Keepass (Windows, Linux) + wtyczka keepassrpc + Rozszerzenie Kee dla Firefox/Chrome a na Androida Keepass2Android
https://niebezpiecznik.pl/post/keepass-jak-zaczac-swoja-przygode-z-managerem-hasel/
Keepass (Windows, Linux) + wtyczka keepassrpc + Rozszerzenie Kee dla Firefox/Chrome a na Androida Keepass2Android
https://niebezpiecznik.pl/post/keepass-jak-zaczac-swoja-przygode-z-managerem-hasel/
Używam Bitwardena (Linux, Android, Chrome OS).
Jedno hasło? Owszem, gdybyś wszedł w posiadanie moich danych, miałbyś drogę otwartą do wszystkich serwisów. Ale…
… musisz wiedzieć jakiego adresu e-mail używam. Na potrzeby Bitwardena utworzyłem nową skrzynkę, tylko do tego celu. Potem musisz wklepać hasło - nic wielkiego, trudne nie jest, raptem 13 znaków. No, ale trzeba je znać. Na koniec drugi składnik (2FA), czyli klucz z aplikacji. Zmienia się co 30 s.
Baza haseł trzymana jest w chmurze. W razie wycieku atakujący dostanie zaszyfrowany i posolony plik + hash mojego hasła. No i może jeszcze wspomniany wcześniej e-mail. Do którego również potrzebne jest hasło oraz klucz 2FA.
Sam zdecyduj, czy takie ryzyko Ci odpowiada.
tylko Authy
Authy może być. Do zalogowania (instalacji właściwie) potrzebny jest numer telefonu - oczywiście inny niż używany przeze mnie na co dzień oraz dodatkowe hasło, do otwarcia bazy z kluczami.
Trochę tych haseł jednak trzeba zapamiętać
Zastanawia mnie jaki proces myślowy prowadzi do wniosku, że przechowywanie swoich kodów jednorazowych do 2FA na komputerach obcych ludzi to dobry pomysł. Szokujące.
Ale wiesz, że Authy nie wymaga trzymania kluczy w chmurze?
Też używam KeePass. Plik bazy zabezpieczony tylko hasłem głównym na dodatkowo zaszyfrowanym pendrive. Nie ufam rozwiązaniom chmurowym. Kopia zapasowa bazy w domu na wypadek uszkodzenia/zgubienia flashki przypiętej do kluczy.
Przecież nie wysyłasz tego w plaintext
Niby tak, ale nie znam się tyle na programowaniu i technikach kryptograficznych, żeby zweryfikować jakość tego rozwiązania, nie słyszałem żeby przeszło to jakiś oficjalny audyt, a moje dane już tyle razy wyciekły z różnych - niby też zaufanych miejsc, że dmucham na zimne
Dobrze wiedzę, że podsyłasz mi info o audycie klienta bitwarden, kiedy ja piszę o nieufności do rozwiązań chmurowych? Klient może być 100% bezpieczny, a gdzieś na linii klient-serwer, albo z samego serwera wyciekną bazy i pozamiatane. Jeśli ktoś dostanie takie zaszyfrowane pliki to napewno poświęci trochę kilowatów energii na złamanie zabezpieczeń mając w perspektywie aktualne hasła do najważniejszych dla użytkowników usług, w tym banków.
Nikomu nie zabraniam, ale ja zakładam foliową czapeczkę i dziękuję
Pliki szyfrujesz lokalnie, po czym wysyłasz je do chmury. Nawet jeśli wyciekną po drodze (wliczając w to dostawcę internetu), będą bezwartościowe. Audyt klienta jest potrzebny, bo musisz mieć pewność, że Twój komputer opuszczają wyłącznie zaszyfrowane pliki. A co się z nimi dzieje po drodze… na AES-256 (na razie) nie ma mocnych.
Czapeczkę foliową oczywiście szanuję, natomiast mój bank wymaga jeszcze drugiego składnika do zalogowania
Chyba się wstrzeliłem z pytaniem
Dzięki za podpowiedzi.
Pomyślę nad KeepAss albo zwyczajnie zapamiętam kilkanaście ciekawych haseł
KeePassa można “uchmurowić” trzymając plik bazy na Dropboksie albo innym Google Drive
Przypuszczam, że każde z omawianych tu rozwiązań byłoby lepsze niż to co do tej pory stosowałem.
Korzystając z założonego tematu może mi podpowiecie.
Na koncie google włączyłem dwuetapową weryfikację z potwierdzeniem na telefonie (nie sms tylko wyskakujące okienko).
Zastanawiam się nad taką sytuacją kiedy musiałbym
a) zresetować telefon - czy da się zalogować na konto bez problemów
b) zmienić telefon - tutaj jeśli się nie mylę przychodzą na ratunek np kody zapasowe, które mi google wygenerowało.
Proszę podpowiedzcie jak wygląda kwestia z a) oraz jak się nie udu…ć w przypadku b)
Zawsze masz ALTERNATYWNE opcje:
Podejrzewam, że bez połączenia z chmurą używasz Authy tylko na jednym urządzeniu co sprowadza go do zwykłego Google Authenticatora i traci sens. Chyba, że jest inaczej?
No i oczywiście klucz fizyczny:
Warto od razu uaktywnić alternatywne rozwiązanie, bo w przypadku utraty/zmiany telefonu dostęp do konta nie będzie możliwy (jeśli włączona jest autoryzacja za pomocą potwierdzenia wysyłanego na smartfon). Wtedy pozostaje kontakt z Google.
Jako ciekawostka: Google oferuje wzmocnioną ochronę logowania przy użyciu dwóch kluczy 2FA
https://myaccount.google.com/advanced-protection/enroll/details