Odblokowanie bazy kluczy

Koncepcja bazy kluczy, która ma przechowywać bezpiecznie twoje hasła w komputerze, pochodzi z czasów przed internetowych i podobno jest jeszcze wykorzystywana przez niektórych fanatyków. Dla większości jednak jest to zbędne i w dodatku wyjątkowo upierdliwe rozwiązanie.
Czemu jest niepotrzebne? Ponieważ trzyma twoje hasła w bazie danych tylko dla tego komputera, w którym działa. Większości zaś potrzebny jest dostęp z różnych urządzeń, czyli przechowywana w chmurze szyfrowana baza obsługiwana przez specjalizowane aplikacje takie jak związane z urządzeniem, jak KeePass [1] lub związane z internetem, jak LastPass [2] lub KeeWeb [3]

Objawia się znienacka okienkiem, którego nie sposób zamknąć bez wprowadzenia odpowiedniego hasła. Do tego, jeżeli naiwnie postąpicie zgodnie ze wskazówkami, to będzie was prześladować przez całe życie.
W tym krótkim opisie podpowiem, jak się ze świństwem uporać. Porady są spisane na podstawie wskazówek z forum Manjaro [4] i własnych doświadczeń.

Przy pierwszym objawieniu programiszcze informuje o konieczności utworzenia bezpiecznej bazy kluczy i zachęca do wprowadzenia hasła do tej bazy.
To pułapka. Jeżeli wprowadzisz teraz hasło, bydlę się już nigdy od ciebie nie odczepi.
Co więc należy zrobić? Nie wprowadzać hasła, tylko nacisnąć OK. Programiszcze wyda (agonalny) wrzask, że twoje dane nie będą w żaden sposób zabezpieczone. Należy zignorować te pogróżki i potwierdzić swój zamiar. I to właściwie koniec. Już go nie zobaczymy.

Jeżeli ktoś jednak nieopatrznie podał to hasło, będzie za karę prześladowany żądaniem jego podawania przy każdej okazji, która się będzie bydlęciu się kojarzyć z tajnością.
Co więc należy uczynić?
Można oczywiście raz-dwa-trzy zmienić nazwę programu
sudo mv /usr/bin/gnome-keyring-daemon /usr/bin/gnome-keyring-daemon-old
usunąć go z pamięci
sudo killall gnome-keyring-daemon
a nawet skasować odpowiednie pliki
rm ~/.local/share/keyrings/*

Stwarza to jednak pewne problemy:

  1. Przynajbliższej aktualizacji program zostanie przywrócony
  2. Kasując bazy haseł możesz pozbawić się dostępu do istotnych danych.

Lepiej więc zrobić następująco:
Zainstalować program do zarządzania hasłami i bazami o nazwie seahorse
Uruchomić go, odlokować swoje bazy kluczy i przejrzeć je, aby się upewnić co do zawartości. Jeżeli (tak jest najczęściej) zawiera wyłącznie hasła używane przez przeglądarki www działające z silnikiem webkit, to można się ich pozbyć, ale wg poniższego harmonogramu:

  1. Upewnij się, gdzie przeglądarka zapisuje hasła. Chrome/Chromium, jeżeli posiadasz konto w Google, będzie je tam zapisywać w postaci zaszyfrowanej; poza tym jest to lepsze rozwiązanie od większości polecanych aplikacji [5], o ile używasz dodatkowo androida. W każdym razie wynotuj co najmniej wszystkie hasła, które nie są zapisane w chmurze. Najlepiej w ogóle wszystkie.
  2. Wyłącz przeglądarki www, a następnie zmień nazwę katalogów, w których trzymają dane konfiguracyjne. Dla Chromium będzie to ~/.config/chromium i ~/.cache/chromium. Lokalizację innych przeglądarek znajdziesz w ich pomocy.
  3. Kiedy już masz pewność, że wszystkie wpisy z bazy kluczy są bezpieczne, skasuje je z aplikacji seahorse lub poleceniem rm ~/.local/share/keyrings/*, co na pewno zaowocuje żądaniem utworzenia nowej bazy kluczy. Na co reagujesz tak, jak to zostało opisane wyżej, począwszy od słów Przy pierwszym objawieniu.

Teraz uruchom i skonfiguruj od nowa swoje przeglądarki web.
Dlaczego tak?
Bo, jeżeli uruchomisz je w dotychczasowych ustawieniach, to mogą dojść do wniosku, że twoją intencją było usunięcie wszystkich haseł i w ramach radosnej synchronizacji rzeczywiście je wszędzie usuną. Chyba tego nie chcesz…
Na wszelki wypadek, najlepiej będzie zalogować się na sieciowe konta od nowa.

Gdy już żądanie odblokowania bazy kluczy się nie pojawia, warto zgromadzić hasła w jednym miejscu, łatwo dostępnym i obsługiwanym przez sieć, aby móc z niego korzystać niezależnie od miejsca pobytu.

Po wielu latach doświadczeń, wyartykułowaniu wielu nieeleganckich porównań oraz wielu nerwowych godzinach, stwierdziłem, że:
Zainstalowany w Linuksach Keepass2 nie pozwala na skopiowanie danych przez schowek, a jego zainstalowanie przez Wine jest niemożliwe. Poza tym wymaga bibliotek .NET żeby dało się uruchomić wtyczki.
KeepassX 2 odczytuje dane nieprawidłowo, co zapewne wynika z czcionki interfejsu, ale nie da się jej łatwo zmienić.
Lastpass przechowuje bazę haseł nie wiadomo gdzie (przez co nic nie wiadomo o jej rzeczywistych zabezpieczeniach), a wersja bezpłatna jest uboga.
Keeweb jest świetny dla użytkowników Debiana i pochodnych, ale wszyscy inni muszą się bawić w ręczną instalację albo korzystać z wersji sieciowej; Google b. niechętnie widzi dostęp przez Keeweb do baz danych umieszczonych na Dysku. Pewnie tak jest bezpieczniej :frowning:
Większość ogólnie straszy, że Google ma pełny dostęp do gromadzonych przez siebie haseł; ciekawe, że w wypadku innych sieciowych zbiorników tego typu, ta sama większość userów kontentuje się jednym solennym przyrzeczeniem ich producentów, że tak nie jest.


  1. https://keepass.info/
  2. https://www.lastpass.com/
  3. https://keeweb.info/
  4. https://forum.manjaro.org/t/keyring-for-chromium-is-pointless/4328/7
  5. https://www.dobreprogramy.pl/Znane-menedzery-hasel-na-Androida-maja-wspolna-wade-nie-poznaja-falszywych-aplikacji,News,91140.html

Jedno słowo: Bitwarden.

2 polubienia

Syreny z Tytana…
Innymi słowy: to jak strzelanie z armaty do muchy.

Nic bardziej mylnego. Menedżer haseł niezależny od sprzętu i systemu to podstawowe narzędzie do codziennej pracy.

Ja tego nigdy nie używam ,ćwicze pamięć zapamiętując trudne hasła które są proste tu poradnik

Mam 167 haseł. Do tego drugie tyle loginów (staram się mieć różne). Powodzenia w zapamiętywaniu, nawet z poradnikiem.

Nawet 1000 haseł prosto zapamiętać o ile sie pamięta matryce wg którego jest robione hasło.

w tym poradniku co napisałem można dodać ostatni krok że po kropce sie wpisuje pierwszą i ostatnią litere strony na którą hasło wchodzi.I wystarczy zapamiętać sposób robienia hasła a tych haseł może być dowolna ilość.

np. na gmail będzie @9lat18MK.gl na dobreprogramy @9lat18MK.dy na twitter @9lat18MK.tr itd itd itd nie wiem po co są te programy do zapamiętywania haseł bo mozna łatwo sobie je zapamiętywać i nie ma obaw że sie jakieś hasło zgubi albo zapomni.

Menadżery zapewniają wysoki poziom (pseudo) losowości hasła. Twoje hasło jest bezpieczne tylko do momentu skompromitowania na góra 2 serwisach, a przecież wycieki haseł to codzienność, codzienność o której się rzadko wspomina (może poza atakami na duże serwisy).
Poza banalnym schematem największym problemem jest używanie tych samych haseł wszędzie (zmiana o dwie literki to niewielka zmiana) i zawsze (zmiana 1 cyferki raz do roku to nie zmiana).
Moim zdaniem twoje hasło jest równie bezpieczne co krzysiek2019DP (założę się że twoj miernik siły hasła uznałby go równie mocne :wink: )

Przy menedżerze muszę pamiętać tylko jeden login i jedno hasło. Drugi składnik wisi przy moich kluczach do mieszkania. Jest to wygodniejsze, a w razie potrzeby mogę bez trudu przekazać wszystkie swoje loginy i hasła w ręce zaufanej osoby. Pamięci wolę nie trenować - im mniej wiesz tym spokojniej śpisz :wink:

1 polubienie

Bitwarden jest w takim stopniu menedżerem haseł, w jakim pancernik jest kutrem torpedowym.

Rozwiniesz i uzasadnisz?

Naprawdę chętnie bym to zrobił, ale skaleczyłem się w palec i trudno mi pisać (a na ogół piszę wszystkimi palcyma), dlatego proponuję zapoznanie się z odpowiednimi stronami:
Bitwarden - żeby mieć własną bazę trzeba sobie postawić serwer Dockera
albo
KeePass - żeby mieć własną bazę wystarczy uruchomić program. Jest nawet bezinstalacyjna wersja portable.

I co to zmienia? Wiadomo, że wygoda nie idzie w parze z bezpieczeństwem, ale ewentualny wyciek zaszyfrowanego “kontenera” z hasłami to nie koniec świata. W zamian mam synchronizację w czasie rzeczywistym, bez dotykania (nawet chorym) palcem, na wszystkich moich urządzeniach.

Też to mam, dzięki uprzejmości Google, trzymając swój kbdx na GDisc.

I czym to się różni od mechanizmów Bitwardena (oprócz “swojej” bazy, którą i tak podzieliłeś się ze światem)?

  1. Udostępniłem bazę, ale zaszyfrowaną w sposób wystarczający do chronienia moich “tajemnic” [1] Konstrukcja tej bazy jest dostępna, ponieważ opiera się na otwartych źródłach, co gwarantuje także i to, że zabezpieczenia są związane z odpowiednimi algorytmami szyfrującymi, a nie z bliżej nieznanymi (i zapewne dziurawymi) metodami strzeżonymi przed porządną weryfikacją. Jednocześnie przebrnięcie przez kod mieści się w granicach moich możliwości… o ile miałbym na to ochotę :wink:
  2. Mam dostęp do fizycznego pliku bazy, który mogę w każdej chwili wycofać, zastąpić innym itd.
  3. Wykorzystanie GDisk pozwala mi zrezygnować z uczenia się kolejnego narzędzia
  4. …a poza tym skuteczność Google w radzeniu sobie z atakami na dane jest większa od bliżej mi nieznanego podmiotu.

  1. https://keepass.info/features.html#lnksec