Názory k článku Jedno heslo nestačí: tři způsoby, jak je snadno spravovat
-
-
Osobně používám KeePassX (neplést s KeePass z článku), které má pro mě killer featuru - AutoType. Pro každé heslo si zvolím titulek okna. A poté kdykoli po zmáčknutí globální klávesové zkratky (KeePassX nemusí mít focus) moje aplikace přečte titulek okna a podle toho začne posílat do právě aktivní aplikace znaky - obvykle jméno, tabulátor, heslo, tabulátor, enter.
Výhoda? Přihlásím se kdekoli. Zaheslované pdfko, řádkový MySQL klient v konzoli, jakýkoli prohlížeč, jakýkoli program. A nemusím někde hledat a copy-pastovat přihlašovací údaje.
Nevíte někdo náhodou o dalších klientech, kteří AutoType podporují? -
auto-type (neregistrovaný)
keepassx je port keepassu. těch portů je mraky (http://keepass.info/download.html)
takže auto-type pochází právě od keepassu.
pro mě osobně je keepass naprostá špica, celý jeho adresář synchronizuju na všechny stroje a nemám co bych vytkl. -
Petr M (neregistrovaný)
Ad 1. způsobu - hesla v prohlížeči mám, ale ven z PC do čmoudu nesmí. A za zmínku stojí i to, že se dá vytvořit vlastní sync server (minimálně pro FF). Protože do té technologie nevidím a hesla lítají po síti, tak tak jsou tam hesla jenom prvího levelu (login do diskusí, spamový mail,...)
Ad 2. Jenom šílenec strčí svoje "ABC123XYZ" do čmoudu. A jenom totální bezmozek si tam uloží navíc číslo platební karty. Je to docela o hubu, protože
a) člověk neví, jak a kde je jeho heslo uloženo
b) kdo tu firmu, co čmoud provozuje, vlastní - dneska je to poctivec, zítra to bude nějaký bezpáteřník, třeba Gates, Rittig nebo Al Capone...Ad 3. Nic proti, ale desktop správce hesel pro Linux není problém. Já to řeším pomocí KeePassX (nevím jak jinde, ale ve Fedoře bez problémů). A výhoda je, že používá starší formát z KeePassu, takže hesla můžu použít i na widlích. Takže autor by si měl napřed něco zjistit, než na server o Linuxu plácne widláckou aplikaci a začne bulet, že se na Linux zapomíná.
-
Ondra Satai NekolaZlatý podporovatelVetsina reseni, co jsem videl, uklada hesla do cloudu sifrovana master heslem. Takze spravce nemusi byt poctivy a je to celkem jedno.
Sync proti vlastnimu serveru se s trochou nasili da nastavit i v Chrom(e|iu)
-
Ondra Satai NekolaZlatý podporovatel
Minimalne k Chromiu, FF a KeyPassu zdrojaky jsou, takze clovek nemusi moc verit tomu, kdo mu poskytne serverside cast synchronizace.
-
Filip JirsákStříbrný podporovatelZatímco když píšou, že je to šifrované master heslem, že se to nikam neodesílá a že tam nemají žádná zadní vrátka, je to stále jen věc, které člověk musí věřit. Jkaý je v tom rozdíl? A nebo si to – stejně jako u cloudu – ověří ve zdrojáku té služby, která funguje v lokálním prohlížeči.
-
relican (neregistrovaný)
Autor zapomel minit ze ve FF bez pouziti Master hesla jsou lokalni hesla sice zasifrovana ale taky velice lehce ziskatelna, staci mit pristup k signons.sqlite a key3.db a neni problem hesla precist. Btw pro sifrovani FF pouziva Triple DES coz uz dneska je prece jenom zastaraly zpusob sifrovani...
-
Petr M (neregistrovaný)
U FF bez master hesla je ještě jedna krásná záežitost.
Menu: Tools->Options
Záložka: Security
Je tam tlačítko Saved Passwords. Po kliknutí na něj se objeví cenný dialog, kde je seznam URL a uživatelský jména.
V tom dialogu se seznamem je ale je i tlačítko "Show Passwords". Po kliknutí na ně se stává tento seznam ještě podstatně zajímavějším... -
Ondra Satai NekolaZlatý podporovatel
A jak jinak? Ta data je možné neukázat, ale k dispozici jsou a budou. Lze to samozřejmě nějak ošolichat...
-
Petr M (neregistrovaný)
Jo, ale když nechávají lidi prohlížeč bez hlavního hesla na uživatelským účtu v systému bez hesla na komplu, ke kterýmu může víc lidí, tak je zabezpečení horší, než použití qwert123. Stačí, když se vetře známý na návštěvu a požádá, jestli se může mrknout z PC hostitele na FB a odchází s jeho heslem k mailu a k jeho FB. A tohle už překračuje hrance chápání běžnýho BFU...
-
relican (neregistrovaný)
To me pripomelo neco co se fakt stalo. Klasicka widlowska infrastruktura, Active Directory, tedy kompy v domene, roaming prifle. No a admin tak nejak zapomel nebo spatne nastavil, uz nevim, pristupovana prava na profilovej server. Timpadem se stalo ze uzivatele videli bez problemu do profilu ostatnich uzivatelu. V pripade FF tedy stacilo okopcit vyse zminene soubory a voila mate hesla. Nic se samozrejme nestalo, pac nikdo neni tak blbej aby se hrabal kde nema, ale stat se mohlo.
Problem je proste v tom ze FF nijak neupozornuje na to jak moc kriticke to je mit tam to Master heslo. A moje zkusenosti mi rikaji ze vetsina lidi na Widlich bud predpoklada ze hesla jsou poradne chranena anebo to je to vubec nenapadne. -
Petr M (neregistrovaný)
Jo, kamarádce se to vymstilo. Živí se tím, že předvádí erotický hračky před kamerou pro jednu filmpovou společnost. V partě to sice o ní víme, ale rodina myslí, že to končí u fotek v prádle. Jendou jí takhle někdo ze známých šlohl heslo od FB a nahrál jí do profilu fotky "v akci". No když jí to zavolali, to byly fofry k nejbližšímu PC, než přijdou její rodiče z práce a mrknou na FB :D
-
AltTab (neregistrovaný)
Já osobně si hesla neukládám, ale generuji. Používám http://ss64.com/passwords/
-
Ondra Satai NekolaZlatý podporovatel
Pro generování hesel na web stačí. Prohnat md5 a je nové heslo na světě.
-
Petr (neregistrovaný)
Používám KeePass už roky a nemohu si stěžovat. Jedna z hlavních nevýhod těch prohlížečových metod je, že si těžko uložím hesla/informace, která s prohlížečem nesouvisí. Sync mezi zařízeními jsem dříve dělal přes Dropbox, nyní BTSync, takže jsem ukládání na cizí železo vyloučil úplně.
Mám ale dotaz, KeePass2 přešel na XML interní formát, dá se nějak db upravit, abych vyházel nepotřebné položky? Chtěl bych mít jednu db na poznámky, tzn. hlavní pole by bylo "notes" a jméno, heslo, url atd bych tam vůbec neměl. V menu je možnost položky definovat navíc, ale ne mazat a ne globálně pro celou db.
-
Jirka (neregistrovaný)
Protože používám Xfce, tak mi tam KeePass moc nesedl a proto už roky používám FPM2 http://als.regnet.cz/fpm2/
-
Dobry den
Resili jsem stejny problem u nas ve spolecnosti. Potrebovali jsme bezpecne uloziste hesel chranene souborovym klicem s moznosti sdileni a kolaborace.
Na internetu jsem nenasli zadne odpovidajici online reseni, proto jsme si vyrobili svoje.
Prozatim mame plne sifrovane uloziste, ktere muze precist pouze majitel klice, pomoci onion sifrovani jsme zajistili sdileni a kolaboraci. Tedy bez klicu jsou data v databazi necitelna i pro nas. Veskere sifrovani je zajisteno na strane browseru, proto stavajici verze projektu ani nebezi pres https, protoze do site jdou jiz sifrovana data.
Projekt je v soucasne dobe verejne zdarma spusten v alfa verzi s planovanym dalsim rozvojem jako je udrzovani historie zmen a pluginy pro chrome a firefox.
Pokud tedy nekdo hleda bezpecne online uloziste:
-
"Přestože většina služeb už si uvědomila, že je 21. století a hesla ve svých databázích ukládají v zahashované formě"
To je sice moc hezké, ale:
* Nepoužívají správné hašovací funkce pro uložení hesel. Ne každá hashovací fce je na tuto činnost vhodná. Nemění se hashovací funkce po "vypšení doby použitelnost". (Nečekal bych, že 10 let po té se ještě budu setkávat s novými programy využívající MD5.) Bezpečnostní síla se zvyšuje a dneska už ani SHA1 (160b) nevyhovuje.
* Hesla lítají po nezabezpečené síti, lze je odposlechnout.Navíc heslo nenese žádnou informaci. Po každém útoku na nějakou službu mě fascinuje, jak všichni řeší ztrátu hesla. Upřímně řečeno to je asi tak poslední, co by měl zajímalo. Na té službě mám mnohem důležitější informace, než nějaké heslo. (Což vede dále k zamyšlení, proč služba, kde je za tohoto stavu nejdůležitější informací právě heslo, vůbec vyžaduje přihlášení.)
Jinými slovy, těch věcí, které musí služba splnit, aby se vůbec dalo uvažovat o její bezpečnosti je daleko víc, než jen způsob uložení autentizační informace. Osobně proti uložení hesel v plaintextu nic moc nemám, protože i toto lze učinit daleko bezpečnějším způsobem, než většina služeb s hašovanými hesly.
-
Honza (neregistrovaný)
V tomto případě bych si to představoval tak, že mobilní aplikace bude nějak komunikovat přímo s ověřovacím démonem, a já nebudu muset to heslo opisovat... to si ho můžu rovnou pamatovat, ale bude slabší. Tím se ztrácí všechny výhody...
Stačil by mi ale i bezdrátový přenos toho hesla třeba přes infra... -
Seti (neregistrovaný)
Co je tak složitého na tom opsat heslo?
BTW KeePass nijak s žádným ověřovacím daemonem nekomunikuje, je určen právě k tomu, aby si lidi nemuseli pamatovat silná hesla
BTW2 lze to řešit vytvořením uživatele bez práv s jednodušším heslem, pod kterým se spustí KeePass, a pak se přepnout na uživatele s právy
-
Seti (neregistrovaný)
Já neříkám, že je to výhodnější, takhle to říct nejde, ten uživatel se silným heslem tam musí být tak jako tak. Je to prostě možné řešení popsaného případu. I když onen problém s KP na serveru, ke kterému se chci přihlásit, je opravdu kuriozní :-)
BTW já takovéto jednoduché uživatele používám třeba pro SSH jako další stupeň zabezpečení, protože kromě hesla je pro přihlášení nutno znát i username.
-
Anonymous (neregistrovaný)
Je s podivem, že takový článek vznikl potom co se na slashdot.org objevilo http://ask.slashdot.org/story/14/02/21/2141214/ask-slashdot-how-do-you-manage-your-passwords
Vypadá to jako nová móda, kdy se obsah článku vykrádá z jiných zdrojů, podobně jako idnes zveřejňuje facebookové články Jaroromíra Jágra jako vlastní články.
Fandím redakci root.cz, že svým čtenářům dává k dispozici informace které by jinak nebylo možné získat.
-
Filip JirsákStříbrný podporovatelNapadají mne tři možná vysvětlení vašeho komentáře:
- Myslíte si že redakce Root.cz má k dispozici stroj času a text na Slashdotu četla dřív, než vyšel.
- Chtěl jste do komentářů na Slashot napsat, že kopírují témata z Root.cz, ale popletl jste si servery.
- Tak moc jste se chtěl pochlubit, že jste četl něco na podobné téma, že vás nenapadlo porovnat ani obsah textů ani data vydání.
