- Milyen switch-et vegyek?
- Súlyos adatvédelmi botrányba kerülhet a ChatGPT az EU-ban
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Mikrotik routerek
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- XPEnology
- Az USA nem akarja visszafogni Kína növekedését
- ASUS routerek
- 1000 kilométert mehetnek az EV-k az új CATL-akkuval
- DIGI internet
Új hozzászólás Aktív témák
-
Hintalow
senior tag
Az dicső
Válthatok jelszót.Ha a multiverzum teória igaz, akkor van egy univerzum, ahol nem az.
-
őstag
Én inkább áttérek másra, már nem az első alkalom, hogy megbuknak
És ha jót akarok, akkor nem csak a mester jelszót kellene megváltoztatni, hanem az összes elmentett oldalét is. Ki tudja nem szerezték-e meg azokat is.
Narxis
Köszi, megnézem, meg a keepass-t is.[ Szerkesztve ]
-
Horcsog55
újonc
Nesze neked "felhő". Maradok a local gépes Keepass-nál.
-
Enton
addikt
"Ha nincs eszed legyen noteszed!"
De komolyan nem éretem az embereket, van 30 külön jelszava 35 külön oldalra 3 variációban, és még képes ezt tetézni plusz eggyel ahonnan tuti ki akarják majd rámolni a dolgokat?
Magára vessen az, ki így odadobja a jelszavait az egykattintásos módszerért, éljen a lustaság.
Ha még ezen jelszók valami értéket is védenek az meg már csak pont az i-re."mert gyakorlatilag megszámolhatatlan mennyiségű papucsállatka használ gazdatestként internetezésre humanoidokat és ez követhetetlen."
-
tag
Keepass vagy Sticky Password... utóbbinál a felhőt kerülném.
-
nubreed
veterán
Szerintem:
Felhőben sosem tárolunk jelszót. Ezt miért nem lehet megérteni?
Lokálisan titkosított fájlokban igen. Erre több ingyenes megoldás is van.
We are the first of cyber evolution. We are the first to program your future.
-
-
Tomcat
őstag
Én soha nem bíztam a jelszókezelő szoftverekben és online szolgáltatásokban. Még a gépre telepített offline jelszókezelőkben sem bízom, nemhogy a felhőben tárolva, kvázi a világnak szétkürtölve az összetartozó felhasználóneveket és jelszavakat.
Ez a mostani hír is csak abban erősít meg hogy az eddigi sajátos offline módszerem nyerő és nem is szükséges ezen változtatni.Tomcat
-
flash-
veterán
hp probook 450 es notiban van ujjlenyomat olvasó, de pár napnyi próbálkozás után feladtam azt hogy hgoyan lehetne beállitani hogy a jelszavas oldalak(ph, freemail vagy bármi) ujjlenyomat azonosítással jelenjenek meg..
aki ebbe segitene...
továbbá érdekelne hogy webkamera általi arcfelismerés ugyancsak belépésre webolalakhoz megoldható?
androidon már van ideje arcfelismerős képernyőzár, nálam tökéletesen működik.ilyen és hasonló otthon is olcsón megoldható dolgokról valaki informálna?
nekem ez a keepassos dolog nem annyira jön be"Embrace our fellow man, no longer vilified"
-
őstag
35 jelszava van 35 külön oldalra, mert ez így biztonságos. Ha bármelyikkel hasonló történik, elég egyet újraírni.
És igen, ez a 35 is teljesen random, nem a palotapincsi neve.Odaveti a jelszavait?! Látszik sosem használtál, hasonlót sem. Nem odaveti, a LastPass/KeePass/összes többi GENERÁLJA le. És AES titkosítással tárolja ezeket, ami local oldalon van megoldva, így a felhő sem tudja feloldani. A LastPass sem rosszabb ebből a szempontból, mint az, aki a KeePass fájlt teszi felhőbe.
Ami pedig érték, azt nem egylépcsős megoldással illene védeni, már évek óta nem tekintik biztonságosnak.
Más:
Sosem értettem azokat az embereket, akik nehéz jelszavakat(sokat) tartanak fejben, mert rettegnek a tárolt jelszavak feltörésétől. Közben meg a jelszavai olyan egyszerűek, hogy azokat könnyebb feltörni, mint a tároltat.[ Szerkesztve ]
Tegnap még működött...
-
alevan
őstag
Szóval lokálisan titkosított jelszavak. És pl. elmegyek munkahelyre, az USB háttértáram otthonhagyom véletlenül, de hírtelen kell a jelszó a privát webszerverhez. Ilyenkor mit csinálok?
Nem a felhőben való tárolással van gond. Hanem ezzel a tárolóval.
"Ezért lovagol a pokolba a konzumer IT piac. A hülye igények... . Azt sem tudod, hogy mit akarsz de az jöjjon havonta frissités formájában."
-
dqdb
nagyúr
válasz lionhearted #11 üzenetére
Odaveti a jelszavait?!
Igen, odaveti. Még mindig tartom az itt leírt véleményemet a témában. Amíg az online jelszókezelők nem törekednek a transzparenciára a használt megoldásaikat illetően, addig a user csak hinni tud, hogy jó kezekbe kerül a jelszava. Például tudsz valamit a kliens és a szerver közötti adatkapcsolatról? Mert én nem. Valószínűleg titkosított, addig oké, de milyen algoritmusokat használnak, van-e certificate pinning, stb. Igaz, lehet, hogy én vagyok naiv, hogy egy biztonsági rendszertől elvárom a biztonságot és ennek alátámasztását.Sosem értettem azokat az embereket, akik nehéz jelszavakat(sokat) tartanak fejben, mert rettegnek a tárolt jelszavak feltörésétől.
Sosem értettem azokat az embereket, akik olyan kényes adatot, mint egy jelszó, képesek rábízni egy olyan rendszerre, amely meg sem próbál biztonságosnak látszani (mert ez egy vicc, az előző verziójában legalább volt tudományosnak tűnő bullshit), hogy élvezze a felhasználók bizalmát.Mivel ez már a második eset, így a LastPass esetében nyilvánvalóan nincsen jó kezekben a jelszava.
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
-
Polllen
nagyúr
Ciki. Én ezért nem szeretek bizalmas adatot felhőben tárolni. Attól függetlenül, hogy titkosítva van vagy sem.
"Odamentem egy párhoz...négyen voltak!"
-
őstag
Nem veti oda, mert nem ő találja ki, hanem a program. Így nincs mit odavetni. Egyetlen saját jelszót adsz meg.
Ha valamit ezenfelül überfontosnak találtatsz (pl webbank), akkor nem adod meg, és teljesen más jellegű jelszót használsz ott, mint itt.Milyen megoldásokról is beszélünk? Tegyük fel, hogy igaz, ami le van írva arra a nevetséges HowItWorks oldalon. AES256+PBKDF2, lokálisan. Te azt szeretnéd, hogy ezen felül legyen TLS (inkább, mint SSL) csatorna, ami igen valószínű, hiszen már a weboldaluk sem működik máshogy. De milyen titkosítást használ ez a TLS? Asszimetrikus eljárással átad egy szimmetrikus kulcsot, rendszerint AES-t. Tehát iteráltál AESt, amit egyébként is tettél remélhetőleg. Ha még nem is biztos, hogy a megfelelő szerverrel kommunikálsz, mert nincs pinning (szerintem van, még a DropBoxon is van, és mekkora hitvány az már), akkor is küldtél neki némileg kevesebb, de eddig "törhetetlen"-nek megbélyegzett AES titkosított adatot. Sok sikert ahhoz is. Főleg, hogy a jelszó nem függ össze más oldalak jelszavaival (mivel random). És ha fontos, akkor évente cseréled. Ahogy mondani szokás, ennél nagyobb hatékonyságú, ha a szemetesed nézi át, hátha leírtad. Miközben lehet, hogy a megszerzett jelszó egy hitvány oldalra van, ahol amúgy is HTTP-vel plaintextben elküldted. Tehát még csak meg sem éri.
A megoldásuk pedig esélyes, hogy nyílt megoldásokra épül, mint openSSL (ha már a heartbleed oda is beütött, ugye) vagy GPG. Már csak azért is, mert ingyenesek. És az oldalukon semmi általad keresett certifikáció nincs. Persze megint kétféle ember van, aki certifikációnak mindent elhisz, és egy zárt rendszert használ. Vagy aki már egy jól bejáratott nyíltat, mert ahhoz nem kell senki, hogy belenézzen. Bárki. Ez megint felfogás kérdése.A jelszó nem kényes adat. Az, ami mögötte van, az lehet az, vagy nem az. Ami az, azt nem egy jelszóval szokás védeni, vagy nem kell netre tenni. De ez azt is jelenti, hogy a te gépeden sem lehet, mert az is a neten van.
Valóban egyszerűbb attól félni, hogy egy LastPass méretű adatbázisban, minden egyes user DB-jét egyesével feltörik (akár amazon clouddal), ami persze értelmezhető időn belül nem megoldott egyelőre. És még észre sem veszik, az időn belül.
És akkor össze lehet vetni az abból nyert információ nyereségét a befektetett összeggel.[ Szerkesztve ]
Tegnap még működött...
-
courgette
csendes tag
Van ingyenes 2-factor authentication is Lastpasshoz, a Google Authenticator app-al (ingyenes) összeköthető.
-
dqdb
nagyúr
válasz lionhearted #16 üzenetére
igen valószínű
szerintem van
megoldásuk pedig esélyes, hogy nyílt megoldásokra épül
Az nem tűnt fel, hogy én nem azt mondom, hogy a LastPass azért nem megbízható, mert rosszul felépített, rossz algoritmusokat használnak, stb., hanem azért nem tekinthető megbízhatónak, mert semmit sem tudunk a működéséről, nem transzparens a folyamat, és az egész egy nagy fekete doboz? A fenti kiragadott mondatrészek alapján te is ugyanannyit tudsz róla, mint én, azaz semmit, maximum feltételezésekkel tudsz élni. Azonban mivel biztonsági megoldásról van szó, ahol a bizalom egy fontos tényező, ezért én veled ellentétben az érdemi információ hiányából a nem megbízhatóságot vonom le, mind következtetést. Ha kiadnának hozzá egy BestCrypt szintű leírást, és az abban foglalt információ is megállná a helyét, akkor azonnal megbízhatónak nevezném a rendszert úgy, hogy közben egyetlen byte-ot sem módosítanak benne a mostani állapotához képest.a jelszó nem függ össze más oldalak jelszavaival (mivel random)
Nem látom annak leírását náluk, milyen véletlenszámgenerátor-implementációt használnak. Mert ha az gyenge, akkor bizony lehet ott összefüggés (amúgy valószínűleg nincsen vele semmi probléma, és hülyék lennének egy nem bevált, ezerszer átvizsgált nyílt megoldást használni, de ismételten oda lyukadunk ki, hogy biztonsági téren megfelelő információ híján azt kell feltételezni, hogy nem biztonságos)És az oldalukon semmi általad keresett certifikáció nincs.
[link] [link]Persze megint kétféle ember van, aki certifikációnak mindent elhisz, és egy zárt rendszert használ. Vagy aki már egy jól bejáratott nyíltat, mert ahhoz nem kell senki, hogy belenézzen. Bárki. Ez megint felfogás kérdése.
Köszönöm a megerősítést, ahol leírtad, miért nem nem hiszek joggal a LastPassnek: zárt és nincsen minősítése sem.Egon: annyira azért garancia, hogy a biztonságot kiemelten kezelik, és legalább a kritikus kódokat külsős auditor is látja, valamint a pecsétből az derül ki, hogy tettek valamit a biztonság látszata érdekében a buzzwordök szajkózása helyett, erőforrást fektettek bele, és végigvittek egy ilyen folyamatot.
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
-
őstag
A LastPass weboldala openSSL bugos volt, tehát openSSL-t használnak, mint linkelted, mégiscsak van azon cert is. U MAD?
LasstPass egy kiváló oldal arra, hogy mindenféle hitvány, kitudja milyen hash-sel tárolt, és kitudja mivel védett oldalakon random (tökmindegy, hogy ezek úgy is pseudorandomok, és egymáshoz minimálisan köthetőek is, de nem egybites júzer password patternjét követik!) jelszavakat adj meg, pláne ha azok HTTP-n beszélgetnek. Ehhez nagyszerű segítséged ad, autoform kitölt, generál, minden van.
Érdemi információk, bár semmi sem igazolja az oldalon, hogy lokális titkosítást alkalmaz. Ha leírják a használt libraryt - akár ezt, akár a random generátort -, akkor támadási felületet adnak, mert elég azt a libraryt forráskódból tesztelni. Így tippelni lehet. Ha adnak rá bármi certet, mint az openSSL-re, akkor is lehet benne hiba, mint ahogyan abban is volt.
Semmilyen hasznos leírást nem találok a BestCrypt mellett sem, csak hogy milyen titkosítási algoritmust ismer. Ezek implementációjáról nem találtam (igaz 1 percig néztem) semmit. És ez egy offline container, nem nyilvános webes szolgáltatás.Egyetértünk abban, hogy nem a kártyaszámomat menteném bele, sőt nekem LastPassom sincs, csak KeePass-om, mert én FOSS kedvelő vagyok. Számomra az a megnyugtató, így bármikor használom a LUKS/openPGP/openSSL bármelyikét.
DE!
A LastPass kényelmesebb a korábban említett weboldalakon. És mivel az ember lusta természet, így ha csak egy biztonságosabb(nak vélt) offline megoldást használja, ami kevésbé kényelmes, akkor alkalmasint elfelejti majd alkalmazni. És mivel nem csak lusta, de a millió jelszó között el is veszik, ezért gyengébb jelszót fog az adott oldalon használni, ami nagyobb eséllyel hajaz a többi, akár a passmanager masterjelszavára is. Ezzel pedig máris ott a rés a pajzson.Ami pedig fontos (kényes), két-lépcsős azonosítás, mindig. Na már, ebben is különbözik az "offline" meg az "online". Többnyire (avg Joe) kevésbé védjük a gépünket, mint ezek a böhöm cégek. Offline esetén az a 2 lépcső, hogy van egy jelszó(+fájl) és van egy adatbázisfájl. A kettő csak együtt ér valamit ugye. Online esetén van egy jelszó és egy egyszeri jelszó, vagy ha oda törnek be, akkor meglesz az adatfájl, már csak a sima jelszó kell. Kérdés, hogy melyikük veszi észre a betörést nagyobb eséllyel.
Valószínűleg csak a nézőpontok töredékét érintettem.
Technológiailag nekem is jobb a FOSS, mint a minősítetlen zárt. De ebből nem következtetem azt, hogy az online megoldás alapból rosszabb lenne minden körülményt figyelembe véve.
[ Szerkesztve ]
Tegnap még működött...
-
ledgeri
nagyúr
// #ublockO-HardMode // anti-blockadblock-er // PH! új arculat: 1/ 500 // szeksziboj -nálam van egy pirospontod! // Találtam sárga fényű lézert! (kézit, ceruzaelemest) https://youtu.be/XQnmMjYHgcM //
-
őstag
-
FlekkeN
aktív tag
Én Keepasst használok. Az adatbázist felhőben tárolom, ahhoz 2-ős autentikáción vezet az út+titkosítva van. Az adatbázis megnyitásához kulcs+jelszó kell. A kulcsot lokálisan tárolom és felmásolom arra az eszközre ahol használni szeretném az adatbázist.
[ Szerkesztve ]
-
kakuk.tamas
addikt
4 percel ezelőtt jött a hivatalos e-mail tőlük a feltörésről.
Úriember vagyok, az a gecirendes fajta. ~ Győr ~ Apple iPhone 14 Pro ~ Apple Watch 8 Cellular 45mm ~ Xiaomi Mi Electric Scooter 3 ~ EBFEC VIPER MTB2 ~ Telekom 2000/1000 ~
-
tothzoltan
tag
Sokan közületek - joggal - azon hüledeznek, hogy felelötlenseg jelszavakat felhöben tarolni. Okay, en erre emlitenek nehany finom ellenpeldat magambol kiindulva. Az en rövidtavu memoriam hagy nemi kivannivalot maga utan ezert a jelszo mint olyan az esetemben tabu. Azonban projektmanagerkent (lenyegtelen hogy milyen teren) több mint 50 (adott esetben valtozo) user/pass accounttal kell dolgoznom naponta, szinte parhuzamosan.
Mit teszel ilyenkor? Variaciok egy temara:
1. jo öreg toll/papir/notesz kombo. -> mas is lathatja, elveszhet, eleghet stb. ... abszolut bukta.
2. sajat gepen tarolod titkositott fajlban -> ha a drive meghibasodik; buktad.
2.1. masolatot keszitesz es szinten titkositod -> valtozo tartalomnal idöigenyes, körülmenyes
(+ radikalis pelda, de en mindig ebben gondolkodom: ha leeg a haz vagy ha kirabolnak, buktad harddrive-okat)
3. LastPass-t (es tarsait) hasznalsz ami megkönnyiti es töredekere lerövidit minden bejelentkezesi es tarolasi procedurat, de x% esely van ra hogy feltörik a szerverüket, es a feltöres utan 0,000x% esely van arra hogy hasznaljak is a megszerzett tartalmat.... Lehet azt mondani, hogy hülye vagyok de en a 3-as verzional maradtam es maradok is. Tekintve, hogy a weben kismillio mas helyen lophatnak tölem adatot, en szemely szerint nem epp LastPass miatt aggodom a leginkabb a napi munkam soran.
I'm thinking different.
-
Deck
titán
Nem is értem aki a felhőre bízza a jelszavait.. Nem ez az első eset, hogy a Lastpassal és nem is az utolsó.
Csakis Keepass! Ez van minden platformra. És izgulnj se kell miatta.
PS5
-
rover45
senior tag
válasz tothzoltan #26 üzenetére
Gyakorlatilag ugyanez játszódott le bennem is ...
Mondjon valaki jobb alternatívát -
htc07
addikt
válasz tothzoltan #26 üzenetére
Toll+notesz+agy, nálam ez a kombó, pl. Ha a jelszavad 'a3K$Jx8', két-három dolgot kell megjegyezned max, pl. A noteszban vezetett jelszavakban a számokhoz +1-et adsz, így a füzetedben 'a4K$Jx9' szerepel.
És ez egy primitív példa, ha kitalálsz egy szisztémát amivel vezeted a jelszavaid (pl. A fenti számos példa, vagy visszafele írod le a jelszavaid, esetleg ezeket kombinálod) máris biztonságban vannak a jelszavaid, és minimális agyrutin kell hozzá, hogy menjen a dekódolás.
-
őstag
-
htc07
addikt
válasz lionhearted #32 üzenetére
Biztonsági másolat?
+víz és a merevlemezed is olvashatatlan.
Egyébként nem muszáj füzetben, lehet felhőben is így, a lényeg a kódolás.
[ Szerkesztve ]
-
Alteran-IT
őstag
Szerencsére még sose hallottam erről a sz@rról, így semmit se vesztettem
-
ledgeri
nagyúr
válasz Alteran-IT #34 üzenetére
Szép is így a vélemény nyilvánítás!
// #ublockO-HardMode // anti-blockadblock-er // PH! új arculat: 1/ 500 // szeksziboj -nálam van egy pirospontod! // Találtam sárga fényű lézert! (kézit, ceruzaelemest) https://youtu.be/XQnmMjYHgcM //
-
ledgeri
nagyúr
válasz Alteran-IT #36 üzenetére
Miért, ki vagy te?? Bármi amiről nem hallottál az megkapja ezt a jelzőt (szép világod lehet...)?
Fenti véleményeket láttad-e?
Nomeg tudod-e, hogy vannak szintek feltörésen belül is?// #ublockO-HardMode // anti-blockadblock-er // PH! új arculat: 1/ 500 // szeksziboj -nálam van egy pirospontod! // Találtam sárga fényű lézert! (kézit, ceruzaelemest) https://youtu.be/XQnmMjYHgcM //
-
Alteran-IT
őstag
Hát igazából egy átlag ember vagyok, mint bárki más, viszont az informatikával kapcsolatban amiről kell vagy jó tudni, arról úgy érzem, hogy tudok és az ilyenek nálam kimaradnak, nem is véletlenül. És nem, nem kapja meg, de ami számomra és az olyanok számára felesleges, akik nem "lusták" (igen, olvastam a fenti kommenteket, de tudod mindenki egyéniség és nem kopizza a másik kommentjét), azok szó szerint felesleges hülyeségek, de lehet más jelzőt is mondani. Persze minden hülyeségre van már egy csomó vevő, mert mindig eladják valahogy az embereknek.
Igen tudom, mint ahogy azt is, hogy a védekezésére is vannak szintek és itt erre tényleg adni kellene. Gondolom hogy tudod Te is, hogy valaminek a feltörése nem egyik pillanatról a másikra történik, közte a legtöbb esetben van elég idő.
-
attila9988
őstag
Én "keepass" -t használok. Az a gépemen van... és titkosított állományt használ, szóval ha valaki is hozzáférne, még akkor sem lenne annyira könnyű dolga, hogy ne tudjak időben megváltoztatni minden fontos jelszót...
„Csak az apró titkokat kell védeni. A nagy felfedezéseket a nyilvánosság hitetlensége védi.” (Marshall McLuhan)
-
őstag
válasz attila9988 #39 üzenetére
Ha bárki hozzáfér, azt kb sosem tudod meg. Ahhoz képest mit változtatsz időben?
Egyébként a LastPass is titkosított. Csak ők sokat észrevesznek a bejutásból (mint most is).Tegnap még működött...
-
Alteran-IT
őstag
válasz lionhearted #40 üzenetére
Csak az a baj, hogy nem csak észrevenni kellene, hanem megakadályozni.
-
őstag
válasz Alteran-IT #41 üzenetére
Megoldhatatlan, de nem baj, közhelyekből több van.
Tegnap még működött...
-
attila9988
őstag
válasz lionhearted #42 üzenetére
Az én gépemen sokkal nagyobb biztonságban vannak a jelszavaim, mint egy ilyen online szarban... Már csak azért is, mert az én gépeimre nem akar ráugrani több millió jó képességű hacker, az online szolgáltatóra meg igen...
Ott ráadásul tudják hogy pontosan mit keresnek, ahogyan azt is, hogy pontosan hol, míg az én esetemben ha valaki be is mászna a gépembe, akkor sem lenne halvány fogalma sem arról, hogy egyáltalán vannak rajta jelszavak is.... Ha meg mégis, akkor még mindig fel kellene törnie, ami csak idő, és pénz kérdés, de annyit ez nem érne senkinek...
Az internetes jelszókezelő adatbázisa viszont már ér annyit....
Hát ez a különbség.
„Csak az apró titkokat kell védeni. A nagy felfedezéseket a nyilvánosság hitetlensége védi.” (Marshall McLuhan)