom, hogy milyen, azt használom elég régóta. Próbálok rájönni, másnak mi a gondja vele.
A folder/collection valóban egy kissé érthetetlen (bár gondolom volt valami gondolat, hogy te esetleg másképp akarsz rendszerezni, mint az org), azt is megértem, hogy ha valaki jobban akarna valami folderezni, azt zavarja, hogy ezek oldalt vannak, meg nincs subfolderezés. De a keresővel mi a para? én eddig beírtam, mit akarok, és megtalálta.
Én passboltot láttam még működés közben, azért volt ott mert nem tud offline működést (a req. az volt, hogy naplózva legyenek a password hozzáférések, azon pedig mindenki kiesik, aki tart egy local copyt valahol), de egyébként ha a bitwardennek szar az UX-e, akkor a passboltra nem is tudom, mit mondjak. Illetve szerintem sok emberre és passwordre nem skálázódik jól az egyedi gpg kulcsos baszakodás miatt. (Volt, ahol kb ugyanilyen volt, csak saját implementáció, és nem webes, az is ezen vérzett el egy idő után)
> céges környezetben működő csapat (~30 user)
> kb. 1000-1500db bejegyzést, amire szükségünk van
csak ugy kivancsisagbol, mi tortenik amikor valakit kirugnak? lecserelitek mind az 1000-1500 jelszot? :)
Végül kipróbáltam a Psono-t is. Ez volt eddig a legígéretesebb, a gui kézreálló volt, a működése logikus, szerintem sokkal jobb mint a Bitwarden. A moduláris felépítés szimpi (admin gui, webgui, server, stb.. komponensek, amik lehetnek bárhol). Sajnos kliens oldalon csak böngészőplugin van (csak Chrome és FF) és webclient, de ezzel együtt lehetne élni.
Az offline módon viszont elvérzett. Van benne ilyen funkció, de előre be kell nyomni kliens oldalon (a böngészőpluginben van egy "go offline" opció a menüben), szóval készülni kell rá. Olyan scenario tehát nem lehetséges, hogy pl. megszakad a net, vagy hirtelen ki kell nyitni a laptopot egy helyen ahol nincs semmilyen hozzáférés (nincs mobil térerő sem), és hozzáférjünk a jelszavakhoz. Ez csak akkor működhet, ha tudjuk előre, és bekapcsoljuk az offline módot. Ráadásul nagyon bugyuta módon van megoldva, elég csak gui felső részén véletlenül megnyomni ilyenkor a logout vagy "go online" buttonokat, és vége, elveszik az offline működés, egy login promtot kapunk, meg egy hibaüzenetet, hogy nem éri el a szervert. A Gitlabjukon elejtett infók szerint innét nincs is visszaút ilyenkor, mert törlődik az offline cache, by-design így működik.
Kár érte :( Azért majd egy feature requestet megeresztek, hátha foglalkoznak vele.
Nem látom mi olyan nagy baj van a Bitwardennel, LastPass és 1Password után álltam át rá és semmiben sem rosszabb azoknál.
"álltam át"
Azaz nem "álltunk". Személyes használatra tökéletes, ezt nem is vitattam. Hogy a multiuser funkciókkal (collectionök és organizationök) mi a bajunk, azt meg leírtam. Azt is el bírom képzelni, hogy családi környezetben ez működhet, pár darab collectionnel és maréknyi bejegyzéssel, de nézd meg egyszer mondjuk 1000db-al.
Álltunk, családilag (összesen 6 fő), csak nem éreztem relevánsnak.
Nekem 2199 jelszó, 16 jegyzet, egy személyazonosság és két kártya van pillanatnyilag használatban, mindez 60 mappában elosztva.
Nem értem mi az amit itt scrollozni kell (ahogy azt fentebb írtad). Én simán a keresőt használom. Amúgy desktop kliens fent van, de csak a jegyzetek miatt. (kényelmesebb, jobban olvashatóbb, mint a pluginnal), amúgy nekem kitölti amit kell, oszt ennyi.
üdv: pomm
A 852-es kídlap telepötúsa sikeresen befejezádétt
Mindez organizationökben és collectiönökben, vagy sima mappákban?
Sima mappákban...
üdv: pomm
A 852-es kídlap telepötúsa sikeresen befejezádétt
https://www.themooltipass.com/
KeePassX. A kpdx fájl Synology NAS-on van. Minden gépen fent van a Synology CloudStaton Drive program (=Dropbox/Gdrive lite), ami leszinkronizál pár mappát a gépekre és egymás közt szinkronban tartja ezeket. A KeePassX egy ilyen mappába dolgozik a laptopomon, így ha változás van, a NAS-on keresztül terítem minden laptopomra + Synology fájltallózó appjával (DS File) akár telefonrol is el tudnám érni, ha akarnám.
Password Store, GPG, Git
Ugyanez a gopass, fent azt írja, próbálta.
iCloud Keychain
jelszo.txt plaintext file az asztalon. nekem igy jo. nem telepitek hulyeseget, nem nyitok meg szemetet.
Végül is ez is játszik, persze ilyenkor javallott, hogy a rendszered titkosítva legyen. Ami pl. telóknál nehezebben oldható meg.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Encrypt van a diszken, gondolom az elég. A telón meg van jelszó, legyen az is elég. De ha meg nem, hát leszarom. Kényszerítsen ki az IT sec azt, ami neki elég/kell. Cserébe engem meg az fog érdekelni, hogy nekem a legkönyebb legyen és ne akadályozva érezzem magam.
a munkahelyi ITszeku szinte sehol a világon nem a dolgozó kényelmét lesi, az kb. az utolsó utáni szempont szokott lenni
Bitwarden/selfhosted
Ami volt: Lastpass (ez aztán fizetős lett), onnan álltam át bitwardenre, de csak böngésző plugninnal, plusz volt párhuzamosan keepassXC.
A terv a keepassXC-re való teljes átállás lett volna, amit a működésbeli problémák miatt végül elvetettem. (itt elsősorban a keepassXC pluginnal volt gondom - random kifagyott, ilyenkor ki kellett lépni a keepassXC-ből majd ismét vissza, sokszor nem mentette el a jelszót, csak error-t kaptam, aztán volt, hogy kértem, ne mentsen és többet ne is kérdezze egy adott oldalnál, mégis folyamatosan kérdezte. A pop-up-nál mindegy volt, hogy bepipáltam, hogy többet nem kell, akkor is képembe tolta, stb.)
Ezért egy vm-re feltoltam a bitwardent, azóta ez megy. KeepassXC-t kukáztam.
üdv: pomm
A 852-es kídlap telepötúsa sikeresen befejezádétt
Próbáld ki a Vaultwardent. Fut Dockerből, kevesebb erőforrást használ, a legtöbb fizetős Bitwarden featuret tudja. Mivel a Bitwarden API-t implementálja, egyszerű az átállás.
Megnézem... csak legyen egy kis időm...
üdv: pomm
A 852-es kídlap telepötúsa sikeresen befejezádétt
Elővettem újra a Bitwarden tesztkörnyezetem, gondoltam leírom újra kicsit bővebben a véleményem, mert többen nem értettétek, hogy mi a gondolom a kollaboratív funkcióival (az hogy privátban, vagy kis családi környezetben milyen, engem nem érdekel, de ezt írtam is):
Hányás ahogy a kliensben a collcetion-ök kinéznek. Bevágja őket a faszerkezetbe legalulra, a gui releváns részét a klasszikus folder, bankkártya, notes, stb.. rész teszi ki, mindeközben organization típusú vault esetén ezek nem is támogatottak, mert ugye az org-nak nem lehet pl. foldere. (Az már csak hab a tortán, hogy azért létre lehet hozni sima foldert is, csak éppen senki nem látja. Had keveredjen bele az user...)
Erre ugye az a hivatalos válasz, hogy org esetén a collection a folder. Csakhogy collectiont meg nem lehet a desktop kliensből létrehozni. Milyen jelszókezelő az, amiben nem tudnak az userek mappát csinálni, csak ha elbaktatnak egy weboldalra, és ott nyomogatnak mindenféle menüket?
De az egész org kezelés rettenetes, gondolom valamikor a fejlesztés folyamán beletették, de a desktop (és mobil) kliensben nem lett átemelve az összes funkció, nem lehet org-okat managelni, sem a hozzájuk tartozó collectionoket. Ezzel nem is lenne baj, ha a csapatmunka egyetlen módja a Bitwarden világában nem az org-ok és a collectionök használata lenne.
Ja és még valami: nincs drag&drop.
A webclient mindent tud (drag&drop-ot azért ő sem), ezzel tisztában vagyok, de hogy fog az menni offline? Sehogy. Példa: kolléga elbaktat az ügyfélhez, nincs külső elérése, de a nap folyamán létre kellene hoznia bejegyzést a jelszókezelőben új folderekkel (collectionökkel). Bitwardenben erre az egyetlen mód az, hogy felírja valahova, majd amikor online lesz, akkor elmegy egy weboldalra (webclient), ott felviszi, és UTÁNA tudja ő is és mindenki más is használni a desktop kliensben. Nem érdemes nekiállni ezt a példát püfölni, hogy de menjen olyan helyre ahol van mobilnet, meg stb. Szerintem aki akarja, az érti, hogy mi a baj ezzel az egésszel.