Jak se postarat o hesla

Janci

Re:Jak se postarat o hesla
« Odpověď #30 kdy: 06. 12. 2018, 11:13:43 »
textaky v zasifrovanom kontajneri (luks loop-mount)
kontajner zalohujem (samozrejme zasifrovany)
heslo k nemu si pamatam a pre istotu ho mam zapisane na bezpecnom mieste

nevyhoda: aktivne sa s tym da pracovat iba na jednom pocitaci


abc

Re:Jak se postarat o hesla
« Odpověď #31 kdy: 06. 12. 2018, 11:16:35 »
O jakem prolomeni mluvis? SW nebo dat v souboru.

pouzite sifrovani v KeePassX
•Encryption- either the Advanced Encryption Standard (AES) or the Twofish algorithm are used
– encryption of the database in 256 bit sized increments
sifrovani v Keepass v2, v1 snad nikdo nepouziva
Advanced Encryption Standard (AES / Rijndael) 256 bits NIST FIPS 197
ChaCha20 256 bits RFC 7539
There exist various plugins that provide support for additional encryption algorithms, including but not limited to Twofish, Serpent and GOST.

Zelenohlav

Re:Jak se postarat o hesla
« Odpověď #32 kdy: 06. 12. 2018, 16:05:39 »
textaky v zasifrovanom kontajneri (luks loop-mount)
kontajner zalohujem (samozrejme zasifrovany)
heslo k nemu si pamatam a pre istotu ho mam zapisane na bezpecnom mieste

nevyhoda: aktivne sa s tym da pracovat iba na jednom pocitaci

Kdyz uz jsme se dostali k resenim, se kterymi se da pracovat jen z jednoho pocitace, tak se to da take resit hardwarove. Chcete zadat heslo (nebo username a heslo), najedete kurzorem do spravneho pole, na externim zarizeni zmacknete jednu klavesu a cele heslo (pripadne username, tabelator a heslo) se vyplni samo.

Jak na to?

Na pocitaci, kde chceme zadavat hesla, se pusti jako root:
inputattach --baud 19200 --ps2serkbd /dev/ttyUSB0

A na ten seriovy port (jak je videt z prikladu funguje to i se seriakem na USB) se pripoji jakykoliv HW, ktery tam ty hesla dokaze poslat. Vec o velikosti USB flash s par tlacitky a atmegou, arduino, raspberry pi, nebo treba stary laptop. Hesla se posilaji jako uhozy na PS2 klavesnici.

V pripade pouziti pocitace s Linuxem (coz muze byt klidne laptop 486DX2/66 z minuleho tisicileti) muzete vyuzit muj kod v pythonu: http://punktopia.cz/klavesnicova-makra-poprve/ . Ovladani je trivialni - do souboru se jmenem, ktere je zaroven jeden znak z klavesnice (treba a, b, c, @, E, 6, *) zapisete, co se ma poslat na seriak. Zmacknete prislusnou klavesu a data se poslou. Takze staci nadepsat klavesy tim, k cemu to je heslo a pouzivat.

Pokud chcete, aby to bylo bezpecne, je potreba zarizeni s hesly nepripojovat do zadne site. Hesla tam pekne zadavat rucne a pokud takovych zarizeni mate vice, tak je i synchronizovat rucne (klavesnice, flashka, disketa ...).

Pro paranoiky: nepouzivejte null modem, ale spojte jen TX zarizeni, ktere vam poskytuje hesla s RX pocitace, kde hesla prijimate. Samozrejme na seriaku a ne na USB v pripade, ze pouzivate konvertor z USB.

Nahodna sestnactiznakova hesla pouze z pismen snadno vygenerujete takto:
for a in `seq 1 16`; do
        x=$(( RANDOM % 52 ))
        if [ "$x" -lt 26 ]; then ((x+=65)); else ((x+=97-26)); fi
        perl -e "print chr($x);"
done
echo
Generujete samozrejme na heslari a ne na bezne pouzivanem pocitaci.

jiwopeneAESFRGH

Re:Jak se postarat o hesla
« Odpověď #33 kdy: 06. 12. 2018, 17:03:43 »
Já mám readonly ramfs (neměl by se uložit do swapu, který je stejně obvykle jen zram), v něm jsou složky (1 složka na 1 službu) a v nich data. Každá složka (a soubory v ní) mají nastavená oprávnění na rw-r-----, uživatel root a pro každou složku (službu) je skupina uživatelů. Ukládám to v GPG v taru. Nějak moc se na to ale nespoléhám, takže tam jsou jen taková, kde zveřejnění nijak moc nevadí.

Anon

Re:Jak se postarat o hesla
« Odpověď #34 kdy: 06. 12. 2018, 22:08:21 »
Asi mám rozhodnuto, nejspíš půjdu do FF nebo LastPassu...
Jen nevíte jaký druh šifrování používá FireFox? Nemohu to nikde dohledat. Četl jsem že to používá nějakou hashovací funkci, ale vzhledem k tomu jak je zranitelná MD5, tak asi raši vezmu ten Last.

Používám Windows 10, nikoliv linux, navíc konzolovou řádku skoro neovládám až na příkaz sudo apt-get install...
Doufám že jít pod křídla Mozilly čí LogMeIn bude dobré rozhodnutí.


Vilith

  • *****
  • 660
    • Zobrazit profil
Re:Jak se postarat o hesla
« Odpověď #35 kdy: 06. 12. 2018, 22:10:57 »
Neorientoval bych se na FF - provadi posledni dobou pekne "psi kusy" a nemohu mu prijit na chut :(
Po letech jsem presel na Operu a jsem spokojenejsi

LastPass ma vyhodu, ze neni vazany na konkretni browser

jan.str

Re:Jak se postarat o hesla
« Odpověď #36 kdy: 07. 12. 2018, 16:26:51 »
Keepass funguje i pod Win

Michl

Re:Jak se postarat o hesla
« Odpověď #37 kdy: 12. 12. 2018, 11:59:46 »
Zkoušel jsem kdeco (i placené) KeePass, LastPass, EnPass atd. Nakonec jsem skončil u https://bitwarden.com/. Open source - občas mě baví číst si zdrojáky :-) plugin do prohlížečů, mobilní verze a synchronizace a podobné drobnosti my vyhovují.

x

Re:Jak se postarat o hesla
« Odpověď #38 kdy: 22. 01. 2019, 18:36:14 »
ahoj,

aktualne tiez riesim co s heslami, lebo uz si ich naozaj neviem zapamatat vsetky a nechcem mat jedno univerzalne. Tiez som riesil, ci je keepassx (a jeho klony) bezpecne z pohladu bud rozsifrovania databazy ale hlavne ci databazu neposiela tajne niekde do ciny a pod.

nasiel som naapr. firejail, co vyzera zaujivo, ale zase sa tym komplikuje praca s apklikaciou a opat nemam 100% istotu. Tak ma napadlo toto riesenie:

1) zacal som pouzivat keepass bez akychkolvek jailov/firewallov a podobne..
2) pre username nepouzivam realne username, ale len nejaku napovedu (nie je ich az tak vela, vacsinou su to emailove adresy) - jasne, da sa to trafit po kratsom socialnom inzinieringu, ale aspon nieco
3) password si necham vygenerovat v keepass napr. aspon 16 znakov
4) toto vsetko je ulozene v databaze
5) "realne heslo" je zlozene z toho, co je ulozene v keepass  + nieco, co mam v hlave (jednoduchy krok, ktory ku kazdemu heslu prida "salt" , nejaky/e znak/y niekam do hesla)

co vy na to? som dostatocne paranoidny? hladam nejake funkcne riesenie, ktore by som potom mohol naucit aj ineho ne-technicky zdatneho usera (manzelka/deti/svokra a pod...). riesenie typu, naistaluj si to do virtualu bez siete, alebo do jailu a pod protste nie je user friendly.

myslim si, ze ked unikne databaza nestane sa nic hrozne, dokonca aj export do CSV a jeho ulozenie do bezpecneho uloziska (alebo tlac na papier) je stale zabezpecene.