- Linux kezdőknek
- Újabb kriptotőzsdéről derült ki: ömlik rá az illegális pénz
- ASUS routerek
- Vírusirtó topic
- YouTube
- Windows 11
- Vodafone otthoni szolgáltatások (TV, internet, telefon)
- Facebook profil letiltás kapcsolt ismeretlen Instagram fiók miatt
- Az USA beperelte az Apple-t: túl drágák az iPhone-ok
- DIGI internet
Új hozzászólás Aktív témák
-
őstag
Nem veti oda, mert nem ő találja ki, hanem a program. Így nincs mit odavetni. Egyetlen saját jelszót adsz meg.
Ha valamit ezenfelül überfontosnak találtatsz (pl webbank), akkor nem adod meg, és teljesen más jellegű jelszót használsz ott, mint itt.Milyen megoldásokról is beszélünk? Tegyük fel, hogy igaz, ami le van írva arra a nevetséges HowItWorks oldalon. AES256+PBKDF2, lokálisan. Te azt szeretnéd, hogy ezen felül legyen TLS (inkább, mint SSL) csatorna, ami igen valószínű, hiszen már a weboldaluk sem működik máshogy. De milyen titkosítást használ ez a TLS? Asszimetrikus eljárással átad egy szimmetrikus kulcsot, rendszerint AES-t. Tehát iteráltál AESt, amit egyébként is tettél remélhetőleg. Ha még nem is biztos, hogy a megfelelő szerverrel kommunikálsz, mert nincs pinning (szerintem van, még a DropBoxon is van, és mekkora hitvány az már), akkor is küldtél neki némileg kevesebb, de eddig "törhetetlen"-nek megbélyegzett AES titkosított adatot. Sok sikert ahhoz is. Főleg, hogy a jelszó nem függ össze más oldalak jelszavaival (mivel random). És ha fontos, akkor évente cseréled. Ahogy mondani szokás, ennél nagyobb hatékonyságú, ha a szemetesed nézi át, hátha leírtad. Miközben lehet, hogy a megszerzett jelszó egy hitvány oldalra van, ahol amúgy is HTTP-vel plaintextben elküldted. Tehát még csak meg sem éri.
A megoldásuk pedig esélyes, hogy nyílt megoldásokra épül, mint openSSL (ha már a heartbleed oda is beütött, ugye) vagy GPG. Már csak azért is, mert ingyenesek. És az oldalukon semmi általad keresett certifikáció nincs. Persze megint kétféle ember van, aki certifikációnak mindent elhisz, és egy zárt rendszert használ. Vagy aki már egy jól bejáratott nyíltat, mert ahhoz nem kell senki, hogy belenézzen. Bárki. Ez megint felfogás kérdése.A jelszó nem kényes adat. Az, ami mögötte van, az lehet az, vagy nem az. Ami az, azt nem egy jelszóval szokás védeni, vagy nem kell netre tenni. De ez azt is jelenti, hogy a te gépeden sem lehet, mert az is a neten van.
Valóban egyszerűbb attól félni, hogy egy LastPass méretű adatbázisban, minden egyes user DB-jét egyesével feltörik (akár amazon clouddal), ami persze értelmezhető időn belül nem megoldott egyelőre. És még észre sem veszik, az időn belül.
És akkor össze lehet vetni az abból nyert információ nyereségét a befektetett összeggel.[ Szerkesztve ]
Tegnap még működött...
-
őstag
A LastPass weboldala openSSL bugos volt, tehát openSSL-t használnak, mint linkelted, mégiscsak van azon cert is. U MAD?
LasstPass egy kiváló oldal arra, hogy mindenféle hitvány, kitudja milyen hash-sel tárolt, és kitudja mivel védett oldalakon random (tökmindegy, hogy ezek úgy is pseudorandomok, és egymáshoz minimálisan köthetőek is, de nem egybites júzer password patternjét követik!) jelszavakat adj meg, pláne ha azok HTTP-n beszélgetnek. Ehhez nagyszerű segítséged ad, autoform kitölt, generál, minden van.
Érdemi információk, bár semmi sem igazolja az oldalon, hogy lokális titkosítást alkalmaz. Ha leírják a használt libraryt - akár ezt, akár a random generátort -, akkor támadási felületet adnak, mert elég azt a libraryt forráskódból tesztelni. Így tippelni lehet. Ha adnak rá bármi certet, mint az openSSL-re, akkor is lehet benne hiba, mint ahogyan abban is volt.
Semmilyen hasznos leírást nem találok a BestCrypt mellett sem, csak hogy milyen titkosítási algoritmust ismer. Ezek implementációjáról nem találtam (igaz 1 percig néztem) semmit. És ez egy offline container, nem nyilvános webes szolgáltatás.Egyetértünk abban, hogy nem a kártyaszámomat menteném bele, sőt nekem LastPassom sincs, csak KeePass-om, mert én FOSS kedvelő vagyok. Számomra az a megnyugtató, így bármikor használom a LUKS/openPGP/openSSL bármelyikét.
DE!
A LastPass kényelmesebb a korábban említett weboldalakon. És mivel az ember lusta természet, így ha csak egy biztonságosabb(nak vélt) offline megoldást használja, ami kevésbé kényelmes, akkor alkalmasint elfelejti majd alkalmazni. És mivel nem csak lusta, de a millió jelszó között el is veszik, ezért gyengébb jelszót fog az adott oldalon használni, ami nagyobb eséllyel hajaz a többi, akár a passmanager masterjelszavára is. Ezzel pedig máris ott a rés a pajzson.Ami pedig fontos (kényes), két-lépcsős azonosítás, mindig. Na már, ebben is különbözik az "offline" meg az "online". Többnyire (avg Joe) kevésbé védjük a gépünket, mint ezek a böhöm cégek. Offline esetén az a 2 lépcső, hogy van egy jelszó(+fájl) és van egy adatbázisfájl. A kettő csak együtt ér valamit ugye. Online esetén van egy jelszó és egy egyszeri jelszó, vagy ha oda törnek be, akkor meglesz az adatfájl, már csak a sima jelszó kell. Kérdés, hogy melyikük veszi észre a betörést nagyobb eséllyel.
Valószínűleg csak a nézőpontok töredékét érintettem.
Technológiailag nekem is jobb a FOSS, mint a minősítetlen zárt. De ebből nem következtetem azt, hogy az online megoldás alapból rosszabb lenne minden körülményt figyelembe véve.
[ Szerkesztve ]
Tegnap még működött...
Új hozzászólás Aktív témák
- Linux kezdőknek
- Xbox Series X|S
- Sok teljesítmény kell a Microsoft Copilot lokális futtatásához
- Samsung Galaxy S23 Ultra - non plus ultra
- OLED TV topic
- Az amerikai hadsereg lát fantáziát az OLED kijelzős hordozható eszközökben
- ThinkPad (NEM IdeaPad)
- A fociról könnyedén, egy baráti társaságban
- HiFi műszaki szemmel - sztereó hangrendszerek
- Android alkalmazások - szoftver kibeszélő topik
- További aktív témák...
- Apple iPhone 13 Midnight 256GB iSTYLE 2025.03.26. GARANCIA
- LG UltraWide 38WN95C-W Monitor 1 év Garancia
- iMac 2017 27" Retina 5K CTO / i7 4.2 GHz / 40 GB DDR4 / 1 TB SSD + doboz
- iMac 2017 27" Retina 5K CTO / i5 3.8 GHz / 40 GB DDR4 / 1 TB SSD / Radeon Pro 580 8 GB + doboz
- iMac 2017 27" Retina 5K CTO / i7 4.2 GHz / 40 GB DDR4 / 500 GB SSD / Radeon Pro 575 4 GB + doboz