Otthon szerintem kevésbé probléma a kinyomtatott jelszó, feltéve ha nincs szem előtt, el van rakva fiókba.(Bár kérdés mennyire bízol a családban. )

A gépen javasolt valami jelszó kezelő szoftver használata (pl: Keepass), nem csodaszer, de sokkal jobb mint egy TXT-ben tárolni a jelszót.

Ha böngészőben tárolsz jelszót, akkor legyen kikapcsolva a jelszó szinkronizálás és ha lehet mindenképp legyen megadva valami Mester jelszó. (pl Firefox esetén lehet ilyet beállítani.)

2FA-t meg ahol lehet kapcsold be.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ha böngészőben tárolsz jelszót, akkor legyen kikapcsolva a jelszó szinkronizálás
Ha csak egy gépe van még megértem, de ha már több eszközön(másik pc, tablet, telefon...) használná ugyanazt a böngészőt...
Keepass helyett inkább ami felhős, szinkronizálós praktikusabb, könnyebben használható. Értem a biztonsági szempontokat, de amikor a paranoia prioritást kap a kényelmes és egyszerű használat rovására, fordítva sül(hét) el a dolog.

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Ez mind már-már paranoia, és megnehezíti az ember életét. Nekem a BitWarden fut a telefonomon (androind) és a két asztali Windows 10-es PC-n.
Máshol nem tárolok jelszavakat.

Melyik része a paranoia?

Talán túlzó ez a megfogalmazás de ezzel hogy lehet létezni? Amikor leülök a gép elé van, hogy 20 oldalon is szörfözök ahol van profilom belépési adatokkal stb. akkor minden egyes oldalon mindig fejből, vagy a megnyitott txt fájlból pötyögjem be a jelszót? Aztán ha bezárom a böngészőt majd megint leülök elé akkor ezt tegyem meg megint vagy ha beléptem akkor akár napokig menjen a gép 20-30 megnyitott oldallal. Ez nekem nem életszerű. Túl van misztifikálva. Ne menjen a biztonság a használhatóság rovására.

Nem azt mondom, hogy:
- a monitor kávájára legyenek leírva a jelszók
- ne egyetlen jelszó és felhasználónév páros legyen mindenütt használva

stb. tehát azért érdemes pár dologra odafigyelni, de ez a túlzott biztonságra törekvést lehet nevezni akár paranoiának.

Txt fájl esetén ott a vágólap, ha csak nincs tiltva hogy jelszó esetén az működjön.

Akkor szerintem mindenhol csak sms -t fogok használni ha az is elég biztonságos!
Ez a Google Authenticator elég veszélyesnek tartom abból a szempontból hogy ki tudodt ezzel zárni magadat ha bármi történik a telefonodal mert akkor nem tudodt már átvini az új telefonra ha totál káros lett! Ok erre kicsi az esély de fent áll pl a jelenlegi telefont is úgy vettem használtan hogy alaplap volt cserélve benne így újra kapott 2 év garanciát viszont ha ez volt cserélve szerintem teljesen használhatatlan lehetett előtte.
A lényeg ha sms is biztonságos Google Authenticator mindenhonnan kiveszem mert ha telefonnak baja lesz attól a számom ugyan az marad de ez az aplikacio a régi nélkül nem kerülnek át a belépési kódok így egyik sem lesz már elérhető!

[ Szerkesztve ]

Erdély (Románia) Huawei Mate 20 Pro /Huawei Mate 10 Pro/ Xiaomi Redmi 3s Prime / Lenovo A660

Srácok írtátok itt, hogy a Google Authenticator esetében nem ajánlott a felhőbe való szinkron, mert nem E2E titkosított. Mi a helyzet ilyen téren a Microsoft hitelesítőjével? Mivel az is tudja ezt a funkciót, ott már van ilyen titkosítás e művelet során vagy szintén nincs? Köszi.

The Truth Is Out There - Az igazság odaát van

Erre való a backup code, ha a telefonoddal történik valami. De szerintem már kicsit túl van tolva ez a kérdés.

Cigam, Cs1csó: légy szíves olvassátok el még egyszer amit írtam. Én a böngészők jelszó szinkronizálását írtam, hogy ajánlott kikapcsolni.
A jelszókezelő szoftverek (Keepass, Bitwarden, stb.) valószínűleg sokkal védettebbek, mint a böngészők beépített eszközei.

Az, hogy a jelszó szinkronizálás mennyire paranoia szerintem lehetne vitatkozni. Mi is volt nem rég a Lastpass-szal?

Egyébként én is használok több jelszókezelőt (Bitdefender Password Managert), sőt szinkronizál is egymással az összes eszközöm, de nem véletlen, hogy komolyabb szervezeteknél a felhős jelszókezelés meg van tiltva. Vagy lokális jelszókezelő van telepítve a gépekre, vagy a szervezetnek van saját jelszó kezelő szervere.

#1860 _NCT: "Erre való a backup code, ha a telefonoddal történik valami" Saját tapasztalatok alapján sajnos ez az a kód amit az emberek kb 90%-a nem jegyez fel.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ja, en is siman kertem e-sim-et - csak egy QR kodot kellett beolvasni hozza a szolgaltato weboldalarol...

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Kis hazánkban szerencsére ennél bonyolultabb az ügyintézés.
Céges sim esetében voltak leginkább csalások, azt nem tudom mennyire kezelték (illetve a Telekom volt leginkább érintett).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Vodafonnál be kell menni a boltjukba és kb 5 perc és kész. Kérnek személyit, kattintanak kettőt, beolvasod a QR kódot és kész.
Nekem július közepén kellett megcsinálnom.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

En konkretan epp magyarorszagon voltam es ugy regisztraltam be az ir eSIM-et, hogy ne kelljen ket telot cipelnem magammal...

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Akkor én is a 90% - ba tartozok eddig erről nem is hallottam. Ez a backup code hol található vagy hogy működik?

Erdély (Románia) Huawei Mate 20 Pro /Huawei Mate 10 Pro/ Xiaomi Redmi 3s Prime / Lenovo A660

Sziasztok!

Tegnap adathalaszok megprobaltak edesanyam megkarositani. A telefonjara letoltettek vele egy AnyDesk nevu programot. Szerencsere nem sikerult a bankszamlajarol levenni semmit, de anyukam aggodik, hogy biztonsagos-e a telefonja? Az app-ot letoroltuk. Az lenne a kerdes, hogy kell-e szervizbe vinni a telefont, vagy az app letorlese utan mar bizontsagos a telefonja?

Elore is koszonjuk a segitseget!

Ezt a 2FA beállításakor szokta a rendszer kiírni. Ha elfelejted a kódot, akkor általában van egy link hogy reset 2FA. Erre kattinva kell beírni ezt a 24-50 karakter hosszú kódot amivel ki lehet kapcsolni a 2FA-t.

Nem mindenhol van ilyen kód. Pl a PH!-n sincs ilyen, de a Freemail-nél van. Emlékeim szerint a Google-nál, Microsoft-nál nincs ilyen.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Facebooknál meg opció

// #ublockO-HardMode // anti-blockadblock-er // PH! új arculat: 1/ 500 // szeksziboj -nálam van egy pirospontod! // Találtam sárga fényű lézert! (kézit, ceruzaelemest) https://youtu.be/XQnmMjYHgcM //

Na Yahoo email esetében volt ilyen kód de a Gmail esetében és a Facebook esetében viszont nem vagyis nem ajánlotta fel lehet külön kell ki keresni?

Akkor viszont mégis nekem van igazam ha telefonnak hirtelen annyi akkor oda a kódok és ki zártuk magunkat. Az értékelések teli vannak ilyen egy csillagokkal akik meg járták a goggle autentificare appal!

[ Szerkesztve ]

Erdély (Románia) Huawei Mate 20 Pro /Huawei Mate 10 Pro/ Xiaomi Redmi 3s Prime / Lenovo A660

Ha nem ajánlja fel, akkor valószínűleg nincs ilyen feloldó kód.

Google nagyon sok más technikával is dolgozik: küld jóváhagyási kérelmet telefonra, emailben, SMS-ben. Szerintem pont ezért nincs ilyen kód, mert ha az egyik hitelesítés nem megy, akkor ott a másik.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Akörül kell keresni ahol beállítottad 2fa-t (facebookon)... egyik opció lesz a sok közül.

// #ublockO-HardMode // anti-blockadblock-er // PH! új arculat: 1/ 500 // szeksziboj -nálam van egy pirospontod! // Találtam sárga fényű lézert! (kézit, ceruzaelemest) https://youtu.be/XQnmMjYHgcM //

Meséld el neki valahogy finoman, hogy nem a telefonján van a biztonsági rés (mivel a remote access-t letöröltétek), hanem ő maga az.
Jelszócsere, 2FA beállítása legalább a szenzitívebb oldalakon azért jól jön.

Esetleg a leggyakoribb csaló taktikákat elmondhatod:
Nem, nem nyert nyereményjátékon semmit, pláne olyanon nem, amire nem is jelentkezett. Nem áll a postán csomagja, amiért utalni kell pénzt. Soha nem fogja senki semmilyen módon jelszavait kérni telefonon, soha ne telepítsen fel semmilyen alkalmazást, ha csak annyit tud, hogy a telefonon egy hang utasítja erre. Soha nem fogod felhívni azzal, hogy balaseted van és kell pénzt utalni. Telefonon nem ad ki semmilyen adatot, ha ügyintéző felhívja bárhonnan, akkor maximum elkéri a nevét, és visszahívja a cég hivatalos elérhetőségén keresztül.

Valojaban azt a telefont teljesen resetelni kellene - legalabbis a szovegbol nem derul ki, hogy a platformgyarto app store-jabol toltettek le vele, vagy mashonnan es amig ez igy van, potencialisan megbizhatatlannak kell tekinteni.

https://www.coreinfinity.tech

Ha nagyon alapos akar lenni, akkor persze, de nem azt látom az elsőszámú bajnak.

Nem kell még1x elolvasnom. Elsőre is megértettem.
Valószínűleg ... Ez prekoncepciónak tűnik, bizonyíték nélkül. Miből gondolod, hogy a böngészők készítői nem járnak el legalább olyan gondossággal, mint más jelszókezelők programozói?
Arról már sok hír megjelent, hogy egy dedikált jelszókezelő bizonyos fokig kompromittálódott, de nem rémlik olyan hír, hogy ez x böngésző jelszókezelőjével is megtörtént. Persze lehet csak engem kerültek el ezek a hírek.

Próbáltam a Keepasst, és nagyon nem gyere be. Annyira macera a használata, olyan feleslegesen bonyolulttá teszi a jelszavak kezelését, hogy tökön lövöm magam ha még1x a közelébe megyek. Nekem teljesen idegen, hogy futtassak plusz egy programot a böngészőn kívűl, hogy bizonyos feltételek mellett kiadja az adataimat (a böngészőnek egy plusz plugin-en keresztül). Vagyis program +plugin= automatikus jelszókitöltés.
Ezt (az automata jelszókitöltést) pedig a böngésző is tudja lapból. Vagyis egy olyan problémára ad választ, ami fel sem merül, mert a böngésző alapból képes a jelszavak kezelésére.
Multiplatform, hordozható környezetben pedig rémálom az adatok szinkronban tartása. Lehet valakinek bevált jó megoldás, de nem nekem.

Azért az itt kérdező(k többsége) nem nagyvállalati környezetből jön, hanem otthonra, a családnak keres biztonságos megoldást.

spileraaa
ha telefonnak hirtelen annyi akkor oda a kódok és ki zártuk magunkat.

Egyrészt erre vannak azok a biztonsági kódok. A facebooknak is van ilyen: [link]
Plusz ott van mindegy 2fa programban a (biztonsági)mentés lehetősége, és|vagy felhős szinkronizáció. pl [link]

[ Szerkesztve ]

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Azert, mert egy bongeszot konnyebb megtorni, azon keresztul malware-t bejuttatni es kiolvasni a rogzitett jelszavakat. Tavaly szeptemberi eset.

https://www.coreinfinity.tech

Ebben semmi törés/szivárgás nincs. Csak annyi, hogy a fejlett helyesírás ellenőrző feltöltheti a felhőbe a form-ba beírt user/pass párost.
És? Az, hogy a formot a böngésző maga, vagy egy külső jelszókezelő tölti ki teljesen mindegy. Így is úgyis elküld(het)i a felhőbe. Plusz ha jól értem a jelszót csak akkor, ha be van kapcsolva jelszó mutatása funkció.

[ Szerkesztve ]

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Kevesebb %-ban mérhető részesedésű böngésző van, mint jelszókezelő, vagy jelszókezelési módszer.
Emellett mindenki böngészőn böngészik. Nem picit növelve a célozandó felületet.
Ott van még az is, hogy ha egy böngésző egy weboldalt megkeres, akkor a weboldal nagy eséllyel tudhatja egyből a jelszókezelőt is, hisz maga a böngésző is lehet az, így arra rápróbálni már egy fokkal könnyebb, mint pl csak bitwardennél rápróbálni mind 3 lehetőségre (web, addon, vagy külön kliens). De hát na, mindenkinek a legjobbakat!

// #ublockO-HardMode // anti-blockadblock-er // PH! új arculat: 1/ 500 // szeksziboj -nálam van egy pirospontod! // Találtam sárga fényű lézert! (kézit, ceruzaelemest) https://youtu.be/XQnmMjYHgcM //

Ez ellen mondjuk a bongeszobe epulo (vagy akar kulon futo) jelszokezelo sem ved, hiszen ebben az esetben a malware a mar kitoltott adatokat szerezte meg, nem a bongeszo "elmentett" jelszavait.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Arra szerettem volna rávilágítani, hogy a böngésző gyártók közel sem olyan gondosak, mint amit cigam kolléga feltételez.
Legközelebb egyértelműbb leszek.

https://www.coreinfinity.tech

Igazából erre vannak tanúsítványok, tesztek, és szervezetek, amik tudják ellenőrizni őket. "A bizalom alapja az ellenőrzés." - Krasznay Minden más csak elmélkedés, vélemény. A hasonlítgatás, hogy hol volt több incidens sem ad teljes képet arról, hogy mi a valós helyzet.

[ Szerkesztve ]

Buliban hasznos! =]

Nem biztos hogy kell külön program, nyilván a fájl kezelése az a te dolgod, rá rakod pendrive-ra, telefonra..

keeweb

[ Szerkesztve ]

Milyen malware? A cikkben szó sincs malware-ről!

Azt fejtegetik, hogy a bővített helyesírásellenőrző elküldi a formok adatait a böngészőt készítő céghez (MS, ill. Google). Adott esetben a felhasználónevet, és ha be van kapcsolva a jelszó mutatása - mert kézzel gépeled be egy papírlapról - a jelszót is elküldi helyesírásellenőrzésre.

sh4d0w
Megítélés kérdése. Ez valóban lehet egy rés a pajzson, de ez a jelszókezelőtől független, a böngésző (helyesírásellenőrző modul)készítőjének a szolgáltatása/hibája. Ki kell kapcsolni, vagy nem kell használni se Chrome-ot, se Edge-t és nem küld el semmit a nagytestvérnek. Kérdés hogy a FF vagy a többi böngészőben ez hogyan működik.
Az, hogy így gyűjtenek ipari mennyiségű írásmintát, amivel feltételezhetően a nyelvi elemző motorok pontosságát javítják, megítélés kérdése.

inf3rno
Valóban nem tudunk konkrétumokat, de az elég nagyot szólna, ha valamelyik nagy böngésző gyártónál jelszó szivárgás/kompromittálódás lépne fel.

aprokaroka87
Érdekes koncepció, mert multiplatform binárisok vannak, és privát felhőben tartja/szinkronizálja a jelszavakat, de ez az offline WEB app kicsit összezavart, mikor a https://app.keeweb.info online címre dobott át. Te ismered, használod?

[ Szerkesztve ]

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Ja, és 2 éve nem fejlesztik/javítják, új karbantartót keres a készítője. [link]
Biztos jó ötlet egy elhagyott programot használni?

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Ráadásul a böngészők ismert, fix helyre teszik, a fixen elnevezett a jelszavakat tartalmazó fájlt, tehát sokkal könnyebb rá expolitot írni. Plugin-ek is hozzáférhetnek a jelszavakhoz.

(Tavaly kellett volna telepíteni Zoom plugint Firefoxhoz, konkrétan telepítéskor a Zoom kiírta, hogy ő hozzá fog férni a jelszavakhoz. Ekkor csaptam le a telepítőt, és üzemeltem be arra a 2 előídásra egy ezer éves laptopot. A Zoom azóta nálam tiltó listás, ha azon van az előadás inkább nem is regisztrálok rá.)

A jelszókezelők sok esetben megkérdezik, hogy hova akarod tenni az adatbázist, mi legyen a neve. Ez már egy kicsit nehezíti egy általános exploit készítését.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Zoom nálam egy életre tiltólistás, ahogy a LastPass is.

https://www.coreinfinity.tech

Ha már a LastPass szóba került, kinek mi a véleménye a Bitwardenről? Régóta azt használom, ahogy sok más fórumtárs is.

The Truth Is Out There - Az igazság odaát van

Én is azt használom.

https://www.coreinfinity.tech

+1 BitWarden

Az egyik legjobb, de korántsem tökéletes.Pár hónapja az iframekkel és az automata jelszó kitöltéssel gyűlt meg a baja. [link] [link]

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Érdekességképp ezt a csúnya, gonosz LastPass már 2019-ben fixálta.

De tanulhattak volna mások hibáiból!

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Igy van ez minden iparagban - ami mukokdik, ahhoz nem nyulunk (amig nem muszaj)...

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Elég sz..r hozzáállás. Mint amikor nem azért adnak ki egy verziót/javítást, mert elkészült, hanem mert elérkezett egy bizonyos naptári dátum.

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Nyugtasd meg Magad, a sargolyo legnagyobb IT vallalatai mind igy csinaljak, ebbol tobbszor is volt mar disputa. A Microsoft is azokat a sebezhetosegeket javitja, amiket aktivan kihasznalnak a tamadok, meg minden mas ceg is. Anno az IBM Tivoli Endpointjaban volt elcseszett nagy lyuk, raadasul root/admin jogosultsaggal kellett futnia, de az IBM nem volt hajlando javitani. Mivel letelt a report utani 3 honap es nem tortent semmi, nyilvanossagra hoztak a serulekenyseget, exploit PoC koddal egyutt, hirtelen mindjart megjavult a Tivoli Endpoint...

https://www.coreinfinity.tech