Sziasztok!
Nemrég futottam bele egyik kedves idősebb rokonom kissé hajmeresztő jelszókezelési szokásába (összes user/pass + számlaszám egy .doc-ba kitéve a desktopra + kinyomtatva a fiókba).
Belátva, hogy a "tartsd inkább fejben" érvelés teljesen haszontalan lenne, elkezdtem keresni valami megoldást. Kis guglizás segítségével arra jutottam, hogy egy pendrive + KeePass + remote sync talán egy jó alternatíva lenne (talán még nekem is).
Kérdésem az, hogy a fenti problémára kinek-milyen megoldása / tapasztalata van? Feleslegesen nem futnám meg a tanulóköröket, már csak azért is mert eléggé érzékeny adatokról van szó.
Előre is köszönöm a tanácsokat!
- 6098 megtekintés
Hozzászólások
+1 a KeepassX-nek.
Még nem találtam olyan platformot, amin ne működne. PDA, Android telók, windows, linux, mac... Mi kell még?
- A hozzászóláshoz be kell jelentkezni
újabb +1 a KeePassX-nek.
Csak még valami multiplatformos sync mehanizmus kellene, mert a mostani manuális tárhelyre feltöltös és letöltös nem mindig teljesen jó, bár ettöl függetlenül használható :)
- A hozzászóláshoz be kell jelentkezni
+1 a keepass -nak. Szinkronizalni sugarsync vagy dropbox. En az elobbit hasznalom.
Egyetlen bajom symbian -os keszuleken volt vele (s60v5) mert ezen a szaron a password editbox -ba nem lehet beilleszteni :(
- A hozzászóláshoz be kell jelentkezni
+2, KeePass + Dropbox :)
- A hozzászóláshoz be kell jelentkezni
+10 a KeePass-nak
- A hozzászóláshoz be kell jelentkezni
Csak hogy biztos jol ertem-e: a jelszavaidat ugy szinkronizalod geped/rendszereid kozott, hogy feloltod az osszeset egy publikus internetes szolgaltatas altal nyujtott helyre. Jol ertem?
- A hozzászóláshoz be kell jelentkezni
Teljesen jól érted. A Keepass titkosítja az adatbázisát, a jelszavaim pedig lejárnak, és az adatbázis kulcsát is váltogatom. Mi itt a probléma?
- A hozzászóláshoz be kell jelentkezni
Ezzel egyetlen probléma van: a titkosítások idővel gyengül(het)nek. Ha már valami kimegy a publikba, akkor nincs rá garancia, hogy egy algoritmus hiba vagy egyéb ok miatt 1-2 év múlva nem tudják azonnal törni. Legalábbis nekem ez a fenntartásom ezzel.
- A hozzászóláshoz be kell jelentkezni
Jogos észrevétel. Pontosan ez ellen véd a jelszavak érvényességi ideje. Illetve a titkosítási kulcs cseréje (a kulcs persze sosincs egy helyen az adatbázissal). Mivel a jelszó adatbázis bármikor idegen kezekbe kerülhet lopás, malware és ki tudja még milyen úton, a fel nem töltés maximum az illúzióimat védené meg. Szóval az adatbázis megy a ködbe, a kulcs meg pendirve -on nálam van.
Szerintem jó kompromisszumot kötöttem kényelem és biztonság között.
Szerintem ;)
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Esetleg on-line, vagy valami hibriid megoldás, hogy neten is el lehessen érni ha kell, ne kelljen hozzá külön program. :S
sly @ w3m.hu
- A hozzászóláshoz be kell jelentkezni
Böngészős megoldás lehet a LastPass, működik szinte az összes ismert böngészőből még Seamonkey alól is jól :-)
--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!
- A hozzászóláshoz be kell jelentkezni
ezt használom, elég kényelmes. mondjuk a bankos jelszavamat én azért nem rakom bele, pedig az utána olvasás szerint elég biztonságos :)
amúgy szerintem a felirkálást ezután sem ússza meg, mert most majd annak a jelszavát kell felírni, amiben a jelszavakat tárolja :)
- A hozzászóláshoz be kell jelentkezni
Ha mar, akkor felesleges lastpassozni. Firefox eseteben ott van pl. a Firefox Sync, ami annyival komolyabb cucc, hogy nem csak jelszavakra jo.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni
Én a Password Dragon-t használom. http://www.passworddragon.com
Java-ban van, multiplatformos, a linux-os db-t win alatt is lehet használni...
A db-t Blowfish algoritmussal titkosítja, úgyhogy ajánlott a master jelszót nem elfelejteni.
- A hozzászóláshoz be kell jelentkezni
Ha mar ingyenes, akkor miert nem nyilt?
Meg is kerdeztem tole.
t
- A hozzászóláshoz be kell jelentkezni
"összes user/pass + számlaszám egy .doc-ba kitéve a desktopra"
Amugy ez egyaltalan nem olyan rossz, mint ahogy a nepi hiedelem tartja. Ha megtorik a gepet, akkor a keepass sem er semmit, ha meg nem torik meg, akkor a .doc filehoz sem fernek hozza. Ahol szamithat, az talan egy kodfuttatasra nem hasznalhato, "arbitrary file read"-tipusu hiba kihasznalasa, de az meg kliensoldalon nem olyan gyakori.
--
"You're NOT paranoid, we really are out to get you!"
- A hozzászóláshoz be kell jelentkezni
nem egészen értelek: ha megtörik a gépet, ahol keepassos db van, az nem jelent semmit, mert a keepass is titkosít. ergo még kell egy keylogger, amivel a master passwordot is megszerzik...
- A hozzászóláshoz be kell jelentkezni
Gondolom a "megtörik a gépet" alatt azt értette, hogy onnét már azt csinálnak vele amit akarnak, ergó az input figyelése miért lenne probléma?
Én inkább az online helyre titkosítottan feltöltött érzékeny adatok miatt aggódnék. Egy titkosítási eljárás megbízhatósága és erőssége idővel folyamatosan csökken a növekvő hardver teljesítmény és jövőbeni lehetséges algoritmus hibák felfedezése miatt. Tehát ha letükrözik az adatokat saját tárhelyre, akkor az esélyük a törésre idővel arányosan nő. Gondoljuk meg, 5 vagy 10 év múlva nem biztos hogy a most általunk befutó algoritmust használnánk pl. 256 bittel.
- A hozzászóláshoz be kell jelentkezni
"Gondoljuk meg, 5 vagy 10 év múlva nem biztos hogy a most általunk befutó algoritmust használnánk pl. 256 bittel."
Inkabb 50-100 ev az az 5-10. Pl. a blowfish lassan 20 eves.
--
"You're NOT paranoid, we really are out to get you!"
- A hozzászóláshoz be kell jelentkezni
esetleg egy csibész keep ass egze
- A hozzászóláshoz be kell jelentkezni
elvileg a keepassnak van valami keylogger védelme a masterpassra + van a legtöbb böngészőhöz pluginja, így a _leírás szerint_ a többi adat meg a vágólapon közlekedik.
Illetve azért is gondoltam usb kulcsra, mert akkor mégiscsak mindig nála van (minden gépnél) és nem figyel mindig ott a vinyón lemásolásra készen.
De mindez csak elmélet, engem a gyakorlati buktatók érdekelnének...
--
"The only valid measurement of code quality: WTFs/min"
- A hozzászóláshoz be kell jelentkezni
Ha mindenképpen a „mindig nála van” a fontos, akkor egy pendrive-ra fel kell tenni a Keepass portable változatát. Ez ugye windows-os, de wine alatt is szépen fut.
Természetesen ezen „mindig ott figyel lemásolásra készen” a jelszó adatbázis. Valahol mindig „figyelni” fog az adatbázis!
-----
"Ember embernek farkasa." Ezért aztán "Holló a hollónak nem vájja ki a szemét."
- A hozzászóláshoz be kell jelentkezni
Miert, a word doksi nem figyel? :-)
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni
Ellopásra/elvesztésre készen, nem lemásolásra! Mert ugye a pendrive csak akkor van bedugva ha használnia kell. Egyébként a db lemásolása még nem akkora baj mert nem hiszem, hogy megéri bruteforceolni...főleg mivel a legtöbb jelszó ma már félévente cserélődik...De ha rendelkezésre is állna ekkora erőforrás akkor azt szvsz érdemes nagyobb halakra fordítani.
Egyébként én nem is az online támadástól tartok, hanem ha esetleg valaki betör és viszi a gépet doksival együtt...
--
"The only valid measurement of code quality: WTFs/min"
- A hozzászóláshoz be kell jelentkezni
"Egyébként én nem is az online támadástól tartok, hanem ha esetleg valaki betör és viszi a gépet doksival együtt..."
Akkor neked FDE kell.
--
"You're NOT paranoid, we really are out to get you!"
- A hozzászóláshoz be kell jelentkezni
http://keepass.info/ és http://www.keepassx.org/
http://passwordsafe.sourceforge.net/ és http://www.fpx.de/fp/Software/Gorilla/ (https://github.com/zdia/gorilla/wiki/)
"Mindkettőnek" megvan a maga előnye és hátránya.
A Kepass* többet tud és kényelmesebb.
Sztem a gorilla egy kicsivel biztonságosabb, mivel megadható, hogy hányszor hash-elje meg a jelszót mielőtt titkosításra használná. Ezzel a brute-force lassítható.
A Kepass* azt hiszem ilyet nem tud (fixme), viszont helyette nem csak Twofish-t tud, hanem AES-t is.
Lastpass meg azt ír amit akar, de hogy úgy van-e azt nem lehet tudni.
Ezek itt mind nyílt forráskódúak, megnézheted, hogy mit csinálnak.
- A hozzászóláshoz be kell jelentkezni
"Sztem a gorilla egy kicsivel biztonságosabb, mivel megadható, hogy hányszor hash-elje meg a jelszót mielőtt titkosításra használná. Ezzel a brute-force lassítható."
Ettol inkabb gyengebb lesz.
http://xkcd.com/257/
--
First person shooters tend to get boring after you've shot the first person.
- A hozzászóláshoz be kell jelentkezni
Sajnos nem nagyon értek a titkosításokhoz.
Én ezt olvasgattam.
Erre érdemes keresni: 2.4 ITER is the number of iterations on the hash function to calculate P',
Ha esetleg nem jól fogalmaztam, akkor itt minden konkrétan le van írva.
Ha jól látom amit te linkeltél az magára az adat titkosítására vonatkozik és nem többszöri hash-elésre.
Hogy a hash-elésre ez ilyen formában, hogyan vonatkozik, mondja meg aki esetleg jobban ért ehhez, számomra nem egyértelmű a dolog.
- A hozzászóláshoz be kell jelentkezni
Minden hasheles csokkenti az entropiat,maskepp fogalmazva: egy-egy ujabb hasheles noveli a kulcsutkozesek lehetseges szamat.
- A hozzászóláshoz be kell jelentkezni
vim
:X
- A hozzászóláshoz be kell jelentkezni
Egy konkrétabb problémával felmelegítve a témát:
Valakinek sikerült összelőnie a CIB bank java-s netbankját és a keepasst? Ha igen, kérem ne tartsa magában! Szarakodok vele már egy ideje, de nem tudom, hogy miként hivatkozzak az url által meghívott applet formjára....
--
"The only valid measurement of code quality: WTFs/min"
- A hozzászóláshoz be kell jelentkezni
CIB ablakban felhasználó név szövegdobozra rákattint, majd keepass -ban CTRL+V?
- A hozzászóláshoz be kell jelentkezni
a cibnél ez nálam nem működik. :(
--
"The only valid measurement of code quality: WTFs/min"
- A hozzászóláshoz be kell jelentkezni
keepassx ablakában rákattintasz a megfelelő sorra, simán ctrl+c, majd a jelszóbeviteli mezőben ctrl+v
- A hozzászóláshoz be kell jelentkezni
Inkább subscribe.
Én maradtam a kaptafánál - egy szép nagy "szótár füzet" azaz első betűvel jelölt vonalas füzet. Persze, ha betörnek ezt is ellophatják :(
* Én egy indián vagyok. Minden indián hazudik.
- A hozzászóláshoz be kell jelentkezni
Nekem hasonlo, mint kedves ismerosodnek.
Nehany kivetel persze:
- Szinten.doc, lejelszavazva (persze ez nemsokat er), truecryptes "file"ban (ez mar talan jobb)
- User ID-k nincsenek benne, sem 100%-ban a jelszavak (minden jelszomnak van nehany karakter kozos pontja, amire csak utalok h "ezittaz")
- Bank accessek semmilyen formaban nem szerepelnek (csak atmenetileg par napig, amig megjegyzem miutan ~2 havonta cserelem.)
- Szamlaszamok nincsenek benne (minek? belepek a webbankba es ottvan, masreszt meg amugyis tudom fejbol a hitelkartyam es a szamlam szamjat is)
- Ami leszoktam irni oda az a CVC2 kod, mert ez az elso dolgom amit lekaparok a kartyarol (amugy ez kurvanehez mutatvany :D)
Kb ennyi, sztem felesleges erre +1 program.
Ami meg jo tipp szerintem, hogyha bekategorizalod a jelszavakat aszerint hogy milyen jellegu oldal/mennyire kritikus/mennyire kell eros jelszo. Es ez alapjan a hasonlo oldalakon ugyanazt hasznalod.
Kivetel persze: bank, e-mail, magyarorszag.hu, paypal es meg amit annak gondolsz.
Ezekre mindig szigoruan egyedi es eros jelszo.
- A hozzászóláshoz be kell jelentkezni
Masszív partíciótitkosítás (Windows alatt Truecrypt a rendszerpartícióra, Linux alatt Luks), jelszavak akármilyen, akár doc fájlban az asztalon. Ekkor viszont már sokkal kényelmesebb menteni az adott alkalmazásban/böngészőben, és ennyi(ez még keylogger ellen is véd).
- A hozzászóláshoz be kell jelentkezni
Én az FPM2-t használom. http://als.regnet.cz/fpm2/
- A hozzászóláshoz be kell jelentkezni
subscribe
- A hozzászóláshoz be kell jelentkezni
Revelation
- A hozzászóláshoz be kell jelentkezni
Szia én a roboform-ot használom nekem nagyon bejött. Funkciógazdag (kódolt feljegyzések, kódolt jelszavak és beléptetés, jelszógenerálás, regisztrációs kitöltés, könyvjelzők mentése, windows alatti programokba jelszavak mentése, szinkronizálás nettel ha kell, stb) magyar és jól kezelhető. Ja és $9.95 ezzel bármennyi gépre és pendrivére és eszközre telepítheted. Nagyon jól támogatja a különböző oprendszereket, ahol nem támogatott ott van kiegészítő ami a böngészőbe beépülő segítségével segít.
http://www.roboform.com/hu/
itt olvashatsz róla bővebben és ki is próbálhatod.
Itt vannak videók is hozzá: http://www.roboform.com/support/tutorials/overview
- A hozzászóláshoz be kell jelentkezni