Keresés

Új hozzászólás Aktív témák

  • válasz dqdb #14 üzenetére

    Nem veti oda, mert nem ő találja ki, hanem a program. Így nincs mit odavetni. Egyetlen saját jelszót adsz meg.
    Ha valamit ezenfelül überfontosnak találtatsz (pl webbank), akkor nem adod meg, és teljesen más jellegű jelszót használsz ott, mint itt.

    Milyen megoldásokról is beszélünk? Tegyük fel, hogy igaz, ami le van írva arra a nevetséges HowItWorks oldalon. AES256+PBKDF2, lokálisan. Te azt szeretnéd, hogy ezen felül legyen TLS (inkább, mint SSL) csatorna, ami igen valószínű, hiszen már a weboldaluk sem működik máshogy. De milyen titkosítást használ ez a TLS? Asszimetrikus eljárással átad egy szimmetrikus kulcsot, rendszerint AES-t. Tehát iteráltál AESt, amit egyébként is tettél remélhetőleg. Ha még nem is biztos, hogy a megfelelő szerverrel kommunikálsz, mert nincs pinning (szerintem van, még a DropBoxon is van, és mekkora hitvány az már), akkor is küldtél neki némileg kevesebb, de eddig "törhetetlen"-nek megbélyegzett AES titkosított adatot. Sok sikert ahhoz is. Főleg, hogy a jelszó nem függ össze más oldalak jelszavaival (mivel random). És ha fontos, akkor évente cseréled. Ahogy mondani szokás, ennél nagyobb hatékonyságú, ha a szemetesed nézi át, hátha leírtad. Miközben lehet, hogy a megszerzett jelszó egy hitvány oldalra van, ahol amúgy is HTTP-vel plaintextben elküldted. Tehát még csak meg sem éri.
    A megoldásuk pedig esélyes, hogy nyílt megoldásokra épül, mint openSSL (ha már a heartbleed oda is beütött, ugye) vagy GPG. Már csak azért is, mert ingyenesek. És az oldalukon semmi általad keresett certifikáció nincs. Persze megint kétféle ember van, aki certifikációnak mindent elhisz, és egy zárt rendszert használ. Vagy aki már egy jól bejáratott nyíltat, mert ahhoz nem kell senki, hogy belenézzen. Bárki. Ez megint felfogás kérdése.

    A jelszó nem kényes adat. Az, ami mögötte van, az lehet az, vagy nem az. Ami az, azt nem egy jelszóval szokás védeni, vagy nem kell netre tenni. De ez azt is jelenti, hogy a te gépeden sem lehet, mert az is a neten van.

    Valóban egyszerűbb attól félni, hogy egy LastPass méretű adatbázisban, minden egyes user DB-jét egyesével feltörik (akár amazon clouddal), ami persze értelmezhető időn belül nem megoldott egyelőre. És még észre sem veszik, az időn belül.
    És akkor össze lehet vetni az abból nyert információ nyereségét a befektetett összeggel.

    [ Szerkesztve ]

    Tegnap még működött...

  • Egon

    nagyúr

    válasz dqdb #14 üzenetére

    Igazad van, leszámítva az EAL minősítés hiányolását (az Operás topicból linkelt posztodban). Az EAL minősítés pont nem garancia kb. semmire.

    "Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

  • válasz dqdb #19 üzenetére

    A LastPass weboldala openSSL bugos volt, tehát openSSL-t használnak, mint linkelted, mégiscsak van azon cert is. U MAD?

    LasstPass egy kiváló oldal arra, hogy mindenféle hitvány, kitudja milyen hash-sel tárolt, és kitudja mivel védett oldalakon random (tökmindegy, hogy ezek úgy is pseudorandomok, és egymáshoz minimálisan köthetőek is, de nem egybites júzer password patternjét követik!) jelszavakat adj meg, pláne ha azok HTTP-n beszélgetnek. Ehhez nagyszerű segítséged ad, autoform kitölt, generál, minden van.

    Érdemi információk, bár semmi sem igazolja az oldalon, hogy lokális titkosítást alkalmaz. Ha leírják a használt libraryt - akár ezt, akár a random generátort -, akkor támadási felületet adnak, mert elég azt a libraryt forráskódból tesztelni. Így tippelni lehet. Ha adnak rá bármi certet, mint az openSSL-re, akkor is lehet benne hiba, mint ahogyan abban is volt.
    Semmilyen hasznos leírást nem találok a BestCrypt mellett sem, csak hogy milyen titkosítási algoritmust ismer. Ezek implementációjáról nem találtam (igaz 1 percig néztem) semmit. És ez egy offline container, nem nyilvános webes szolgáltatás.

    Egyetértünk abban, hogy nem a kártyaszámomat menteném bele, sőt nekem LastPassom sincs, csak KeePass-om, mert én FOSS kedvelő vagyok. Számomra az a megnyugtató, így bármikor használom a LUKS/openPGP/openSSL bármelyikét.
    DE!
    A LastPass kényelmesebb a korábban említett weboldalakon. És mivel az ember lusta természet, így ha csak egy biztonságosabb(nak vélt) offline megoldást használja, ami kevésbé kényelmes, akkor alkalmasint elfelejti majd alkalmazni. És mivel nem csak lusta, de a millió jelszó között el is veszik, ezért gyengébb jelszót fog az adott oldalon használni, ami nagyobb eséllyel hajaz a többi, akár a passmanager masterjelszavára is. Ezzel pedig máris ott a rés a pajzson.

    Ami pedig fontos (kényes), két-lépcsős azonosítás, mindig. Na már, ebben is különbözik az "offline" meg az "online". Többnyire (avg Joe) kevésbé védjük a gépünket, mint ezek a böhöm cégek. Offline esetén az a 2 lépcső, hogy van egy jelszó(+fájl) és van egy adatbázisfájl. A kettő csak együtt ér valamit ugye. Online esetén van egy jelszó és egy egyszeri jelszó, vagy ha oda törnek be, akkor meglesz az adatfájl, már csak a sima jelszó kell. Kérdés, hogy melyikük veszi észre a betörést nagyobb eséllyel.

    Valószínűleg csak a nézőpontok töredékét érintettem.

    Technológiailag nekem is jobb a FOSS, mint a minősítetlen zárt. De ebből nem következtetem azt, hogy az online megoldás alapból rosszabb lenne minden körülményt figyelembe véve.

    [ Szerkesztve ]

    Tegnap még működött...

Új hozzászólás Aktív témák