Jó ideje használom nagy megelégedéssel a Bitwarden szolgáltatását. Elő is fizettem rá, mert olcsónak találtam és így a 2fa is támogatott.
Amin gondolkodom:
- böngésző plugin kezeli a bitwarden bővitményt
- olvastam valahol még régebben, hogy androidon kompromittálódott a webview, ami gyakorlatilag a teljes böngésző minden adatához hozzáfér. A pluginokhoz is?
- asztali gépen, ha mondjuk megfertőzi valami a böngészőmet akkor megy a mesterjelszóm és a teljes széfem a kukába?
Természetesen a bitwarden helyettesíthető egyéb népszerű pwmanagerrel is. Ezek közül többet is hallottam, hogy sikeresen feltörtek és hozzáfértek széfekhez.
Hint. Androidon FirefoxFocust használok, és van 2fa beállítva a Bitwardenhez is. Linux alatt Chrome böngésző van, azt nem hiszem, hogy valaki is megfertőzné, de win10 alatt simán elképzelhető, láttam is ilyet. Olyankor vitték pl a google jelszavakat is. Kérdésem: tudják vinni a bitwarden széfet is?
Ui. Most látom volt hasonló téma a hupon, de nem a jelszókezelők sérülékenysége, hanem a böngészőben tárolt jelszavak volt a téma.
Köszönöm a válaszokat!
Hozzászólások
lastpasson kívül melyik password managernél hallottál problémát?
de igen, szerintem jogos a felvetés, pl. a passbolt is a browser extensionben tárolja a private keyt... én sem használok browser extension-t... s még a browsert is konténerben futtatom
unix pass + rofi-pass minden problémámat megoldja... szépen begépeli a passwordot és nem csak weblapokra lehet használni
windowsra is ott van a pass-winmenu
Erről rofi passról még nem hallottam mit kell tudni róla?
https://en.wikipedia.org/wiki/Pass_(software)
én ma már gopassolok: https://github.com/gopasspw/gopass
ez csak ráépül a pass-ra...
de browser extension nélkül van autofillem...
még egy virtualboxban futó windowsba is befillelem a passwordot
Mingegyikről. Mondj egy olyant, csak egyetlenegyet, aminél az elmúlt 5 évben egyszer sem volt biztonsági probléma.
Konkrétan a bitwarden, amit az OP használ, na az is lukas, mint az emeltáli (de legalább bevallják, hogy security-ból megbuktak).
Tavaly (2023 március) volt is egy kissebb balhé jelszólopás miatt körülöttük, állítólag már befoltozták.
Bakker. Csak beleolvasgattam, de durva sérülékenységeket találni. Nem is gondoltam volna. Szerk. És ezek csak a kiderült/bevallott hibák. Mi lehet amiről még nem tudunk?
Azért szépen javítgatják és rendesen auditálják, van bounty programjuk is, nem mondanám ezek alapján ementálinak... https://bitwarden.com/help/is-bitwarden-audited/ A többi jelszókezelőnél nekem szimpatikusabb egy open source projekt.
A listázott hibákra is csak azt tudom mondani, hogy tenni kell a szivárgásért. A hülyeségre nincs megoldás.
Aki vett már részt security auditon, az tudja, mekkora blama az egész. Több köze van a politikához, mint a szakmaisághoz.
Igen, például a szivárogtatáshoz csupán azt kell tenni, hogy jelszómenedzsert használsz. A megoldás az, hogy nem kell semmilyen jelszótárolót használni.
/tinfoil hat ON
A helyzet az, hogy a jelszótárolásnak az a célja, hogy egy helyen össze legyen gyűjtve az összes hozzáférésed, így ha az FBI/NSA/KGB/FSZB/Mosad/stb. hozzáfér a gépedhez, akkor egyből tudják, hogy milyen távoli szolgáltatásokat használsz, és még a belépési azonosítóid is egyből meglesznek nekik. Mindössze egyetlen mesterjelszót kell lokálban megtörni, és kész is; ahelyett, hogy találgatni és külön-külön feltörni kéne a potenciális rendszereket távolról. (*)
Merthogy erre lett valójában kitalálva a jelszómenedzser, nem másra, minden más csak szemfényvesztés meg marketing bullshit. A bökkenő csak az, hogy rajtuk kívül bármelyik rosszfiú kezében is éppúgy használható, és ezt sehogy sem lehet kivédeni. Az sem segít, hogy rengeteg bennük a bug, és emiatt időnként egyébként is szivárogtatják a jelszavakat.
Az egész pont arra emlékeztet, mint amikor a 90-es évek vége felé tele volt a net olyan gif bannerekkel, amik pontosan úgy néztek ki, mint egy Windows-os ablak, és az volt rájukírva, hogy "Vírust találtam a gépen! Ide kattintva telepíthető a vírusírtó". Persze mondani sem kell, hogy pont a bannerre kattintva települt a vírus. Na ez a jelszómenedszer is valami ilyesmi, azt mondják, a biztonság érdekében van, holott pontosan azzal vágod haza a biztonságot, ha használod.
(*) - fontos különbség, hogy míg a távoli próbálkozások esetén jellemzően pár sikertelenség után letiltódik a hozzáférés, addig helyben annyiszor próbálkozhatsz a mesterjelszó feltörésével, ahányszor nem szégyelled, nincs semmiféle retorzió a sikertelen próbálkozásokért. Vagy ha sietős a dolog, akkor bedobhatod egy cloudba, fertőzött gépekből álló botnet hálózatra (a'la SETI), kibérelhetsz egy kínai kattintófarmot, stb. ahol több 1000 vagy akár 10000 szerver párhuzamosan próbálkozik vele, és pikk-pakk megtalálja valamelyik a helyes mesterjeszót. Mégegyszer, a távoli eléréssel ellentétben a mesterjelszóval bármennyiszer próbálkozhatsz.
/tinfoil hat OFF
Az auditálást egy open source projektnél szerintem komolyan lehet azért venni, mégis csak sokan vagyunk paranoiásak, utána néznek sokan, hogy komoly audit cég volt e stb…
Komolyabb cuccokhoz (bankok, meg társaik) memorizált, egyedi van.
Ha fel is töri a mesterjelszót a kvantum szuperszámítógépekből álló, nem kétforintos botfarmjával, akkor a 2fa miatt úgysem tud bejönni, meg kapok értesítést is… Ha mégis bejutna a spotifyomba vagy a youtubeomba akkor hajrá, emailjeim közt megtalálhatja milyen műcsalit rendeltem faternak japánból. :D
Szerintem ha ezek mentén használja valaki a jelszókezelőt, mindenhol más jelszót használ és hajlandó legalább 4-5 egyedi, bonyolult jelszót memorizálni a kritikus cuccaira és ezeket nem tárolja a kezelőben, akkor nincs ezzel az égvilágon semmi baj. Kb kerülni kell az egyetlen béna jelszókezelőt a lastpasst és ennyi. :)
edit: elütések
A tárolt jelszó adatbázist hiába viszik, ha erős a master password, nem tudnak vele mit kezdeni. A Lastpass incidensnél is (amikor a felhős tárolójukból ellopták a valult állományokat) csak annak kellett cidrizni, aki valami banális, rövid, egyszerű master password-ot használt.
A 2FA ugye csak a szolgáltatás használatakor véd pluszban, annak a tárolt jelszavakhoz semmi köze, azokat a kellően erős master password védi.
A Bitwarden oldala szerint a lokálisan tárolt verzió is titkosított, dekódolva kizárólag a memóriában tárolja, kizárólag addig, amíg nincs lezárva a fiók. Tehát, ha beállítod, hogy pl. 5 perc tétlenség után zárjon le a széf (akár a browser ext-ben, akár a telepített appban), akkor törli a memóriából a visszafejtett verziót. Diszkre soha sehol nem ír ki titkosítatlan adatot, hálózaton soha nem küld titkosítatlan adatot. A master password-ot sehol nem tároljűk, tőlük, vagy a gépedről az nem szerezhető meg csak billenyűzet naplózó cuccal.
Androidon (legalábbis Chrome-ban) nincs browser plugin, csak natív app. Az ugyan így működik, mint a fenti dekstop-os leírás.
Természetesen, ha az adott gépre felkerül bárhogy a rosszindulatú szoftver, ami fel van készítve Bitwarden lopásra, akkor nyilván előbb-utóbb a hekkerek találnak módot a memóriában lévő dekódolt információ megszerzéséhez. A konkrét gépre felkerült, működő malware ellen nem igazán tud semmi jól védekezni (szerintem). De nyilván billentyűzetet naplózni, majd a titkosított vaultot ellopva a lenyúlt master passal kinyitni sokkal könnyebb, mint a memóriában kikeresni és hozzáférni a dekódolt verzióhoz.
Hű, nagyon köszönöm. Gyakorlatilag minden kérdésemre választ kaptam Tőled. Gyakorlatilag tehát akkor van gond, ha mondjuk a bejelentkezéshez használt e mail jelszava megegyezik mondjuk a master passworddal. Vagy ugyanazzal a mail-jelszó párossal jelentkezik be. Bár ilyen butaságot nem hiszem, hogy sokan elkövetnének. Bár mondjuk láttuk pl az otp simple fiókokat is vitték, ahol egyezett a bejelentkező mail-jelszó páros. Mondjuk meg is érdemlik szerintem.
Még valami. Ezek szerint a böngésző fertőzése nem érinti a pwmanager pluginját?
en csak offline (local) jelszokezelot hasznalnek, semmi felhos meg bongeszobe integralt bigyot...
keepassxc? meg screenshotot se lehet rola csinalni :)
+1 a KeepassXC-re, sok éve használom.
Viszont hogyne lehetne róla screenshotot csinálni? Ezt nem is értem.
"Sose a gép a hülye."
hat en sem ertettem. nemreg egy kolleganak at akartam kuldeni egy belepest, eleg sok info volt irogatva megjegyzesbe is stb, egyszerubbnek tunt screenshotot csinalni rola mint a sok mezot egyesevel atmasolgatni emailbe. hat 3x megcsinaltam es mind3x hianyzott a keprol, mintha nem is lett volna ott a keepassx ablaka, a mogotte levo ablak tartalma volt a screenshoton...
gondolom van benne valami security feature hogy ilyenkor hide-olja az ablakot egy pillanatra vagy valami...
https://keepassxc.org/docs/KeePassXC_UserGuide#_screenshot_security
"By default, KeePassXC prevents recordings and screenshots of the application window on Windows and macOS"
Jah... Én Linuxon vagyok.
"Sose a gép a hülye."
en meg varom a linux desktop evet... addig marad a mac
Megneztem volna Linuxon ezt hogy oldjak meg a 600 kulonbozo screenshot keszito megoldassal :D
Ilyenkor lehet hasznos a keepass-cli.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
No igen. Offline. De nekem teljesen megoszlik a használatom asztali és mobil közt. Akkor pedig ugye kézzel kellene szinkronizálnom az adatbázist. Nem nagy dolog lenne. Hisz ha egyszer felvitted a legtöbb belépésedet utána azért nem ilyan gyakran bővül már.
De a kényelem nagy úr.
> kézzel kellene szinkronizálnom
igen, ugy kene... de van aki felrakja pl. sajat owncloud/nextcloud tarhelyre, vagy esetleg valami felhos tarhelyre a titkositott filet.
> De a kényelem nagy úr.
hat a security es a kenyelem mindig ellentetes volt egymassal
KeePassXC-t használok desktopon (linux, win, akármi), Androidon pedig KeePassDX-et (F-Droid-ról). Kompatibilisek egymással. Nem használok browser extension-t.
A szinkronizálást pedig privát Nextcloud felhővel oldom meg.
Nálam jelenleg ez a középút a security és a kényelem között.
Androidra az F-Droid-ról telepítek minden opensource alkalmazást.
Syncthing
"Sose a gép a hülye."
nem maga a password manager a biztonsági probléma/kérdés, hanem a mindenféle 'felhasználói élményt' javító pluginok!
szerintem
én mindig is maradtam a manuális copy-paste megoldásnál.
(de pl a céges policy ennél sokkal lazább, így ott én sem szivatom magam a kelleténél jobban)
zrubi.hu
a copy-paste-tel az a baj, hogy menet közben bármelyik szoftver kiolvashatja a clipboard tartalmát
Valóban, nincs ultimate megoldás. :)
De ha a géped már kompromittálódott - hiszen azt feltételezed hogy valamelyik szoftver direkt el akarja lopni a clipboard tartalmát - onnantól egészen más a valós probléma, nem a password manager lesz a bottleneck.
Ráadásul - így is csak azt (az egyet) tudja ellopni amit épp használsz, nem az összeset!
A pluginok - és egyéb kényelmi fícsörök - ezzel szemben ugyanis bármelyik jelszót ki tudják olvasni...
szóval mérlegelni kell, és az eredmény alapján kiválasztani a célnak leg megfelelőbb megoldást.
szerintem.
zrubi.hu
ez teny. de akkor ne masold at az egesz jelszot, pl. az elso vagy utolso 2-3 karaktert ird be kezzel. akkor "csak" a keyloggerek latjak :)
vagy hasznalj 2FA-t, akkor ugyis a kukit fogjak kilopni a bongeszobol, nem a jelszot :)
Jó, de ha már olyan ártó szoftver felkerült a gépre, hogy ezeket olvasgatja helyben, akkor már úgyis megette a fene az egészet, nem a jelszókezelőd fog már számítani, az a rendszer elesett.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Én saját scriptet használok terminálban, ami egy plain text adatbázisfájlt titkosít ki-be opengpg-vel, AES256 szimmetrikus kulcs, de használhatnék openssl-t is helyette. Kicsit kőkorszaki megoldás, mert pl. böngészőbe neked kell másol-beilleszt műveletet megejteni, meg szinkronizáció sincs, a tiktosított fájlt kézzel mentegetem eszközökre, meg online tárhelyre, de működik már sok éve. Még androidos telón is, a OpenKeyChain nevű alkalmazással, Windowson elfelejtettem, hogy mi az alkalmazás neve, ami kezeli az opengpg-t.
A pass se rossz, amit ajánlottak, ahhoz valóban van dmenu, rofi, meg hasonló interface. A pass is opengpg-t használ.
Előtte pár évig keepass-t használtam, keepassxc klienssel, meg keepass-cli (kpcli) klienssel, de ez utóbbi állandóan eltört, mert Perl alapú, és az Arch alatt állandóan frissülő Perl Rijandel kriptomodul állandóan inkompatibilis lett vele, és meguntam a szórakozást. GUI klienst nem akarok használni, ha nem feltétlen muszáj. Más gond a keepass-szel nincs, arra is van androidos app.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Keepass platformhoz való verzióját használom telefonon és számítógépen. A titkosított adatbázis a Google drive-on van. Nincs böngésző plug-in telepítve. Nem hallottam még komoly kockázatról ami ezt a felállást veszélyeztethetné.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Igen.
Konkrétan a bitwarden esetében is loptak így jelszavakat a honalpok: https://flashpoint.io/blog/bitwarden-password-pilfering/
Én LAN-on használok Vaultwarden-t. Csináltam egy saját CA-t, amit felraktam az eszközeim-re és így a HTTPS is megy az asztali és mobilapp-ban, de a netre nem megy ki, mert csak a belső IP-n érhető el. Így kliens oldalon lehet sebezhetőség, de magához a kiszolgálóhoz az fér hozzá, aki bejut előbb WireGuard-on. Sose értettem, mi értelme selfhost-olni a jelszókezelőt, úgy, hogy bárki elérheti a login page-t és próbálkozhat...
TheAdam