- Jelszókezelők
- DIGI internet
- MinDig TV
- Az EV-k miatt maximumra kell pörgetni az atomipart
- Reklámblokkolók topikja
- Alternatív kriptopénzek, altcoinok bányászata
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Windows 10
- A befektetők nem értenék a szuperintelligenciához vezető döntéseket
- Kiderült, hogy miért tarol megint az Apple és az iPhone
Új hozzászólás Aktív témák
-
Én inkább áttérek másra, már nem az első alkalom, hogy megbuknak
És ha jót akarok, akkor nem csak a mester jelszót kellene megváltoztatni, hanem az összes elmentett oldalét is. Ki tudja nem szerezték-e meg azokat is.
Narxis
Köszi, megnézem, meg a keepass-t is.[ Szerkesztve ]
-
Enton
addikt
"Ha nincs eszed legyen noteszed!"
De komolyan nem éretem az embereket, van 30 külön jelszava 35 külön oldalra 3 variációban, és még képes ezt tetézni plusz eggyel ahonnan tuti ki akarják majd rámolni a dolgokat?
Magára vessen az, ki így odadobja a jelszavait az egykattintásos módszerért, éljen a lustaság.
Ha még ezen jelszók valami értéket is védenek az meg már csak pont az i-re.
"mert gyakorlatilag megszámolhatatlan mennyiségű papucsállatka használ gazdatestként internetezésre humanoidokat és ez követhetetlen."
-
Narxis
nagyúr
Miért ne lehetne felhőben? 2 faktoros azonosítás kell + úgy titkosítani, hogy a tároló vállalat se tudjon hozzányúlni. Innentől kezdve lehet élvezni a kényelmet főleg ha az embernek több készüléke van, pl. PC, tablet, okostelefon, laptop
I do not fear, for you are with me. All those who defied me, shall be ashamed and disgraced. Those who wage war against me, shall perish. I will find strength, find guidance, and I will triumph.
-
Tomcat
őstag
Én soha nem bíztam a jelszókezelő szoftverekben és online szolgáltatásokban. Még a gépre telepített offline jelszókezelőkben sem bízom, nemhogy a felhőben tárolva, kvázi a világnak szétkürtölve az összetartozó felhasználóneveket és jelszavakat.
Ez a mostani hír is csak abban erősít meg hogy az eddigi sajátos offline módszerem nyerő és nem is szükséges ezen változtatni.
Tomcat
-
flash-
veterán
hp probook 450 es notiban van ujjlenyomat olvasó, de pár napnyi próbálkozás után feladtam azt hogy hgoyan lehetne beállitani hogy a jelszavas oldalak(ph, freemail vagy bármi) ujjlenyomat azonosítással jelenjenek meg..
aki ebbe segitene...
továbbá érdekelne hogy webkamera általi arcfelismerés ugyancsak belépésre webolalakhoz megoldható?
androidon már van ideje arcfelismerős képernyőzár, nálam tökéletesen működik.ilyen és hasonló otthon is olcsón megoldható dolgokról valaki informálna?
nekem ez a keepassos dolog nem annyira jön be -
#11
lionhearted
őstag
Enton
#5
35 jelszava van 35 külön oldalra, mert ez így biztonságos. Ha bármelyikkel hasonló történik, elég egyet újraírni.
És igen, ez a 35 is teljesen random, nem a palotapincsi neve.Odaveti a jelszavait?! Látszik sosem használtál, hasonlót sem. Nem odaveti, a LastPass/KeePass/összes többi GENERÁLJA le. És AES titkosítással tárolja ezeket, ami local oldalon van megoldva, így a felhő sem tudja feloldani. A LastPass sem rosszabb ebből a szempontból, mint az, aki a KeePass fájlt teszi felhőbe.
Ami pedig érték, azt nem egylépcsős megoldással illene védeni, már évek óta nem tekintik biztonságosnak.
Más:
Sosem értettem azokat az embereket, akik nehéz jelszavakat(sokat) tartanak fejben, mert rettegnek a tárolt jelszavak feltörésétől. Közben meg a jelszavai olyan egyszerűek, hogy azokat könnyebb feltörni, mint a tároltat.[ Szerkesztve ]
Tegnap még működött...
-
alevan
őstag
Szóval lokálisan titkosított jelszavak. És pl. elmegyek munkahelyre, az USB háttértáram otthonhagyom véletlenül, de hírtelen kell a jelszó a privát webszerverhez. Ilyenkor mit csinálok?
Nem a felhőben való tárolással van gond. Hanem ezzel a tárolóval.
"Ezért lovagol a pokolba a konzumer IT piac. A hülye igények... . Azt sem tudod, hogy mit akarsz de az jöjjon havonta frissités formájában."
-
#14
dqdb
nagyúr
lionhearted
#11
dqdb
nagyúr
válasz
lionhearted
#11
üzenetére
Odaveti a jelszavait?!
Igen, odaveti. Még mindig tartom az itt leírt véleményemet a témában. Amíg az online jelszókezelők nem törekednek a transzparenciára a használt megoldásaikat illetően, addig a user csak hinni tud, hogy jó kezekbe kerül a jelszava. Például tudsz valamit a kliens és a szerver közötti adatkapcsolatról? Mert én nem. Valószínűleg titkosított, addig oké, de milyen algoritmusokat használnak, van-e certificate pinning, stb. Igaz, lehet, hogy én vagyok naiv, hogy egy biztonsági rendszertől elvárom a biztonságot és ennek alátámasztását.Sosem értettem azokat az embereket, akik nehéz jelszavakat(sokat) tartanak fejben, mert rettegnek a tárolt jelszavak feltörésétől.
Sosem értettem azokat az embereket, akik olyan kényes adatot, mint egy jelszó, képesek rábízni egy olyan rendszerre, amely meg sem próbál biztonságosnak látszani (mert ez egy vicc, az előző verziójában legalább volt tudományosnak tűnő bullshit), hogy élvezze a felhasználók bizalmát.Mivel ez már a második eset, így a LastPass esetében nyilvánvalóan nincsen jó kezekben a jelszava.
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
-
#16
lionhearted
őstag
dqdb
#14
Nem veti oda, mert nem ő találja ki, hanem a program. Így nincs mit odavetni. Egyetlen saját jelszót adsz meg.
Ha valamit ezenfelül überfontosnak találtatsz (pl webbank), akkor nem adod meg, és teljesen más jellegű jelszót használsz ott, mint itt.Milyen megoldásokról is beszélünk? Tegyük fel, hogy igaz, ami le van írva arra a nevetséges HowItWorks oldalon. AES256+PBKDF2, lokálisan. Te azt szeretnéd, hogy ezen felül legyen TLS (inkább, mint SSL) csatorna, ami igen valószínű, hiszen már a weboldaluk sem működik máshogy. De milyen titkosítást használ ez a TLS? Asszimetrikus eljárással átad egy szimmetrikus kulcsot, rendszerint AES-t. Tehát iteráltál AESt, amit egyébként is tettél remélhetőleg. Ha még nem is biztos, hogy a megfelelő szerverrel kommunikálsz, mert nincs pinning (szerintem van, még a DropBoxon is van, és mekkora hitvány az már), akkor is küldtél neki némileg kevesebb, de eddig "törhetetlen"-nek megbélyegzett AES titkosított adatot. Sok sikert ahhoz is. Főleg, hogy a jelszó nem függ össze más oldalak jelszavaival (mivel random). És ha fontos, akkor évente cseréled. Ahogy mondani szokás, ennél nagyobb hatékonyságú, ha a szemetesed nézi át, hátha leírtad. Miközben lehet, hogy a megszerzett jelszó egy hitvány oldalra van, ahol amúgy is HTTP-vel plaintextben elküldted. Tehát még csak meg sem éri.
A megoldásuk pedig esélyes, hogy nyílt megoldásokra épül, mint openSSL (ha már a heartbleed oda is beütött, ugye) vagy GPG. Már csak azért is, mert ingyenesek. És az oldalukon semmi általad keresett certifikáció nincs. Persze megint kétféle ember van, aki certifikációnak mindent elhisz, és egy zárt rendszert használ. Vagy aki már egy jól bejáratott nyíltat, mert ahhoz nem kell senki, hogy belenézzen. Bárki. Ez megint felfogás kérdése.A jelszó nem kényes adat. Az, ami mögötte van, az lehet az, vagy nem az. Ami az, azt nem egy jelszóval szokás védeni, vagy nem kell netre tenni. De ez azt is jelenti, hogy a te gépeden sem lehet, mert az is a neten van.
Valóban egyszerűbb attól félni, hogy egy LastPass méretű adatbázisban, minden egyes user DB-jét egyesével feltörik (akár amazon clouddal), ami persze értelmezhető időn belül nem megoldott egyelőre. És még észre sem veszik, az időn belül.
És akkor össze lehet vetni az abból nyert információ nyereségét a befektetett összeggel.[ Szerkesztve ]
Tegnap még működött...
-
-
#19
dqdb
nagyúr
lionhearted
#16
dqdb
nagyúr
válasz
lionhearted
#16
üzenetére
igen valószínű
szerintem van
megoldásuk pedig esélyes, hogy nyílt megoldásokra épül
Az nem tűnt fel, hogy én nem azt mondom, hogy a LastPass azért nem megbízható, mert rosszul felépített, rossz algoritmusokat használnak, stb., hanem azért nem tekinthető megbízhatónak, mert semmit sem tudunk a működéséről, nem transzparens a folyamat, és az egész egy nagy fekete doboz? A fenti kiragadott mondatrészek alapján te is ugyanannyit tudsz róla, mint én, azaz semmit, maximum feltételezésekkel tudsz élni. Azonban mivel biztonsági megoldásról van szó, ahol a bizalom egy fontos tényező, ezért én veled ellentétben az érdemi információ hiányából a nem megbízhatóságot vonom le, mind következtetést. Ha kiadnának hozzá egy BestCrypt szintű leírást, és az abban foglalt információ is megállná a helyét, akkor azonnal megbízhatónak nevezném a rendszert úgy, hogy közben egyetlen byte-ot sem módosítanak benne a mostani állapotához képest.a jelszó nem függ össze más oldalak jelszavaival (mivel random)
Nem látom annak leírását náluk, milyen véletlenszámgenerátor-implementációt használnak. Mert ha az gyenge, akkor bizony lehet ott összefüggés (amúgy valószínűleg nincsen vele semmi probléma, és hülyék lennének egy nem bevált, ezerszer átvizsgált nyílt megoldást használni, de ismételten oda lyukadunk ki, hogy biztonsági téren megfelelő információ híján azt kell feltételezni, hogy nem biztonságos)És az oldalukon semmi általad keresett certifikáció nincs.
[link] [link]Persze megint kétféle ember van, aki certifikációnak mindent elhisz, és egy zárt rendszert használ. Vagy aki már egy jól bejáratott nyíltat, mert ahhoz nem kell senki, hogy belenézzen. Bárki. Ez megint felfogás kérdése.
Köszönöm a megerősítést, ahol leírtad, miért nem nem hiszek joggal a LastPassnek: zárt és nincsen minősítése sem.Egon: annyira azért garancia, hogy a biztonságot kiemelten kezelik, és legalább a kritikus kódokat külsős auditor is látja, valamint a pecsétből az derül ki, hogy tettek valamit a biztonság látszata érdekében a buzzwordök szajkózása helyett, erőforrást fektettek bele, és végigvittek egy ilyen folyamatot.
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
-
#20
lionhearted
őstag
dqdb
#19
A LastPass weboldala openSSL bugos volt, tehát openSSL-t használnak, mint linkelted, mégiscsak van azon cert is. U MAD?
LasstPass egy kiváló oldal arra, hogy mindenféle hitvány, kitudja milyen hash-sel tárolt, és kitudja mivel védett oldalakon random (tökmindegy, hogy ezek úgy is pseudorandomok, és egymáshoz minimálisan köthetőek is, de nem egybites júzer password patternjét követik!) jelszavakat adj meg, pláne ha azok HTTP-n beszélgetnek. Ehhez nagyszerű segítséged ad, autoform kitölt, generál, minden van.
Érdemi információk, bár semmi sem igazolja az oldalon, hogy lokális titkosítást alkalmaz. Ha leírják a használt libraryt - akár ezt, akár a random generátort -, akkor támadási felületet adnak, mert elég azt a libraryt forráskódból tesztelni. Így tippelni lehet. Ha adnak rá bármi certet, mint az openSSL-re, akkor is lehet benne hiba, mint ahogyan abban is volt.
Semmilyen hasznos leírást nem találok a BestCrypt mellett sem, csak hogy milyen titkosítási algoritmust ismer. Ezek implementációjáról nem találtam (igaz 1 percig néztem) semmit. És ez egy offline container, nem nyilvános webes szolgáltatás.Egyetértünk abban, hogy nem a kártyaszámomat menteném bele, sőt nekem LastPassom sincs, csak KeePass-om, mert én FOSS kedvelő vagyok. Számomra az a megnyugtató, így bármikor használom a LUKS/openPGP/openSSL bármelyikét.
DE!
A LastPass kényelmesebb a korábban említett weboldalakon. És mivel az ember lusta természet, így ha csak egy biztonságosabb(nak vélt) offline megoldást használja, ami kevésbé kényelmes, akkor alkalmasint elfelejti majd alkalmazni. És mivel nem csak lusta, de a millió jelszó között el is veszik, ezért gyengébb jelszót fog az adott oldalon használni, ami nagyobb eséllyel hajaz a többi, akár a passmanager masterjelszavára is. Ezzel pedig máris ott a rés a pajzson.Ami pedig fontos (kényes), két-lépcsős azonosítás, mindig. Na már, ebben is különbözik az "offline" meg az "online". Többnyire (avg Joe) kevésbé védjük a gépünket, mint ezek a böhöm cégek. Offline esetén az a 2 lépcső, hogy van egy jelszó(+fájl) és van egy adatbázisfájl. A kettő csak együtt ér valamit ugye. Online esetén van egy jelszó és egy egyszeri jelszó, vagy ha oda törnek be, akkor meglesz az adatfájl, már csak a sima jelszó kell. Kérdés, hogy melyikük veszi észre a betörést nagyobb eséllyel.
Valószínűleg csak a nézőpontok töredékét érintettem.
Technológiailag nekem is jobb a FOSS, mint a minősítetlen zárt. De ebből nem következtetem azt, hogy az online megoldás alapból rosszabb lenne minden körülményt figyelembe véve.
[ Szerkesztve ]
Tegnap még működött...
-
#23
lionhearted
őstag
noorbertt
#22
-
FlekkeN
aktív tag
Én Keepasst használok. Az adatbázist felhőben tárolom, ahhoz 2-ős autentikáción vezet az út+titkosítva van. Az adatbázis megnyitásához kulcs+jelszó kell. A kulcsot lokálisan tárolom és felmásolom arra az eszközre ahol használni szeretném az adatbázist.
[ Szerkesztve ]
-
#25
kakuk.tamas
addikt
kakuk.tamas
addikt
4 percel ezelőtt jött a hivatalos e-mail tőlük a feltörésről.
Úriember vagyok, az a gecirendes fajta. ~ Ha tőlem vásárolnál, olvasd el: https://tinyurl.hu/PKrH/ ~ Zalaegerszeg ~ Apple iPhone 14 Pro ~ Apple Watch 8 Cellular 45mm ~ Xiaomi Mi Electric Scooter 3 ~ EBFEC VIPER MTB2 ~ Telekom 2000/1000 ~
-
#26
tothzoltan
tag
tothzoltan
tag
Sokan közületek - joggal - azon hüledeznek, hogy felelötlenseg jelszavakat felhöben tarolni. Okay, en erre emlitenek nehany finom ellenpeldat magambol kiindulva. Az en rövidtavu memoriam hagy nemi kivannivalot maga utan ezert a jelszo mint olyan az esetemben tabu. Azonban projektmanagerkent (lenyegtelen hogy milyen teren) több mint 50 (adott esetben valtozo) user/pass accounttal kell dolgoznom naponta, szinte parhuzamosan.
Mit teszel ilyenkor? Variaciok egy temara:
1. jo öreg toll/papir/notesz kombo. -> mas is lathatja, elveszhet, eleghet stb. ... abszolut bukta.
2. sajat gepen tarolod titkositott fajlban -> ha a drive meghibasodik; buktad.
2.1. masolatot keszitesz es szinten titkositod -> valtozo tartalomnal idöigenyes, körülmenyes
(+ radikalis pelda, de en mindig ebben gondolkodom: ha leeg a haz vagy ha kirabolnak, buktad harddrive-okat)
3. LastPass-t (es tarsait) hasznalsz ami megkönnyiti es töredekere lerövidit minden bejelentkezesi es tarolasi procedurat, de x% esely van ra hogy feltörik a szerverüket, es a feltöres utan 0,000x% esely van arra hogy hasznaljak is a megszerzett tartalmat.... Lehet azt mondani, hogy hülye vagyok de en a 3-as verzional maradtam es maradok is. Tekintve, hogy a weben kismillio mas helyen lophatnak tölem adatot, en szemely szerint nem epp LastPass miatt aggodom a leginkabb a napi munkam soran.
I'm thinking different.
-
#28
rover45
senior tag
tothzoltan
#26
rover45
senior tag
válasz
tothzoltan
#26
üzenetére
Gyakorlatilag ugyanez játszódott le bennem is ...
Mondjon valaki jobb alternatívát -
#31
htc07
addikt
tothzoltan
#26
htc07
addikt
válasz
tothzoltan
#26
üzenetére
Toll+notesz+agy, nálam ez a kombó, pl. Ha a jelszavad 'a3K$Jx8', két-három dolgot kell megjegyezned max, pl. A noteszban vezetett jelszavakban a számokhoz +1-et adsz, így a füzetedben 'a4K$Jx9' szerepel.
És ez egy primitív példa, ha kitalálsz egy szisztémát amivel vezeted a jelszavaid (pl. A fenti számos példa, vagy visszafele írod le a jelszavaid, esetleg ezeket kombinálod) máris biztonságban vannak a jelszavaid, és minimális agyrutin kell hozzá, hogy menjen a dekódolás.
-
#32
lionhearted
őstag
Deck
#27
-
#33
htc07
addikt
lionhearted
#32
htc07
addikt
válasz
lionhearted
#32
üzenetére
Biztonsági másolat?
+víz és a merevlemezed is olvashatatlan.
Egyébként nem muszáj füzetben, lehet felhőben is így, a lényeg a kódolás.
[ Szerkesztve ]
-
#34
Alteran-IT
senior tag
Alteran-IT
senior tag
Szerencsére még sose hallottam erről a sz@rról, így semmit se vesztettem
-
#35
ledgeri
nagyúr
Alteran-IT
#34
ledgeri
nagyúr
válasz
Alteran-IT
#34
üzenetére
Szép is így a vélemény nyilvánítás!
anti-blockadblock-er// PH! új arculat: 1/ 500 // szeksziboj -nálam van egy pirospontod! // Keresek Sárga fényű lézert! (kézit, ceruzaelemest)
-
#36
Alteran-IT
senior tag
ledgeri
#35
-
#37
ledgeri
nagyúr
Alteran-IT
#36
ledgeri
nagyúr
válasz
Alteran-IT
#36
üzenetére
Miért, ki vagy te?? Bármi amiről nem hallottál az megkapja ezt a jelzőt (szép világod lehet...)?
Fenti véleményeket láttad-e?
Nomeg tudod-e, hogy vannak szintek feltörésen belül is?anti-blockadblock-er// PH! új arculat: 1/ 500 // szeksziboj -nálam van egy pirospontod! // Keresek Sárga fényű lézert! (kézit, ceruzaelemest)
-
#38
Alteran-IT
senior tag
ledgeri
#37
Alteran-IT
senior tag
Hát igazából egy átlag ember vagyok, mint bárki más, viszont az informatikával kapcsolatban amiről kell vagy jó tudni, arról úgy érzem, hogy tudok és az ilyenek nálam kimaradnak, nem is véletlenül. És nem, nem kapja meg, de ami számomra és az olyanok számára felesleges, akik nem "lusták" (igen, olvastam a fenti kommenteket, de tudod mindenki egyéniség és nem kopizza a másik kommentjét), azok szó szerint felesleges hülyeségek, de lehet más jelzőt is mondani. Persze minden hülyeségre van már egy csomó vevő, mert mindig eladják valahogy az embereknek.
Igen tudom, mint ahogy azt is, hogy a védekezésére is vannak szintek és itt erre tényleg adni kellene. Gondolom hogy tudod Te is, hogy valaminek a feltörése nem egyik pillanatról a másikra történik, közte a legtöbb esetben van elég idő.
-
#39
attila9988
őstag
attila9988
őstag
Én "keepass" -t használok. Az a gépemen van... és titkosított állományt használ, szóval ha valaki is hozzáférne, még akkor sem lenne annyira könnyű dolga, hogy ne tudjak időben megváltoztatni minden fontos jelszót...
„Csak az apró titkokat kell védeni. A nagy felfedezéseket a nyilvánosság hitetlensége védi.” (Marshall McLuhan)
-
#40
lionhearted
őstag
attila9988
#39
válasz
attila9988
#39
üzenetére
Ha bárki hozzáfér, azt kb sosem tudod meg. Ahhoz képest mit változtatsz időben?
Egyébként a LastPass is titkosított. Csak ők sokat észrevesznek a bejutásból (mint most is).Tegnap még működött...
-
#41
Alteran-IT
senior tag
lionhearted
#40
Alteran-IT
senior tag
válasz
lionhearted
#40
üzenetére
Csak az a baj, hogy nem csak észrevenni kellene, hanem megakadályozni.
-
#42
lionhearted
őstag
Alteran-IT
#41
válasz
Alteran-IT
#41
üzenetére
Megoldhatatlan, de nem baj, közhelyekből több van.
Tegnap még működött...
-
#43
attila9988
őstag
lionhearted
#42
attila9988
őstag
válasz
lionhearted
#42
üzenetére
Az én gépemen sokkal nagyobb biztonságban vannak a jelszavaim, mint egy ilyen online szarban... Már csak azért is, mert az én gépeimre nem akar ráugrani több millió jó képességű hacker, az online szolgáltatóra meg igen...
Ott ráadásul tudják hogy pontosan mit keresnek, ahogyan azt is, hogy pontosan hol, míg az én esetemben ha valaki be is mászna a gépembe, akkor sem lenne halvány fogalma sem arról, hogy egyáltalán vannak rajta jelszavak is.... Ha meg mégis, akkor még mindig fel kellene törnie, ami csak idő, és pénz kérdés, de annyit ez nem érne senkinek...
Az internetes jelszókezelő adatbázisa viszont már ér annyit....
Hát ez a különbség.
„Csak az apró titkokat kell védeni. A nagy felfedezéseket a nyilvánosság hitetlensége védi.” (Marshall McLuhan)
Új hozzászólás Aktív témák
it A LastPass szerint a védett jelszavak nem kerültek illetéktelenekhez, de más adatok viszont igen.
- HP ProBook 650 G4 Notebook/Laptop, 15,6" FHD, I7- 8650U CPU, 8GB DDR4, 128-480GB SSD, WIN 10, Garanc
- Dell Precision 7510 Notebook/Laptop, 15.6" FULL HD, I7-6820HQ CPU, 8GB DDR4, SSD+HDD, 4GB VGA, WIN 1
- Dell Precision 7520 Notebook/Laptop, 15.6" FULL HD, I7-6820HQ CPU, 16GB DDR4, SSD+HDD, 4GB VGA, WIN
- Teljesen új Samsung S21 5G 8/128GB Dual Sim eladó
- Apple Watch Series 8 45mm Midnight GPS Cellular(e-sim) 2023.10.06.-ig garis
Állásajánlatok
Cég: Servergarden Kft
Város: Budapest
Cég: Test Innovation Technology Zrt.
Város: Budapest