Szerintem cloudba tenni olyan fontos dolgokat, mint a jelszavad nem okos dolog... Főleg ha olyan helyre rakod fel, ahol rajtad kívűl még sok ezer ember tárol jelszavakat mindenféle eszközéhez. Nagyon zsíros célpont, megéri befektetni a feltörésére az energiát.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Nahát a kép alatti részt nem is láttam. Már fel is törték.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Ha erős mesterjelszót állítasz be, akkor nincs probléma. Nem kötelező minden jelszót ebben tárolni és segítségével minden oldalhoz tudsz egyedi jelszót létrehozni. Ha üldözési mániás vagy, akkor hetente változtatsz mester jelszót és meg van oldva a probléma.

A már fel is törték kijelentés kicsit erős, mert jópár éves a szolgáltatás.

[ Szerkesztve ]

https://www.refundo.hu/?ref=175161

Nem kell üldözési mánia, csak olvasni kell a sajtót...

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

LastPass tényleg gagyi, amatőrök és alapból egy profitorientált szolgáltatásban megbízni?

Viszont tárolni kell valahol a jelszavakat, mert nem sok ember tud 50-60+ jelszót fejben tartani.

Ha már legalább a fórumos ilyen-olyan jelentéktelenebb regisztrációkat kiszervezi nem kell annyi mindent fejben tartania.

De már az nagy segítség, ha valakinek csak a kényesebb adatokat kell fejben tartania mint Paypal, banki szarok és hasonló.

Az mennyivel biztonságosabb, ha valaki mindenhova Facebook Connect-tel lép be és ha a Facebookját törik, akkor vele együtt mindent? Vagy ha valaki mindenhova ugyanazzal az email címmel regisztrál?

Persze; vannak dolgok amiket megéri ott tárolni. Bár egy forumos személyiséglopás is nagyon kellemetlen tud lenni...

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Lastpass-ból nem tudják ellopni, mert titkosítva van. Legfeljebb az email címed és mester jelszó párost tudják és akkor a fiókodat el tudják lopni. De ezért kell megváltoztatni a mester jelszót főleg, ha írja a szolgáltató, hogy változtasd meg.

https://www.refundo.hu/?ref=175161

Mondjuk megnézném, mit kezdenek egy esetleges adatbázis lopás esetén az AES256-os titkosítással. Egyszerűen nem éri meg foglalkozni vele. A login adatok kikerülése már más tészta, főleg, ha a mester jelszó modjuk 12345.

#1: Én épp ezért használok olyan jelszó kezelőt, ami saját tárhelyen keresztül tud szinkronizálni, pl OneDrive vagy Google Drive.

[ Szerkesztve ]

Hát... én úgy emlékszem mintha lett volna olyan hír, hogy kiderült, hogy a titkosításokat nagyon könnyű megtörni... Bár annyi ilyen hír volt mostanában.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Pont ezért ezek a legjobban védett helyek. Titkosítva van minden, 60+ loginomhoz képtelenség fejben tartani mindent főleg, hogy még a usernevem se ugyanaz mindenhol.

Ráadásul van 4 eszközöm amiről jó ha be tudok lépni ezért jó a szinkronizálás.

Azt kell megérteni, hogy nincs 100%-osan tuti biztos hely a jelszavak tárolására, meg kell tenni azokat a lépéseket amikkel a legjobban védheti az ember de nem megy annyira a kényelem rovására, hogy szinte már használhatatlan.

Thanos was right.

AES256-ot nem fognak egykönnyen megtörni, max ha kikerülnek a titkosító kulcsok is. Az AES-t még az NSA is elfogadta titkos infók titkosítására.

Hasheket esetleg rainbow table vagy bruteforce, esetleg adatbázisok segítségével, de itt is elég szép ideig tarthat egy-egy jelszó visszakeresése. Persze nem az ilyen abc123 vagy 00000 típusú jelszavakra gondolok.

AES256 az egy úgynevezett szimmetrikus titkosítás nem? Abban az esetben a bruteforce nem járható út. Az NSA útmutatása, hogy mivel titkosítsak azthiszem nem kéne hogy irányadó legyen. / Komolyabb helyeket is feltörtek már, úgyhogy ezek sem jelentenek igazi gondot. Igazából nincs olyan hely amit ne tudnának törni... Fontos, hogy tényleg titkosítva tárolják az infókat a felhasználókról, de nem egyszer kiderült, hogy nem így tettek az ilyen nagyobb adatároló szolgáltatók.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

"According to the Snowden documents, the NSA is doing research on whether a cryptographic attack based on tau statistic may help to break AES" Wikipedia

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

NSA botrányoknál az okozta a bonyodalmat, hogy direkt hagytak hátsó kaput, amin keresztül az adatokat megszerezhették. Ettől függetlenül maga az AES-256 titkosítási eljárás biztonságos.

https://www.refundo.hu/?ref=175161

1password?

AES256 az egy úgynevezett szimmetrikus titkosítás nem?
Igen, szimmetrikus.

Az NSA útmutatása, hogy mivel titkosítsak azthiszem nem kéne hogy irányadó legyen.
Hát, gondolom nekik is vannak érzékeny adataik, amit pl. nekünk nem kéne olvasnunk. Ha ők megbíznak a szabványban, szerintem egy átlag felhasználó is megbízhat.

Komolyabb helyeket is feltörtek már, úgyhogy ezek sem jelentenek igazi gondot.
A feltörtek és az érzékeny adatok kikerülése nem egészen ugyanaz. Kikerülhetnek titkosított dolgok visszafejtetlenül, de az azért nem akkora probléma, bár nem szerencsés. Ott még hátra van egy lényeges kör, hogy azt használni is tudják. Na ez az, amibe nagyon nem éri meg időt fektetni, mert talán a BF a leggyorsabb megoldás az esetek nagy részében, az meg nem két perc.

Igazából nincs olyan hely amit ne tudnának törni...
Ezzel egyet értek maximálisan, de alaposan meg lehet ezt nehezíteni!

Fontos, hogy tényleg titkosítva tárolják az infókat a felhasználókról, de nem egyszer kiderült, hogy nem így tettek az ilyen nagyobb adatároló szolgáltatók.
Na igen, ez gáz. De nem véletlen vannak erre a megfelelő szabványok, pl PCI-DSS

"Komolyabb helyeket is feltörtek már, úgyhogy ezek sem jelentenek igazi gondot.
A feltörtek és az érzékeny adatok kikerülése nem egészen ugyanaz. Kikerülhetnek titkosított dolgok visszafejtetlenül, de az azért nem akkora probléma, bár nem szerencsés. Ott még hátra van egy lényeges kör, hogy azt használni is tudják. Na ez az, amibe nagyon nem éri meg időt fektetni, mert talán a BF a leggyorsabb megoldás az esetek nagy részében, az meg nem két perc." Lehet, hogy már megvannak a sokkal gyorsabb módszereik.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

A doing research, may help to break nekem nem azt jelenti, hogy törni tudják, csak nagyon akarják!

#18: Lehet, hogy már megvannak a sokkal gyorsabb módszereik.
Minden lehetséges. Mondjuk én nem módszerekre gondolok, hanem inkább hardver teljesítményre. De egy megfelelően komplex kulccsal szemben a nyers erő sem elég.

Kicsit elkalandoztunk az eredeti hírtől, de a lényeg az, hogy felhőbe fontos dolgot ne

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Valóban, elnézést!

A titkosításban (értsd felhő, jelszó kezelése / tárolása) általában az ember a gyenge láncszem, nem a (cloud vagy a) kriptográfiai technológia. Rosszul megírt kódok, gyenge jelszavak, stb... Ezzel foglalkozom jópár éve, van némi rálátásom.

Visszatérve a LastPassra, szerintem ez a dolog onnantól bukott meg, hogy ez az ingyenes verzió nem szinkronizál minden készülék között. Vannak egész jó alternatívák, amik saját tárhelyen tárolják az adatbázist és egyszeri 5-6$ körül van a mobilos kliensük, asztalira pedig ingyenes.
Sebezhetőség szempontjából én az ilyen típusú megoldásokban jobban hiszek, mert lényegében a konkrét felhasználó ellen kell irányulnia a támadásnak.

Dicséretes, de maradok a KeePass-nál...

+1
Nálam nagyon bevált

Szintén zenész.

"«Fuck does Cuno care?» The boy turns to you. (He doesn't care.)" [+] "The parasite makes nothing for itself. Its only tools are taxes and tithes meant to trick you into offering what it has not earned. In Rapture we keep what is ours." [+] 

Minden feltörhető. Ezen az alapon nem is szabadna az internetet használni. Az áram agyoncsaphatja az embert. Megoldás az, hogy ne használjuk? Nem biztonságosabbá kell tenni. A technikai fejlődés újabb és újabb veszélyeket hoz, ezért nem kell leállítani a fejlődést, hanem új szabályokat, biztonsági technikákat kell kidolgozni.

Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.

Bizonyos dolgokat nem szabad rákötni, vannak dolgok amik viszont nem nagy baj, hogy rajta vannak.

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

Csak ismételni tudom magamat. Ez nem az a kategória. Mindig a haszon - kockázat elvét kell alkalmazni.

Minden számítógép füsttel működik, ha kimegy belőle, akkor nem működik.

Valószínűleg a Microsoftnál nem olvassák se a blogod, se a pcforumot

from r in rings where r.Owner == "Sauron" select r

Mi van akkor, ha a mesterjelszó mellé egy telefonos azonosítást is beállítunk? Úgy is törhető, lopható?

.

Törhetőnek törhető, de ezzel még nehezebb. Ha a mesterjelszavad elég erős, akkor már biztonságosabb, de két szintűvel azonosítással még inkább az lesz.

https://www.refundo.hu/?ref=175161

Ugyan én KeePass-t használok (azt is csak offline), de ott a mesterjelszavamat egyszerű txt fájlból másolom ki.
Illetve csak egy részét, mert az első és az utolsó néhsny karaktert én egészítem ki manuálisan.

Tehát a mesterjelszónak csak egy részét küldöm csak olyankor vágólapra.
A teljes mesterjelszó meg (ha véletlenül elfelejteném) az asztalom szekrényének az aljában van elrejtve egy kis papírfecnire felírva.

Lehet picit üldözési mániás vagyok ezzel kapcsolatban, főleg, hogy ebben a rendszerben csak offline tárolom a jelszavakat, de egyébként már jól hozzászoktam az egészhez.

Mit tudnak kezdeni a mesterjelszóval, ha nincs meg a második azonosítás?

.

Lastpass mellett KeePasst is használok, de néha jól jön, hogy máshol is hozzá tudok férni bizonyos jelszavakhoz.

.

Kétlépcsősnél semmit. Hacsak nem törik fel a kétlépcsős azonosítást. De ezek már abszolút paranoia kategóriát képviselő dolgok, mint egy-két korábbi hozzászólásnál is voltak.

A kétlépcsős azonosítással bőven biztonságos.

https://www.refundo.hu/?ref=175161

Én igazából most elgondolkoztam, hogy lehet le kéne váltanom a KeePass-t erre a LastPass-ra, mert ez utóbbi cross platform (a KeePass-nak elvileg nincsen hivatalos android verziója, bár ebben örülnék, ha esetleg megcáfolna valaki).

Bár végülis telefonon úgyis csak a fontosabb oldalakat használom, azoknak a jelszava meg ki van másolva sima Keep jegyzet alkalmazásba, hogy elérhetőek legyenek nekem (ugye PC-n a KeePass csak offline).
Persze nem vagyok hülye, telefonon van minta alapú képernyőzár, szóval azokhoz a jelszavakhoz idegen nem férhet hozzá.

Nem tudom mivel tudna többet a LastPass a KeePass-hoz képest, azontúl, hogy online és ugye cross platform.

KeePassDroid

Nincs, mi? 2009 óta van...

Igen ezt én is megtaláltam, csak azért nem voltam benne biztos, hogy ez a hivatalos, mert a weboldalon nem találtam mobil verziós linket vagy egyéb utalást.
De ha ez tényleg a hivatalos, akkor kipróbálom.

[link]
Ha kicsit lejjebb mész, megtalálod a táblázatban szinte az összes platformra.

Nyugodtan használhatod... Mi évek óta használjuk céges szinten - az adatbázis Dropboxban van tartva, a master kulcsot pár kollégával ismerjük - ha bármelyikünk beír valamit azt a többiek is egyből látják szóval nagy királyság... (még egy FolderSync is üzemben van ehhez, úgy teljes a kör)....

Miután megint balhé volt a LastPass körül, próbáltam teljesen átállni a KeePass-ra, de nem ment. Nem jött be a böngészőbe beépülő kiegészítő.

(#38) ztoldy : Köszi, akkor nincs igazán mitől tartani.

Mellesleg annak a híve vagyok, hogy bankszámlával kapcsolatos dolgokat nem tartunk jelszókezelőben.

[ Szerkesztve ]

.

Hogy lehet a dropboxba tenni az adatbázist? Nézegettem a beállításokat de nem találtam

"If in doubt, flat out!" Colin McRae

Számítógépen fizikailag a Dropboxon belül egy tetszőleges mappába rakod a KDB filet. Ha a többiekkel meg van osztva ez a mappa, akkor máris szinkronizálódik mindenki között, ha valaki belenyúl valamibe. A következő lépés a telefonok... Itt meg kell egy köztes lépcső, azaz rá kell venni a Dropboxot, hogy lefelé is szinkronizáljon (azaz lehet itt is nyugodtan kétirányú, de mi az egyszerűség kedvéért úgy találtuk ki, hogy a telefonokon csak read only legyen az adatbázis, mert volt már, hogy valamelyik ügyes kolléga hülyeséget csinált és akkor az végigment mindenhol ) - szóval itt kell egy plusz program vagy a DropSync vagy a FolderSync. Ezzel ki lehet jelölni, hogy a Dropbox mappát lokálisan lehúzza mindig a telefonra, és ezt a lehúzott mappát már meg lehet adni a KeePassnak forrásnak. Egyszerű és nagyszerű...

Ehh, vállon veregetem magam.
Csak a főoldalig mentem el és ott nyomtam egy keresést Ctrl+F-el az "android" kulcsszóra.
Nem jelzett találatot, gondoltam akkor nincs is hivatalos, valamiért a Download linkre már nem mentem tovább.
Köszi!

@atike: Köszi a megerősítést tőled is!
Elkezdem akkor használni én is az android verziót és nálam Dropbox helyett a Drive szolgálja majd az adatbázisnak a felhőt.

Köszi még egyszer mindenkinek!
Picit tovább modernizáltam magam.

Működik
Igaz nem Dropbox-ra tettem hanem Drive-ra, mert valamiért a box-tól melegedett a telefon nagyon
Viszont amikor a telefonon megnyitom az adatbázist kiírja hogy nem írható a file, ezt hogy tudom orvosolni?

"If in doubt, flat out!" Colin McRae