Felhasználod-e ugyanazt a jelszót több weboldalon is?

Titkosítás, biztonság, privát szféra

Minden weboldalhoz egyedi, nehezen visszafejthető jelszavaim vannak.
28% (88 szavazat)
Minden weboldalhoz egyedi, könnyen visszafejthető jelszavam van (pl. algoritmussal a weboldal nevéből generált jelszó).
4% (13 szavazat)
A fontos oldalakhoz minőségi, a kevésbé fontosakhoz ismétlődő / generált jelszavam van.
40% (124 szavazat)
Van néhány nehezen visszafejthető jelszavam, amit ismételgetek a weboldalak között.
13% (41 szavazat)
Van néhány könnyen visszafejthető jelszavam, amit ismételgetek a weboldalak között.
4% (11 szavazat)
Egy jelszavam van, mindenhová azzal lépek be.
3% (8 szavazat)
Egyéb, leírom.
2% (7 szavazat)
Csak az eredmény érdekel.
6% (18 szavazat)
Összes szavazat: 310

( Vamp | 2019. 05. 25., szo – 14:45 )

*A fontos oldalakhoz minőségi, a kevésbé fontosakhoz ismétlődő / generált jelszavam van.

Erre szavaztam de igy pontos:

A fontos oldalakhoz ketfaktoros, a kevésbé fontosakhoz ismétlődő / generált jelszavam van.

( dhary | 2019. 05. 25., szo – 16:47 )

az elsődleges emailemhez egy kellően hosszú (mondat) jelszavam van, többi legalább 18 karakteres generált

( uid_18247 | 2019. 05. 25., szo – 20:50 )

"Egy jelszavam van, mindenhová azzal lépek be." - Ez az őrültség 3 szavazatot kapott az eddigi 96-ból. Statisztikailag nem biztos, hogy szignifikáns, de legalább lesújtó.

----------------------------------
szélsőségesen idealista, fősodratú hozzászólás

Ha a lastpass vagy a keepass mesterjelszava derul ki/leakelodik ki, az effektive ugyanaz a vegeredmeny, mintha mindenhova (nagyjabol) ugyanaz lett volna, csak legalabb a fejedben biztonsagban van az utobbi.

Egy lastpass/keepass/etc. tomeges mesterjelszo leak eseten raadasul script kiddie-k es foreach botok tamadnak, mikozben "ugyanaz a jelszo mindenhova" csak celzott tamadas eseten veszelyes, ha emiatt teheted meg, hogy cserebe nem kell hasznalnod jelszomanagert. :)

(Nem arra szavaztam, de nem szeretem, amikor a jelszomanager userek felsobbrendunek erzik magukat. Kerdes, hogy 1, 10, vagy 50 evig lehet meg ekkora arcuk)

A keepass alapvetoen egy offline, titkositott file.
Persze feltoltheted Dropboxba az adatbazist, de amig nem teszed, addig nem ugyanaz, mint a lastpass.

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

Ez nagyon jol hangzott, amig volt egy gep, amihez leultel, es soha sehol mashol nem kellett sehova belepned. Ellenben ma nem az otthoni vagy a munkas gepednel, hanem akar a vilag masik vegen egy telefonon vagy egy tableten kellhet peldaul a netbankos jelszavad. Nos, ilyenkor valaszthatsz:
-random generalt megjegyezhetetlen jelszo "valami cloudban"
-jelszo, amit azert tudtal megjegyezni, mert mindenhova mashova is ugyanaz
-jelszo a fejedben, amit azert tudtal megjegyezni, mert legalabb hasonlit a tobbire

En a legutobbira szavazok. Es ido kerdese, hogy a szakma is. Az elso ketto szerintem ugyanolyan veszelyes, csak az elsorol meg nem derult ki, hogy atlagos esetben meg a masodiknal is veszelyesebb.

-Randomgeneralt jelszo keepass adatbazisban az otthoni gepemen. (ott kell a legtobbszor)
-Ez szinkronizalodik (ssh+rsync) a telefonomra (meg backup ugyanigy a gepre).
-Laptopra sshfs-sel fel szoktam mountolni az otthoni gepemet meg a telefonomat, ha azon kell valamelyik jelszo.

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

Akár.

Bár ha a saját laptopomra valaki keyloggert tud tenni, akkor kb. már úgyis mindegy, mert a fájljaimhoz is hozzáfért.
És ha valaki annyira meg akarja szerezni a jelszavaimat, hogy feltörné a laptopomat, hogy keyloggert telepítsen, akkor akár vehetne 5$-ért egy csavarkulcsot is.

Most eloszor is ulj le, mert ez a felelet 1-es.

Aztan gondold at, hogy minek a feltoresere van nagyobb esely: egy egyetlen helyen (lastpass) hasznalt jelszo, tobbfaktoros auth-tal megspekelve vagy pedig egy nyakra-faszra hasznalt, ilyen-olyan webshopok plaintext adatbazisaban tarolt, sima HTTP-n atkuldott jelszonak?

Ha megvan a valasz, akkor mar bizonyara az is vilagos, hogy pontosan kinek is kene itt az arcabol visszavenni.
Addig pedig varjuk szeretettel a forrasmegjeloleseket tomeges lastpass/1password/keepass adatbazis toresekkel kapcsolatban.

Ez igaz. Egy szoval sem mondtam, hogy feltorhetetlen vagy nem lehet benne hiba. Csak azt, hogy meg igy is nagysagrendekkel jobb modszer, mint tobb helyen ugyanazt a (megjegyezheto) jelszot hasznalni.

Amugy ha jol tudom, mar volt tobb biztonsagi incidens is a LastPass-nal, a jelszavakhoz megsem sikerult hozzaferni, szoval valamit azert megiscsak jol csinalnak.

Par honapja gondoltad volna, hogy a Facebooknal vannak plain textben tarolt jelszavak?

Es ha nem mesterjelszo, hanem az osszes tobbi, ami nem is lehet hashelve, mert "vissza kell adni tizedmasodpercek alatt" - az leakel? Igen, pont az a jelszo, amit egy script konnyen tomegesen elolvas, te meg buszke voltal ra, hogy meg te se tudtad volna oket megjegyezni, plane, hogy mind teljesen kulonbozo volt.

OpenID

Amelyik oldalra ilyennel nem lehet regisztrálni, arra nem megyek.
Egy jelszó mindenhova, mégis biztonságos.

Csak azért írom, mert kifiguráztátok ezt a választ, meg állítólag trollkodás is, de bizony nem az.
És semmivel sem rosszabb, mint a Keepass meg a többi marhaság.

Persze, ha valaki úgy érti, hogy tényleg minden oldalra külön regisztrál és ugyanazt a jelszót használja, akkor azt nagyon rosszul teszi.

TROLL ON
U.i.: az OpenID-s lehetőség hiánya sajnos a hup.hu számára is hiányosságként róható fel.
TROLL OFF
Na, így kell trollkodni. :)

--

nTOMasz
"The hardest thing in this world is to live in it!"

( Nyosigomboc v | 2019. 05. 25., szo – 21:14 )

Keepass legeneralja - ha kerem, megjegyzi, semmi okom, hogy azonos legyen weboldalak kozt.

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

( SzBlackY | 2019. 05. 25., szo – 21:36 )

Egy jelszavam van, mindenhová azzal lépek be.

t4rt0sb3k3

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( gee v | 2019. 05. 26., v – 03:10 )

Erre szavaztam: *A fontos oldalakhoz minőségi, a kevésbé fontosakhoz ismétlődő / generált jelszavam van.

De az igazság az, hogy sok kevésbé fontos weboldalhoz is minőségi jelszavam van, a régen választott ismétlődő/generált jelszavakat időnként lecserélem jó jelszóra, ha valamiért épp arra járok. (főleg az ismétlődőket - talán nincs is már olyan).

( elod v | 2019. 05. 26., v – 09:37 )

Hosszú ideig ugyanazt a jelszót használtam a tét nélküli lapokra (fb, linkedin, stb).

Elkezdtem KeePass-t használni, a fontosabb oldalakon már lecseréltem azóta. Egyedi (de kitalálható) emailt használok minden oldalon, ez elég hasznos tud lenni.

( meditor | 2019. 05. 26., v – 12:31 )

Egyéb, ugyanis egy ilyen kérdésre nem válaszolok.

> Sol omnibus lucet.

( uid_4263 v | 2019. 05. 26., v – 22:19 )

Egyéb: minden, jelszót igénylő eszközhöz, szolgáltatáshoz vagy weboldalhoz egyedi, generált, erős jelszót használok.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Egyéb, leírom lehetőséget választottam. Van egy gmail-es fiókom, aminek legalább 20 hosszú jelszava van kis-, nagybetű, szám, metakarakter kombóval. Ebben van egy keepass file, aminek hasonlóan bonyolult jelszava van. A többi oldalra pedig generáltatok a keepass-szal egy 16 hosszú jelszavat, általában kis-, nagybetű, szám kombóval, mivel volt már pár oldal, ahol beleszaladtam abba, hogy metakaraktert raktam a jelszóba, aztán meg nem tudtam belépni, mert utólag közölte az oldal, hogy tiltott karaktert tartalmaz a jelszavam. Ebből a legemlékezetesebb eset a Mass Effect online része volt, ezért meg kellett változtatnom az Origines jelszavamat.

Androidon is nextcloud kliensből nézem meg. Ez azt jelenti, hogy fizikailag nincs a telefonon. Amikor elindítod a nextcloud klienst, megböngészed benne a mappákat, majd ráböksz a kdbx fájlra, akkor temp folderbe tölti csak le, amit elég hamar letakarít. Onnan csak nézegetni szoktam, frissíteni csak laptopról.

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

( zrubi v | 2019. 05. 27., h – 09:25 )

Érdekes választási lehetőségek :D

Mi az hogy "nehezen/könnyen visszafejthető" ???
kitalálhatóra gondoltál?

mert ha bármi másra (pl bruteforce), akkor az leginkább nem a jelszavadon múlik, hanem az alkalmazáson ami bekéri, ellenőrzi...

a kevésbé fontosakhoz ismétlődő / generált jelszavam van
És itt a generált az rossz??
vagy a szoláltatás által "generált" és neked megküldött-re gondolt a költő??

+ szerintem a "minőségi" jelszó is igen tág fogalom... :)

vagy csak én nem értem miről is szól ez? :o

--
zrubi.hu

Én úgy értelmeztem, hogy a generált az, hogy valami minta alapján ő (te, én) generálja fejben.

Pl. PassHUP123 a hup-ra, PassOTP123 az OTP-hez, PassGmail123 a Gmail-hez. Szóval ha valaki meglátja két weboldalhoz használt jelszavadat, akkor a minta alapján tudják (vagy nagyon kevés próbálkozásból lehet kitalálni), hogy mi lesz a harmadik oldalon a jelszavad.

( denton | 2019. 05. 27., h – 10:02 )

A legtöbb gagyi webhelyhez ugyanaz a jelszavam, ahol fontosabb adatok vannak, oda egy másik komolyabb. Ezeken a helyeken szinte mindig van többlépcsős azonosítás, így teljesen mind1, hogy tudják e a jelszavamat.

( zeletrik | 2019. 05. 27., h – 10:21 )

Alapvetően van 5 még WPA2-höz generált jelszavam, azok már beleégtek az agyamba, kicsit erősítettem rajtük és nagyrészt azokat használom.
Fontosabb oldalakhoz pedig 2FA is bevan lőve. Na de persze vannak random oldalak ahová még a felhasználót se tudom csak a Chrome-ba van lementve mert 1x valamikor kellett onnan valami aztán talán még majd kellhet még valami de max évente 1x lövöm fel és semmi adatot nem tartok rajtuk.

return signResponse.getSignForUser("zeletrik").map(SignResolvable::getSign).orElse(StringUtils.EMPTY);

( veyron007 | 2019. 05. 27., h – 22:24 )

Mas tema: sokan irjatok a cloud-os lastpass/offline keepass/saját cloudban tarolt keepass db-t a jelszavak tarolasara.

Nade, mivel jobb egy online lastpass mint a google password store-ja?
(tfh. mindkettőben megbizunk)

Vagy epp mivel jobb egy lastpass mint a többi online password tarolasra hasznalhato alternatíva?

Én a LastPass-t hardware kulccsal használom. Egyébként azért választottam, mert amikor volt issue, elismerték és javították. Nem volt sunnyogás. Azóta a LogMeIn megvette, úgyhogy külön öröm, hogy magyar cégnek fizetek éves díjat.

Egyébként a céges jelszavamat és a privát email jelszavamat fejben tárolom, így 3 mester jelszót kell megjegyeznem (LastPass a 3-ik), ezeket viszont praktikusan nem változtatom és van hozzájuk MFA is. MFA egyébként mindenhol van, ahol kicsit is értékes adatot tárolok (ebből szomorú módon egyedül a https://smugmug.com a kivétel, de 6 havonta nyitok rá ticket-et).
--
https://naszta.hu