Fórum Root.cz
Hlavní témata => Software => Téma založeno: jmk 09. 12. 2023, 09:36:06
-
Ahoj,
objevil jsem moc hezkou bakalářku na téma "Bezpečnostní analýza ukládání hesel v prohlížeči Mozilla Firefox". Pro mě, jako pro neúplně bezpečnostního experta :) jsem tam našel plno zajímavých informací i když nedokážu posoudit jejich pravdivost a relevanci. Možná by po doplnění aktuálních informací, z toho někdo dokázal vytesat nějaké smysluplné info ve formě krátkého článku na Rootu?
https://dspace.cvut.cz/handle/10467/94953 (https://dspace.cvut.cz/handle/10467/94953)
-
tak to se taky připojím, tohle by mě také dost zajímalo, ale né tentokrát Lišák, nýbrž Edge s vazbou na MS Authenticator
-
tak jsem si ve všech FF změnil master heslo tam a zase zpátky...
-
https://marektoth.cz/blog/spravci-hesel-autofill/
Zakázat autofill, pak by mělo být bezpečné.
-
No jeden z důvodu proč neukladat do prohlížeče je ten, že pokud mi ukradnou profil z pc, tak maj i hesla...
-
No jeden z důvodu proč neukladat do prohlížeče je ten, že pokud mi ukradnou profil z pc, tak maj i hesla...
Preto sú tie heslá šifrované....
-
Vždy mi připadalo, že používat správce hesel neznámého vydavatele je asi stejné, jako dát kopii klíčů od bytu cizímu člověku.
-
Vždy mi připadalo, že používat správce hesel neznámého vydavatele je asi stejné, jako dát kopii klíčů od bytu cizímu člověku.
Jakéhokoliv vydavatele, buďto ty klíče prodá nebo ztratí.
-
Rozne malware (napr. RedLine Stealer) sa vedia k browser (gecko aj chrome based) heslam v pohode dostat :-\
-
mrkni na vaultwarden, self hosted a rozumna bezpecnost i funkce. mas to pak i cross browser a device.
-
Problem s browsery vidim osobne primarne v tom, ze se snazi userum (a co si budem rikat vetsinou uspesne) vnutit ukladani profilu do cmoudu, coz je v pripade hesel totalni silenost.
Staci pak jediny bug v implementaci a provozovatel cmoudu* (nebo ten kdo mu ty data ukrad) ma vsechny hesla. A to nemluvim o zcela neomezenem a uzivatelem nijak nezjistitelne moznosti bruteforce. Kolik lidi ma ten master aspon 20 znaku dlouhy? Kdyz reknu ze 0 nebudu daleko od pravdy, realita bude ze pokud vubec nejaky maji tak do 5 znaku, tzn utok na 5s.
*a hackovat takove uloziste je ekonomicky radove zajimavejsi nez nejaky domaci pocitac.
-
Problem s browsery vidim osobne primarne v tom, ze se snazi userum (a co si budem rikat vetsinou uspesne) vnutit ukladani profilu do cmoudu, coz je v pripade hesel totalni silenost.
Staci pak jediny bug v implementaci a provozovatel cmoudu* (nebo ten kdo mu ty data ukrad) ma vsechny hesla.
Keď sa pozrieš na mobilný trh, zistíš že na výber máš len Android alebo iOS... u Android potrebuješ Google účet... s ktorým máš i Gmail.... teda či už do toho Google účtu ukladáš heslá, alebo či niekto použije tvoj email na obnovu hesla, tak je to vlastne úplne jedno... a ak aj neregistruješ účty na Gmail, tak stále kvôli ekosystému Google (v podstate monopolu), teda vo výsledku tvoja bezpečnosť je len v rukách Google. Keďže každý web žiada mail k registraci, tak i akákoľvek iná mail služba (ak nemáš vlastnú self-hosted), je teoretická diera alebo možný zneužiteľ k získaniu prístupu k tvojim účtom. A v podstate mail vs cloud už rozdiel moc nie je... väčšina mailov vlastne beží na cloudu, alebo ich obsach je uchovývaný v cloudu.
Kolik lidi ma ten master aspon 20 znaku dlouhy? Kdyz reknu ze 0 nebudu daleko od pravdy, realita bude ze pokud vubec nejaky maji tak do 5 znaku, tzn utok na 5s.
Moje master heslo je 26 znakov dlhé, a bolo vygenerované samotným password managerom (úplne náhodný string, ktorý obsahuje znaky, ktoré sa dajú na klávesnici napísať, samozrejme to emoji či čínske znaky obsahovať nebude).
-
Tak není snad nutné používat na Androidu Gmail pro registraci do různých služeb.
-
...
Ani ne, mam android, tedy lineageos a guugle tam zadny neni. Mam androidi tv, a ... taky je ungoogled (v tomhle pripade byl duvod primarne nedostatek mista na ulozisti, a tudiz odstraneni stejne nepouzivaneho humusu).
Ak zada web email, nejaky random mu vygeneruju, stejne ho uz nikdy na nic nebudu potrebovat. Na podobne weby pak vsude zadavam Password0), na to nepotrebuju ty hesla nekam ukladat.
Ukladam si hesla k administraci hromady vsemoznych krabic, systemu atd atd tzn tam, kde to dava smysl resit.
-
Problem s browsery vidim osobne primarne v tom, ze se snazi userum (a co si budem rikat vetsinou uspesne) vnutit ukladani profilu do cmoudu, coz je v pripade hesel totalni silenost.
Staci pak jediny bug v implementaci a provozovatel cmoudu* (nebo ten kdo mu ty data ukrad) ma vsechny hesla. A to nemluvim o zcela neomezenem a uzivatelem nijak nezjistitelne moznosti bruteforce. Kolik lidi ma ten master aspon 20 znaku dlouhy? Kdyz reknu ze 0 nebudu daleko od pravdy, realita bude ze pokud vubec nejaky maji tak do 5 znaku, tzn utok na 5s.
*a hackovat takove uloziste je ekonomicky radove zajimavejsi nez nejaky domaci pocitac.
Není to tak dávno, co hackeři ukradli zašifrované hesla z cloudu a i po dlouhé době je nedešifrovaly.
-
https://marektoth.cz/blog/spravci-hesel-autofill/
Zakázat autofill, pak by mělo být bezpečné.
Takže nepoužívat Lastpass a zakázat autofill a je vystarané. Díky za odkaz.