Zdielanie hesiel v rodine

[Gregor Fefor]

Nechápu, jak to rozporuje fakt, že máte vzrůšo z prázdného účtu?   

Iste, technicky to tento fakt nerozporuje. Ale ak ti ide len o vzrúšo, to vie žena zaistiť mnohými spôsobmi, napríklad že mužovi vyhodí jeho obľubené, ale trochu už opotrebované tričko alebo nejakú inú vec, o ktorej usúdila, "že ju už netreba" (našťastie moja toto nerobí, ale od kamarátov som pár prípadov počul).

[Reklama]

[Filip Jirsák]

Lebo sranie sa s heslami nie je praca naviac.

Není. Prostě to heslo buď přidám do skupiny sdílených hesel, pokud ho chceme sdílet průběžně. Nebo to řeší emergency access v ostatních případech.

A navyse toto je total brutal risk. Do toho by som vobec nesiel. Staci ze sa banke nebude nieco zdat a moze ju zalovat.

To by ovšem nejprve banka musela zjistit, že k něčemu takovému došlo. Jak by se o tom asi dozvěděla, když akce bude prováděná ze stejného počítače, jako vždy, bude potvrzená v mobilní aplikaci?

Staci ze zena nieco poserie ucet sa zablokuje a nie je v jej silach ho odblokovat atd..

Nevím, jak se dá účet v bance zablokovat. Každopádně i kdyby ho zablokovala, bude v situaci, jako kdyby přístup neměla od začátku, ne v horší.

Tu je jedina spravna cesta a to ta, ktoru som popisal, vsetko ostatne je hack, ktory moze ale lahko i nemusi fungovat.
Hack do dobreho pocasia, proste.

Ne, ten hack bez problémů funguje. A je to dnes spolehlivější, než když dříve manželka napodobovala podpis manžela.

A co sa tyka faktur, nie je nic jednoduchsie ako nastavit filter na mailu, nech vsetky faktury preposiela rovno aj jej do mailu do nejakej slozke. Vymyslate hluposti. Stale ste ma nepresvedcili.

Vy možná používáte e-mail s umělou inteligencí, kde můžete nastavit filtr „všechny faktury přeposílej na další e-mail“, a umělá inteligence se s tím vypořádá. Všichni ostatní by museli složitě vyjmenovávat všechny možné odesílatele a neustále to kontrolovat – zda nepřibyla nová faktura, zda odesílatel nezměnil adresu, ze které faktury rozesílá…

[Filip Jirsák]

Sdílet s někým heslo k vlastnímu přístupu nemám rád a nedělám to.

Bohužel si jaksi celý IT svět do dneška nevšiml, že existuje něco jako rodina, kde lidé často dělají věci společně. Nebo že existují firmy, kde více lidí řeší podobné věci. Každý e-shop by měl mít možnost k jednomu účtu zadat víc přístupových údajů – aby se k němu mohlo hlásit víc lidí z rodiny nebo z firmy. Kolik e-shopů něco takového má? Takže se to pak řeší nějakým společným e-mailem, ke kterému zná heslo víc lidí. Čehož si opět nevšimla většina provozovatelů e-mailových služeb, takže neumožňují mít sdílenou schránku, ke které by existovalo víc přístupových údajů.

Takže nesdílet hesla by bylo ideální, ale nejprve by museli ajťáci zaregistrovat, jak vypadá reálný svět. Možná se to pohne teď, když se hodně zavádí biometrická autentizace – protože heslo sdílet můžete, otisk prstu nebo obličej ne.

[soriako]

A navyse toto je total brutal risk. Do toho by som vobec nesiel. Staci ze sa banke nebude nieco zdat a moze ju zalovat.

To by ovšem nejprve banka musela zjistit, že k něčemu takovému došlo. Jak by se o tom asi dozvěděla, když akce bude prováděná ze stejného počítače, jako vždy, bude potvrzená v mobilní aplikaci?

Banka se asi dozví datum kdys natáhl brka, a dozví se že tam byly po tvojí smrti manuální operace. Jestli nevěří na duchy, tak jim dojde, že to neoprávněně dělal někdo jinej.

[Filip Jirsák]

Banka se asi dozví datum kdys natáhl brka, a dozví se že tam byly po tvojí smrti manuální operace. Jestli nevěří na duchy, tak jim dojde, že to neoprávněně dělal někdo jinej.

Jenže já nepíšu o situaci, kdy majitel účtu zemře, ale o daleko častější situaci, kdy je prostě na nějakou dobu „vyřazen“ z běžného života. Může ležet v bezvědomí na JIP, ale také může jenom ležet na obyčejném nemocničním pokoji s oběma rukama v sádře nebo tak zesláblý, že nedokáže ani ovládat mobil.

To, aby manželka neprováděla převody na bankovním účtu manžela po jeho smrti se zajistí jednoduše tak, že není blbá, o smrti manžela se dozví a na účtě pak samozřejmě nic provádět nebude (a koneckonců, kdyby tam nějaké převody prováděla, bude to už její problém, ne problém toho zesnulého manžela).

[Reklama]

[Lopital]

Dobre, tak ak chcete vyriesit manzelkin pristup k financiam sposobom, ktory funguje len obcas a len vtedy ked vsetky okolnosti hraju pre manzelku. Prosim kludne si zdielajte hesla.

Pre vsetkych ostatnych, ktori chcu maximalizovat sancu, aby manzelka nezostala bez financii ak sa nieco stane a vsetko sa zacne srat, tak si proste zalozia disponenta.

[Lopital]

Nevím, jak se dá účet v bance zablokovat. Každopádně i kdyby ho zablokovala, bude v situaci, jako kdyby přístup neměla od začátku, ne v horší.

Uplne jednoducho zada napr. spatne heslo 3x a IB mate v predli a uz nic s tym nespravi.

[Filip Jirsák]

Dobre, tak ak chcete vyriesit manzelkin pristup k financiam sposobom, ktory funguje len obcas a len vtedy ked vsetky okolnosti hraju pre manzelku. Prosim kludne si zdielajte hesla.

Ten přístup funguje skoro vždy. Jeho výhoda je, že není potřeba dělat nic navíc, než to, co budete řešit kvůli jiným přístupům, kde možnost zřízení nějakého disponenta není.

Navíc je tu ta možnost, že se ten přístup aktivuje až v kritické situaci. Což v případě disponenta účtu neplatí, ten má to právo pořád. A nemusí jít o to, že bych třeba manželce ten trvalý přístup dát nechtěl, ale že ho nemusí chtít ona.

Pre vsetkych ostatnych, ktori chcu maximalizovat sancu, aby manzelka nezostala bez financii ak sa nieco stane a vsetko sa zacne srat, tak si proste zalozia disponenta.

Vůbec nemusí jít o to, že by zůstala bez financí. Manželka klidně může mít svůj účet, kde má dost prostředků. Jde o to, že v tom účtu jsu třeba nastavené šablony pro platby (a je otázka, zda vaše banka umí sdílet šablony mezi disponenty jendoho účtu), nebo je ten účet uvedený jako odchozí účet u protistrany, a když částku pošlete z jiného účtu, budete muset řešit. Nebo jenom potřebujete zjistit, zda odešla trvalá platba, zda se strhlo inkaso, potřebujete zjistit údaje pro splátku karty.

Nebo třeba používáte Bankovní identitu pro přihlášení dál, a tam vás disponentské oprávnění nepustí.

Jinak já nikomu neříkám, že se má přidání disponenta k účtu vyhnout. Jenom říkám, že se to v krajních situacích dá zvládnout i bez toho, takže třeb apro někoho není důležité to předem složitě řešit. Navíc dřív se třeba někomu nechtělo u účtu zdarma platit měsíčně třeba dvě stovky za to, aby mohl mít k účtu přidaného druhého disponenta.

[Filip Jirsák]

Uplne jednoducho zada napr. spatne heslo 3x a IB mate v predli a uz nic s tym nespravi.

Proč by to dělala?

[Gregor Fefor]

A nemusí jít o to, že bych třeba manželce ten trvalý přístup dát nechtěl, ale že ho nemusí chtít ona.

Proč by to dělala?

Moja manželka disponentom je, ale inak to nevyužíva, a aj prístup do IB si vybavila len nedávno (a kartu k účtu stále nemá). Ale to je jej vec, možnosť má. Každopádne máme len jeden účet, ona nijaký svoj nemá. Ale ani jej nechýba (nerada nakupuje, a na tých pár nákupov detského oblečenia si vezme odo mňa hotovosť). Myslím, že manželku mi môžete závidieť (iné veci ako kedy).

[tvojtatko]

Zaujimava tema.

Tejto problematike som sa venoval dlhsie a postupom casu som si vymyslel svoj postup. Aj ked hesla a citlive informacie nezdielam s nikym dalsim, aj tak sa o moje "bezpecnostne riesenie" chcem podelit.

Na hesla pouzivam unixovu utilitu "pass". Je to defakto jeden bash script ktory mam niekde v ~/bin. Vie to generovat hesla, rovnako ich aj kopirovat do clipboardu atd.

Cielene nepouzivam ziadny password manager, ktory by bol online alebo na neho existovala nejaka extension v browseri ako LastPass a podobne. Jedine v praci, kde to je nutnost, ale inak v tychto password manageroch nemam ani jedno sukromne heslo. Co je online, to nie je bezpecne. Mna nejaky LastPass a podobne proste nezaujima uz z podstaty. V tom "pass" nemam len hesla ale aj vela ostatnych textovych dokumentov, v podstate akekolvek citlive informacie v textovej podobe.

Pekna vyhoda toho pass je, ze pod tym to je normalny Git repozitar, (ktory si mozete pushnut niekam na private repo v GitLabe, ak sa na to citite, kedze tie data su tam zasifrovane, ako to dalej rozoberiem) takze aj ked vymazete nejake hesla alebo ich zmenite atd, tak sa mozete dopracovat k tym heslam a informaciam do minulosti.

Ten pass pracuje rovnako aj s GPG takze v tom repozitari su hesla zasifrovane mojim gpg klucom.

Harddisk mam sifrovany LVM.

Dalsi "figel" spociva v tom, ze tento Git repozitar, z ktoreho "pass" cita skrz moj GPG kluc, nemam len tak na zasifrovanom disku, ale mam ho vo Veracrypte. Mam 10GB volume kde mam vsetky moje ostatne, menej citlive, data + tento pass repozitar. Takze k tomu, aby som sa dostal k mojim heslam, ktore su zasifrovane s GPG, musim otvorit zasifrovany Veracrypt volume, ku ktoremu je heslo, ktore poznam len ja, nemeni sa, pamatam si ho z hlavy, nikdy ho nezabudnem a nemam ho nikde zapisane.

Kazdy tyzden si spravim zalohu celeho disku na externy harddisk cez program Timeshift (pouzivam Linux Mint) takze sa v pripade potreby dokazem vratit v case k roznym verziam mojho celeho systemu, s tym zasifrovanym Veracryptom vratane.

Specialne mam ten Veracrypt volume ulozeny ako persistent store v Linux Tails na dvoch usb a pravidelne na ne ukladam najcerstvejsie verzie tych Veracrypt volumes. Tieto usb kluce mam vo fyzickom trezore. Hesla k tomu tails persistent storage mam opat len ja v hlave a GPG kluce mam vytlacene na papieri a tiez v trezore.

V poslednom case este rozmyslam, ze si budem presifrovavat cely ten pass repozitar inym GPG klucom a tak ho "tocit", ale k tomu som sa este nedostal.

(1) https://www.passwordstore.org/

[Filip Jirsák]

Cielene nepouzivam ziadny password manager, ktory by bol online alebo na neho existovala nejaka extension v browseri ako LastPass a podobne. […] Co je online, to nie je bezpecne. Mna nejaky LastPass a podobne proste nezaujima uz z podstaty.

Takže se bojíte správců hesel a online uložení, a přitom hesla přenášíte ručně přes schránku – kde je riziko prozrazení hesla podstatně větší, třeba při phishingu.

[tvojtatko]

Cielene nepouzivam ziadny password manager, ktory by bol online alebo na neho existovala nejaka extension v browseri ako LastPass a podobne. […] Co je online, to nie je bezpecne. Mna nejaky LastPass a podobne proste nezaujima uz z podstaty.

Takže se bojíte správců hesel a online uložení, a přitom hesla přenášíte ručně přes schránku – kde je riziko prozrazení hesla podstatně větší, třeba při phishingu.

mozete to rozvinut? uprimne ma to zaujima. To akoze ked mam Linuxovy clipboard a skopirujem si heslo (ctrl+c / ctrl + v) do weboveho formulara, tak to je bezpecnostne riziko?

[Filip Jirsák]

mozete to rozvinut? uprimne ma to zaujima. To akoze ked mam Linuxovy clipboard a skopirujem si heslo (ctrl+c / ctrl + v) do weboveho formulara, tak to je bezpecnostne riziko?

Ano. Největší bezpečnostní riziko je to, že to heslo vložíte do špatného formuláře. Pokud na vás zaútočí phishing a vy si toho nevšimnete, sám vložíte heslo do stránky připravené útočníkem. Rozšíření v prohlížeči se to nestane, protože to porovnává doménové jméno a „nepřehlédne“ přesmyčku nebo prostě jen jinou doménu. No a pak jsou tu ještě ty méně důležité možnosti – heslo je ve schránce a zůstane v ní i po vložení, takže ho můžete vložit jinam (jak na webu, tak mimo něj), a aplikace běžící v počítači si mohou kdykoli obsah schránky přečíst (což už by vyžadovalo kód útočníka spuštěný na vašem zařízení – ale pokud rozšifrováváte celý soubor s hesly, pak by v takovém případě jedno heslo ve schránce bylo nezajímavé, protože ten kód by měl přístup ke všem heslům).

[kanoe22]

Filip Jirsak, uz som to tu raz pisal, preco to prehliadate a stale si idete tu svoju basnicku dookola. Ano pasword manazerovy neunikne zmena domeny, ale to je tak vsetko pred cim to chrani. Nic ine.
Pasword manazer mi ale nevie zarucit ze moje hesla ulozene na ich serveroch su fakt chranene pred zneuzitim, ja nemam cestu ako zistit aky softver im bezi na servery a komu vsetkemu predavaju data o mne. Dalej cross-site scriptin. Staci mat otvorenu nakazenu stranku na inom tabe a utocnik si precita vsetky data z ostatnych tabov, to znamena ze vie ukradnut aj session cookies a teda vykonavat akcie za vas pekne v pozadi bez nutnosti vizualneho otvorenia noveho tabu. A podobne chutovecky, s ktorymi hackery prichadzaju.