Jak se postarat o hesla

[blb]

https://keepassxc.org/

[Reklama]

[Lol Phirae]

Běž s dobou a nasdílej hesla na Fejsbůůku! 

[Anon]

Nad KeePassem jsem též uvažoval ale trošku mě odrazuje neustále si hlídat zálohu který by byla vždy aktuální na vícero discích, a pak že se jedná jen o soubor. Když by tedy někdo ukradl soubor, už ho nezruším.

Hlavní problém je že používám FireFox, tudíž mi je služba od Googlu k ničemu..
Spíše mám znalostní mezery v tom co lze a nelze napadnout. Jak funguje ukládání hesel v prohlížeči čí doplněk do prohlížeče od LastPassu. Nemám nejspíš problém důvěry u Googlu čí LastPassu. Spíše nemám tušení jak funguje ukládání hesel, zda jsou šifrovaná, zda není možné se nějakou dírou dostat k těmto datům atd. atd. U LastPassu na mě sympaticky docela působí 2FA autorizace.

Lol Phirae: To by byl nejspíš můj první a poslední příspěvek na FB

[xyz]

Na hesla používám interní paměť šedé kůry mozkové. Pokud mají vaše hesla dobrý pattern, tak se s dobrou šancí dají na pár pokusů zrekonstruovat i ta zapomenutá.

[PetrM]

Nad KeePassem jsem též uvažoval ale trošku mě odrazuje neustále si hlídat zálohu který by byla vždy aktuální na vícero discích, a pak že se jedná jen o soubor. Když by tedy někdo ukradl soubor, už ho nezruším.

No jde sice o jeden soubor, ale
- pokud by to bylo víc souborů, v případě přístupu k médiu se dá čobnout klidně celý adresář a tam rozdíly nehrají roli.
- hlídat si zálohu nemusíš, od toho je zálohovací program
- aktuálnost souboru na víc strojích se řeší synchroznizací - OwnCloud/NextCloud, DropBox, SyncThing, ... Určitě to ení jediný soubor, který chceš sdílet na všech strojích.
- i ten jeden soubor je šifrovaný, můžeš si dokonce vybrat možnosti - heslo, klíč, kombinace,...
- prolomení hesla k tomu souboru je stejně obtížný, jako u online služby. S tím, že u online služby máš data k dispozici na známým URL a stačí ti heslo, u KeePassu musíš ještě nějak sehnat ten soubor.

Hlavní problém je že používám FireFox, tudíž mi je služba od Googlu k ničemu..

FF dovoluje taky synchronizovat hesla napříč stroji, pokud k nim máš důvěru. Nastavíš master password a synchronizaci. Je to ale věc důvěry v Mozillu.

Spíše mám znalostní mezery v tom co lze a nelze napadnout. Jak funguje ukládání hesel v prohlížeči čí doplněk do prohlížeče od LastPassu. Nemám nejspíš problém důvěry u Googlu čí LastPassu. Spíše nemám tušení jak funguje ukládání hesel, zda jsou šifrovaná, zda není možné se nějakou dírou dostat k těmto datům atd. atd. U LastPassu na mě sympaticky docela působí 2FA autorizace.

Takže, heslo se vždycky šifruje. Existuje několik způsobů útoku:
- Vymámení z prohlížeče. Stránka má neviditelný formulář, o kterým nevíš a předvyplní se jménem/heslem ke službě, za kterou se vydává. Populární před pár lety, mělo by to už být nějak vyřešeno (proto nemám hesla v prohlížeči ani plugin pro jejich předvyplňování - jistota je sychr).
- Odposlech clipboardu a klávesnice, na to je potřeba, aby útočník dostal nějaký kód do počítače.
- Prolomení čmoudové služby (asi to na útočníky bude jako magnet - ví se, že na té a té URL jsou miliony hesel tisíců uživatelů). Proto mám hesla fyzicky na svým stroji, útočník napřed musí kompromitovat ten, sosnout soubor a pak se teprve řeší, jak je louskout. Je to víc práce navíc. Nevýhoda je, že proti online službě soubor může louskat non-stop (rychlej), online služba tam může mít pauzy.

Pokud se někdo dostane k heslům, je potřeba je změnit. U browseru to ale nezjistíš, u online služby to zjistíš jenom když to přiznají, u souboru jenom když ztratíš flash disk, nebo se v PC děje něco divnýho...

Měnit hesla preventivně nedává smysl, ale v KeePassX si můžeš nastavit u hesel upozornění na změnu a u kritických věcí si je měnit dle vlastního uvážení.

[Reklama]

[.]

Spíše mám znalostní mezery v tom co lze a nelze napadnout. Jak funguje ukládání hesel v prohlížeči čí doplněk do prohlížeče od LastPassu. Nemám nejspíš problém důvěry u Googlu čí LastPassu. Spíše nemám tušení jak funguje ukládání hesel, zda jsou šifrovaná, zda není možné se nějakou dírou dostat k těmto datům atd. atd. U LastPassu na mě sympaticky docela působí 2FA autorizace.

Takže, heslo se vždycky šifruje. Existuje několik způsobů útoku:
- Vymámení z prohlížeče. Stránka má neviditelný formulář, o kterým nevíš a předvyplní se jménem/heslem ke službě, za kterou se vydává. Populární před pár lety, mělo by to už být nějak vyřešeno (proto nemám hesla v prohlížeči ani plugin pro jejich předvyplňování - jistota je sychr).
- Odposlech clipboardu a klávesnice, na to je potřeba, aby útočník dostal nějaký kód do počítače.
- Prolomení čmoudové služby (asi to na útočníky bude jako magnet - ví se, že na té a té URL jsou miliony hesel tisíců uživatelů). Proto mám hesla fyzicky na svým stroji, útočník napřed musí kompromitovat ten, sosnout soubor a pak se teprve řeší, jak je louskout. Je to víc práce navíc. Nevýhoda je, že proti online službě soubor může louskat non-stop (rychlej), online služba tam může mít pauzy.

Pokud se někdo dostane k heslům, je potřeba je změnit. U browseru to ale nezjistíš, u online služby to zjistíš jenom když to přiznají, u souboru jenom když ztratíš flash disk, nebo se v PC děje něco divnýho...

Měnit hesla preventivně nedává smysl, ale v KeePassX si můžeš nastavit u hesel upozornění na změnu a u kritických věcí si je měnit dle vlastního uvážení.

Vynechal jsi ukradnutí hesel přes chybu Spectre/Meltdown, viz třeba i dnešní článek. Odstraněno v nových verzích Firefox/Chrome.

[jvb]

https://www.passwordstore.org/ + https://github.com/browserpass/browserpass

[dev null]

S pluginem v prohlizeci byva problem, ze vetsinou dela i autofill ( = predvyplnuje formulare ). Je pak nutne duverovat tomu, ze to je napsany dobre, a neda se to oblbinkat.

Viz. nedavno
https://labs.detectify.com/2016/07/27/how-i-made-lastpass-give-me-all-your-passwords/

[Anon]

Rád bych si svá hesla zapamatoval, ale opravdu jich víc nezvládnu.. Proto potřebuji nějaký password manager.
Auto-fill bych chtěl 100% zakázat.

Je bezpečné ukládat hesla v prohlížeči když si zakážu auto-fill a nastavím master-pass?
Takže je riziko že by došlo k prolomení LastPassu docela vysoké?

U KeePassu přemýšlím jak postupovat kdyby se někdo dostal k tomu souboru.. (U LastPass/Prohlížeče se stačí asi jen vždy odhlásit/přihlásit.) Ale soubor z KeePassu asi není možné se ho zbavit a dostat se k němu jen když ho potřebuji.. Napadá mě akorát se přihlašovat a odhlašovat z DropBoxu, ale hledat soubor v ES Filu jen abych ho mohl otevřít mi připadá až moc komplexní. Docela mě mrzí že KeePass nemá webovou verzi.

Jaký jsou klíčové rozdíly mezi KeePassem a KeePassX?

[Vilith]

Vyzkousej LastPass a nebudes hledat alternativu

[S.]

Vyzkoušej Enpass a nemusíš zkoušet LastPass...
 

[Ravise]

Je bezpečné ukládat hesla v prohlížeči když si zakážu auto-fill a nastavím master-pass?

Hesla do her atp. nechávám v prohlížeči (bez master pass, ale mám šifrovaný celý disk). Nenechávám v prohlížeči cokoliv, kde něco platím. Je na tobě, na kolik tomu budeš věřit ty.

Takže je riziko že by došlo k prolomení LastPassu docela vysoké?

Na jednu stranu je to profesionální firma, co si může dovolit platit dobrý lidi, na druhou stranu riziko je vyvážené odměnou. Zeptej se deseti lidí a dostaneš dvanáct odpovědí. Shodneme se leda na tom, že to riziko není nulové. Nakolik jim budeš věřit už si zase musíš nakonec rozmyslet sám.

U KeePassu přemýšlím jak postupovat kdyby se někdo dostal k tomu souboru.. (U LastPass/Prohlížeče se stačí asi jen vždy odhlásit/přihlásit.)

Kdyby se někdo dostal k tomu souboru (jde po tobě příslovečná Jirsákovo tchýně (nebo čí tchyně to byla?) nebo NSA?), bude ho muset stejně rozšifrovat. Teda pokud předpokládáme, že bude vědět, o co se jedná.

Každopádně jak postupovat: pokud u hesla hrozí vyzrazení, okamžitě heslo resetuješ a nastavíš nové. Pohoda jazz.

Ale soubor z KeePassu asi není možné se ho zbavit a dostat se k němu jen když ho potřebuji.. Napadá mě akorát se přihlašovat a odhlašovat z DropBoxu, ale hledat soubor v ES Filu jen abych ho mohl otevřít mi připadá až moc komplexní.

Ta databáze u LastPass zůstává k dispozici stejně jako ten soubor na disku. Vždycky bude "kam by se útočník mohl dostat". Proto je ta databáze šifrovaná master heslem. Zvol dostatečně komplexní master heslo a útočník bude v loji i s databází*. Tu databázi pak stačí zamknout/zavřít, když jí zrovna nepotřebuješ.

Docela mě mrzí že KeePass nemá webovou verzi.

Protože to není služba, ale program. A díky Tuxovi za to.

Jaký jsou klíčové rozdíly mezi KeePassem a KeePassX?

Nijak zvláštní - jinej lak, stejnej motor.


*: Vždycky existuje možnost z tebe to heslo vymlátit nebo jinak donutit, abys ho na sebe práskl. Ale je pravděpodobné, že se to stane? Jestli jsi zaměstnanec výzvědných služeb, asi velké. Jestli si chceš napsat heslo od účtu e-shopu, kde prodávají psí granule, celkem malé.

[knedlon]

Jaký jsou klíčové rozdíly mezi KeePassem a KeePassX?

Zcela zásadní - doporučuji na "1" v současnosti zapomenout.
https://keepass.info/compare.html

[knedlon]

Jaký jsou klíčové rozdíly mezi KeePassem a KeePassX?

úplně není jasné na CO se ptáš - viz jedničková verze, dvojková verze, "X" a "XC".
rozdíly mezi "jedničkou" a "dvojkou" - viz předchozí příspěvek,  mezi "X" a "XC" https://askubuntu.com/questions/1011431/keepassx-vs-keepassxc/1052972#1052972

[PetrM]

Je bezpečné ukládat hesla v prohlížeči když si zakážu auto-fill a nastavím master-pass?

Vždycky, když se k heslu můžeš dostat ty, tak se k němu může dostat i někdo jiný.
Ale ono není heslo jako heslo. Heslo k bankovnictví, PayPalu nebo k e-mailu bych si tam nedal, heslo k e-shopu, kde nemám uložený platební info, je to na zvážení. A heslo k webu, kde jenom diskutuješ, je v klidu.

U KeePassu přemýšlím jak postupovat kdyby se někdo dostal k tomu souboru.. (U LastPass/Prohlížeče se stačí asi jen vždy odhlásit/přihlásit.) Ale soubor z KeePassu asi není možné se ho zbavit a dostat se k němu jen když ho potřebuji..

Je to normální soubor, jakých máš na disku plno. Taky je občas potřebuješ... Prostě si ho synchronizuj a zálohuj. Nebo ho měj někde na serveru, přístupný po VPN/IPSEC. Tak ti bude k dispozici.

Zbavovat se ho nemusíš, protože je šifrovaný ( = počítá se s tím, že se dostane do ruky nepovolané osobě a dá jí neúměrně moc práce se k obsahu dostat ). Prostě se nastav jako vlastník, tvoje právo RW, skupina nic, ostatní nic. A zakaž ke stroji přihlášení roota. Pak musí útočník prolomit OS nebo synchronizační kanál, aby se k tomu dostal.

A pak můžeš zavést matení nepřítele, například změnou přípony souboru, tečkou na začátku jména souboru,...

Jenom tak mimochodem, i u online služby jsou hesla někde "fyzicky" uložený, i když se odhlásíš.

Napadá mě akorát se přihlašovat a odhlašovat z DropBoxu, ale hledat soubor v ES Filu jen abych ho mohl otevřít mi připadá až moc komplexní. Docela mě mrzí že KeePass nemá webovou verzi.

Je dobře, že nemá webovou verzi. Je jednodušší kompromitovat web (existuje víc cest), než se dostat k souboru na konkrétním stroji. Tam máš špatný nastavení práv na serveru, SQL injection, únos session, ...
Dostat se k mým heslům v KeePassu je o to, aby se někdo dostal s mýma nebo rootovskýma právama na konkrétní disk do konkrétního adresáře. Takže lámat věci jako VPN, SSH, ... nebo fyzicky čobnout noťas a louskat napřed LUKS a potom ten soubor. Moc práce s nejistým ziskem - a soubory kolem jsou často zajímavější, než pár hesel.

Jaký jsou klíčové rozdíly mezi KeePassem a KeePassX?

Hlavně v síle šifrování. Jednička je nalomená, dvojka ještě ne.