password manager

Fórumok

Sziasztok!

Nemrég futottam bele egyik kedves idősebb rokonom kissé hajmeresztő jelszókezelési szokásába (összes user/pass + számlaszám egy .doc-ba kitéve a desktopra + kinyomtatva a fiókba).

Belátva, hogy a "tartsd inkább fejben" érvelés teljesen haszontalan lenne, elkezdtem keresni valami megoldást. Kis guglizás segítségével arra jutottam, hogy egy pendrive + KeePass + remote sync talán egy jó alternatíva lenne (talán még nekem is).

Kérdésem az, hogy a fenti problémára kinek-milyen megoldása / tapasztalata van? Feleslegesen nem futnám meg a tanulóköröket, már csak azért is mert eléggé érzékeny adatokról van szó.

Előre is köszönöm a tanácsokat!

Hozzászólások

+1 a KeepassX-nek.
Még nem találtam olyan platformot, amin ne működne. PDA, Android telók, windows, linux, mac... Mi kell még?

Jogos észrevétel. Pontosan ez ellen véd a jelszavak érvényességi ideje. Illetve a titkosítási kulcs cseréje (a kulcs persze sosincs egy helyen az adatbázissal). Mivel a jelszó adatbázis bármikor idegen kezekbe kerülhet lopás, malware és ki tudja még milyen úton, a fel nem töltés maximum az illúzióimat védené meg. Szóval az adatbázis megy a ködbe, a kulcs meg pendirve -on nálam van.
Szerintem jó kompromisszumot kötöttem kényelem és biztonság között.
Szerintem ;)

Esetleg on-line, vagy valami hibriid megoldás, hogy neten is el lehessen érni ha kell, ne kelljen hozzá külön program. :S
sly @ w3m.hu

Én a Password Dragon-t használom. http://www.passworddragon.com

Java-ban van, multiplatformos, a linux-os db-t win alatt is lehet használni...

A db-t Blowfish algoritmussal titkosítja, úgyhogy ajánlott a master jelszót nem elfelejteni.

"összes user/pass + számlaszám egy .doc-ba kitéve a desktopra"

Amugy ez egyaltalan nem olyan rossz, mint ahogy a nepi hiedelem tartja. Ha megtorik a gepet, akkor a keepass sem er semmit, ha meg nem torik meg, akkor a .doc filehoz sem fernek hozza. Ahol szamithat, az talan egy kodfuttatasra nem hasznalhato, "arbitrary file read"-tipusu hiba kihasznalasa, de az meg kliensoldalon nem olyan gyakori.

--
"You're NOT paranoid, we really are out to get you!"

Gondolom a "megtörik a gépet" alatt azt értette, hogy onnét már azt csinálnak vele amit akarnak, ergó az input figyelése miért lenne probléma?

Én inkább az online helyre titkosítottan feltöltött érzékeny adatok miatt aggódnék. Egy titkosítási eljárás megbízhatósága és erőssége idővel folyamatosan csökken a növekvő hardver teljesítmény és jövőbeni lehetséges algoritmus hibák felfedezése miatt. Tehát ha letükrözik az adatokat saját tárhelyre, akkor az esélyük a törésre idővel arányosan nő. Gondoljuk meg, 5 vagy 10 év múlva nem biztos hogy a most általunk befutó algoritmust használnánk pl. 256 bittel.

elvileg a keepassnak van valami keylogger védelme a masterpassra + van a legtöbb böngészőhöz pluginja, így a _leírás szerint_ a többi adat meg a vágólapon közlekedik.
Illetve azért is gondoltam usb kulcsra, mert akkor mégiscsak mindig nála van (minden gépnél) és nem figyel mindig ott a vinyón lemásolásra készen.

De mindez csak elmélet, engem a gyakorlati buktatók érdekelnének...

--
"The only valid measurement of code quality: WTFs/min"

Ha mindenképpen a „mindig nála van” a fontos, akkor egy pendrive-ra fel kell tenni a Keepass portable változatát. Ez ugye windows-os, de wine alatt is szépen fut.
Természetesen ezen „mindig ott figyel lemásolásra készen” a jelszó adatbázis. Valahol mindig „figyelni” fog az adatbázis!

-----
"Ember embernek farkasa." Ezért aztán "Holló a hollónak nem vájja ki a szemét."

Ellopásra/elvesztésre készen, nem lemásolásra! Mert ugye a pendrive csak akkor van bedugva ha használnia kell. Egyébként a db lemásolása még nem akkora baj mert nem hiszem, hogy megéri bruteforceolni...főleg mivel a legtöbb jelszó ma már félévente cserélődik...De ha rendelkezésre is állna ekkora erőforrás akkor azt szvsz érdemes nagyobb halakra fordítani.

Egyébként én nem is az online támadástól tartok, hanem ha esetleg valaki betör és viszi a gépet doksival együtt...

--
"The only valid measurement of code quality: WTFs/min"

http://keepass.info/ és http://www.keepassx.org/
http://passwordsafe.sourceforge.net/ és http://www.fpx.de/fp/Software/Gorilla/ (https://github.com/zdia/gorilla/wiki/)
"Mindkettőnek" megvan a maga előnye és hátránya.
A Kepass* többet tud és kényelmesebb.
Sztem a gorilla egy kicsivel biztonságosabb, mivel megadható, hogy hányszor hash-elje meg a jelszót mielőtt titkosításra használná. Ezzel a brute-force lassítható.
A Kepass* azt hiszem ilyet nem tud (fixme), viszont helyette nem csak Twofish-t tud, hanem AES-t is.

Lastpass meg azt ír amit akar, de hogy úgy van-e azt nem lehet tudni.
Ezek itt mind nyílt forráskódúak, megnézheted, hogy mit csinálnak.

"Sztem a gorilla egy kicsivel biztonságosabb, mivel megadható, hogy hányszor hash-elje meg a jelszót mielőtt titkosításra használná. Ezzel a brute-force lassítható."
Ettol inkabb gyengebb lesz.
http://xkcd.com/257/

--
First person shooters tend to get boring after you've shot the first person.

Sajnos nem nagyon értek a titkosításokhoz.
Én ezt olvasgattam.
Erre érdemes keresni: 2.4 ITER is the number of iterations on the hash function to calculate P',
Ha esetleg nem jól fogalmaztam, akkor itt minden konkrétan le van írva.

Ha jól látom amit te linkeltél az magára az adat titkosítására vonatkozik és nem többszöri hash-elésre.
Hogy a hash-elésre ez ilyen formában, hogyan vonatkozik, mondja meg aki esetleg jobban ért ehhez, számomra nem egyértelmű a dolog.

Egy konkrétabb problémával felmelegítve a témát:

Valakinek sikerült összelőnie a CIB bank java-s netbankját és a keepasst? Ha igen, kérem ne tartsa magában! Szarakodok vele már egy ideje, de nem tudom, hogy miként hivatkozzak az url által meghívott applet formjára....

--
"The only valid measurement of code quality: WTFs/min"

Inkább subscribe.
Én maradtam a kaptafánál - egy szép nagy "szótár füzet" azaz első betűvel jelölt vonalas füzet. Persze, ha betörnek ezt is ellophatják :(

* Én egy indián vagyok. Minden indián hazudik.

Nekem hasonlo, mint kedves ismerosodnek.
Nehany kivetel persze:

- Szinten.doc, lejelszavazva (persze ez nemsokat er), truecryptes "file"ban (ez mar talan jobb)

- User ID-k nincsenek benne, sem 100%-ban a jelszavak (minden jelszomnak van nehany karakter kozos pontja, amire csak utalok h "ezittaz")

- Bank accessek semmilyen formaban nem szerepelnek (csak atmenetileg par napig, amig megjegyzem miutan ~2 havonta cserelem.)

- Szamlaszamok nincsenek benne (minek? belepek a webbankba es ottvan, masreszt meg amugyis tudom fejbol a hitelkartyam es a szamlam szamjat is)

- Ami leszoktam irni oda az a CVC2 kod, mert ez az elso dolgom amit lekaparok a kartyarol (amugy ez kurvanehez mutatvany :D)

Kb ennyi, sztem felesleges erre +1 program.

Ami meg jo tipp szerintem, hogyha bekategorizalod a jelszavakat aszerint hogy milyen jellegu oldal/mennyire kritikus/mennyire kell eros jelszo. Es ez alapjan a hasonlo oldalakon ugyanazt hasznalod.

Kivetel persze: bank, e-mail, magyarorszag.hu, paypal es meg amit annak gondolsz.
Ezekre mindig szigoruan egyedi es eros jelszo.

Masszív partíciótitkosítás (Windows alatt Truecrypt a rendszerpartícióra, Linux alatt Luks), jelszavak akármilyen, akár doc fájlban az asztalon. Ekkor viszont már sokkal kényelmesebb menteni az adott alkalmazásban/böngészőben, és ennyi(ez még keylogger ellen is véd).

Szia én a roboform-ot használom nekem nagyon bejött. Funkciógazdag (kódolt feljegyzések, kódolt jelszavak és beléptetés, jelszógenerálás, regisztrációs kitöltés, könyvjelzők mentése, windows alatti programokba jelszavak mentése, szinkronizálás nettel ha kell, stb) magyar és jól kezelhető. Ja és $9.95 ezzel bármennyi gépre és pendrivére és eszközre telepítheted. Nagyon jól támogatja a különböző oprendszereket, ahol nem támogatott ott van kiegészítő ami a böngészőbe beépülő segítségével segít.

http://www.roboform.com/hu/
itt olvashatsz róla bővebben és ki is próbálhatod.

Itt vannak videók is hozzá: http://www.roboform.com/support/tutorials/overview