Zdielanie hesiel v rodine

[tvojtatko]

mozete to rozvinut? uprimne ma to zaujima. To akoze ked mam Linuxovy clipboard a skopirujem si heslo (ctrl+c / ctrl + v) do weboveho formulara, tak to je bezpecnostne riziko?

Ano. Největší bezpečnostní riziko je to, že to heslo vložíte do špatného formuláře. Pokud na vás zaútočí phishing a vy si toho nevšimnete, sám vložíte heslo do stránky připravené útočníkem. Rozšíření v prohlížeči se to nestane, protože to porovnává doménové jméno a „nepřehlédne“ přesmyčku nebo prostě jen jinou doménu. No a pak jsou tu ještě ty méně důležité možnosti – heslo je ve schránce a zůstane v ní i po vložení, takže ho můžete vložit jinam (jak na webu, tak mimo něj), a aplikace běžící v počítači si mohou kdykoli obsah schránky přečíst (což už by vyžadovalo kód útočníka spuštěný na vašem zařízení – ale pokud rozšifrováváte celý soubor s hesly, pak by v takovém případě jedno heslo ve schránce bylo nezajímavé, protože ten kód by měl přístup ke všem heslům).

to je pravda len z casti, v pripade tej utility "pass", ak to heslo skopirujete do schranky, tak sa same vymaze za 45 sekund. To je default, da sa to nastavit environment premennou "PASSWORD_STORE_CLIP_TIME". Takze nie, tie hesla v schranke nezostanu a za nejaky cas ich neskopirujete uz nikam, pretoze tam uz nie je.

Ziadne riesenie nie je dokonale, ani password manager v brosweri. Mne je uzko z toho, ze moje vsetky hesla a celu moju identitu ma drzat na serveroch nejaka sluzba, to je cisty horor. Navyse, vela krat je po zadani hesla este 2FA takze ten attack vektor je fakt ze minimalny.

[Reklama]

[tvojtatko]

Este by som doplnil, ze to heslo v podstate ani vobec kopirovat nemusite, ak mate heslo napr. ako 4mS45o%sdxaZy!d^s tak nie je problem si ho len s pass zobrazit v konzole a proste ho tam rucne opisat a odmietnut aby si to browser pamatal (take to vyskakovacie okno, kde povolite, aby vam to tam uz potom vyplnalo automaticky, takze to nedrzi ani browser). Mozete namietnut, ze to je predsa neprakticke, ale to je mi v mojom pripade tiez jedno

[Filip Jirsák]

Filip Jirsak, uz som to tu raz pisal, preco to prehliadate a stale si idete tu svoju basnicku dookola. Ano pasword manazerovy neunikne zmena domeny, ale to je tak vsetko pred cim to chrani. Nic ine.

Password manažery ještě výrazně přispívají k tomu, abyste měl unikátní a dostatečně silná hesla. Přičemž tyhle třo věci jsou dnes největší rizika – že budete mít stejné heslo něke jinde, že bude heslo slabé, a že z vás útočník heslo vyláká trikem. Všecho ostatní jsou proti tomuhle zanedbatelná rizika. Takže ano, správci hesel vás chrání „jenom“ před těmi největšími hrozbami.

Řešení s kopírováním nebo opisováním hesel vás možná chrání před něčím nedůležitým, ale ochrana před skutečnými hrozbami tam chybí.

Pasword manazer mi ale nevie zarucit ze moje hesla ulozene na ich serveroch su fakt chranene pred zneuzitim, ja nemam cestu ako zistit aky softver im bezi na servery a komu vsetkemu predavaju data o mne.

Zaručit to dokáže hrozně jednoduše – tak, že server ta hesla vůbec nezná a znát nemůže, protože se šifrují už na klientovi. A pokud se tolik bojíte online správců hesel, existuje i mnoho offline řešení.

Dalej cross-site scriptin. Staci mat otvorenu nakazenu stranku na inom tabe a utocnik si precita vsetky data z ostatnych tabov, to znamena ze vie ukradnut aj session cookies a teda vykonavat akcie za vas pekne v pozadi bez nutnosti vizualneho otvorenia noveho tabu. A podobne chutovecky, s ktorymi hackery prichadzaju.

To je nesmysl, vůbec netušíte, o čem píšete. Navíc to nijak nesouvisí se správci hesel – session cookie je pořád stejná, bez ohledu na to, zda heslo vyplnil správce hesel nebo jestli jste heslo opisoval s papírku.

Este by som doplnil, ze to heslo v podstate ani vobec kopirovat nemusite, ak mate heslo napr. ako 4mS45o%sdxaZy!d^s tak nie je problem si ho len s pass zobrazit v konzole a proste ho tam rucne opisat a odmietnut aby si to browser pamatal (take to vyskakovacie okno, kde povolite, aby vam to tam uz potom vyplnalo automaticky, takze to nedrzi ani browser). Mozete namietnut, ze to je predsa neprakticke, ale to je mi v mojom pripade tiez jedno

Ano, je to nepraktické. Ale hlavně jste se chytil té nejméně podstatné věci. Útok, se kterým se dnes setkáte nejčastěji, je phishing. Proti tomu vás žádné opisování nebo kopírování hesel nechrání.

[tvojtatko]

Password manažery ještě výrazně přispívají k tomu, abyste měl unikátní a dostatečně silná hesla. Přičemž tyhle třo věci jsou dnes největší rizika – že budete mít stejné heslo něke jinde, že bude heslo slabé, a že z vás útočník heslo vyláká trikem. Všecho ostatní jsou proti tomuhle zanedbatelná rizika. Takže ano, správci hesel vás chrání „jenom“ před těmi největšími hrozbami.

Suhlasim Preto pass aj vie generovat hesla, napr. prikazom dole vytvorim v gite heslo "nejakeheslo" ktore je 15 znakov dlhe a skopirujem si to do schranky ktore ho drzi napr. 15 sekund.

Kód: [Vybrat]

$  pass generate -c nejakeheslo 15
[master a34d504] Add generated password for nejakeheslo.
 1 file changed, 0 insertions(+), 0 deletions(-)
 create mode 100644 nejakeheslo.gpg
Copied nejakeheslo to clipboard. Will clear in 15 seconds.

Sranda je, ze ja vobec ani netusim, ako to heslo vyzera. Nepotrebujem to ani vediet.

Zaručit to dokáže hrozně jednoduše – tak, že server ta hesla vůbec nezná a znát nemůže, protože se šifrují už na klientovi.

No ved to presne robi ten "pass". Ze to sifruje u mna lokalne. Takze password manager co je online vlastne len vie to .... ze je online.

Ano, je to nepraktické. Ale hlavně jste se chytil té nejméně podstatné věci. Útok, se kterým se dnes setkáte nejčastěji, je phishing. Proti tomu vás žádné opisování nebo kopírování hesel nechrání.

Je to mozne. Ide o to riziko ako je velke, na ake stranky chodite atd. Ak mate ku kazdej stranke ine heslo a 2FA a vseobecne si davate pozor, tak si myslim, ze uz ste vo vseobecnosti dost safe.

Je to naozaj siroka tema. Ale napr. ze phishing e-maily. Ked mi to nehodi rovno do spamu a pride mi nejaky email od xyz o abc tak ja uz na prvy pohlad rozoznam ze to je nejaky spam a automaticky to mazem, ani to neotvaram. Ani ma to nepokusa vidiet, co v tom emaily je. Na phishing sa chyti vela "amaterov", ako starsi ludia atd ktori nemaju cit pre taketo veci a klikaju hore dore. Samozrejme, ze to nie je len ich domena a obetou sa stanu aj "uvedomeli pouzivatelia pc" ale ja tam vidim vyraznu korelaciu.

[Filip Jirsák]

Je to mozne. Ide o to riziko ako je velke, na ake stranky chodite atd. Ak mate ku kazdej stranke ine heslo a 2FA a vseobecne si davate pozor, tak si myslim, ze uz ste vo vseobecnosti dost safe.

Je to naozaj siroka tema. Ale napr. ze phishing e-maily. Ked mi to nehodi rovno do spamu a pride mi nejaky email od xyz o abc tak ja uz na prvy pohlad rozoznam ze to je nejaky spam a automaticky to mazem, ani to neotvaram. Ani ma to nepokusa vidiet, co v tom emaily je. Na phishing sa chyti vela "amaterov", ako starsi ludia atd ktori nemaju cit pre taketo veci a klikaju hore dore. Samozrejme, ze to nie je len ich domena a obetou sa stanu aj "uvedomeli pouzivatelia pc" ale ja tam vidim vyraznu korelaciu.

Když to shrnu, víte jen o primitivních phishingových útocích na vaši osobu, takže to vlastně moc neřešíte. Takže je jen otázka času, kdy nějaký lepší phishingový útok na vás bude úspěšný. Nejspíš bude stačit, když e-mail bude správně česky a povede na rozumně vypadající stránku.

[Reklama]

[tvojtatko]

Je to mozne. Ide o to riziko ako je velke, na ake stranky chodite atd. Ak mate ku kazdej stranke ine heslo a 2FA a vseobecne si davate pozor, tak si myslim, ze uz ste vo vseobecnosti dost safe.

Je to naozaj siroka tema. Ale napr. ze phishing e-maily. Ked mi to nehodi rovno do spamu a pride mi nejaky email od xyz o abc tak ja uz na prvy pohlad rozoznam ze to je nejaky spam a automaticky to mazem, ani to neotvaram. Ani ma to nepokusa vidiet, co v tom emaily je. Na phishing sa chyti vela "amaterov", ako starsi ludia atd ktori nemaju cit pre taketo veci a klikaju hore dore. Samozrejme, ze to nie je len ich domena a obetou sa stanu aj "uvedomeli pouzivatelia pc" ale ja tam vidim vyraznu korelaciu.

Když to shrnu, víte jen o primitivních phishingových útocích na vaši osobu, takže to vlastně moc neřešíte. Takže je jen otázka času, kdy nějaký lepší phishingový útok na vás bude úspěšný. Nejspíš bude stačit, když e-mail bude správně česky a povede na rozumně vypadající stránku.

minimalna sanca na phishing v tomto pripade, fakt si na to pockam ... ked ma clovek citlivejsie stranky v zalozkach (bookmarks) a chodi na ne tak, ze klikne na tlacidlo v bookmarks bare v browseri, kontroluje certifikaty, neklika na nevyziadane emaily atd ...  ja si nepamatam, kedy mi prisiel e-mail, ktory sa tvaril podozrivo a zaroven este som na neho klikol, asi nikdy.

ak by mi napriklad prisiel e-mail od CSOB ze mame pre vas produkt xyz atd, tak to ani necitam. Nezaujimaju ma tie ich "nove produkty" atd atd.

[Walda2000]

Zajímavé téma. Já osobně jsem vsadil na zcela primitivní řešení a tím je obyčejný papír, na něj napsat vše důležité a založit ho mezi ostatní dokumenty. Proč? Protože když dojde na lámání chleba a manželce oznámí, že jsem např. zemřel při autonehodě, tak ji rozhodně nechci trápit dalšími složitostmi jen proto, aby např. mohla zaplatit za elektřinu nebo dětem obědy. Co se týče účtu, má na vše disponenská práva. Jak zde někdo zmiňoval dědické řízení - tak to se může táhnout měsíce, ale provozní náklady domácnosti nepočkají.

[Filip Jirsák]

minimalna sanca na phishing v tomto pripade, fakt si na to pockam ...

Minimální pravděpodobnost útoku, ovšem v případě útoku vysoká pravděpodobnost, že bude úspěšný. Pokud jde o bezpečnost, nemám rád, když se násobí nízká pravděpodobnost vysokou, protože to může dopadnout všelijak. Dávám přednost tomu, když se násobí dvě nízké pravděpodobnosti.

ja si nepamatam, kedy mi prisiel e-mail, ktory sa tvaril podozrivo a zaroven este som na neho klikol, asi nikdy.

Vy tenhle argument myslíte vážně, že? Tohle ale nedokazuje vůbec nic. Lidé, kteří podlehli phishingu, vám bude tvrdit to samé – že si ničeho podezřeléhlo nevšimli.

ak by mi napriklad prisiel e-mail od CSOB ze mame pre vas produkt xyz atd, tak to ani necitam. Nezaujimaju ma tie ich "nove produkty" atd atd.

Fajn, takže některé e-maily nečtete. Ale jiné e-maily nejspíš čtete, a když vám takový e-mail pošle útočník, otevřete ho.

[tvojtatko]

Mozno otvorim, ale potom by som tam musel zadavat heslo atd bez toho, aby som si vsimol, ze to je podvrh. A potom tam zadavam kod z telefonu s 2FA. Nikdy sa neprihlasujem do internet bankingu tak, ze kliknem na link v emaily a zadam tam hesla. Nikdy. Niekam kliknut z emailu a potom tam este aj zadavat hesla, to sa tiez ta sanca minimalizuje ze nastanu tieto dve veci sucasne.

Ja chapem, co chcete povedat, a ano, v podstate mate pravdu, ze teda extensiona Vam moze kontrolovat, ze to heslo k stranke sa zhoduje s tou strankou. To je samozrejme plus. Ale nie je to pre mna dovod, preco by som to mal pouzivat, pretoze mam nejake navyky atd. Viem, ze to moze zniet dost alibisticky

Ak by bol ten pass spraveny tak, ze by mal svoju extension do browsera a cital to z lokalneho git repozitara, to by bolo asi najviac nepriestrelne riesenie. Bohuzial nic take neexistuje zatial (sa mi zda) a som ochotny to, ze to nekontroluje ci sa ta URL zhoduje, strpiet.

[Filip Jirsák]

Mozno otvorim, ale potom by som tam musel zadavat heslo atd bez toho, aby som si vsimol, ze to je podvrh.

Právě že to závisí jenom na tom, že si všimnete. Což není moc pravděpodobné, když podvrh neočekáváte.

Ale nie je to pre mna dovod, preco by som to mal pouzivat, pretoze mam nejake navyky atd. Viem, ze to moze zniet dost alibisticky

Pokud máte své nebezpečné návyky, je to vaše věc. Ale něco jiného je doporučovat ostatním, aby si také vybudovali takový nebezpečný návyk.

Ak by bol ten pass spraveny tak, ze by mal svoju extension do browsera a cital to z lokalneho git repozitara, to by bolo asi najviac nepriestrelne riesenie. Bohuzial nic take neexistuje zatial (sa mi zda) a som ochotny to, ze to nekontroluje ci sa ta URL zhoduje, strpiet.

Existují jiní správci hesel, kteří fungují v offline režimu a rozšíření do prohlížeče mají. Ale to zase bdue proti vašim návykům…

[tvojtatko]

Existují jiní správci hesel, kteří fungují v offline režimu a rozšíření do prohlížeče mají. Ale to zase bdue proti vašim návykům…

Zalezi ako sa to konkretne chova, kam to uklada hesla, ako su ulozene. Mne sa paci, ze mi to sifruje rovno s gpg klucom v gite. Ked by bolo presne nieco taketo na trhu, nemam s tym v zasade problem, ale chcem, aby tie data boli moje a mal som k nim pristup aj bez extensiony v browseri. Chcem, aby bol ten password manager samostatny a aby to bolo lahko prenositelne a malo to interface na konzolu.

Som same ucho, aka existujuca extensiona a program toto splna.

[tvojtatko]

Ked nad tym tak rozmyslam, tak vy ste vlastne dohnali do extremu fakt, ze si nekontrolujem nejake URL adresy s tym, ze moje navyky su nebezpecne a tak vlastne cele moje riesenie je postavene na vode. To sa mi zda voci mne dost nefer.

Zaroven nemam rad, ak zavisim na jednom konkretnom rieseni ktore je online a som vydany napospas nejakej firme ktora tu za 5 rokov nemusi byt, hacknu ju, stane sa to platene atd atd. Jednoducho musim zavisiet na nejakej externej a sukromnej entite.

Kdezto ked mam raz Git repozitar a zasifrovane to je s GPG tak to je nepriestrelne a zelezobetonove riesenie. Ten program, pass, ani nemusi uz existovat, pretoze budem schopny rozsifrovat nejaky zasifrovany subor s mojim klucom aj cisto z konzoly bez nejakeho dalsieho programu.

[Filip Jirsák]

Zalezi ako sa to konkretne chova, kam to uklada hesla, ako su ulozene.

Hesla jsou uložená v souboru šifrovaná master heslem.

Ked by bolo presne nieco taketo na trhu, nemam s tym v zasade problem, ale chcem, aby tie data boli moje a mal som k nim pristup aj bez extensiony v browseri. Chcem, aby bol ten password manager samostatny a aby to bolo lahko prenositelne a malo to interface na konzolu.

Som same ucho, aka existujuca extensiona a program toto splna.

S výjimkou toho šifrování pomocí GPG splňuje všechno třeba Bitwarden. Je opensource, existuje jako GUI (desktopové i mobilní), CLI i rozšíření do prohlížeče. Hesla jsou uložená offline v šifrovaném souboru. Umožňuje i synchronizaci online, ale tu používat nemusíte. Ten server si i můžete hostovat u sebe a dokonce existuje i alternativní (nezávislá) implementace serveru Vaultwarden, která implementuje některé funkce, které jsou u Bitwarden serveru jen v placených plánech. A kdybyste se pořád bál, že ta aplikace jednoho dne kompletně přestane fungovat, můžete si pomocí CLI cronem hesla třeba jednou denně exportovat a zálohovat.

Ked nad tym tak rozmyslam, tak vy ste vlastne dohnali do extremu fakt, ze si nekontrolujem nejake URL adresy s tym, ze moje navyky su nebezpecne a tak vlastne cele moje riesenie je postavene na vode. To sa mi zda voci mne dost nefer.

To je váš problém, že vám to připadá nefér. Největší nebezpečí, že heslo unikne od vás, je phishing – heslo prozradíte útočníkovi, když si budete myslet, že ho zadáváte na správný web, ale web bude falešný. Vaše řešení proti takovémuto útoku nijak nechrání. Asi jako kdyby zloději nejčastěji vykrádali byty tak, že odemknou zámek bez klíče, a vy byste si ve dveřích nechal obyčejnou fabku, ale zato byste namontoval na okna mříže a zazdil byste komín.

Zaroven nemam rad, ak zavisim na jednom konkretnom rieseni ktore je online a som vydany napospas nejakej firme ktora tu za 5 rokov nemusi byt, hacknu ju, stane sa to platene atd atd. Jednoducho musim zavisiet na nejakej externej a sukromnej entite.

To se pořád akorát bráníte něčemu, co pová snikdo nechce. Existují i offline password manažery, ostatně vy jeden jednoduchý používáte. A i drtivá většina password manažerů, které umí komunikovat online, použvá online jenom k synchronizaci hesel – takže i kdybynějaká firma vypnula servery, hesla na zařízení mi pořád zůstanou. A pořád je můžu vyexportovat do CSV a přenést jinam.

Kdezto ked mam raz Git repozitar a zasifrovane to je s GPG tak to je nepriestrelne a zelezobetonove riesenie.

Ne, není to neprůstřelené a železobetonové řešení. Namontoval jste si na okna mříže, ale zdolědji chodí dveřmi.

Ten program, pass, ani nemusi uz existovat, pretoze budem schopny rozsifrovat nejaky zasifrovany subor s mojim klucom aj cisto z konzoly bez nejakeho dalsieho programu.

Ne, k rozšifrování pořád budete potřebovat GPG – to je ten program, na kterém jste závislý.

[JurajP]

ako tu niekto pisal, ze manzelka moze vybielit ucet a ujst s milencom, alebo ze bude ohen na streche, ked si niekto kupi nieco drahsie. to su podla mna nezmysly. Uz len z toho dovodu, ze ak clovek zije v manzelstve, tak asi nevstupoval do tohto zvazku s tym, ze bude podozrievat svoju zenu, ci svojho muza. A ked su hlavne aj deti, tak zena nebude prelietava a balit chlapov na diskotekach (aj ked nepopieram, ze urcite sa najdu vynimky). Co sa tyka nejakych "tajnych" uctov, tak v manzelstve to nedava vobec ziadny vyznam, pretoze majetok a financie nadobudnute pocas manzelstva, su v bezpodielovom vlastnictve. Hlavne nemam dovod zatajovat prijmy a financie pred zenou, ktora sa stara o moje dieta.
Takze ja som zriadil manzelke defacto spoluvlastnictvo na mojom ucte. Ona si zrusi svoj vo svojej banke a budeme mat 1 spsolocny s rovnakymi pravami.

Co sa tyka hesiel, tak ano, manzelka nepotrebuje vediet moje heslo na root, jej to je k nicomu, ale napr. heslo na gmail nie je odveci. Dnes vela institucii pracuje sposobom e-faktura, takze voda, plyn, elektrina, a vela dalsich chodi na moj mail. Pokial clovek chce nieco skryvat, tak asi na to nebude pouzivat svoj mail ktory pouziva pravidelne.