Nem hasznalok ilyet, de sosem ertettem: van egy jelszavas alkalmazas, amiben ott van 10 jelszavad, de amit szinten egy jelszoval vedesz.
Tehat igazabol eleg ennek a jelszonak kikerulnie es megvan minden egyebed. Ez igy ok?
(Nekem van egy szisztémám. Azt tudom fejből. A gmailben tartom a "jelszavaimat", de azok nem jelszavak, csak tippek nekem hogy a szisztémával kitaláljam belőle mi a jelszó. Azt hiába olvasgatják...)
Bitwarden. 2 felhasználóig a fizetős feature-ök is ingyen vannak (ezek közül nekünk a legfontosabb a jelszavak megosztása). Jól használható a böngésző extension meg a mobil app is. Nyílt forráskódú, amennyit megnéztem pár éve belőle, az alapján elég jó minőségű.
A jelszavas alkalmazásban tárolod a generált 24+ karateres random fullos jelszavakat, ebbe meg csak egy jelszóval lehet bejutni, de azt az egyet kell megjegyezned.
Szóval van 6-8 fontos oldalad, amiket sokkal nehezebb feltörnie a támadónak, mert emberileg megjegyezhetetlen és marha erős jelszavakkal jutsz be. Cserében egy alkalmazásban vannak tárolva, ami kifejezetten azzal reklámozza magát, hogy a feltörés ellen dolgozik. Szóval csak úgy onnan nem kerül ki egy plain txt-be a top 100 jelszó. Az, hogy a te mester jelszavad emellett egy Alma123, az már a te dolgod.
"Az élet egy nagy szarosszendvics és minden nap egy újabb harapás" -ismeretlen gerilla feljegyzése
Az a helyzet, hogy nekem már egy lexikonnyi jelszavam van, ráadásul egy részét különböző állami szervek sózzák rám, így esélyem sincs a megjegyzésükre.
Egy ilyen proginak mi viszonyrendszere azzal, hogy a böngészővel már eleve meg van jeleztetve x helyen jelszó? Azokat onnan törölni kell, és a progi valamilyen óverléj módon tölti ki eztán a böngésző helyett? Hogyan kell ezt elképzelni?
"Mi egy cipősdobozban laktunk, salak volt vacsorára, és apánk minden éjjel hidegvérrel legyilkolt minket."
@Sunyi: nagyjából pontosan ezt szerettem volna én is írni. Plusz a mesterjelszó mellett az adatbázist még tudod (és érdemes) védeni 2-factor authtal (én pl. mobil appot használok erre), ami tovább szűkíti annak az esélyét, hogy valaki csak úgy "kitalálja" a mesterjelszót. No meg ha valaki teljesen paranoid, akkor egy csomó jelszómenedzsert (köztük az általam ajánlott Bitwardent is) lehet self-hostolni, VPN mögé rakni, stb... Határ a csillagos ég.
@Vajk: Igen, nagyjából ennyi. Felrakod a böngésződhöz való kiegészítőt, bejelentkezel az accountodba, hozzáadogatod a jelszavaidat, kitörlöd őket a böngészőből. Amikor hozzáadsz egy jelszót a Bitwardenhez, akkor meg kell adni a felhasználónév mellett azt az URL-t is (amit ha a Bitwardennel generáltatod a jelszót, magától kitölt), ahol az adott accounttal belépsz. Ez elég flexibilis, tehát pl. ha egy oldalon épp www.randomurl.com/registration alatt vagy (mert regisztráció közben generálod az új jelszót a Bitwardennel), később viszont a www.randomulr.com/login oldalon jelentkeznél be, akkor azt kitalálja simán. Ilyenkor, ha az extension felismert egy bejelentkezésre alkalmas oldalt, akkor feldob egy kis számot az extension ikonjának a sarkában, rákattintasz az ikonra, ő meg kitölti a megfelelő mezőket. Ez az esetek 99.9%-ban működik, a maradék pár oldalon, ahol a fejlesztők eltolták (mármint az oldal fejlesztői, nem a Bitwardené), ott kézzel kell kimásolni az extensionből az adatokat. Ugyanígy kézzel másolgatás van, ha mondjuk a Steam jelszavadat tárolod Bitwardenben és az asztali kliensbe szeretnél bejelentkezni. Mobilon Androidon nem tudom, hogyan működik, iOS-en integrálódik az app az oprendszerrel, szóval ott a natív alkalmazásokban is lehet egy tappolással bejelentkezni a tárolt jelszavakkal.
Fontos még, amivel meg lehet szívni, ha hozzá nem értők fejlesztik az adott oldalt, ahova jelszót generálsz, hogy a regisztrációnál engedi a mondjuk 128 hosszú, mindenféle karakterből álló jelszót, aztán amikor később ugyanezzel be akarsz jelentkezni, visszadob, hogy hát ide max 16 hosszú, csupa betűből álló jelszót lehet megadni... :) Ebbe már 2-3x belefutottam az elmúlt 3 évben, mióta jelszókezelőzők - egész nagy cégeknél is, mint pl. Telenor. Dühítő, de sajnos a bug reportolásán és új jelszó generálásán kívül nagyon nem lehet mit tenni.
Pro tipp még, hogy a böngésző extensionben ajánlott nem megjegyeztetni a mesterjelszót, egyrészt security okokból, másrészt ez arra sarkall, hogy minden böngészőmegnyitáskor begépeld, ergo ne felejtsd el. Ugyanis ha azt elfelejted, nincs semmilyen recovery opció. Vagy még kézzel átmásolgatod egy másik accountra a jelszavaidat egy olyan eszközről, amin még be vagy jelentkezve a Bitwardenbe, vagy ennyi volt.
Ahogy a hozzászólásom elején írtam, mobil appos 2 factor authot kapcsold be a mesterjelszó mellé. Én a Microsoft Authenticatort ajánlom, mert még mindig fizet a promóért a volt főnököm mert abba ha bejelentkezel az MS accountoddal, akkor a telefon elvesztése/új telefon vásárlása esetén, ha az új eszközről ugyanazzal az accounttal bejelentkezel az appba, akkor átviszi a random generált kódjaidat, nem kell mindenhova egyenként újra regisztrálgatni az új telefont. Biztos más 2 factoros auth app is tudja ezt, nem vágom, azért ajánlom ezt, mert erről tudom, hogy igen.
Amit elfelejtett írni mindenki az az, hogy a böngészőhöz mindenképpen kell az adott kiegészítő.
Tehát ha odaülsz egy olyan gép elé ahová nincs feltelepítve akkor nem fogsz tudni belépni sehová sem ahová a jelszókezelőt használod, amíg fel nem telepíted. Ennyi hátránya van még.
A jelszókezelő webes felületére bármilyen eszközről be tudsz jelentkezni a mesterjelszóval, aztán pedig a manuális copy + paste ugyanúgy működik, csak az autofill funkció nem lesz, amit az extension csinál.
Az már másik kérdés, hogy mennyire érdemes idegen eszközökön begépelni a mesterjelszavadat... :)
Vajk írta: Ha már ilyesmi para: ki melyik jelszótároló alkalmazásra esküszik?
Csak is offline program: Keepass 2, egy 30 karakteres jelszó védi (de beallithatnek hozza extrakent egy random filet is hogy kerje mondjuk egy mp3at a gepen csak felek hogy torolnem) illetve a gmailem es banki jelszavam ebben sincs benne ( meg azokat ugyis védi még a 2 faktor)
Maga a jelszó adatbázis meg 3 vinyon+1 microsdn van elmentve nehogy elveszitsem
Illetve pár személyes fileom el van téve egy Veracryptbe :)
Jelszokitolto addonokat nen hasznalok hozza, sima ctrlc ctrl v vel masolgatom be a helyükre a dolgokat (a vagolapon is csak 5 másodpercig marad meg amit epp masolok utana torlodik)
Everyone wants to shine like a diamond, but no one want to get cut
Szintén KeePass 2, szintén több helyre mentve (házon belül) az adatfájl. Online szolgáltatásban nem bízom, elég egy sunyi (kis "s"-sel!) alkalmazott... Ráadásul, extra védelemként, hogy a martalócok biztos ne jöjjenek rá, mi az, ha ellopják az adatmentős vinyót, a fájl is egy Windows rendszerfájl nevét kapta! :-D
Mármint mit tud kezdeni egy sunyi alkalmazott az általad (azaz a browser extension által) lokálisan titkosított állománnyal? Az egyetlen scenario amit el tudok képzelni, ha direkt releaselnek egy olyan verziót a browser extensionből, amit nem abból a kódból fordítanak, ami GitHubon van és ebben a verzióban van valami módosítás ami nem titkosítja vagy nem titkosítja megfelelően a jelszavaidat, aztán pedig azt elküldi egy third-partynak. Erre azért nem túl sok esélyt látok, hogy őszinte legyek... :)
If her age is off the clock(+1) she is ready for the cock?
Everyone wants to shine like a diamond, but no one want to get cut
Ez már nem az első ilyen sztori amúgy...
Múltkor én is beszartam, mikor meghalt a sim kártyám...
Ha már ilyesmi para: ki melyik jelszótároló alkalmazásra esküszik?
"Mi egy cipősdobozban laktunk, salak volt vacsorára, és apánk minden éjjel hidegvérrel legyilkolt minket."
rwurl=https://pyxis.nymag.com/v1/imgs/d6a/dc7/4a5001b7beea096457f480c880857242...
"Az élet egy nagy szarosszendvics és minden nap egy újabb harapás" -ismeretlen gerilla feljegyzése
Nem hasznalok ilyet, de sosem ertettem: van egy jelszavas alkalmazas, amiben ott van 10 jelszavad, de amit szinten egy jelszoval vedesz.
Tehat igazabol eleg ennek a jelszonak kikerulnie es megvan minden egyebed. Ez igy ok?
Gyanítom, az a dolog alapja, hogy ezt az egy jelszót elég nehéz feltörni.
"Mi egy cipősdobozban laktunk, salak volt vacsorára, és apánk minden éjjel hidegvérrel legyilkolt minket."
(Nekem van egy szisztémám. Azt tudom fejből. A gmailben tartom a "jelszavaimat", de azok nem jelszavak, csak tippek nekem hogy a szisztémával kitaláljam belőle mi a jelszó. Azt hiába olvasgatják...)
Bitwarden. 2 felhasználóig a fizetős feature-ök is ingyen vannak (ezek közül nekünk a legfontosabb a jelszavak megosztása). Jól használható a böngésző extension meg a mobil app is. Nyílt forráskódú, amennyit megnéztem pár éve belőle, az alapján elég jó minőségű.
A jelszavas alkalmazásban tárolod a generált 24+ karateres random fullos jelszavakat, ebbe meg csak egy jelszóval lehet bejutni, de azt az egyet kell megjegyezned.
Szóval van 6-8 fontos oldalad, amiket sokkal nehezebb feltörnie a támadónak, mert emberileg megjegyezhetetlen és marha erős jelszavakkal jutsz be. Cserében egy alkalmazásban vannak tárolva, ami kifejezetten azzal reklámozza magát, hogy a feltörés ellen dolgozik. Szóval csak úgy onnan nem kerül ki egy plain txt-be a top 100 jelszó. Az, hogy a te mester jelszavad emellett egy Alma123, az már a te dolgod.
"Az élet egy nagy szarosszendvics és minden nap egy újabb harapás" -ismeretlen gerilla feljegyzése
Köszönöm a tippet!
Az a helyzet, hogy nekem már egy lexikonnyi jelszavam van, ráadásul egy részét különböző állami szervek sózzák rám, így esélyem sincs a megjegyzésükre.
Egy ilyen proginak mi viszonyrendszere azzal, hogy a böngészővel már eleve meg van jeleztetve x helyen jelszó? Azokat onnan törölni kell, és a progi valamilyen óverléj módon tölti ki eztán a böngésző helyett? Hogyan kell ezt elképzelni?
"Mi egy cipősdobozban laktunk, salak volt vacsorára, és apánk minden éjjel hidegvérrel legyilkolt minket."
@Sunyi: nagyjából pontosan ezt szerettem volna én is írni. Plusz a mesterjelszó mellett az adatbázist még tudod (és érdemes) védeni 2-factor authtal (én pl. mobil appot használok erre), ami tovább szűkíti annak az esélyét, hogy valaki csak úgy "kitalálja" a mesterjelszót. No meg ha valaki teljesen paranoid, akkor egy csomó jelszómenedzsert (köztük az általam ajánlott Bitwardent is) lehet self-hostolni, VPN mögé rakni, stb... Határ a csillagos ég.
@Vajk: Igen, nagyjából ennyi. Felrakod a böngésződhöz való kiegészítőt, bejelentkezel az accountodba, hozzáadogatod a jelszavaidat, kitörlöd őket a böngészőből. Amikor hozzáadsz egy jelszót a Bitwardenhez, akkor meg kell adni a felhasználónév mellett azt az URL-t is (amit ha a Bitwardennel generáltatod a jelszót, magától kitölt), ahol az adott accounttal belépsz. Ez elég flexibilis, tehát pl. ha egy oldalon épp www.randomurl.com/registration alatt vagy (mert regisztráció közben generálod az új jelszót a Bitwardennel), később viszont a www.randomulr.com/login oldalon jelentkeznél be, akkor azt kitalálja simán. Ilyenkor, ha az extension felismert egy bejelentkezésre alkalmas oldalt, akkor feldob egy kis számot az extension ikonjának a sarkában, rákattintasz az ikonra, ő meg kitölti a megfelelő mezőket. Ez az esetek 99.9%-ban működik, a maradék pár oldalon, ahol a fejlesztők eltolták (mármint az oldal fejlesztői, nem a Bitwardené), ott kézzel kell kimásolni az extensionből az adatokat. Ugyanígy kézzel másolgatás van, ha mondjuk a Steam jelszavadat tárolod Bitwardenben és az asztali kliensbe szeretnél bejelentkezni. Mobilon Androidon nem tudom, hogyan működik, iOS-en integrálódik az app az oprendszerrel, szóval ott a natív alkalmazásokban is lehet egy tappolással bejelentkezni a tárolt jelszavakkal.
Fontos még, amivel meg lehet szívni, ha hozzá nem értők fejlesztik az adott oldalt, ahova jelszót generálsz, hogy a regisztrációnál engedi a mondjuk 128 hosszú, mindenféle karakterből álló jelszót, aztán amikor később ugyanezzel be akarsz jelentkezni, visszadob, hogy hát ide max 16 hosszú, csupa betűből álló jelszót lehet megadni... :) Ebbe már 2-3x belefutottam az elmúlt 3 évben, mióta jelszókezelőzők - egész nagy cégeknél is, mint pl. Telenor. Dühítő, de sajnos a bug reportolásán és új jelszó generálásán kívül nagyon nem lehet mit tenni.
Pro tipp még, hogy a böngésző extensionben ajánlott nem megjegyeztetni a mesterjelszót, egyrészt security okokból, másrészt ez arra sarkall, hogy minden böngészőmegnyitáskor begépeld, ergo ne felejtsd el. Ugyanis ha azt elfelejted, nincs semmilyen recovery opció. Vagy még kézzel átmásolgatod egy másik accountra a jelszavaidat egy olyan eszközről, amin még be vagy jelentkezve a Bitwardenbe, vagy ennyi volt.
Ahogy a hozzászólásom elején írtam, mobil appos 2 factor authot kapcsold be a mesterjelszó mellé. Én a Microsoft Authenticatort ajánlom,
mert még mindig fizet a promóért a volt főnökömmert abba ha bejelentkezel az MS accountoddal, akkor a telefon elvesztése/új telefon vásárlása esetén, ha az új eszközről ugyanazzal az accounttal bejelentkezel az appba, akkor átviszi a random generált kódjaidat, nem kell mindenhova egyenként újra regisztrálgatni az új telefont. Biztos más 2 factoros auth app is tudja ezt, nem vágom, azért ajánlom ezt, mert erről tudom, hogy igen.Amit elfelejtett írni mindenki az az, hogy a böngészőhöz mindenképpen kell az adott kiegészítő.
Tehát ha odaülsz egy olyan gép elé ahová nincs feltelepítve akkor nem fogsz tudni belépni sehová sem ahová a jelszókezelőt használod, amíg fel nem telepíted. Ennyi hátránya van még.
A jelszókezelő webes felületére bármilyen eszközről be tudsz jelentkezni a mesterjelszóval, aztán pedig a manuális copy + paste ugyanúgy működik, csak az autofill funkció nem lesz, amit az extension csinál.
Az már másik kérdés, hogy mennyire érdemes idegen eszközökön begépelni a mesterjelszavadat... :)
Csak is offline program: Keepass 2, egy 30 karakteres jelszó védi (de beallithatnek hozza extrakent egy random filet is hogy kerje mondjuk egy mp3at a gepen csak felek hogy torolnem) illetve a gmailem es banki jelszavam ebben sincs benne ( meg azokat ugyis védi még a 2 faktor)
Maga a jelszó adatbázis meg 3 vinyon+1 microsdn van elmentve nehogy elveszitsem
Illetve pár személyes fileom el van téve egy Veracryptbe :)
Jelszokitolto addonokat nen hasznalok hozza, sima ctrlc ctrl v vel masolgatom be a helyükre a dolgokat (a vagolapon is csak 5 másodpercig marad meg amit epp masolok utana torlodik)
Everyone wants to shine like a diamond, but no one want to get cut
Köszönöm a részletes beszámolót!
"Mi egy cipősdobozban laktunk, salak volt vacsorára, és apánk minden éjjel hidegvérrel legyilkolt minket."
Nagyon szívesen! További biztonságos közlekedést kívánok az információs hipersztrádán!
Szintén KeePass 2, szintén több helyre mentve (házon belül) az adatfájl. Online szolgáltatásban nem bízom, elég egy sunyi (kis "s"-sel!) alkalmazott... Ráadásul, extra védelemként, hogy a martalócok biztos ne jöjjenek rá, mi az, ha ellopják az adatmentős vinyót, a fájl is egy Windows rendszerfájl nevét kapta! :-D
+1 KeePass 2 több helyre mentve
Mármint mit tud kezdeni egy sunyi alkalmazott az általad (azaz a browser extension által) lokálisan titkosított állománnyal? Az egyetlen scenario amit el tudok képzelni, ha direkt releaselnek egy olyan verziót a browser extensionből, amit nem abból a kódból fordítanak, ami GitHubon van és ebben a verzióban van valami módosítás ami nem titkosítja vagy nem titkosítja megfelelően a jelszavaidat, aztán pedig azt elküldi egy third-partynak. Erre azért nem túl sok esélyt látok, hogy őszinte legyek... :)
https://xkcd.com/792/
Youtube: Csöpi plays - https://goo.gl/pp4Ldr
Avagy miért nem hiszek semmi embereket kipusztitos konteoban: a cégek lehuzni akarnak mindenkit nem megolni :)
Everyone wants to shine like a diamond, but no one want to get cut
Nem ezekre gondoltam, hanem a mindenféle online password managerekre :-)
Egyéni vállalkozó vagyok, az alkalmazottam én magam vagyok.
"Az élet egy nagy szarosszendvics és minden nap egy újabb harapás" -ismeretlen gerilla feljegyzése
rwurl=https://i.kym-cdn.com/entries/icons/facebook/000/017/046/BptVE1JIEAAA3dT...
Everyone wants to shine like a diamond, but no one want to get cut
Ripla?
Nekem ez nagyon ingovanyos talajnak tunik. Visszamenoleg az aktualis fosodorhoz igazitani a kulturat nem eppen okos otlet.
https://index.hu/kultur/cinematrix/2020/06/17/a_tropusi_vihar_is_megkapt...
Eljutunk vajon majd a konyvegetesig is?
Ha túltolják simán.Minden ideológiának létezik sötét oldala, ami az emberi hülyeségre épül.
Akinek humora van mindent tud, akinek nincs az mindenre képes.
Akinek humora van mindent bír, akinek nincs az mindenre kényes.
Én azon röhögtem jót, hogy a github átnevezi a master branch-et másra, mert a 'master' szó utalás a slavery-re.
Biliárdban lehet még lökni a fekete golyót a fehérrel?
majd lecserélik kékre
de mi a helyzet a sakkal, hisz fekete hátrányból indul....
Akinek humora van mindent tud, akinek nincs az mindenre képes.
Akinek humora van mindent bír, akinek nincs az mindenre kényes.
rwurl=https://www.funpic.hu/en/display/49726/original
"Mi egy cipősdobozban laktunk, salak volt vacsorára, és apánk minden éjjel hidegvérrel legyilkolt minket."