Milyen jelszókezelőt használjak?

Security-all

Olyan jelszókezelő beépülőt keresek Firefoxhoz, ami minden oldalhoz külön-külön tud nekem egy biztonságos jelszót generálni, és azt újra és újra előállítani ha visszatérek az adott oldalra. Olyasmi kellene, ami mondjuk a dominnév és egy mesterjelszó alapján tenné meg ezt.

  • 5986 megtekintés

( kroozo v | 2016. 08. 31., sze – 16:25 )

nem egészen így csinálja (mert nem újra legenerálja, hanem mesterjelszó ismeretében előveszi), de keepass pl?

http://hup.hu/cikkek/20160728/tavis_ormandy_komoly_biztonsagi_hibakat_t…

azzal együtt, hogy gyanúsan akkor kezdett a guglis embernek viszketni a tenyere, amikor beintegrálták az edge-be az msnél, de megfontolandó.

(egyébként ízlés kérdése, én az ilyesmit még ha felhő is, szívesebben tartom valami olyasmiben tiktkosítva, amit én adok neki, nem direkt ilyen szolgáltatással)

mittom én mit csináltak, de benne volt valami newsban, azt hiszem az aniversary verte erre magát, őszintén szólva nem néztem meg, a gyakorlatban mit jelent, vagy emlékszem rá, hogy pontosan az integrál szót használták-e.

szerk:
http://hup.hu/cikkek/20160803/megerkezett_a_windows_10_evfordulos_friss…

a Microsoft Edge böngésző új változatát, amely – a Pinterest Pin It Button, az Amazon Assistant, az AdBlock, az Adblock Plus és a LastPass használatával – segít a gép akkumulátor-kapacitásának jobb kihasználásában, és a böngészés élményének további fokozásában;

(igen, a hozzászólásokban ki is veséztük, hogy biztos sok köze van az akksi használathoz, őszintén szólva kizárólag ezért maradt meg a lastpass bennem)

Hátizé. Egyrészt ez nem az, hanem egy új (a hozzászólásom tavaly szeptemberi). Másrészt azóta, bár nem számoltam, de kb 4 a hírek szintjét megütő sec probléma volt a lastpassal, amiben olyan is volt, hogy "bár úgy néz ki, mintha 2FA lenne, de egyáltalán nem". Őszintén szólva nekem -- innen távolról -- az a meglátásom, hogy lehet, hogy gyorsan javítanak, de ez alapjaiban úgy szar, ahogy van, erre én így nem bíznék titkokat. Ha nagyon nem lenne más, akkor alaposabban megnézném, de mostanában minden második bokorban valami jelszókezeló van.

( sarkanyolo v | 2016. 09. 01., cs – 08:46 )

Azoktól kérdezem, akik jelszókezelő alkalmazásokat használnak:
Van kézenfekvő megoldás arra, hogy pl egy külföldi netkávézóban, ahol nincs semmilyen telepítési jogod és a telefonod sincs a közeledben, hozzáférj a jelszavaidhoz?

Itt olvastam, hogy van egy online oldal ami rendes szöveget beírva elzanzásított jelszót ad. Így gyakorlatilag elég szavakat, kifejezéseket, mondatokat megjegyezned, beírni bárhol bármikor ebbe az oldalba és a visszakapott zanzát beírni az aktuális login formodba.
Elég használható megoldásnak tűnik, bár magam még sosem éltem vele.

Azt hiszem innen az infó: http://hup.hu/node/132332#comment-1820210
https://getvau.lt/

Én keepass-t használok, és az adatbázis (ami egy titkosított fájl), a google drive-omban van.

Ha valami olyan gépen kell jelszó, ahová nem telepíthetek, vagy nem akarok, akkor a telefonomon van egy keepassdroid app, ami meg tudja nyitni (azt hiszem, csak read-only), megkeresem, elolvasom és egyszerűen begépelem.

Ja, szorri, hogy a telefonom nincs a közelemben? Akkor hagyom a fenébe :-)

Olyanban gondolkoztatok már, hogy minden oldalhoz egyedi jelszót létrehozni, amit képes vagy megjegyezni?
Én egy ideje használom, leírom, hogy nagyjából milyen elképzelés szerint:

Tehát a jelszó álljon:

1) a első munkahelyem nevének első fele nagybetűvel kezdve
2) a használni kívánt szolgáltatás neve kisbetűkkel végig
3) az első barátnőm születési évszáma
4) az első munkahelyem nevének második része kisbetűkkel

Példa: A google-höz regisztrálok, a posta volt az első munkahelyem és 1577-ben született az első barátnőm. (Szeretem az időseket, na)

Posgoogle1577ta

Egyedi, mégis könnyen megjegyezhető, elég hosszú.
Nincs benne egyetlen szótárfájlban sem, valamint amíg valakinek nem adod meg a képzési módot, biztonságos. A tárolása megoldott, kivéve amnézia esetére...

Valaki elmondja nekem, hogy miért rossz ötlet ez? Vagy miért jó, ha jó?

Szerintem jo otlet, de ha valahol kiszivarognak (vagy loggolodnak) a raw (nem hashelt) jelszavak, akkor el tudom kepzelni, hogy a hackereknek leteznek ennek felismeresere automatizalt eszkozeik. Szoval szerintem jobb, ha a szolgaltatas teljes neve helyett csak reszletet irod bele: pl. elso meg utolso betujet.

Szerintem felesleges ennyire bonyolítani. Elég ha véletlen szavak kombinációját adod meg. xkcd
Nem tudom mennyire nyílt a profilod a közösségi médiákon de végül is a módszer amit leírtál mind a személyes adataidon alapszik. Ha valaki ismeri őket már könnyebben ki találhatóak a jelszavaid mint ha csak véletlen szöveget írsz be.

Az első nyolc karakterbe bele kell rakni a kis/nagy betű, szám és írásjelből egyet-egyet.

A példa google volt, így nálam ez így alakulna:

6gHoro!gHl03M

Random?

6 - a google ennyi betü
Hr!H0M - Egy vers első sorainak első betüi kicsit számosítva (még egy magyar sem fogja kitalálni, hogy melyik ez)
a google-t meg megtaláljátok benne :)

Ha csak pontosan nyolcat fogad el, akkor az első nyolc karakter, és abban van minden elvárt karakter.

ez minta, nálam azért hosszabb, de az elv ugyanez. Plusz persze a hivatalos meló, saját, a közösségi média,stb. más és más kulcs alapján jön létre.

Azaz nem okoz szabálydőlést az első oldal, ami egy bizonyos hosszat enged, vagy kis/nagy betűt vár el, vagy írásjelet és számot is. Én közel 400-as jelszólistát kezeltem, de amióta ezt használom, nem kell semmit megjegyeznem :)

PIN vagy bármi szám kódolása egyszerűen

A szűkebb magyar ABC 40 betű, ebből ki kell szedni az ékezetest és a duplákat

A, B, C, D, E, F, G, H, I, J, K, L, M, N, O, P, R, S, T, U, V, Z,

ez 22 betű + van 4 a kiterjesztett/bővített (ki hogyan hívja) ABC-ben QWXY ezeket.

Mindegyikhez rendelj hozzá egy számot, nyilván az A nem az 1-es, gondolom világos, hgy sorba nem túl jó.

Mondjuk a pi első 11 számjegye kétszer? Fibonacci sorozat egy része? Vagy ami neked tetszik... Én a sorkatonai fegyverszámomat használom, na azt belénk verték :)

Ha már minden betűhöz tartozik egy egyjegyű szám, akkor a cégnév, vagy bármi amivel azonosítod a helyet, adja a PIN kódot.

VISA a V száma, az I száma, az S száma .....

Persze meg kell jegyezni, és vannak ahol nem én adom meg, és nem is tudom lecserélni a sajátomra, de az esetek nagy része nálam nem ilyen.

Az a baj az összes könnyen megjegyezhető jelszót generáló algoritmussal, hogy a hackerek is könnyedén beilleszthetik a repertoárjukba, és akkor már semmit nem ér.

Az egyedüli megoldás az, hogy ha valaki kitalál egy szerinte jó algoritmust, az mélyen elássa magában, senkinek sem árulja el, és akkor talán biztonságos marad egy ideig. Kellemetlen mellékhatása a módszernek, hogy a világ nem tudja meg, hogy milyen okosak vagyunk. Még kellemetlenebb, ha az általunk használt algoritmust, vagy ahhoz nagyon hasonlót, valaki 1–2 hónappal vagy évvel utánunk szintén kitalálja és közzé is teszi. Ekkor egyrészt a módszerünk biztonsága köddé foszlik, másrészt még a dicsőséget is más aratja le.

( log69 | 2016. 09. 01., cs – 22:08 )

Ne haragudj de ez mire jó? Miért vannak ráizgulva emberek a 3rd party jelszó kezelőkre? A legnépszerűbbeket sokszor felnyomták vagy durva hibát találtak benne. Nem beszélve róla hogy ki bízna meg benne mikor nincs is rá szükség?

Miért nem használod a firefox jelszó kezelőjét és sync szolgáltatását? Vagy más böngészőjét? Operának is van, a többit megnézni megtudod.

Attól még lehet használni nyugodtan, ha ekkora a szükséglet a jelszavak kiadására ;)

Arra is kíváncsi lennék, hogy mi a motiváció ezek mögött? Mert ugye a kényelem az nem lehet, mert a böngésző is kitölti a jelszavakat. Csodálkozással nézem ezeket a topicokat.

Én azért kezdtem el keepasst használni, mert a böngésző nem minden weblapon és nem mindent jegyez meg.
Pl. van olyan netbank, ahová a böngésző nem ajánlja fel, hogy bármit is megjegyezzen (gondolom a weblapon be lehet ezt állítani).

Másfelől vannak olyan helyen is jelszavaim, amiket nem böngészőből érek el, pl. Steam kliens, vagy WiFi jelszó, vagy jelszavas dokumentum, stb.

Harmardészt, ha mondjuk egy új géphez (vagy más gépéhez) leülök, akkor nem kell azon gondolkozni, hogyan fogja a böngésző megkapni a korábban megjegyzett jelszavakat (pl. sync)

Negyedrészt kényelmes, hogy nem nekem kell kitalálni egy jelszót, vagy nyitni egy konzolt és futtatni egy pwgen-t, hanem a keepass gyárt nekem egyet. Plusz kényelem, hogy extra infót el lehet tárolni - pl. az internet szolgáltatóm a telefonos ügyintézéshez is kér egy jelszót. Abba a bejegyzésbe nem csak az internetes belépéshez tartozó email címet és jelszót, hanem a telefonos jelszót is el tudtam menteni. Ha fel kell hívnom őket, akkor meg tudom nézni, hogy mi a fenét is adtam meg jelszónak.

A beépített jelszókezelőt mi gátolja meg abban hogy kérésre bárkinek odaadja az elmentett jelszót? A "mesterjelszó" biztosan nem.

--------------------------------------------------------------------
http://www.kmooc.uni-obuda.hu/
http://www.memooc.hu/
https://www.safaribooksonline.com/

( uid_194 | 2016. 09. 02., p – 11:11 )

Barmi, ami magatol syncel, nalam felejtos. Plane ha ezt a felhobe teszi. Syncelest megoldom magam. Jelenleg Keepass2-t hasznalok, megelegedessel.

A bongeszommel nem jegyeztetem meg a jelszavaim, mert nem bizom benne, es bajos syncelni, ha nem a sajat megoldasat hasznalom (amiben meg annyira se bizom). A modszer, hogy egyedi, de megjegyezheto jelszot csinaljak minden oldalhoz, butasag. Egyszer valaki rajon a logikara, es ugrik az egesz. Raadasul a random jelszo hosszabb, es sokkal valtozatosabb, stb - nehezebb torni. Dedikalt jelszokezelonel van ra mod, hogy ilyen-olyan profilokat allitsak fel: jelszo hossz, tartalom, stb. Sokkal konnyebb keresni benne, mert tudom strukturalni, tagelni, stb. Bongeszobol ezek kb mind hianyoznak.

Nagyobb baj, hogy vannak idiota oldalak, akik limitaljak, mi lehet egy jelszoban, vagy netalan milyen hosszu lehet. A hup pl rendszeresen nyafog nekem, hogy a jelszo csak 60 karakter lehet (64 karakteresek a jelszavaim by default). Mas oldalak meg nem engedik a pastelest jelszo mezobe. Vagy eldugjak a logint valami vacak js moge, es igy nehez password managerrel integralni.

tl;dr: keepass2/keepassx jo, tudja amit keresel.

--
|8]

"a jelszo csak 60 karakter lehet (64 karakteresek a jelszavaim by default)."

Ez még egész emberes. Van ahol csak 8-10 max. Persze nem szól, következő loginnál jösz rá, hogy nem tudsz belépni, mert a login form megeszi, csak a match már nem megy. Valószínűleg a MySQL cella mérete csonkolta.

Gondolod te naivan. De nem, nem mindegy. Annak erdekeben, hogy az Ugyfelet megovjuk onmagatol, limitalni kell a jelszo hosszat, kulonben meg kepes ra es a fel Iliaszt beirja a mezobe, es utana ket nap lesz, mire be tud lepni. Raadasul, ha tul hosszu, konnyebb elirni is, es akkor jon az emlekezteto, meg az ugyfelszolgalat hivasa - lassuk be, ez NEM FELHASZNALOBARAT!

Tenyleg hallottam ilyesfajta - ha nem is szo szerinti - indoklast.

--
|8]

már ha ugyanaz a feldolgozás zajlik a regisztráló és belépő oldalon.

Pont tegnap futottam bele abba a problémába, hogy regisztráltam egy weblapon. Meg kellett adni nevet, lakcímet, email címet, telefonszámot és jelszót.
Küldtek emailt, hogy a megadott címet leellenőrizzék.
Klikkeltem.
Ezután beléphettem. Email és jelszó kellett a belépéshez.
Végül elkezdhettem kitölteni az űrlapot, amibe előzékenyen beleírták az általam már megadott adatokat.
Aztán ráklikkeltem a next gombra, mire azt mondta, hogy rossz email címet adtam meg. Kiderült, hogy a címben lévő + jelet nem szerette.

Ugyanezt miért ne lehetne jelszóval eljátszani?

Vannak dolgok amiket már nem értek meg. Nem kizárt, hogy ez az öregedés jele. :-(

Az egyik szolgáltatásnál most vezették be a kétfaktoros azonosítást, kötelező jelleggel. Ez jó. Előtte volt egy 20 karakter hosszú jelszavam. Betű, szám vegyesen, mert csak ezeket lehetett. Az odáig rendben van, hogy a kétfaktoros azonosítás biztonságosabb, de miért kellett az új jelszót 7 számjegyűre (csak szám!) korlátozni.

"Mas oldalak meg nem engedik a pastelest jelszo mezobe."

Firefox: about:config -> dom.event.clipboardevents.enabled;false
(és akkor már ez is: dom.event.contextmenu.enabled;false)

Chrome alá a don't fuck with paste nevű extension telepítése a megoldás.

Vannak viszont olyan g*cik akik a szöveg kijelölését tiltják valahogy, arra kellene még valami szolúció...

( nferenc | 2016. 09. 02., p – 14:11 )

Enpass. Van Linux/Win/Mac OS/Android/iOS/Blackberry kliens, Firefox, Chrome, Safari, Opera kiegészítő. Tud szinkronizálni felhőbe: Dropbox, Google Drive, OneDrive, Box, ownCloud, vagy simán egy mappába. Van benne TOTP támogatás.

( toMpEr | 2016. 11. 18., p – 19:21 )

Egy kicsit más, de nekem szimpatikus elgondolás: https://lesspass.com

Nincs mentett jelszó, így nem kell google driveba/dropboxba/etc. szinkronizálni, 1 master seed jeszavad van, amiből végtelen számú másikat lehet generálni az oldal neve és felhasználónév alapján.

( Caro | 2016. 11. 19., szo – 06:50 )

Amekkora probléma van ezekkel a jelszavakkal, nem kellene már végre továbblépni?
Miért nem lehet az egész weben kétkulcsos titkosítást használni? Ha elindítom a böngészőmet, feloldanám a kulcsomat, és utána minden oldalon az azonosítana.
Persze lehetne több kulcs is, céges, stb. Nem lenne többé plaintext jelszó, a titkos kulcs ideális esetben soha nem kerülne ki a gépből, de a paranoiások használhatnának smart card-ot is.

( Raynes v | 2017. 05. 01., h – 17:11 )

Nem akarok új topikot nyitni, de én is jelszókezelőt keresek. Persze egész más feltételekkel, mint a topiknyitó. Ami nekem fontos:
1) offline legyen
2) az adatbázist egyetlen titkosított fájlban tárolja
3) legyen multiplatformos opensource megoldás
4) legyen minél egyszerűbb. Nem kell böngészőbe vagy DE-be beépülnie, sem jelszót generálnia, sem tudnia felhős szinkronizációt, ne nagyon legyen függősége (Windowson se kelljen neki .NET meg minden szar), legyen lehetőleg minél egyszerűbb a felülete, akár konzolból is lehessen használni. Nem kell tudnia jelszólejárati dátumok kezelését, sem kétlépcsős azonosítást.

Igazából nekem még egy titkosított 7z-fájlban vagy VeraCrypt-konténerben elhelyezett plain text vagy CVS vagy XML file is elég lenne, csak azt pl. nem tudnám biztonságosan használni Androidon, Windowson. Windowson még csak-csak megoldanám valami RAM drive-ra dolgozó egyszerű portable editorral, de Androidon nem lenne biztonságosan működtethető. Hiszen onnantól fogva, hogy hagyományos módon kibontom egy titkosítatlan lemezre, az egész nem ér semmit.

KeepassX - https://www.keepassx.org/ (nem függősége a .Net, szemben a Keepass Password Safe-el)
Androidon KeepassDroiddal használom megelégedéssel (csak readonly, mert a kdb fájlokat nem ajánlott Droiddal szerkeszteni, de őszintén szólva sosem teszteltem milyen mellékhatása lehet, azt hiszem csak a karakterkódolás miatt panaszkodik megnyitáskor, ja de most nézem a keepasx új verziója már a kdbx-et is tudja) - https://f-droid.org/repository/browse/?fdfilter=keepass&fdid=com.androi…

Konzolból amennyire tudom nem megy, de minden másra stimmel.
--
Debian 8.6 Jessie, Android 6.0.1 Marshmallow, OpenWrt 15.05.1 Chaos Calmer, Armbian 5.24, Free MC Boot 1.953+OPL 0.9.78-DB, Boyue C60 20140410 (Gentoo)

Kösz a válaszokat. Pár perce feltettem a keepassx2-őt, ennek sokkal normálisabb a felülete, és nem kell neki .NET, de legalább Androiddal is használható. Igaz nem fedi le minden igényem, de egyelőre tesztelem ezt, ha nem jön be, megnézem a pwfiles-t is.

Az, hogy kinek melyik felület jön be, ízlés kérdése (én utálom a tabok helyett listboxban az oldalnevek megoldást).
Viszont nagyon érdekelne, miért jobb egy olyan program, ami hoz magával egy rakás Qt4-es függőséget, mint ami a Windowsban eleve megtalálható .NET-re épül, és még több memóriát is zabál?

Ízlés kérdése persze... Régebben én is Keepass Password Safe-t használtam (úgy tudom ennek a forkja a KeepassX), de mivel stabil Debian alatt annak a felülete eléggé elüt az asztaltól és kényelmetlen is volt, így keepassx-re váltottam, az jobban beépül a környezetbe, és Windows alatt is jól megy. (Most ne röhögj ki, hogy az asztalba épülés miatt váltottam, a régi kdb-formátum semmivel sem rosszabb titkosítás szempontjából, mint az újabb kdbx, utóbbi csak olyan plusz funkciókat tud amire amúgy sem volt szükségem, cserébe nem kell hákolnom, repóból jön a program).

QT4 vs .Net... hát ez is csak ízlés kérdése :D
--
Debian 8.6 Jessie, Android 6.0.1 Marshmallow, OpenWrt 15.05.1 Chaos Calmer, Armbian 5.24, Free MC Boot 1.953+OPL 0.9.78-DB, Boyue C60 20140410 (Gentoo)

a régi kdb-formátum semmivel sem rosszabb titkosítás szempontjából, mint az újabb kdbx, utóbbi csak olyan plusz funkciókat tud amire amúgy sem volt szükségem, cserébe nem kell hákolnom, repóból jön a program

A 2-es KeepassX már tudja a kdbx-et is. Az Androidos verzió pedig már csak azt tudja, azt hiszem emiatt váltottam én is a kdbx-re, persze maradtam a KeepassX proginál és repóból jön ez is.

Igen, én vagyok a hibás, mert először azt írtam, hogy Windowson se használjon .NET-et, de arról megfeledkeztem, hogy most már alapból tartalmazzák az új Windowsok, szóval nem baj, ha használja. Félreérthetően írtam a Qt4-es függőséget is. Természetesen még jobban örültem volna, ha olyan létezne, amelyhez nem kell Qt4 sem (meg Win-en sem kell neki a .NET), de ha már Linuxhoz van valami függőség, az inkább legyen a Qt4, úgyis mindig fent van szinte. Nem mintha a Qt4 rossz lenne Windowsra, csak 1-2 dll-t hozzácsomagolnak az alkalmazáshoz, memóriaigényét nem növeli meg jelentősen, úgyse futtatom egész nap, le'rom, hogy 10 MB memóriát eszik vagy 50-et, nem vagyok hajbi. Használtam anno Windowson is több Qt4-es progit (qBittorrent, SMPlayer, Avidemux, stb.) és nem voltak bloatak, így más platformon sem vagyok ellene. Százszor a Qt4, mint a .NET meg hasonló nyomorékságok. Arról nem is beszélve, hogy a windowsos támogatás csak elviekben kell, mert egyelőre nem fogom Windowson használni.

Majd meglátom mennyire jön be. Eddig nem használtam semmilyen jelszókezelőt, de az utóbbi időben egyre többet szívtam elfelejtett jelszóval, ha nem volt meg böngészős profilmentésben vagy nem volt szinkronizálva.

Én a Keepass2-re szavazok, de Windowson kell neki a .NET, ami nem tudom, miért gond, hiszen a Windows része. Linuxon megy Monóval.
Telefonon a Keepass2Android tök jó, saját billentyűzete van, így nem lehallgatható clipboardon keresztül.
Mindkét fent említett cucc észreveszi a változást, ha az adatbázist szinkronizálod valamin keresztül (én pl. Google Drive), és nem zavarja, ha két helyről írod egyszerre, tudja szinkronizálni a változásokat.

Keepass2 - Win, Linux és Android alatt használom.

Win alatt nem tudom, mik a függőségek. Linux alatt van egy verzió, amihez mono kell (talán keepass2 az is), ahelyett egy másikat használok (talán KeePassX), aminek nem kell semmi extra.

Androidra is több verzió van, én valami KeePassDroid nevűt használok megelégedéssel.

Az értő olvasás sokat segít.
A kérdés az volt, hogy ha maga a szoftver nem tud felhőbe szinkronizálni, akkor hogyan? Fentebb írtam, hogy pl. a Keepass2 és a Keepass2Android (a KeepassX-et nem próbáltam) képes kezelni azt a helyzetet, ha tőle független „bármi” szinkronizál a háttérben.

Te kérdezted: "Ha offline es nem tud felhos szinkronizaciot, hogy hasznalod andrioidon?"
Úgy, hogy a) átviszem kábelen, SD-kártyán, akármin; b) valamilyen a konkrét szoftvertől független felhős szinkronizációt használok. Erre írtam, hogy én pl. simán GD-n szinkronizálok (a kulcsfájlt pedig kézzel felmásolom az összes eszközömre). Ez utóbbi (b) esetén kifejezett jól jön az, amire a kérdezőnek nincs ugyan szüksége, de megemlítettem, hogy a Keepass2 és a Keepass2Android is megoldja a memóriában és a háttértáron tárolt változat szinkronizációját.

Szia

Keepass2 winre és ez androidra: https://play.google.com/store/apps/details?id=keepass2android.keepass2a…

Simán lehet szerkeszteni is és nagyon jó extrák vannak benne amire tényleg szükség van.

Én speciel Syncthing segítségével szinkronban is tartom a NAS, gép és telefon kozott az adatbázist és sosem volt gond abból hogy milyen platformon szerkesztem.