Jelszó tárolás, hogyan?

 ( prion | 2017. augusztus 7., hétfő - 10:13 )

Eljött az idő, hogy muszáj lesz tárolnom gépen jelszavakat, de nem csak jelszavakat, hanem egyéb bizalmas adatokat. Felhasználó neveimet, régebbi emailcímeket. Mert már annyi van, hogy amit nem használok aktívan azt elfelejtem.

Mi az ajánlott eljárás ehhez? Minél erősebb titkosítás és az lenne a szempont, hogy bárhonnan elérjem.

Arra gondoltam, hogy talán egy titkosított szöveges file, amit a telefonomon tárolok megfelelne. Tényleg jó ez így? Vagy kell erre egy külön app, pl KeePass? És ha elég a titkosított szöveges file, ezt mivel érdemes csinálni, hogy könnyen platform függetlenül hozzá is férjek, ha épp kell?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

En Keepass -t hasznalok, tudtommal van minden platformra.
Ha a titkositott txt megis szimpatikusabb, akkor titkositsd gpg -vel (eszkozonkent kulon jelszavas kulccsal).

--
http://blog.htmm.hu/

1password vagy keepass
Mindkettő nagyon jó megoldás

Én Androidon KeePassDroidot használok.

Linuxon KeePassX-et, Windows alatt meg úgy emlékszem, KeePass a neve.

A fájl meg a google drive-on van, szóval bármelyik platformon a legfrissebbet látom mindig.

Androidon jobb a Keepass2Android: https://play.google.com/store/apps/details?id=keepass2android.keepass2android
Ad virtuális billentyűzetet, így elkerülhető, hogy egy alkalmazás lenyúlja a jelszavaidat a clipboardról.

Bocs, nem teljesen értem, milyen use case-re gondolsz.

Nem szoktam telefonon jelszavakat változtatni (bár azt hiszem, egyszer előfordult).
De nem értem, hogy az android saját rendszerbillentyűzete és Keepass2Android virtuális billentyűzete hogyan függ össze a clipboarddal.

Clipboardot egyébként szoktam használni, amikor valami jelszót kiteszek a clipboardra, aztán egy másik appban vagy weblapon beillesztem.

Ezen a use case-en hogyan segít(ene) egy virtuális billentyűzet?

Pontosan leírtad a use case-t: clipboardra másolsz jelszavakat. Ezt bármelyik háttérben futó alkalmazás lenyúlhatja, ezért tették be KP2A-ba a virtuális billentyűzetet, mert nem kell clipboard, van rajta név/jelszó „billentyű”.

Csak ez meg szöges ellentétben áll a pasword manager-es megközelítéssel, ahol jó esetben NEM tudod begépelni a jelszót. Vagy legalábbis kínszenvedés lenne.

--
zrubi.hu

?

ha jól sejtem, ez úgy néz ki, hogy elmegyek a hup.hu oldalra androidról, s ott kiválasztok egy másik billentyűzetet (a swiftkey helyett), amin 2 gomb van:
- felhasználónév
- jelszó

én nem írok be semmit, csak nem kerül a vágólapra.

ebben mi a baj?
--
blogom

Ja, hogy úgy.
De akkor ez egy elég speciális virtuális billentyűzet.

BTW: Én nem használom, még nem láttam ezt a megoldást.

--
zrubi.hu

Annyira nem:
https://goo.gl/photos/a3xKFYgsyNEUgAU46
https://goo.gl/photos/8bDdUt6skXW14LFm9

Alul, a számváltó mellett az ikonos gombra kattintva feljön az app, unlockolod az adatbázist, kiválasztod a tételt, és utána átvált a második nézetre.

(Eszembe nem jutott, hogy a Playen nincs róla screenshot.)

Aha.
Mondjuk ez sokkal inkább "autofill", mint virtális billentyűzet...

--
zrubi.hu

gondolom ez a megnevezése az androidos APInak, amit használ...

a LastPass valami nyomorék-segítő API-t használ autofillre, más meg billentyűzetet..
--
blogom

Vagy az őrültség, hogy csinálok egy protonmail emailcímet egy nagyon erős jelszóval, és ott tárolom a fiókban? Elvileg az is titkosított és elég biztonságos. Vagy nem?

Az, ha bármilyen cloud szolgáltatásról elhiszed hogy biztonságos.

lásd 1password és egyéb felhőben tárolt jelszavak.
Nem tartom biztonságosabbnak, mintha kiírnám itt a panelban a lépcsőház ablakára filccel hexxában.
Sőt... :)

Minél erősebb titkosítás és az lenne a szempont, hogy bárhonnan elérjem.

Ilyenkor biztosan nem a titkosítás erőssége a gyenge láncszem. Sokkal inkább valamelyik eszközöd.
A telefonodról pl várhatóan simán kijuthatnak mad titkosítatlan jelszavaid/ccountjaid.

Én mindenképp valamilyen password manager-t választanék, figyelembe véve az igényeidet.
(azonban ha valóban biztongságban szeretnéd tudni a dolgaidat, az ennél nagyságrendekkel bonyolultabb dolog, ahhoz biztosan nem elég egy app)

--
zrubi.hu

A KeePassX-t használom évek óta, még a régi 0.4.4-es verzióját, tökéletesen megfelel a célra. Hosszú fejlesztés után megjelent már belőle a 2.x verzió is, az is biztosan OK.

Linux-on és Windows-on is van kliense, az ismertebb linux-os disztribúciókban általában megvan csomagként is (Manjaro-t használok, korábban Arch Linux-ot, ezeken biztosan van).

Telefonon (Android) a KeePassDroid-ot használom, a jelszófájl Dropbox-ban egy külön könyvtárban van, azt szinkronizálom a telefonra Dropsync-el.

Az adatbázist a Linux-os és Windows-os klienssel szoktam szerkeszteni, a telefonon csak megnézni szoktam a jelszókat.

Sokszor jól jött már, nagy segítség, hogy mindig kéznél van az összes jelszó, viszonylag biztonságosan tárolva. Nem tudok róla, hogy lett volna komolyabb incidens az elmúlt években a KeePassX-el.

KeePassX-szel probalkozas eseten en is megneznem az aktualis, 2-es szeria mellett a 0.4-eset is, szvsz hasznalhatatlan az uj.

A "mindenfele eszkozrol erjem el" dologhoz: ha mar muszaj, legalabb ne tedd az osszes titkodat egy helyre. Szukitsd azokra, amit muszaj mindenfele eszkozrol elerni, de mondjuk a gpg es ssh kulcsaidat, okmanyok adatait/masolatat, fo gmail acc jelszavat, amit ugysem felejtesz el, stb, stb, tarold egy "megbizhato" gepen. + backup.

Jogos, a nagyon érzékeny dolgokat nem teszem ki a felhőbe, még kódolt adatbázisba sem, illetve pár dokumentumot (nem jelszót), amit szeretnék több helyről elérni, viszont nem tartoznak másra, EncFS-el kódolt könyvtárba teszem, EncFS kulcs pedig csak nálam van, a klienseken. És a többi pedig marad a fejemben, vagy otthoni NAS-on (linux alapú, RAID1-viszonylag egyszerű megoldás, off-site mentés erről nincs, ha a redundanciát kevésnek érzem, akkor CD/DVD pluszban).

A KeePass X2-őt használom Linux alatt, Androidon meg a KeePassDroidot, de eddig nem volt bajom vele. Igaz nem böngészőbe épülve használom, hanem tényleg csak a jelszavak titkosított tárolására. Összehasonlítási alapom viszont nincs más jelszókezelőkkel, eddig csak ezt használtam.


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

Erre a Dropsync-re miért van szükség? A sima dropbox kliens ezt nem tudja androidra?

Ha módosul a .kdbx file, azt a telefon dropbox kliense nem tölti le automatikusan. Így amikor a keepass alkalmazást nyitod meg, még egy régebbi állapotot nyit meg. Én ezt elkerülendően nem dropsyncet használok, hanem ha jelszó kell eleve a dropboxot nyitom meg, és onnan nyitom meg a .kdbx filet. Azaz rögtön a friss állapotot kapom.

Pár hete én is ezen agyalok, hogy jó lenne a jelszavaimat biztonságosabbá tenni.

Egy felöl nem életszerű, hogy 30 - 60 különböző dolog jelszavát fejben tartsam, úgy, hogy mind legalább 16 karakter, kis- nagybetű, szám és jel is van benne, a jelszó valóban random, nem fonetikus (úgy értem, hogy egy szóra emlékeztet, vagy egy szó kitekerése).

Az nyilván nem biztonságos, hogy ugyan az a jelszavad, a hup -on, a gmail -en, meg az aws -es gépeiden is.

Tehát kell egy jelszó tároló megoldás, amivel meg nyilván ugyan az a gond, hogy végső soron, mindenhová ugyan az a jelszó kell.

Ezek az online jeszó tárolókkal a gondom az, hogy mindenképpen egy visszafejthető formában kell tárolni a jelszót ahhoz, hogy azt később vissza lehessen adni a felhasználónak.

Tehát akkor mi a megoldás? Szerintem a kétfaktoros autentikáció, vagy valamilyen mobil alkalmazás, vagy egy OTP eszköz segítségével, esetleg biometrikus azonosítás (egy rakás mobil eszköz nyújt ujjlenyomat azonosítást). Nyilván itt is adódnak gondok, mert kell Linuxos, Windowsos és Androidos megoldás (itt írhatnék mobilos -t android helyett).

Ergó én azt mondom, ne minél erősebb titkosítást, inkább kiegészítő biztonsági eszközt keress, hogy ha egy jelszó kompromittálódik, az akkor is kevés legyen az azonosításhoz.

----
올드보이

> Egy felöl nem életszerű, hogy 30 - 60 különböző dolog jelszavát fejben tartsam

Én ezt csinálom, van egy alap random jelszavam ami kap egy suffix-et az oldalról függően.

Az alap jelszó például 8trHGRvn

hup-on 8trHGRvnHUP
facebook-on 8trHGRvnFB
gmail-en 8trHGRvnGMAIL
díjneten 8trHGRvnDIJNET

stb

Bocs, nem akarom megmondani a tutit, de szerintem ez az egyik legrosszabb eljárás, ugyanis a szolgáltató látja hogyan képzed a jelszavad és könnyen beléphet egy másikba, és ahogy nő az általad használt szolgáltatások száma, úgy csökken az esélyed a visszaélésre, ugyanis mivel mindenki látja a mintát, ezért összeadódik, tehát 1/n az esély és idővel folyamatosan rosszabbodhat, még akkor is, ha nem nő a szolg. száma.

+1

Ha a szolgáltató látja a jelszavam amúgy is mindegy. 15 éve használom így és még nem "tört" fel senki.

Persze hozzátenném hogy az eldobható oldalakhoz eldobható mail címet használok, ha Pisti unalmában össze is teszi mi az ügyfélkapu jelszavam nem sokra megy vele. Maximum belép a hup-ra és megpróbál hülyét csinálni belőlem, de arról már lekésett.

> Ha a szolgáltató látja a jelszavam amúgy is mindegy
Nem a szolgáltató elől kell védeni.

> 15 éve használom így és még nem "tört" fel senki
Ez nem érv. Engem addig se, amíg mindenhol ugyanazt használtam.

> Nem a szolgáltató elől kell védeni.

Ez csak válasz volt az előzőre.

> Ez nem érv.

Szép meglátás, ugyanis ez egy tény :D

Igazad van, a jelszót nem a szolgáltató elől kell védeni ugyanis a szolgáltatónál van az adat amit a jelszavas belépés véd első körben. Viszont ha kitalálható a jelszavad és birtokukban van az email címed is, akkor felhasználhatják más szolgáltatóhoz való belépéshez.

A gyakorlatban nyilván nem nagy nevek fognak valószínűleg ilyennel próbálkozni - bár láttunk már csúnya dolgokat, például Google fiaskó, amikor az egyik alkalmazott visszaélt adatokkal - hanem noname webáruház vagy egyéb. Lehet hogy soha nem fog előfordulni, de ugye a "lehet"-re nem építünk. Márpedig a leírásod alapján ez az eset kivitelezhető. Vagy fogalmazhatunk úgy, hogy nem nehéz rá a lehetőség, ami már nem elfogadható szerintem.

Igen, mint írtam ilyeneknél eldobható mail címet használok és a jelszóhoz nem teszek suffix-et. Ha valaki sikeresen összeteszi a darabokat, hát, így jártam.

> Maximum belép a hup-ra és megpróbál hülyét csinálni belőlem, de arról már lekésett.

Szep mentes volt!! :)

javítás: "nő az esélyed"-et akartam írni

Akkor van igazad, ha ennyire látható, hogy hogyan képezte, és valaki hozzáfér több jelszóhoz, és ezért felismeri a mintát.

A feleségem pl. valami hasonlót csinál, van egy mintája és van egy változó része, de a változó rész az nem ilyen DIJNET típusú. Nem tudom, pontosan hogyan képzi (nem is biztos, hogy mindig ugyanúgy), de ha mondjuk az lenne a jelszava, hogy 8trHGRvnDjT, abból nem hiszem, hogy valaki csak úgy rávágná a Díjnet jelszavakat böngészve, hogy hohó, a DjT bizonyára a Díjnetből jön, próbáljuk csak ki ugyanezzel az algoritmussal mondjuk 8trHGRvnOtP-t az OTP-nél, meg mondjuk a BudapestBanknál (ha van még ilyen), a 8trHGRvnBpK bagy 8trHGRvnBbK, vagy valami hasonló kombinációt.

Ha megszerzett sok jelszót, akkor persze egyértelmű lesz, hogy van egy fix rész, és látja, hogy mekkora az a rész, amit ki kell találnia, szóval az mindenképp rossz.

De szerintem ha már valaki megszerzett sok cleartext jelszót, az már elég nagy probléma. Lehet, hogy a bankos jelszavak is már ott vannak a listán, akár így vannak képezve, akár nem.

Egy felöl nem életszerű, hogy 30 - 60 különböző dolog jelszavát fejben tartsam, úgy, hogy mind legalább 16 karakter, kis- nagybetű, szám és jel is van benne, a jelszó valóban random, nem fonetikus

Pedig van olyan biztonsági szakember, pl. David Jacoby, a Kaspersky Labs svéd kutatója, aki ilyet ajánl.

Amiket en probaltam:

- 1Password: Egyre inkabb a felho iranyba mozognak. Plusz Linuxon nem mukodik.
- LastPass: Csak ha nem muszaki emberekkel kell jelszot megosztani.
- Keepass: Nincs benne diff-jellegu szinkronizalas funkcio.
- Pass: vim + gpg + git. Nagyon kivalo rendszergazdak kozotti jelszo megosztasra.
- Enpass: offline jelszo manager, kozepesen jol hasznalhato.

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

enpass +1, most én is azt csinálom, hogy syncthingglel szinkronolok. :)

LastPass: +1

Feleségemnek is az van, így nagyon kényelmes. Hozzáteszem, hogy az email címem jelszava és a céges jelszó mindig fejben lesz.
--
http://naszta.hu

lastpass nagyon sokat bakizott az elmúlt ~1 évben az én ízlésemnek.

A Google-os mókát mondod? Vagy a másikat? Vagy lemaradtam valamiről?

Szerintem az rendben van, hogy minél többen nézik át, annál több hibát fedeznek fel. Magukat a hibákat szerintem eddig jól kezelték.
--
http://naszta.hu

emlékeim szerint volt egy harmadik is legalább. :)

Jól kezelték, csak a hibák voltak olyan kissé fejfogósak. Mondjuk én eleve nem annyira rajongok az aaS jellegű megoldásért, elég bizalom az, hogy helyben jól van titkosítva, a transfert majd inkább én megoldom máshogy, szóval nem tartottam alaposabb körbenjárást, szóval ennek megfelelően kezelendő, de bennem az a kép alakult ki, hogy ha felhős cucc kéne, ezt inkább kihagynám.

Nem technikai usereknek ketsegtelen. Nekem muszaki emberkent a user interface kicsit tul csicsas volt, es tul kevesse tudtam vele hatekonyan dolgozni. Ezen felul default beallitason mindenfele weboldalon belerondit a DOM faba a sajat controljai rendelerelese celjabol, ami engem kifejezetten zavar.

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

- Keepass: Nincs benne diff-jellegu szinkronizalas funkcio.

A Keepass2 az már tud merge-elni, ha erre gondolsz.
Ha elmentesz egy adatbázist, ami idő közben a fájlrendszerben megváltozott, akkor azt észreveszi és felkínálja a szinkronizálás lehetőségét.

♲♻♲

Igen, ráadásul úgyis működik, hogy többen használják ugyanazt a fájlt például hálózatról. (mindenki ugyanazt nyitja meg, ugyanabba ment bele: mentéskor=szinkron átjönnek a másik által készített módosítások)

Az icloud alapu keychain-rol mi a velemenyetek? En azt hasznalom mert nekem az a kezenfekvo es kenyelmes, minden eszkozomon gepemen elerem. Viszont csak mac-es tudtommal.
--
vati

Alma-only, es az en izlesemnek kicsit keves lehetoseget ad a bevitt adatok strukturalasara, vagyis 300-400 jelszonal mar eleg maceras megtalalni benne amit keresel. Ha ez nem zavar, es kizarolag alma eszkozod van (laptop+telefon), akkor ezen kivul nincs nagy baj vele.

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

strukturalni sajnos valoban nem lehet, de pl a mac-es verzioban a gep mesterjelszavaval belepve tudok gyorskeresessel szurni az adott fiokhoz tartozo helyek kozott ugyh igazabol a strukturaltsag annyira nem fontos, + jo pont az h latom a regebbi jelszavakat is ugyanahhoz a szolgaltatashoz, ugyh ha valami regi jelszot ker vmi szolgaltatas (pl yahoo/flickr nem frissul mindig oda vissza ha uj jelszot allitok ugyh az elozot is latom es azzal beenged), es mivel rendszerszintu igy meg a wifi jelszavakat is kezeli(meg minden mast ami tamogatja) es ha a gepen beirtam akkor a telefon perceken belul leszinkronizal mobilnetrol is es fel is lep magatol

Mondjuk en attol azert kicsit tartanek, hogy esetleg hozzafernek az iCloud fiokodhoz amin be van kapcsolva a remote wipe, es nem csak a gep es telefon adataidnak annyi, hanem mindjart az osszes jelszavadnak is. Kicsit sok minden van ott egy helyen az en izlesemnek.

--
Pásztor János
Sole Proprietor @ Opsbears | Refactor Zone

azert van a ketfaktoros auth belepeskor, a telon feldob egy kodot amit be kell irni, ha meg mar minden cuccom naluk van akkor mar szinte tokmindegy

Én most váltok (vissza) LastPassról KeePassra (egész pontosan KeePassXC-re). Magát a DB-t felhőben tárolom, ami jelszó+kulcsfájl párossal nyílik. A fájl az eszközeimre offline lett másolva, a jelszó meg nyilván a fejemben van. Tud OTP-t is, egy szolgáltatással teszteltem is, teljesen rendben van, viszont szerintem ezt rábízom egy másik appra.

Keepass-t hasznalok a gepemen szerkesztve, plusz ssh+rsync szinkronizalja a telefonomra. Nekem ez eleg, ha nem lenne, akkor beruhaznek egy Yubico-ra (hupon szervezett valaki csoportos rendelest, onnan ismerem).

--
Worrying about killer AI and the superintelligent robots is like worrying about overcrowding on Mars. - Garry Kasparov

A https://www.vaultproject.io/ projekt is hasznos lehet, például egy netkávézóban lekérdezve.

A vault programot használva megadod hogy melyik szolgáltatásnál használnád a generált jelszót, például "twitter".
Ezután megadsz egy tetszőleges jelmondatot (vagy jelszót) amit könnyen megjegyzel az adott szolgáltatáshoz, például "Ez a 42. kedvenc jelmondatom."
Megadhatod milyen hosszú legyen a generált jelszó, és milyen kötelező elemek szerepeljenek vagy ne szereplejenek benne plédul kis-nagybetű, szám, space, speciális karakter.
Bármikor a fenti adatokat ugyan így kitöltöd, akkor a generált jelszót kapod vissza, így azt nem kell megjegyezni, csak a beállításait. :)

Jelszó generálása:

echo "url login pass" | sha1sum

A pass az egyetlen mester jelszavad és minden esetben ugyanaz, csak az url és login változik, így legyen nagyon erős, lehetőleg egy saját módon összeállított mondat (https://www.xkcd.com/936/). Példa:

echo "hup.hu prion correct horse battery staple" | sha1sum

=> cde580c350f693b675d613c312df9067526539f8 -

vagy

echo "hup.hu prion correct horse battery staple" | ruby -e 'require "digest"; puts Digest::SHA1.base64digest(STDIN.read)'

=> zeWAw1D2k7Z11hPDEt+QZ1JlOfg=

Jó minőségű, hosszú random jelszavak külön minden egyes szolgáltatáshoz. Platform és technológia független és nincs sehol sem letárolva a te fejeden kívül. Adott esetben érdemes a mester jelszót leírni biztonságos fizikai helyre. SHA1 helyett 256 is használható akár.

A többi infódat meg tárolhatod text fájlban gpg-vel titkosítva, aminek a jelszavát szintén így generálod, az így kapott fájlt meg told fel több privát felhő tárhelyre.

Hát ez hogyismondjam... olyan kőbaltás verzió.
Én több problémát és hiányosságot is látok benne:

- ahhoz hogy ezt használd valahol, le kell írni és le is kell futtatni a 'generátort' -> elég lassú. Ha, meg leírod egy fájlba, akkor értelmetlen is egyből.
- top kimenetben, audit logokban benne van a szupertitkos módszered a titkos részével együtt.
- van ahol az URL-re sem emlékszel, mert mondjuk túl hosszú ahhoz.
- van ahol a usernévre sem emlékszel, mert mondjuk nem te választottad.
- nem lehet master jeszót cserélni, csak úgy hogy ha az összes jelszót lecseréled.
- minden esetben clear, olvasható formában ott lesz a monitorodon a titok is, a módszer is, és a kigenerált "jelszó" is (vs. egygonbos copy, anélkül hogy látnád a jelszót)
- nem kezel/tárol lejáratot
- nem lehet többféle hosszúságú és bonyolultságú jelszót generálni,
- telefonon, elég érdekese lehet ezt használni :)
- egyéb nem általad managelt remote desktopon/szerveren elég nehéz anélkül használnod, hogy ne adnád ki egyből 3. félnek a módszert és a titkot egyaránt.

és még biztosan van egy csomó minden, amit az átlagos pw managerek jobban csinálnak...

szerintem.

--
zrubi.hu

Idézet:
- ahhoz hogy ezt használd valahol, le kell írni és le is kell futtatni a 'generátort' -> elég lassú. Ha, meg leírod egy fájlba, akkor értelmetlen is egyből.

Már mint mi lassú? A fenti egyetlen szál parancsot leteszed egy shell fájlba és kész. Nehogy már kényelmetlenedd legyen egy lastpass telepítésnél :) A generátor script szabadon terjeszthető, sok sikert a feltöréshez :D

Idézet:
- top kimenetben, audit logokban benne van a szupertitkos módszered a titkos részével együtt.

És hogy kerül bele oda? Saját privát gépeden tudod használni bekopizni böngészőbe a jelszavakat, ott megjegyeztetheted és annyi. Akár még mester jelszót is használhatsz ott is és akkor még a profilodból sem lehet kinyerni.

Idézet:
- van ahol az URL-re sem emlékszel, mert mondjuk túl hosszú ahhoz.

URL alatt a domain nevet értem vagy egyéb hasonlót. Lásd a példámban: hup.hu

Idézet:
- van ahol a usernévre sem emlékszel, mert mondjuk nem te választottad.

El is hagyható akár a login név a jelszó generálásból. Megint csak azt látom hogy nemhogy problémát okoz a módszer, hanem sokkalta nagyobb szabadságot és privacy-t nyújt a többi felsorolt 3rd party cucchoz képest (vendor lock-in, adatok átnyújtása 3rd party-nek stb).

Idézet:
- nem lehet master jeszót cserélni, csak úgy hogy ha az összes jelszót lecseréled.

Nem is kell, ne akarjál cserélni. Ha meg igen (10 évente) akkor menjél végig az aktuálisan használt 20 szolgáltatáson és annyi. Vagy pedig ha csak egyetlen 1-en kell cserélni, akkor írj a végére egy 2-est amit le is jegyezhetsz egy publikus blogban.

Idézet:
- minden esetben clear, olvasható formában ott lesz a monitorodon a titok is, a módszer is, és a kigenerált "jelszó" is (vs. egygonbos copy, anélkül hogy látnád a jelszót)

Megbízható gépen szabad csak futtatni természetesen. Egy szakmai portálon ez alap szerintemm. Ugye a lastpass-t sem internet kávézós gépen telepíted vagy szomszéd vírusos gamer notebook-ján? :D

Idézet:
- nem kezel/tárol lejáratot

Mérlegre téve a kényelem kontra biztonságot (megbízhatóság), sokkal több problémát látok a 3rd party-knál. Lásd hírek.

Idézet:
- nem lehet többféle hosszúságú és bonyolultságú jelszót generálni

Nem is kell többféle hossz. Ha annyira gáz a szolgáltatás hogy csak 8 karaktert enged (volt itt fórumban is pár példa régebben), akkor az első annyi karaktert kell használni. Ha meg nem jó, akkor odaírható a string végére egy 2 vagy 3 karakter. Mérlegre téve a megbízhatóságát és platform és vendor függetlenségét, nekem még mindig ez felé billen a mérleg.

Idézet:
- telefonon, elég érdekese lehet ezt használni :)

Ha nagyon lusta vagy, akkor desktop-on gépeled be egyetlen egyszer (mehet vágólapon) és leszinkronizáltatod a böngésződdel minden eszközödön, kényelmes és gyors. Én mégis a begépelést javaslom a kényelemmel szemben biztonság javára. Szabadon választhatsz. Nem látok korlátokat.

Idézet:
- egyéb nem általad managelt remote desktopon/szerveren elég nehéz anélkül használnod, hogy ne adnád ki egyből 3. félnek a módszert és a titkot egyaránt.

Ezt a gondolat menetet sokkal tovább lehet vinni :) Mi van ha távolról figyelik a képernyőd vagy a billentyű firmware tárol minden egyes leütést stb stb :D

> Ezt a gondolat menetet sokkal tovább lehet vinni :) Mi van ha távolról figyelik a képernyőd vagy a billentyű firmware tárol minden egyes leütést stb stb :D

Billentyu firmware modositas helyett eleg egy kozeli mikrofon, egy filleres kutyu betoldva az USB kabelre, netan wireless hallgatozas. Pont ezek ellen, meg a megfigyelt kepernyo ellen jo a copy-paste egy jelszokezelobol.

A sajat biztonsagos gep meg nem alap, az OP is, meg sok valaszolo is beszel felhos mgeoldasokrol, meg "barhonnan elerjem" dolgokrol. Mondjuk en 10-en x eve nem irok be semmi titkot nem sajat gepen. (A munkaltato gepen nem szamit titoknak a melohoz kapcsolodo jelszo...)

Idézet:
A sajat biztonsagos gep meg nem alap, az OP is, meg sok valaszolo is beszel felhos mgeoldasokrol, meg "barhonnan elerjem" dolgokrol. Mondjuk en 10-en x eve nem irok be semmi titkot nem sajat gepen. (A munkaltato gepen nem szamit titoknak a melohoz kapcsolodo jelszo...)

Egyetértünk hogy munkahelyi infóhoz hozzáférhet a munkáltató.

Titkot én sem írok be nem saját gépen (vagy nem megbízható gépen). Itt nem látok problémát. Egyszer kell beírni a böngészőbe megbízható gépen és utána nem kell turkálni 10 évig. Böngészőből mehet a sync. Jobban megbízok benne mint egy garázs 3rd party-ban. A böngészőben amúgy is meg kell bízni.

Tehát teljesül a bárhonnét való elérés is.

Egyszer kell beírni a böngészőbe megbízható gépen és utána nem kell turkálni 10 évig

:))
Tehát akkor tulajdonképpen Te is használsz password managert. A böngészőbe épített vackot. De mivel az nem tud generálni, azért használod az általad leírt mókás cuccot. :)

Mondjuk van hogy nem csak böngészőbe kell ám jelszót megadnom, és nem, én nem bízom meg a böngészőmben annyira hogy az ÖSSZES jelszavamat neki adjam. És böngészőből is ~3 félét kell használnom, mert midegyik szar valamiben. A telefonomra meg még véletlenül sem szeretném, ha lekerülne minden jelszavam.

De nyilván mindenki másképp csinálja.
Én meggyőzni/rábeszélni biztosan nem akarok senkit semmire.
De "kezdőnek" továbbra is valamelyik password manager használatát javaslom.

--
zrubi.hu

Adott X böngészőn átmegy az Y oldalhoz tartozó jelszavad, simán "ellophatja" úgy is.
ÉS ha egy böngészőbe épített passwd manager-t használsz, akkor is ugyanott vagy kb.

Nem tudsz nem megbízni a böngésződben meg az OS-ben. :)

Tudom hogy qubes-t használsz, de be kell írnod a böngészőbe a jelszavakat, a böngészőnek pedig van net kapcsolata, tehát ha akár 100 VM-re külön szét is osztod a weboldalakat, ha a böngészőben van backdoor, ki tud menni az infó akárhová.

Az OS-ben ugye mindenképp meg kell bíznod, a böngészőnél meg azt lehetne csinálni, hogy minden VM kifelé irányuló forgalmát külön letűzfalazni, mely túl sok karbantartás.

Bar nem nekem szolt, de...

> Ez mar tehát ha akár 100 VM-re külön szét is osztod a weboldalakat, ha a böngészőben van backdoor, ki tud menni az infó akárhová.

En a kulonbozo projectekhez letrehozok kulon VM-eket, igy szukiteni lehet a szivargo adatok koret. Egyebkent meg lehet eldobhato VM-ekkel bongeszni, ugy meg nincs ami szivarogjon.

> [...] meg azt lehetne csinálni, hogy minden VM kifelé irányuló forgalmát külön letűzfalazni, ...

Qubesben meg is van csinalva, kulon firewall VM(-ek) ul(nek) a halozat es az AppVM-ek kozt. Konfigolashoz kapsz API-t, command line interface-t es graf ablakot is. Pl. a thunderbird-os VM-em csak a privat IMAP szerverem es gmail.com fele lat, minden egyeb DROP. Az xyz halozatba jelszo nelkuli SSH kulccsal belepo VM pedig csak a jump server IP-re lat, tobbi DROP.

> ... mely túl sok karbantartás.

Egyebkent lehetne csinalni egy olyan bookmark managert, hogy
- kattintasz a bookmarkra >
- uj eldobhato VM letrejon (masodpercek, mert futo allapotban pause-olt template alapjan keszul) >
- a tuzfal VM-ben letrejon a csak az adott oldalra kiengedo szabaly (a default a DROP) >
- VM-ben megnyilik az oldal

Idézet:
Egyebkent meg lehet eldobhato VM-ekkel bongeszni, ugy meg nincs ami szivarogjon.

Ha van net kapcsolata a böngészőnek és a böngészőt nem tartjuk megbízhatónak és nincs külön tűzfalazva, akkor ez nem igaz.

Elfogadom hogy mindent meg lehet csinálni, kérdés mennyire megy a kényelem rovására. Márpedig ha nagyon, akkor a gyakorlatban a napi stressz és rohanás mindig megkerülik, tehát nem lesz jó végeredményben.

> [...] akkor ez nem igaz.

Masrol beszelunk. En tok ures, mindig frissen letrehozott firefox profilokrol.

> Elfogadom hogy mindent meg lehet csinálni, kérdés mennyire megy a kényelem rovására. Márpedig ha nagyon, akkor a gyakorlatban a napi stressz és rohanás mindig megkerülik, tehát nem lesz jó végeredményben.

Egyeni preferenciatol es korulmenyektol fugg. Itt most csak a lehetosegekrol van szo.

"- a tuzfal VM-ben letrejon a csak az adott oldalra kiengedo szabaly (a default a DROP) >"
Ami jó eséllyel nem fog működni, pl. a CDN-ek miatt. :)

Igaz. Talan ugy mukodne (kompromisszumokkal), ha lenne noscript szeruen tanulo uzemmod:

Felugro ablak:
Ez es ez nem konkretan blokkolt, de eddig nem is engedelyezett iranyba akar kapcsolodni! Info: URL, domain, domain hasznalo, IP, AS szam, uzemelteto, feltetelezett foldrajzi hely, stb., kategoria: "Valoszinuleg CDN" Kiengedjem es felvegyem a DB-be legkozelebbre?

Advanced gomb: Tanulo uzemmod bekapcsolasa X percre/session idejere. (Figyelem, a tanulo uzemmodban felepitett kapcsolatokat a kesobbiekben is atengedem!)

Eleg maceras lenne.

Eleg maceras lenne.

Ti választottátok az öns*opatást :D

Szerintem ez _annyira_ nem önszopatás.

Minden weboldalnál kiválogatni minden behúzott JS-t, CSS-t, képet, stb.-t, amit külső oldalról húz be? Hát inkább előveszem a sajtreszelőt...

Hát az eleje az fájdalmas lenne egy darabig, az biztos.

De szerintem 1-2 nap alatt be lenne állítva az a néhány dolog, ami az én netes forgalmam 95%-át kiteszi, ha nem többet.

Nem olyan durva ám ez...
Én - Qubes OS alatt - úgy csinálom hogy:

- a premanens VM-ekben (ahonnan eleve csak "megbízható" oldalakat látogatok) Ublock Origin, Noscript Plugin (saját whitelist)

- az eldobható VM-ekben pedig csak Ublock Origin, ide jöhet bármi egyéb vacak, a session végén a VM is megy a kukába a sok szarral együtt.

Hogy kapcsolódjon is a témához: Jelszavakat egy network nélküli VM-ben futó KeePassX-ből copy-paste az adott VM-ben futó böngészőbe, vagy egyéb app-ba.

Így egszerre az összes jelszó egyszerűen nem tud komprommittálódni. És ez már óriási előny egy átlagos oprendszerben használt bármilyen megoldáshoz képest.

--
zrubi.hu

Nem macera folyton kezzel copy-pastelni a jelszavakat?
En eleg hamar meguntam, es ment fel egy Keefox. Lehet nem tudom eleg effektiven hasznalni a Keepasst?
QubesOS pedig felkeltette az erdeklodesemet, nagyon erdekes OS, koszi erte :)

Könnyen megszokható macera, amiért cserébe csak rajtad múlik, hogy mit honnan és hová másolsz.
Én nem bízom egyik autofill megoldásban sem. Vagy ha már ennyire kell a kényelem, akkor megjegyeztetem a böngészővel.

A kényelem és a biztonság az midig a "felhasználói élmény csúszka" két ellentétes végén van.

--
zrubi.hu

Keepass alatt az auto-type nagyon hatékony. Nekem az eszköztáron vannak gombok mindenféle kombinációra (felhasználó TAB jelszó ENTER, TAB helyett ENTER a kettő között), így nagyon gyorsan bárhova be lehet lépni.

Szia,

1password app is megoldható így?
Kicsit játszani akarok a Qubes rendszerrel, de a kódjaim 1password-ben van amit nem szeretnék leváltani

Bar en sem igy csinalnam, azert van igeny ilyesmire. Hasonlo modon mukodik a noscript is, meg pl. az apparmor is. Eloszor tanulasi mod, amikor "mindent enged", aztan normal mod, amikor minden uj dologert szol.

Az elv jó, csak sok helyen "a biztonság kedvéért" elvárják a kisbetű-nagybetű-szám-apámfasza kombinációt, tehát:

echo 1900NEGYVEN%\!/=$(echo "hup.hu prion correct horse battery staple" | sha1sum | cut -c 4-24)

Illetve sózzunk is, az is növeli a szekuricsit (valamit borsozzunk is):
echo 1900NEGYVEN%\!/=$(echo "hup.hu prion SaLT peppER correct horse battery staple" | sha1sum | cut -c 4-24)

Medzsik.

A másodikra nincs szükség szerintem, mert a jelszónak kell elég erősnek lennie. ha pedig elég erős, akkor ugye magába foglalja hogy nincs szükség további bonyolításra, főként azért is, hogy a megoldó képlet minél egyszerűbb maradjon és így minél könnyebben emlékezhess rá, tehát még speciális program vagy fejben tartandó struktúra se kelljen, hanem csak abból hash-eljünk, ami eleve rendelkezésre áll.

Ja, a smiley-t nem tettem ki. Én se gondoltam komolyan :)

ja ok :)

Én a B-Folders 5-t használom. Nagyon meg vagyok vele elégedve. nem csak passwordöt, de sok minden mást is remekül és kézreállóan tárol. Van Android, Win, és Linux kliense is. Nem felhőben tárol, hanem az adott kliensen.

Most tűnt fel, mi zavar: „Jelszó tárolás, hogyan?”
Egybeírva: jelszótárolás
Bocs :)

OFF: ez a minden szó különírása már az összes online oldalon és fórumon el van terjedve, itt a HUP-on is a topikok nagy részének már a címében megvan. Ennél a témánál legalább nem értelemzavaró. Szerintem annyira elterjedt, hogy nem érdemes belekötni, pedig engem is zavarni szokott, akárcsak az -ban/-ben helyetti -ba/-be.


„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek stb…” Aron1988@Proharder Fórum

Nem szoktam ugrani az ilyenekre, főleg a HUP-on, de Ő kérdezte, hogyan. Még nyomatékosította is egy vesszővel. :)

Zoho Vault esetleg? Bármiről eléred, és personal use-ra free.

Kockásfüzet + ceruza, vagy ha WORM megoldás kell, toll.
Ha olyan szép a kézírásod mint az enyém, a titkosítás is megoldott :)

f*sznak kell itt reklámozni ezt a f*st.

nem hup-ozok annyira h. tudjam h. troll vagy v. nem, de kifejtenéd érvekkel amit írtál? :O

mármint tényleg az lenne a cél, h. normális/jó legyen a leírás, hülyeségek nélkül.

örülnék ha megmutatnád mi a "f*s" benne, mert akkor természetesen kijavítanám és megköszönném.

az ő nevében nem tudok nyilatkozni, de próbaképpen megmutattam egy nem IT-s ismerősnek, aki a második (!) slide-nál jelezte, hogy ő ezt nem érti, a harmadiknál pedig bezárta az oldalt

a második slide a "tl;dr", azaz röviden összefoglalva, ha valaki nem akarja végigpörgetni az összes oldalt. ezen a visszajelzésen még gondolkodom h. mit kezdhetnék vele.

Egyrészt offtopic, másrészt tényleg minősíthetetlen szar az egész "prezi".

Nekem - nagyjából - hozzáértőként a tapasztalatom:
slide 1 - semmi hasznos
slide 2 - semmi hasznos
slide 3 - kb. annyira triviális, mint hogy az ég kék
slide 4 - szemét
slide 5 - szemét
slide 6 - egyik fele triviális, az alsó fele szemét
slide 7 - szemét

Na itt átváltottam fast fwd. módba, és tekerve is szembetűnően sok a szemét. Nem tudom ki és miből gondolja azt, hogy - egyáltalán nem - vicces képekkel kell telefosni egy prezentációt, erre max. az lehet mentség, ha "mennyiségre" kell készíteni, és a valós 3 oldalból kell 15-öt csinálni

A hozzá nem értő tapasztalatát pedig gelei fórumtárs már leírta.

slide 1 - semmi hasznos => ez a slide neve, meghagynám.

slide 2 - semmi hasznos => ez h. honnan lehet letölteni, meghagynám.

slide 3 - kb. annyira triviális, mint hogy az ég kék => ez egy tl;dr, azaz aki nem szeretné végignézni, röviden a lényeg, meghagynám.

slide 4 - szemét => "vicces" bevezető kép h. a jelszók rossz minőségűek, de update: töröltem.

slide 5 - szemét => update: törölve, szintúgy egy bevezető "vicces kép" h. az emberek még csak nem is értik h. mi a probléma.

slide 6 - egyik fele triviális, az alsó fele szemét => leírás h. miért kellenek pw-k. ezen gondolkodtam, de töröltem.

slide 7 - szemét => összesítő kép az általános jelszókról, biztos nem szemét

pár további képet töröltem, későbbi slide-okon

aránylag ritkák az ennyire nyers, kritikus, de őszinte (?) emberkék, szóval köszi, pls, continue, mert idáig csak a design részről írtál, a technikai mondanivalóról nothing yet.

Köszi!

Szia!

En azert nemikepp szofisztikaltabban kozelitenem meg a kerdest.

Vegignezve a slideokat, ha jol ertem, arra akarsz kilyukadni, hogy a szolgaltatasokhoz hasznalt jelszo az legyen a jelszokezelo altal generalt eros, "random". mig az a jelszo amivel bejutsz, az legyen altalad megjegyezheto, am ugzancsak "random".

(Habar az XKCD-s semat tobben kritizaljak, meg ugye ott van pl. a Stack Exchange thread is)

Elgondolkoztam:

Ha szotarral vagy egyeb modszerrel nekiallnak porgetni a master PW-met, akkor mondjuk (pusztan elmeleti sikon mozogva) egy kockadobassal valasztott nyelven letezo szolas/kozmondas is megfelelhet, olyat legalabbis meg nem lattam ilyen tablakban/szotarakban, azok meg boven 30 karakter felett vannak.

Ha meg a masik oldalrol nezem (ez tunik logikusabbnak): Ha nekiallnak GPU-val torogetni, tobb nagy listabol, szavankent, akkor sokkal kevesbe vagyok vedett mint egy akarmilyen masik modon generalt jelszoval, amiben van szam, specialis karater, irasjel, meg ami kell.

Ezt mindenkinek: De cafoljatok meg, ha nem igy van!

Udv.

5-6 db magyar szó egymás után elég. Ha 5 ezernek veszem a szókincset (de ugye ennél sokkal nagyobb, főleg a ragozások miatt) és abból veszek 6-ot, akkor már 2**73 a variációk száma. Ez elégséges szerintem.

Math.log(5000**6) / Math.log(2) => 73.7262742772967

Koszonom!

Udv.

Ha 10 ezernek veszem a szótárban lévő szavak számát (de a ragozás még ezt is szorozza), akkor 6 szóval kb 80 bit lesz az entrópia mértéke. Ez elegendő az alábbi forrás alapján:

https://www.reddit.com/r/dataisbeautiful/comments/322lbk/time_required_to_bruteforce_crack_a_password/

http://i.imgur.com/gfYw57t.png

Vagyis 10**15 db gépet használva több mint 300 év lenne a törés a jelenlegi teljesítményekkel.

A tablazat alapjan szamolva akkor kb. ket teljes fordulatot fog tenni naprendszerunk (es a komplett Tejutrendszer a kozeppontja) a Sag A* korul mire 10^15 geppel kisakkozzak. Az nem is rossz :D)

Udv.

Majd az egerek megrendelik...

Témához kapcsolódó videó, aminek tetszett a szemléletessége:

https://www.youtube.com/watch?v=S9JGmA5_unY

ppt-ben benne van h. mennyi egy 1 gpu alapú törés sebessége adott dolgon, pl.: egy átlagos jelszókezelő master pw-jén.

innentől kezdve mindenki döntse el maga, h. ki ellen védekezik, pl.: script kiddie v. vmi nagyobb szervezet, ki lehet számolni h. mekkora befektetés szükséges egy pl.: sima brute-hoz.

vkinek a legfontosabb pw-je a pizzarendelős oldal pw-je, valaki meg technikai vezető, godlike joggal mindenhez egy nagyobb cégen belül (high focus target, attacker would have high skills, budget "almost unlimited").

ebben a "jelszós dologban" emberek is részt vesznek, azért hasznos a két jelszótípus használata:

- FDE / desktop user pw / pw manager pw -> ez az egyedüli amit jegyezzen meg az ember, 4 random szó
- összes többi eset: pw manager.

de leírtam részletesebben az említett helyen

elolvastam az általad linkelt stackexchange-es thread-et, azt írják h. az xkcd-s 2048 szóból választott 4 random szó gyenge. ezt hála égnek már ~1 évvel korábban említettem a ppt-ben h. gépnek kell adnia a 4 random szót, megelőzve így a personal dolgokat ÉS megfelelő mennyiségű szóból legyen kiválasztva az a 4, nem csak 2048, külön összesítő táblázatot írtam rá h. mennyire kevés a 2048 választható szó.

érdekes h. a mai napig 7. osztályban általánosban alma/körtéket oktatnak, a helyett h. adnának egy jelszós példát, már akkor megértenék az emberek, h. a jó jelszó a hosszú jelszó.