Dobry manager haseł poszukiwany

Zasadniczo wylosowałem sobie 2.
Bitwarden i enpass

Użytkowany będzie głównie na telefonie, ale powinien mieć klienta Linux i Windows.

I tak naprawdę sprawa najważniejsza. Myślałem nad tym rozwiązaniem i zacząłem się zastanawiać czy używanie menadżera haseł nie będzie tak naprawdę zbliżone do posiadania jednego hasła na wszystkich stronach ?

Keepass (Windows, Linux) + wtyczka keepassrpc + Rozszerzenie Kee dla Firefox/Chrome a na Androida Keepass2Android

https://niebezpiecznik.pl/post/keepass-jak-zaczac-swoja-przygode-z-managerem-hasel/

Używam Bitwardena (Linux, Android, Chrome OS).

Jedno hasło? Owszem, gdybyś wszedł w posiadanie moich danych, miałbyś drogę otwartą do wszystkich serwisów. Ale…

… musisz wiedzieć jakiego adresu e-mail używam. Na potrzeby Bitwardena utworzyłem nową skrzynkę, tylko do tego celu. Potem musisz wklepać hasło - nic wielkiego, trudne nie jest, raptem 13 znaków. No, ale trzeba je znać. Na koniec drugi składnik (2FA), czyli klucz z aplikacji. Zmienia się co 30 s.

Baza haseł trzymana jest w chmurze. W razie wycieku atakujący dostanie zaszyfrowany i posolony plik + hash mojego hasła. No i może jeszcze wspomniany wcześniej e-mail. Do którego również potrzebne jest hasło oraz klucz 2FA.

Sam zdecyduj, czy takie ryzyko Ci odpowiada.

1 polubienie

tylko Authy :biohazard: :wink:

Authy może być. Do zalogowania (instalacji właściwie) potrzebny jest numer telefonu - oczywiście inny niż używany przeze mnie na co dzień :wink: oraz dodatkowe hasło, do otwarcia bazy z kluczami.

Trochę tych haseł jednak trzeba zapamiętać :joy:

Zastanawia mnie jaki proces myślowy prowadzi do wniosku, że przechowywanie swoich kodów jednorazowych do 2FA na komputerach obcych ludzi to dobry pomysł. Szokujące.

Odblokowanie bazy kluczy

Ale wiesz, że Authy nie wymaga trzymania kluczy w chmurze?

Też używam KeePass. Plik bazy zabezpieczony tylko hasłem głównym na dodatkowo zaszyfrowanym pendrive. Nie ufam rozwiązaniom chmurowym. Kopia zapasowa bazy w domu na wypadek uszkodzenia/zgubienia flashki przypiętej do kluczy.

Przecież nie wysyłasz tego w plaintext :slight_smile:

Niby tak, ale nie znam się tyle na programowaniu i technikach kryptograficznych, żeby zweryfikować jakość tego rozwiązania, nie słyszałem żeby przeszło to jakiś oficjalny audyt, a moje dane już tyle razy wyciekły z różnych - niby też zaufanych miejsc, że dmucham na zimne :wink:

https://help.bitwarden.com/article/is-bitwarden-audited/

Dobrze wiedzę, że podsyłasz mi info o audycie klienta bitwarden, kiedy ja piszę o nieufności do rozwiązań chmurowych? Klient może być 100% bezpieczny, a gdzieś na linii klient-serwer, albo z samego serwera wyciekną bazy i pozamiatane. Jeśli ktoś dostanie takie zaszyfrowane pliki to napewno poświęci trochę kilowatów energii na złamanie zabezpieczeń mając w perspektywie aktualne hasła do najważniejszych dla użytkowników usług, w tym banków.
Nikomu nie zabraniam, ale ja zakładam foliową czapeczkę i dziękuję :wink:

Pliki szyfrujesz lokalnie, po czym wysyłasz je do chmury. Nawet jeśli wyciekną po drodze (wliczając w to dostawcę internetu), będą bezwartościowe. Audyt klienta jest potrzebny, bo musisz mieć pewność, że Twój komputer opuszczają wyłącznie zaszyfrowane pliki. A co się z nimi dzieje po drodze… na AES-256 (na razie) nie ma mocnych.

Czapeczkę foliową oczywiście szanuję, natomiast mój bank wymaga jeszcze drugiego składnika do zalogowania :wink:

Chyba się wstrzeliłem z pytaniem :slight_smile:
Dzięki za podpowiedzi.
Pomyślę nad KeepAss albo zwyczajnie zapamiętam kilkanaście ciekawych haseł :slight_smile:

KeePassa można “uchmurowić” trzymając plik bazy na Dropboksie albo innym Google Drive :slight_smile:

Przypuszczam, że każde z omawianych tu rozwiązań byłoby lepsze niż to co do tej pory stosowałem.

Korzystając z założonego tematu może mi podpowiecie.
Na koncie google włączyłem dwuetapową weryfikację z potwierdzeniem na telefonie (nie sms tylko wyskakujące okienko).
Zastanawiam się nad taką sytuacją kiedy musiałbym
a) zresetować telefon - czy da się zalogować na konto bez problemów
b) zmienić telefon - tutaj jeśli się nie mylę przychodzą na ratunek np kody zapasowe, które mi google wygenerowało.
Proszę podpowiedzcie jak wygląda kwestia z a) oraz jak się nie udu…ć w przypadku b)

Zawsze masz ALTERNATYWNE opcje:

  • Smartfon (po autoryzacji konta Google)
  • 2FA APP (Authy/Google Authentcator)
  • SMS
  • kody zapasowe

Podejrzewam, że bez połączenia z chmurą używasz Authy tylko na jednym urządzeniu co sprowadza go do zwykłego Google Authenticatora i traci sens. Chyba, że jest inaczej?