KeePassXC 2.5.2

Szerszám

Megjelent a KeePassXC jelszószéf szoftver 2.5.2-es kiadása. A KeePassXC a KeePassX közösségileg forkolt verziója. Változások listája a bejelentésben.

( fdavid | 2020. 01. 05., v – 16:27 )

Szerkesztve: 2020. 01. 05., v – 16:30

Amíg nem tud szinkronizációt, addig a keepass-szal sajnos nem versenyképes.

Szerintem az elvárható egy informatikai portálon, hogy a file szintű és az adatbázis szintű szinkronizációt ne keverjük. Tudom, hogy a keepassxc fejlesztők is ilyen okos kifogással élnek, de azért ez nem túl ütős érv.

A keepass akkor is tud szinkronizálni, ha párhuzamos módosítások voltak.

Hohó, én nem érvelek, hanem kérdezem (másodszor) hogy akkor pontosan mit és hova szinkronizál a sima keepass, amit az xc nem tud? :)

(halkan jegyzem meg hogy a magánéletem során a felhő, google, microsoft, facebook és egyéb hívószavak meglehetősen tiltólistán vannak).

Szerintem automatikusan megoldódik a gond, az egyik gépen frissíted az adatbázist, a másikon észreveszi a Keepass hogy frissült, és újratölti. Nem kell mergelni semmit. Legalábbis Nextcloud és két desktop Linux mellett nálam ez volt. De van hozzá fantáziám, hogy egyes esetekben ez mégsem működhet.

Ez azt feltételezi, hogy folyamatos a kapcsolat a clouddal. Én nem használok cloudot, de ha használnék is, akkor is csak a privát hálón menne. (A megosztott jelszó file most is csak privát hálón érhető el, webdavon.) Ha viszont nincs mindig minden eszköz a privát halón, akkor nyugodtan előfordulhat, hogy párhuzamos változtatások vannak.

A párhuzamos változtatásokkal kapcsolatban igazad van, de ez engem nem érintett, mert ritkán (1-2 hetente) adok hozzá vagy módosítok entry-ket, plusz a két gépből mostanra csak egy lett, meg a szerver. A "felhő" nálam privát felhőt jelent (on-premise Nextcloud nappaliban :). Elérhető az Internet felől, de kizárólag titkosított csatornán (HTTPS). Persze lezárhatnám, és elé rakhatnék egy OpenVPN -t még, de nem akarok feleslegesen bonyolítani.

Egyszerre csak az egyik gépen módosítok, majd odaülök a másik elé, és letölti újra. Nem több felhasználóról van szó. Nálam legalábbis. Persze ha egy nagyobb szervezetben többen kezelik folyamatosan akkor kell valamilyen jól műküdő megoldás erre.

Az amiról te beszélsz szintén megoldható KeeShare-rel. Sőt, azzal célszerű szerintem. Btw, én is saját hostolású nextcloudot használok, kifelé a neten https-en keresztül és tökéletesen működik a sync, méghozzá on-the-fly. (webdav-on keresztül) Nincs szükség újratöltésre sem, ha pedig ugyanaz az elem módosult, akkor felajánlja a merget.

It is our choices that define us.
Thinkpad X1 Carbon | Arch linux

Mit jelent a szinkronizáció, amit a keepass tud és a keepassx nem?

Windows alatt a Keepass-t Linux alatt a KeepassX-et használom (mobilon meg Keepass2Android), és a fájl meg a Google Drive-omon van.

A neten a keepass sync keresésre olyan találatokat kapok csak, amik azt mondják, hogy a keepass nem szinkronizál, hanem magamnak kell megoldani.

Linux alatt a KeePass2-t is kipróbáltam, csak egyfelől egy .net-re épülő bloat, másfelől meg szeretem azt, hogy a többiben incremental search van.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

( log69 | 2020. 01. 06., h – 17:01 )

Szerkesztve: 2020. 01. 06., h – 17:01

Miért jó egyetlen 3. félre bízni az összes jelszót minden belépéshez? Egyetlen frissítésnél tesznek csak bele backdoor-t, a következőben meg javítják és senki nem fogja soha megtudni hogy kiment az a pár byte a mester kulcsról. Miközben minden (általam használt) szoftver tud jelszót megjegyezni. A böngészők meg eszközök között is tudnak sync-elni. Gondolom jobban megbíztok egy nagy cégben mint egy kis 3rd parytban, ha már úgyis odaadjuk a jelszót a nagy cég szoftverének. Felesleges extra rizikó faktornak tűnik. Valamelyikről ki is derült pár éve hogy biztonsági gondjuk. Mi részetekről a fő érv egy ilyen jelszó kezelő mellett?

A KeePass-t én nem engedem ki netre, így annyira nem félek attól, hogy valami szerverre fellövi a mester kulcsot. Én ebben a felállásban jobban megbízok, mint valami Google Sync / LastPass jellegű dologban, ahol végképp nincs mód arra, hogy tűzfalazz, vagy beleláss a forrásba. Bár Chromiumban használok Google Sync-et, de csak kevésbé fontos loginokat tárolok benne.

Csak úgy szólok, hogy a legtöbb szoftver (pl. böngésző, levelezőkliens, stb.) alapból titkosítatlanul tárolja el lokálisan a jelszvaidat, ugyanis a titkosításhoz kellene egy mesterkulcs. A helyzet még viccesebb, ha még ezeket valami profilba szinlkronizálod is ... Így még backdoor sem kell.

Nem az a kérdés alapból hogy ha vannak lehetőségek, miért nem él vele valaki. Ez jobb mintha nem lenne és nem tudnál vele élni. Az mindenki magán dolga hogy ha nem használ.

A kérdésem az, hogy mivel tud mester jelszót (sztem thunderbird is, talán azt írtátok feljebb). Ennek tudatában és a 3rd party cucc rizikója tudatában (és a koncentrált sok jelszó tudatában) milyen érv szól mellette?

Ne haragudj, de egy mail klienst, egy böngészőt meg egy jelszó kezelő applikációt hogyan lehetne funkcionalitásban felcserélni? Neked csak email és weboldal jelszavaid vannak? Mi az hogy 3rd party tool. Mindegyik csak szoftver. Jobb esetben open source, de mondjuk ez sem feltétlenül igaz. Van mindegyikből closed source is.

Mitől lenne egy jelszókezelő applikáció kockázatosabb egy böngészőnél vagy egy mail kliensnél?

Hol tárolod a nem e-mail és nem weboldal jellegű jelszavakat?

A koncentrált sok jelszó miért nagyobb kockázat, mint egy e-mail jelszó, amivel rengeteg account jelszavát le lehet kérni. Jó most már elégge terjed a 2FA, de még fél évvel ezelőtt egy e-mail cím eleég sok accounthoz is nyújthatott hozzáférést. A webböngészőben meg email kliensben nem koncentráltan vannak tárolva jelszavak?

A jelszókezelő applikációval ugyanúgy tudsz több kisebb adatbázist létrehozni vagy akár többféle jelszókezelőt használni, ha nem egy nagy adatbázist akarsz.

Szerintem a kérdés az, hogy milyen érv szól ellene?

Nem kötelező kiengedni az internetre, plusz nem tudom, hogy a böngésző-specifikus megoldás mennyivel jobb. Arról nem is beszélve, hogy így böngészőhöz sem vagyok kötve, én pl. desktopon Firefoxot, mobilon Chrome-ot használok.
Plusz ez igény szerint tud kellően nagy entrópiával rendelkező jelszót is generálni.

A magyar ember jelképe a hátrafelé nyilazás. Vakon rohanunk a semmibe, miközben a múltunkat támadjuk.

Én 1.0 óta Firefoxot használok desktopon, ott azt szoktam meg. Mobilon viszont sokáig nagyon gyenge volt a Firefox, ezért fel se merült, hogy azt használjam.

Amúgy meg valamennyire vendor lock-in, sokkal jobbnak tartom a transzparens megoldásokat.

A magyar ember jelképe a hátrafelé nyilazás. Vakon rohanunk a semmibe, miközben a múltunkat támadjuk.

Transzparens, mert eszköztől, operációs rendszertől és böngészőtől függetlenül elérem a jelszavakat. Ráadásul nyílt API-n keresztül, vagyis igény szerint tovább bővíthető.

Pl. A HUP-ot kellett párhuzamosan tesztelnem FF, Chrome és Edge alatt is, plusz desktopon és mobilon.

A magyar ember jelképe a hátrafelé nyilazás. Vakon rohanunk a semmibe, miközben a múltunkat támadjuk.