Hirdetés

Keresés

Új hozzászólás Aktív témák

  • bugylee

    tag

    Én olyan kezelőt kerestem ami ingyenes és van asztali meg ios-os felülete, és jó a beépített böngészője. Amiket próbáltam az a PasswordBox, Lastpass, 1Password. Ingyenesnek hazudja magát mind, aztán kiderül, h azért csak kell fizetni. Nálam mindegyik megbukott v az ára miatt (1Password) v vmi más okból kifolyólag.

    A végén az eszemre hallgattam és visszaálltam a KeePassra. Megy iPhone-on, ingyenes minden platformra, nyílt forráskód, semmi felhős ökörség. Nem olyan csilivili mind a többiek, elég retrós a weboldala is, de olyat tud amit a konkurencia nem (tudomásom szerint egyik sem). Ez pedig a Two-Channel Auto-Type Obfuscation (TCATO), a fejlett kétcsatornás automatikus gépelés, ami néhány weboldalt leszámítva korrektül teszi a dolgát. Mivel a fejlettebb keyloggerek a vágólapot is figyelik nem elég a jelszókezelők auto-type funkciója, a copy/paste-ről nem is szólva. A TCATO alapból nincs bekapcsolva, minden egyes jelszó létrehozásakor külön kell bepipálni. Viszont a minél hosszabb annál jobb jelszó itt is érvényes hisz a jelszó egy része így sem marad rejtve a bill.leütést figyelőknek. Akit érdekel guglizzon rá.

    Én a master passomat a billentyű egyik macrojára tettem, ez egy 256 bites hexadecimális kulcs, nem is jegyeztem meg mi az, és vhogy így néz ki: 7f6309f3b07f7da578a5d5c2efa98563e9381d5a40713410bdd5ef3949e4fa0d. Key file-t nem is használok, ezzel a gombbal lépek be, és a vágólap figyelőm nem is reagál rá, így a dolog ezen része okés. Azért kipróbáltam egy keyloggerrel is, meg se mukkant. Ha esetleg vmi igen gonosz akárki mégis megszerezné a master jelszóm és belépne a KeePassba, és megskubizná a kódjaimat is mire menne, max ellopná a Ph belépőm. Hiába látná mondjuk az internetbankos jelszavam mert telefonra jön a tényleges belépési kód. Fontosabb dolgok meg amúgy is kétlépcsősek, és vagy hardveres vagy mobilos authenticatorral lehet csak belépni, szal ez is meg van oldva.

    Aki meg örül annak, hogy felhőbe tárol érzékeny fájlokat a kezelője, h egy cégnél vannak az adatai aki semmi felelőséggel nem tartozik, h a titkosítási folyamatról szinte semmit nem tudni és ezért még fizetni is kell, az meg is érdemli. :D

    Itt egy kép amin azért jól látszik miről okoskodtam. Teljes cikk itt.

    [ Szerkesztve ]

  • bugylee

    tag

    Mondjuk a Lastpass esetén épp nem olyan rég volt egy betörés, ugye. Nem az első volt náluk és nem is az utolsó. Arról lehet értekezni, h mit szerezhettek meg és mit nem, de a tényen ez sem változtat. Nem véletlen kellett jelszavat változtatni utánna, a servereik is szépen belassultak 2-3 napra. Mert a jelek szerint be lehet jutni és máskor is be fognak.

    A bárhonnan bármikor elérhetem duma hülyeség, mi van nincs net? Vagy épp vmi miatt áll a server. Vagy épp meghekkelték. Elég az ha áll egy délután és júzerek ezrei v milliói nem tudnak mondjuk ímélt küldeni mert nem elérhető a host a jelszavaikat meg nem tudják. Ja persze, van ami megy offline is. Akkor meg minek az online? Értem én, h vannak emberek akiknek fontos, h minden eszközre szinkronizálva legyen minden, mert van Pc, iPhone, Mac meg iPad meg droid, vagy vmi céges jelszavas bázis, de lássuk be, inkább a kényelmi funkciók miatt szeretik mint a biztonságáért. Annál inkább lesznek célpont minél több felhasználójuk van, nem a local jelszavakkal ügyködőkre fognak vadászni.

    Vagy mi van akkor ha a te neted hal meg? Akkor is marad az offline, feltéve ha tudja a kezelőd. Akkor meg mi különbség van egy open source ingyenes KeePass vagy egy méregdrága 1Password közt? Amit minden gépre külön kell licenszelni nem kevés pénzért? Folytassam a sort?

    Aztán ott van az általam említett TCATO amit talán el kellene olvasni. Vagy a Lastpass biztonsági izéje, h beállítható mely országokból lehessen elérni. Elég egy VPN és már meg is kerülték. Aztán nem kellene úgy csinálni mintha a KeePass crossplatform nem is lenne. Megy az konvert nélkül is Mac meg win közt. Az adatbázis átvitel wifin mondjuk telóra úgy röpke fél másodperc, nem kell ehhez semmi felhő.

    Ha vki felhőt használ legyen, nekem aztán édesmindegy.

  • bugylee

    tag

    válasz daimonion #45 üzenetére

    Nem tudom milyen jelszókezelőt használsz, de nem is érdekel különösebben. Mindenkinek szíve joga eldönteni, h neki melyik tetszik. Én nem egyedi esetekről próbáltam meg beszélni - pl. azt, h neked mi van - hanem általánosságban. Ellenben az első hsz.emben írtam én olyan jelszókezelőt kerestem - ez ugye egyedi eset már -, ami biztonsággal használható mobilon is és ingyenes minden eszközre. Esetemben konkrétan 7 iPhone mobilról és 6 Pc+laptop+iPadről van szó, ezért az ár már nyom a latba választáskor. Azt is írtam, h iPhone-om van, tehát ez is szerepet játszik. Az, h szavaiddal élve "szajkózom a butaságaimat" eléggé túlzó. Mondok egy példát, h nagybecsű biztonsági szakértő személyed is felfoghassa.

    Blackberry és IOS-os készülékekre egy példa:
    We’ve analyzed 17 popular password management apps available for Apple iOS and BlackBerry platforms, including free and commercially available tools, and discovered that no single password keeper app provides a claimed level of protection. None of the password keepers except one are utilizing iOS or BlackBerry existing security model, relying on their own implementation of data encryption. ElcomSoft research shows that those implementations fail to provide an adequate level of protection, allowing an attacker to recover encrypted information in less than a day if user-selectable Master Password is 10 to 14 digits long.

    Namármost, ezeket a 10-14 karakteres jelszavakat egy neten mindenki által szabadon megvásárolható szoftverrel fel lehet törni. Gondolom el tudod képzelni, h egy telefon elvesztése esetén az átlagember jelszókezelő master jelszavát max. egy nap nap alatt meg lehet fejteni. Az csak plusz biztonsági kockázat, h egy csomó app-ban bejelentkezve maradnak sokan, így a telefonba bejutva felhőből letöltve nem egy nagy vasziszdasz megcsapolni pl. egy bankkártyát.

    Elcomsoft iOS Forensic Toolkit can brute-force iOS 4+ simple 4-digit passcodes in 10-40 minutes. Complex passcodes can be recovered as well, but require more time

    Meg ilyenek, h Real-Time Access to Encrypted Information, Decrypt keychain items, extract device keys, including most keychain items, opening investigators access to highly sensitive data such as login/password information to Web sites and other resources.

    Ezen kívül van más szoftver is, nem nehéz hozzájutni ha vki ilyesmivel akar baszakodni. Azt sem nehéz belátni, h azt autoszinkes appok mekkora kockázatot hordoznak magukban. Ha vki hurcolássza az adatbázisát (és most a KeePassra gondolok) az tegye egy jelszavazott? pendrivera a jelszóhoz szükséges kulcsfájlt és máris meg van oldva a téma.

  • bugylee

    tag

    válasz cigam #47 üzenetére

    Remélem a Zdnet-nél nem csupa informatikai analfabéta ír cikkeket, mivel nem zavarja őket, h orosz v kínai v amcsi; mert mondjuk ott olvastam, hogy ezt a 17-et vizsgálták IOS és BlackBerryn és egytől egyig mind elhasaltak. Magyarán az összesen feltörték a master passt, hétnél pillanatok alatt:

    BlackBerry's Device Backup, Keeper® Password & Data Vault, Password Safe - iPassSafe free version, My Eyes Only™ - Secure Password Manager, Strip Lite - Password Manager, Safe - Password, iSecure Lite - Password Manager, Ultimate Password Manager Free, Secret Folder Lite, as well as the following paid applications, SafeWallet - Password Manager, SplashID Safe for iPhone, DataVault Password Manager, mSecure, LastPass for Premium Customers, 1Password Pro, BlackBerry Password Keeper, and the BlackBerry Wallet.

    information stored in 10 out of 17 password keepers can be recovered in a day – guaranteed if user-selectable master password is 10 to 14 digits long, depending on application. What about the other seven keepers? Passwords stored in them can be recovered instantly because passwords are either stored unencrypted, are encrypted with a fixed password, or are simply misusing cryptography.

    Many password management apps offered on the market do not provide adequate level of security. ElcomSoft strongly encourages users not to rely on their advertised security, but rather use iOS or BlackBerry built-in security features.

    erről ennyit, lastpasst külön kiemeltem nehogy elkerülje a figyelmed

    egy telefon elvesztése esetén ..., ezek érvényesek a keepass-ra, ill minden másra.

    Ez így nem igaz. Ha KeePassban megadsz egy képfájlt is a jelszó mellé és azt nem tárolod a telefonodon akkor ha el is veszted a telót hiába is tudja vki mi a masterpass, nem lehet megnyitni annak hiányában. Pontosabban tárolhatod védett helyen a telefonodon, jelszavas zipfájlban, álcázhatod, stb., mert tudja a telefonon is kezelni a key fájlt. Olvass vissza, azt is írtam, h én nem használok képfájlt.

    Ja, és azt írtam, h Ha vki hurcolássza az adatbázisát. Érted, nem telóról beszéltem, hanem hurcolásról. Laptop, tablet, ilyesmi. Mert vannak ám emberek akinek kell a munkájukhoz és nem telóról pötyögtetnek. De látom sikerült elkapni a lényeget...

    [ Szerkesztve ]

  • bugylee

    tag

    válasz cigam #49 üzenetére

    Amúgy eltudod képzelni, hogy napi szinten így használd?

    Teljesen igazad van, ezt így hülyeség használni, ezért nem is használom. Bár telóról sem igen netezek, ált. csak emailek.

    Egyébként az Intel True Key technológiája tetszik, mondjuk telefonra. Feltettem egy arcfelismerős, aztán egy hangazonosítós jelszókezelő appot, de párszor beakadtak és leszedtem őket. De a jövő mindenképp ilyesmiben van. :K

  • bugylee

    tag

    válasz daimonion #51 üzenetére

    Hagyd már ezt a safe cloudozást. Ha annyira bejön neked írd már meg, h mitől is különb mint a másik tucat, hátha más is megszereti. Veled ellentétben én azért konkrétumokat írtam nem csak a fingot kergettem.

    Ha nincs netem akkor minek a jelszókezelöm ? Megmondanád ?

    Csőlátásod van? Vagy elhiszed, h webes belépésen kívül is van élet? Hogy lehet fájlokat is passzvördözni? Mondjuk céges adatok, doksik, táblázatok, stb. vannak jelszavazva arra az esetre ha pl. a dolgozó elveszti a laptopját, vagy bankkártya adatokat lehet esetleg beleírni, pin kódokat meg egyéb olyan nem netes infókat amik senki másra sem tartoznak. Ha már itt tartok visszautalok a KeePassra, amivel indíthatsz jelszavazott programokat a kezelőből, elvégezhetsz összetettebb utasításokat és nem csak webes oldalakra vagy kárhoztatva. Vagy akár több felhasználó esetén auditálható minden jelszó változtatás, tud triggereket, tud placeholdereket változtatni (lásd Ph! belépéskor a pipák), szinkronizálni felhőbe, ftpre, lokál, meg vagy kismillió mást.

    Ahogy olvastam az írásodat halvány lila fogalmad sincs a progiról plusz arról, hogy hogyan is müködik csak szajkózód a butaságaidat.

    Elnézést kérek, h nem mélyedtem el benne annyira mint te. :Y

  • bugylee

    tag

    válasz daimonion #53 üzenetére

    Ebben egyezik a véleményünk, ami a céges ingyenességet illeti. Vagy legalábbis így kellene lennie, de ugye abszurdisztánban élünk ahol soxor ilyesmivel megy a spórolás. Hisz nem egyszer hallani, olvasni, h XY-nak ellopták a laptopját a kocsiból, rajta az új lemezével, könyvével, csoda edzéstervével és nem volt védve semmivel. Céges környezetbe sztem a hardveres kulcs a legbiztonságosabb, meg amúgy is.

    Én a jobb félni mint megijedni elvét vallom, talán még kicsit paranoiás is vok a biztonságot illetően. Főleg akkor, mikor látom, h milyen módszerekkel lehet megszerezni a szuperbiztosnak hitt titkosított mondjuk Bitlocker vagy TrueCrypt jelszavakat pl. egy memoria dumppal v cold boottal. Telis teli a youtube ilyen videókkal ha vkit érdekel a téma. Az ember pedig elgondolkozik, h mi is az amit el lehet hinni egy online biztonságot áruló cégnek.

    Emellett én inkább bízom a nyílt forráskódban és a KeePassban, bár plugin formájában - és a KeePass bővelkedik pluginokban - érkezhetnek támadó kódok, szal észnél kell lenni.

    Open Source and Security
    As a cryptography and computer security expert, I have never understood the current fuss about the open source software movement. In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It's true for cryptographic algorithms, security protocols, and security source code. For us, open source isn't just a business model; it's smart engineering practice.
    Bruce Schneier

Új hozzászólás Aktív témák