Hát igen. Én is viszem tőlük a dolgaimat, csak még nem tudom, hogy kihez. KeePass? Bitwarden? Csak Androidot használok.

Samsung XCover 6 pro, Tab S7+ 5G

Ha Androidra és egyetlen eszközre kell, akkor KeePassDX és az adatbázis csak a telefonra kerül fel (és persze külső biztonsági másolatok róla).

Ha több eszközre kell, akkor KeePassDX az Androidokra, KeePassXC a desktop gépekre, adatbázis valamilyen felhős tárhelyre, jelszó a fejedbe, kulcsfájl csak az eszközökre második faktorként (ez felhő közelébe ne kerüljön).

---

A LastPass mindig is szeretett maszatolni, 8-9 évvel ezelőtt rengeteget ekéztem őket az Opera topikban ezért (csak buzzwordök és csillámpónik, többek között ezt írtam akkoriban róluk), és úgy nézem, dokumentációs téren azóta sem javultak, az évenkénti egy sikeres behatolás hozzájuk pedig azóta is megvan.

[ Szerkesztve ]

tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

A cikk nagyon jó, a konklúzió összes szavával egyetértek

tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

Több eszköznél túl bonyolult és csak az adott eszközökön ad hozzáférést. Ha egy nyaraláson ellopják a telót, vagy beszarik, akkor is jó lenne hozzáférni a jelszavakhoz (pl. telepítés nélkül, webes felületen).

Samsung XCover 6 pro, Tab S7+ 5G

Bitwarden ezidotajt megfelelonek tunik. Tarolod az adatbazist a felhoben, ingyen, vagy hostolod Magadnak es minden elterjedt platformra van kliensuk.

https://www.coreinfinity.tech

Én is KeePass-t használok (már sok-sok éve).
Adatbázis OneDriveban, kulcs minden eszközre direkt másolva.
Mac-en KeeKassXC, iOS-en KeePass Touch, Androidon KeePassDX - mindegyik oda-vissza automatikusan szinkronizál a OneDrive-on keresztül.
Desktopon böngészőben KeePassXC kiegészítő.

[ Szerkesztve ]

Never let your sense of morals prevent you from doing what's right.

Én úgy vagyok vele, hogy nekem megfelel offline. Mobil a főplatform (keepass2android offline) és a gépre készítek rendszeresen backup-t. Ha tableten valahová be kell lépni, ott a mobil.

Persze nem utazok rendszeresen hosszabb utakra, így ha elveszne a mobil, ott a gépen a backup.

"Odamentem egy párhoz...négyen voltak!"

Köszi! Én is efelé hajlok.

Samsung XCover 6 pro, Tab S7+ 5G

A jelszócserés link, amiről beszélsz a cikkben, micsoda? Szerintem nincs ilyen a LastPass-ban. OTP van, de az nem url.

Hogy a cikkhez is hozzászóljak a nagyrésze találgatás. Attól hogy mondatonként reagálsz egy közleményre, és néha próbálsz belemagyarázni valamit, még nem lesz a dolog sumákolás.

Still stands Thine ancient sacrifice, An humble and a contrite heart.

URL-eket tudsz elmenteni LastPassba.

A tobbirol csak annyit, hogy nem csak az en velemenyem, hanem tobb mas szakembere is.

https://www.coreinfinity.tech

Bármit el lehet benne menteni, de azt titkosítva tárolják a jelszavak mellett, másrészt nem feltétlen account restoration linkek, mint amikről a cikkedben írsz.

[ Szerkesztve ]

Still stands Thine ancient sacrifice, An humble and a contrite heart.

Tevedes, az URL-eket nem taroljak titkositva - ne hidd el nekem, hidd el a LastPass-nak, mert a sajat PR kozlemenyuk szol errol.

Egyebkent meg sokat segit a leirtak ertelmezeseben, ha figyelmesen olvasol.

https://www.coreinfinity.tech

Figyelmesen olvasok, ezért nem értem, hogy lett a sima url-ből (ami bármi lehet) account restoration link.

A közleményből nem következik, hogy az összes url-t titkosítatlanul tárolják. A megoldás valószínűleg annyi, hogy a jelszó széfben tárolt adatok (jelszavak és url-ek) titkosítva vannak, de voltak olyan url-ek (pl. egy céges ügyfél honlapja, amit megadott a szerződéskötés miatt) amit nem titkosítottak, mert nem a vault része, csak számlázási adat mondjuk.

[ Szerkesztve ]

Still stands Thine ancient sacrifice, An humble and a contrite heart.

+1 a Bitwardenre.

A sokféle előny mellé, amit már mások írtak, az is piros pont, hogy nyílt forrású megoldás.

"...The threat actor was also able to copy a backup of customer vault data from the encrypted storage container which is stored in a proprietary binary format that contains both unencrypted data, such as website URLs, as well as fully-encrypted sensitive fields such as website usernames and passwords, secure notes, and form-filled data..."

Ebbol nemigen lehet mas kovetkeztetest levonni, minthogy nincs titkositva. Ha egy ilyen URL password resetre mutat, ami valid, akkor oda az account. Mielott azt gondolod, hogy ilyen nincs: de, van.

https://www.coreinfinity.tech

+1 a +1-re.

Amikor bevezették, hogy fizetős lesz a több gépes szinkron, nagyon mehetnékem volt, de egy csomó ékezetes karakter volt az oldalnevekben meg kiegészítő szövegben, és egy program sem tudta értelmesen behúzni az exportált csv-t, így maradtam. Most elhatároztam, hogy váltok, ha egyenként is kell beírnom mindent (meg úgyis jelszót kell váltanom a fontosabb oldalakon...) és Bitwardennél csv-ből most sem ment, de kimásolva vágólapra összejött nagyjából. Úgyhogy most nagy a szercsi-lávcsi!

'Micsoda nyűg" by Rest (FA Brotherhood) │ Szarkazmus valószínűsége: 70%

Úgy látom, ezt jobban kellett volna megfogalmaznom.

Tehát: minden jelszókezelőben van lehetőség arra, hogy URL-t csatolj a felhasználónév+jelszó pároshoz. Ha ez az URL password reset link, ami valid, a támadónak semmi mást nem kell tennie, mint meglátogatni ezt az URL-t. Így anélkül veszi át a kontrollt az adott website-hoz tartozó user account felett, hogy fel kellett volna törnie a vault mesterjelszót.

https://www.coreinfinity.tech

Vagy csak az ünnepek utáni kajakóma nyúlt el nálam. De így világos, köszi! Mondjuk az nem, hogy lehet egy oldal olyan hülye, hogy örökké érvényes cserelinkje legyen (a tipikus e-maillel ellenőrzött ideiglenes helyett), de valahol meg nem lep meg, ha van ilyen...

'Micsoda nyűg" by Rest (FA Brotherhood) │ Szarkazmus valószínűsége: 70%

Ha nem is örökké érvényes, de láttam olyat, ami 1 évig az volt...

https://www.coreinfinity.tech

A titkosítatlanul tárolt URL már önmagában is hordoz valamekkora biztonsági kockázatot, ha ügyfelek belső céges rendszereinek címeit tartalmazza, mert megkönnyítheti egy támadó tájékozódását adott helyen, és ugyebár a LastPass felhasználóinak egy jelentős része céges felhasználó.

Amúgy azt valahol publikusan elérhetően dokumentálták, hogy mit tárolnak titkosítva és mit nem? Itt a 8-9 évvel ezerlőtti állapothoz képest már legalább algoritmusokat említenek, de ilyen "apróságokra" nem térnek ki.

tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek

Miután a saját szememmel láttam ilyeneket, nem érdemes ebbe a vitába mélyebben belemenni.

https://www.coreinfinity.tech

Sajnos a LastPass statement nem tér ki erre részletesen, a statement itt van: https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

https://www.coreinfinity.tech

Igen, egyet értek. Vitázni nem érdemes róla, csak számomra teljesen érthetetlen a jelenség. De ettől még elhiszem, hogy előfordulhat.

Hát sajnos én is befejeztem LastPass pályafutásomat, pedig szerintem 8-10 éve használom gond nélkül, de elegem lett ebből a sok security problémából, ami van mostanában. Átmentem és is BitWardenre, mint sokan mások is.
Lekopogom, eddig úgy tűnik nem volt kompromittálódott jelszavam, de jobb félni, mint megijedni. Bízom benne, hogy a 17 karakteres mester jelszó, ami elég komplikált is volt ráadásul, azért meggátolja a vaultom feltörését. Vagy legalábbis bízom benne, hogy megnehezíti annyira feltörést, hogy ne érje meg vele bajlódni, mert van másik amit egyszerűbb feltörni
No meg a legtöbb fiókomon rajta van valamilyen 2FA azonosítás is, így ha sikerrel is járnának, akkor se nagyon férnének hozzá.

"They were the only species to offer true resistance to the Borg." – Seven of Nine

Én sem aggódom. A banki belépők és egyéb, kényes helyek jelszavait még a LastPass -ban is kódolva adtam meg. A kód nélkül hiába szerzik meg a támadók, nem érnek velük semmit.

Samsung XCover 6 pro, Tab S7+ 5G

17 karakter elég jó a jelenlegi körülmények között

https://www.coreinfinity.tech

+1 a Bitwarden-re. Én eleinte a csak PC-re elérhető PassWordSafe nevű offline cucccal toltam, de hamar beleütköztem a limitációiba. Nehézkes szinkronizálás, ha nyitva volt egyszerre több gépen megkavartam az adatbázist, nem volt egyszerű iPhone-app hozzá, a böngészővel sem sikerült összeboronálni.

Itt jött a Bitwarden, de ők meg ott vágták el magukat, hogy telepítési kulcs kell a self-hosted megoldáshoz, így egy évig felé sem néztem. Végül a VaultWarden nevű projektre rátalálva értem célba. Tud mindent, egyszerű, gyors, multiplatform. Annyi csavart vittem bele, hogy nincs kiengedve a netre, csak WireGuard VPN-ben érhető el, hogy ne is tudják próbálgatni a mail-cím jelszó párosokat. Ezen felül csináltam saját CA-t és azzal aláírt certet, amit kézzel felvettem az eszközeimben, a mobilapp iPhone-on csak így hajlandó megfelelően működni. Megoldás lett volna egy netre kirakott domain-nel megoldani, és LetsEncrypt-tel, de szempont számomra, hogy a VPN-en kívülről ne is lehessen elérni. Így számomra jó kompromisszum, egyszer ugyan be kell lőni, meg ha eszköz / OS csere, reinstall van akkor a certekkel szórakozni kell, cserébe viszont elég biztonságos és még is egyszerűen használható.

üdv, adika4444

Amúgy Bitwardent mennyire atom biztos okostelón alkalmazni? Azért ott nagyobb a kompromittálódás esély, mint egy asztali PC-n. Vagy felesleges ilyenen parázni? Van egyébként az androidos alkalmazásban biometrikus azonosítás lehetősége?

"They were the only species to offer true resistance to the Borg." – Seven of Nine

Bízom benne, hogy a 17 karakteres mester jelszó, ami elég komplikált is volt ráadásul, azért meggátolja a vaultom feltörését. Vagy legalábbis bízom benne, hogy megnehezíti annyira feltörést, hogy ne érje meg vele bajlódni, mert van másik amit egyszerűbb feltörni

LOL. Ez még akkor is elég jó, ha MD5 hasht használnak: akkor úgy pár billió évig jó vagy brute force alapú törés ellen, a jelen elérhető számítási kapacitást tekintve...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)