Aki meg örül annak, hogy felhőbe tárol érzékeny fájlokat a kezelője...

Ez nem öröm kérdése, egyszerűen praktikus. Pl. pendrive-ról futtatva, kukutyinba regisztrálok, a Windows-os gépen, akkor mindenféle hókuszpókusz nélkül leülök este az imac elé, és ugyanazt tudja. Nem kell másolgatni, konvertálgatni ide-oda.

Nem mellesleg eddig hány olyan esetről hallottál, amikor felhőben tárolt jelszavakat sikerült ellopni, és dekódolni?!

---

Mi történik ha megsérül a jelszavakat tároló fájl(ok)? Mennyire renoválható? Milyen gyakran érdemes biztonsági másolatot készíteni róluk?

Aki meg örül annak, hogy felhőbe tárol érzékeny fájlokat a kezelője, h egy cégnél vannak az adatai aki semmi felelőséggel nem tartozik, h a titkosítási folyamatról szinte semmit nem tudni és ezért még fizetni is kell, az meg is érdemli

Ezt kifejtenéd bővebben ha lehet ? PL szerinted mi a probléma azzal, hogy a safe in cloud jelszókezelőm a SAJÁT felhőmbe tárolja egy aes 256 bites titkosítású csatornán keresztül a jelszavaimat ?

Your data is encrypted all the time on a device and in a cloud with 256-bit Advanced Encryption Standard (AES). The U.S. Government uses this algorithm for protection of classified information. AES is also widely adopted worldwide and became the de facto encryption standard.

Bárhonnan bármikor elérhetem és csak ÉN tudom a master jelszavamat amivel be tudok lépni ráadásul kiüríti a vágólapot ha kell akár 1 percenként. automatikusan ? Ja és a saját felhőmbe tárolt DB fájlt ha valaki megnyitja ezt kapja.

@•}^,7ű' XâDl%;íŰT”hk<&NŠ’‚Á§I0'ŞYĽ+Ä^’.
~˝ňy-rř—‡ť– ˝;E; ¶ŰS 6¸ đčµ3ŤÄµ†---////@g***** …~Ňyĺ… @wiě}Ô!°‰€›ď®z
Ńżë„â'/1ü­i $ţµÖ­r„Ű î` ˇPk€G°ÚÔŹ8=ř÷¦˙ä¦„ó µ¨ˇŔ`Úţ5şŞ.rRţÝĐRĎ$µ Ąjó $%hómç4}–gjI1 B˜¦ĺţ @Évg40 ˘ď9}C ¦°UŃ ´®ś0¦Kż8˜Nŕ€˘ ôe ‡ OŮäŤü˘qp6¬‡**/632U((9)°ţXŐcplčźř—¸…ô9˛pÄ…ŚXĽN¨^p}î g0&%AčĆiŃ!kË{8ç—úP çé†

Ebből vajon mit tud meg aki ne adj isten a kétlépcsős azonosítás után be tud lépni a fiókomba ? Esetleg ne adj isten a szolgáltatómtól ellopnák a fiókom jelszavát ?

Mondjuk a Lastpass esetén épp nem olyan rég volt egy betörés, ugye. Nem az első volt náluk és nem is az utolsó. Arról lehet értekezni, h mit szerezhettek meg és mit nem, de a tényen ez sem változtat. Nem véletlen kellett jelszavat változtatni utánna, a servereik is szépen belassultak 2-3 napra. Mert a jelek szerint be lehet jutni és máskor is be fognak.

A bárhonnan bármikor elérhetem duma hülyeség, mi van nincs net? Vagy épp vmi miatt áll a server. Vagy épp meghekkelték. Elég az ha áll egy délután és júzerek ezrei v milliói nem tudnak mondjuk ímélt küldeni mert nem elérhető a host a jelszavaikat meg nem tudják. Ja persze, van ami megy offline is. Akkor meg minek az online? Értem én, h vannak emberek akiknek fontos, h minden eszközre szinkronizálva legyen minden, mert van Pc, iPhone, Mac meg iPad meg droid, vagy vmi céges jelszavas bázis, de lássuk be, inkább a kényelmi funkciók miatt szeretik mint a biztonságáért. Annál inkább lesznek célpont minél több felhasználójuk van, nem a local jelszavakkal ügyködőkre fognak vadászni.

Vagy mi van akkor ha a te neted hal meg? Akkor is marad az offline, feltéve ha tudja a kezelőd. Akkor meg mi különbség van egy open source ingyenes KeePass vagy egy méregdrága 1Password közt? Amit minden gépre külön kell licenszelni nem kevés pénzért? Folytassam a sort?

Aztán ott van az általam említett TCATO amit talán el kellene olvasni. Vagy a Lastpass biztonsági izéje, h beállítható mely országokból lehessen elérni. Elég egy VPN és már meg is kerülték. Aztán nem kellene úgy csinálni mintha a KeePass crossplatform nem is lenne. Megy az konvert nélkül is Mac meg win közt. Az adatbázis átvitel wifin mondjuk telóra úgy röpke fél másodperc, nem kell ehhez semmi felhő.

Ha vki felhőt használ legyen, nekem aztán édesmindegy.

A bárhonnan bármikor elérhetem duma hülyeség

Attól hogy neked nem fontos, vagy más a véleményed, attól még nem lesz "hülyeség".

Vagy mi van akkor ha a te neted hal meg? Akkor is marad az offline, feltéve ha tudja a kezelőd.

A jelszókezelők 99%-a online jelszavakat kezel. Kitörölhetem a micsodámat az offline adatbázissal, ha nincs hova beírni. Ha pedig szükségem van a jegyzetre, vagy bármi másra, ami net elérés nélkül is kellhet, biztosan van egy B tervem (pl. előveszem a mentésből)

Aztán nem kellene úgy csinálni mintha a KeePass crossplatform nem is lenne.

Olvass picit vissza, mondjuk a #30-ast.

Megpróbálom újból mert látom baromira nem vagy képben csak írkálod a butaságokat.
SAFE IN CLOUD programot használok..NEM last Passt nem Kee passt NEM 1 Passwordot.Hanem SAFE IN CLOUD progit...Szóval a kérdés még mindig fennál Szóval mi is a probléma egy olyan jelszókezelővel ami a saját felhömbe szinkronizál ?
Ahogy olvastam az írásodat halvány lila fogalmad sincs a progiról plusz arról, hogy hogyan is müködik csak szajkózód a butaságaidat.Ha nincs netem akkor minek a jelszókezelöm ? Megmondanád ?De ezt előttem kifejtették.

Szóval várom megtisztelő válaszodat SAFE in CLOUD ügyben

Nem tudom milyen jelszókezelőt használsz, de nem is érdekel különösebben. Mindenkinek szíve joga eldönteni, h neki melyik tetszik. Én nem egyedi esetekről próbáltam meg beszélni - pl. azt, h neked mi van - hanem általánosságban. Ellenben az első hsz.emben írtam én olyan jelszókezelőt kerestem - ez ugye egyedi eset már -, ami biztonsággal használható mobilon is és ingyenes minden eszközre. Esetemben konkrétan 7 iPhone mobilról és 6 Pc+laptop+iPadről van szó, ezért az ár már nyom a latba választáskor. Azt is írtam, h iPhone-om van, tehát ez is szerepet játszik. Az, h szavaiddal élve "szajkózom a butaságaimat" eléggé túlzó. Mondok egy példát, h nagybecsű biztonsági szakértő személyed is felfoghassa.

Blackberry és IOS-os készülékekre egy példa:
We’ve analyzed 17 popular password management apps available for Apple iOS and BlackBerry platforms, including free and commercially available tools, and discovered that no single password keeper app provides a claimed level of protection. None of the password keepers except one are utilizing iOS or BlackBerry existing security model, relying on their own implementation of data encryption. ElcomSoft research shows that those implementations fail to provide an adequate level of protection, allowing an attacker to recover encrypted information in less than a day if user-selectable Master Password is 10 to 14 digits long.

Namármost, ezeket a 10-14 karakteres jelszavakat egy neten mindenki által szabadon megvásárolható szoftverrel fel lehet törni. Gondolom el tudod képzelni, h egy telefon elvesztése esetén az átlagember jelszókezelő master jelszavát max. egy nap nap alatt meg lehet fejteni. Az csak plusz biztonsági kockázat, h egy csomó app-ban bejelentkezve maradnak sokan, így a telefonba bejutva felhőből letöltve nem egy nagy vasziszdasz megcsapolni pl. egy bankkártyát.

Elcomsoft iOS Forensic Toolkit can brute-force iOS 4+ simple 4-digit passcodes in 10-40 minutes. Complex passcodes can be recovered as well, but require more time

Meg ilyenek, h Real-Time Access to Encrypted Information, Decrypt keychain items, extract device keys, including most keychain items, opening investigators access to highly sensitive data such as login/password information to Web sites and other resources.

Ezen kívül van más szoftver is, nem nehéz hozzájutni ha vki ilyesmivel akar baszakodni. Azt sem nehéz belátni, h azt autoszinkes appok mekkora kockázatot hordoznak magukban. Ha vki hurcolássza az adatbázisát (és most a KeePassra gondolok) az tegye egy jelszavazott? pendrivera a jelszóhoz szükséges kulcsfájlt és máris meg van oldva a téma.

Egy "töréseket" áruló Orosz cég sajtó anyagából összeollózva nem túl meggyőző, de legyen úgy.
Pontosan melyik termékük "töri" és melyik jelszókezelőt?

nagybecsű biztonsági szakértő személyed is felfoghassa.

Nem kell a szarkazmus, meg a hülyézés, a lendületből vegyél vissza! Attól hogy beidézel pár angol sort, még nem leszel szakértő (de még ha az is vagy, az sem jogosít fel ilyen "stílusra"). +Feleslegesen túráztatod magad. n+1. alkalommal írod le ugyanazt. Minek? Uncsi!

egy telefon elvesztése esetén ..., ezek érvényesek a keepass-ra, ill minden másra. A fizikai hozzáférés egy másik lapra tartozik.

Ha vki hurcolássza az adatbázisát (és most a KeePassra gondolok) az tegye egy jelszavazott? pendrivera a jelszóhoz szükséges kulcsfájlt és máris meg van oldva a téma.

Akkor a telón pl. hogyan oldod fel kulcs fájl nélkül?

Amúgy az sem mindegy hogy miért, és kit érdekelnek a jelszavaim. Arányos a befektetett energia a várható nyereséggel? (Ezt érdekes megfordítani is: Mennyire fontos amit meg szeretnék védeni)
Pl. Kukutyinban hogyan derítik ki, hogy használok-e (és ha igen, akkor milyen) jelszókezelőt?
Tegyük fel mégis megszerzik az adatbázisom. Honnan szerzik meg a hozzá tartozó kulcsot? (Ha már a lastpass-al példálózunk: Tegyük fel, az én adatbázisomat is ellopták a lastpass-tól. Hogyan szerzik meg a hozzá tartozó kulcsot?)

Azért nem az atom rakéták indító kódjára/UFO aktákra/egyéb nagy igazságok/hazugságokra vigyázol, csak a fórum jelszavadra. És itt eszembe jutott még egy dolog, a bizalom. Van aki A-ban bízik, hisz majd mindenki ismeri, használja, jó lesz az nekem is. Esetleg egy kevésbé népszerűt választok, hisz ők nem ismertek annyira, őket biztos nem támadják annyian? (Vagy pont azért, hisz kis cég, véges erőforrásokkal, könnyű préda). Van példa rá pro és kontra is.

[ Szerkesztve ]

Remélem a Zdnet-nél nem csupa informatikai analfabéta ír cikkeket, mivel nem zavarja őket, h orosz v kínai v amcsi; mert mondjuk ott olvastam, hogy ezt a 17-et vizsgálták IOS és BlackBerryn és egytől egyig mind elhasaltak. Magyarán az összesen feltörték a master passt, hétnél pillanatok alatt:

BlackBerry's Device Backup, Keeper® Password & Data Vault, Password Safe - iPassSafe free version, My Eyes Only™ - Secure Password Manager, Strip Lite - Password Manager, Safe - Password, iSecure Lite - Password Manager, Ultimate Password Manager Free, Secret Folder Lite, as well as the following paid applications, SafeWallet - Password Manager, SplashID Safe for iPhone, DataVault Password Manager, mSecure, LastPass for Premium Customers, 1Password Pro, BlackBerry Password Keeper, and the BlackBerry Wallet.

information stored in 10 out of 17 password keepers can be recovered in a day – guaranteed if user-selectable master password is 10 to 14 digits long, depending on application. What about the other seven keepers? Passwords stored in them can be recovered instantly because passwords are either stored unencrypted, are encrypted with a fixed password, or are simply misusing cryptography.

Many password management apps offered on the market do not provide adequate level of security. ElcomSoft strongly encourages users not to rely on their advertised security, but rather use iOS or BlackBerry built-in security features.

erről ennyit, lastpasst külön kiemeltem nehogy elkerülje a figyelmed

egy telefon elvesztése esetén ..., ezek érvényesek a keepass-ra, ill minden másra.

Ez így nem igaz. Ha KeePassban megadsz egy képfájlt is a jelszó mellé és azt nem tárolod a telefonodon akkor ha el is veszted a telót hiába is tudja vki mi a masterpass, nem lehet megnyitni annak hiányában. Pontosabban tárolhatod védett helyen a telefonodon, jelszavas zipfájlban, álcázhatod, stb., mert tudja a telefonon is kezelni a key fájlt. Olvass vissza, azt is írtam, h én nem használok képfájlt.

Ja, és azt írtam, h Ha vki hurcolássza az adatbázisát. Érted, nem telóról beszéltem, hanem hurcolásról. Laptop, tablet, ilyesmi. Mert vannak ám emberek akinek kell a munkájukhoz és nem telóról pötyögtetnek. De látom sikerült elkapni a lényeget...

[ Szerkesztve ]

A hivatkozott írás 2012-es. Azóta történt 1-2 változás (szerintem). Érdekes lenne megismételni az akkori tesztet az aktuális verziókkal.

Olvass vissza, azt is írtam, h én nem használok képfájlt.

Ahogy példákon keresztül mutattad be hibákat/előnyöket, úgy én is példálóztam. Csak a példa kedvéért kérdeztem rá, és azért tőled, mert te dobtad fel ennek a lehetőségét, a kulcsfájlok témáját. Bocs, ha ez nem volt egyértelmű!

Amúgy eltudod képzelni, hogy napi szinten így használd?
- Megnyitom a jelszavas zippet
- Kicsomagolom a megfelelő helyre a kulcsfájlt
- Megnyitom a jelszókezelőt
- Kimásolom a szükséges dolgokat/megnyitom közvetlenül a linket
- Közben/utánna mindent bezárok/kilépek

Biztonsági szempontból elég fokozottnak tűnik, de nem életszerű.

Ha vki hurcolássza az adatbázisát. Érted, nem telóról beszéltem, hanem hurcolásról. Laptop, tablet, ilyesmi. Mert vannak ám emberek akinek kell a munkájukhoz és nem telóról pötyögtetnek. De látom sikerült elkapni a lényeget...

Akkor legközelebb írd, azt, és nem csak neked lesz egyértelmű, hogy mire gondolsz. Én kérek elnézést!

[ Szerkesztve ]

Amúgy eltudod képzelni, hogy napi szinten így használd?

Teljesen igazad van, ezt így hülyeség használni, ezért nem is használom. Bár telóról sem igen netezek, ált. csak emailek.

Egyébként az Intel True Key technológiája tetszik, mondjuk telefonra. Feltettem egy arcfelismerős, aztán egy hangazonosítós jelszókezelő appot, de párszor beakadtak és leszedtem őket. De a jövő mindenképp ilyesmiben van.

Nem tudom milyen jelszókezelőt használsz, de nem is érdekel különösebben. Mindenkinek szíve joga eldönteni, h neki melyik tetszik. Én nem egyedi esetekről próbáltam meg beszélni - pl. azt, h neked mi van - hanem általánosságban

Pont az általánosításoddal van a probléma..baromira zavaró, hogy miközben nem ismered pl a SAFE IN CLOUD szoftvert ennek ellenére általánosítasz ez nagyon rossz hozzáállás

Hagyd már ezt a safe cloudozást. Ha annyira bejön neked írd már meg, h mitől is különb mint a másik tucat, hátha más is megszereti. Veled ellentétben én azért konkrétumokat írtam nem csak a fingot kergettem.

Ha nincs netem akkor minek a jelszókezelöm ? Megmondanád ?

Csőlátásod van? Vagy elhiszed, h webes belépésen kívül is van élet? Hogy lehet fájlokat is passzvördözni? Mondjuk céges adatok, doksik, táblázatok, stb. vannak jelszavazva arra az esetre ha pl. a dolgozó elveszti a laptopját, vagy bankkártya adatokat lehet esetleg beleírni, pin kódokat meg egyéb olyan nem netes infókat amik senki másra sem tartoznak. Ha már itt tartok visszautalok a KeePassra, amivel indíthatsz jelszavazott programokat a kezelőből, elvégezhetsz összetettebb utasításokat és nem csak webes oldalakra vagy kárhoztatva. Vagy akár több felhasználó esetén auditálható minden jelszó változtatás, tud triggereket, tud placeholdereket változtatni (lásd Ph! belépéskor a pipák), szinkronizálni felhőbe, ftpre, lokál, meg vagy kismillió mást.

Ahogy olvastam az írásodat halvány lila fogalmad sincs a progiról plusz arról, hogy hogyan is müködik csak szajkózód a butaságaidat.

Elnézést kérek, h nem mélyedtem el benne annyira mint te.

Ebben egyezik a véleményünk, ami a céges ingyenességet illeti. Vagy legalábbis így kellene lennie, de ugye abszurdisztánban élünk ahol soxor ilyesmivel megy a spórolás. Hisz nem egyszer hallani, olvasni, h XY-nak ellopták a laptopját a kocsiból, rajta az új lemezével, könyvével, csoda edzéstervével és nem volt védve semmivel. Céges környezetbe sztem a hardveres kulcs a legbiztonságosabb, meg amúgy is.

Én a jobb félni mint megijedni elvét vallom, talán még kicsit paranoiás is vok a biztonságot illetően. Főleg akkor, mikor látom, h milyen módszerekkel lehet megszerezni a szuperbiztosnak hitt titkosított mondjuk Bitlocker vagy TrueCrypt jelszavakat pl. egy memoria dumppal v cold boottal. Telis teli a youtube ilyen videókkal ha vkit érdekel a téma. Az ember pedig elgondolkozik, h mi is az amit el lehet hinni egy online biztonságot áruló cégnek.

Emellett én inkább bízom a nyílt forráskódban és a KeePassban, bár plugin formájában - és a KeePass bővelkedik pluginokban - érkezhetnek támadó kódok, szal észnél kell lenni.

Open Source and Security
As a cryptography and computer security expert, I have never understood the current fuss about the open source software movement. In the cryptography world, we consider open source necessary for good security; we have for decades. Public security is always more secure than proprietary security. It's true for cryptographic algorithms, security protocols, and security source code. For us, open source isn't just a business model; it's smart engineering practice. Bruce Schneier

A LogMeIn megvette a LastPass-t.

Kíváncsi vagyok mi lesz a következménye.

Sticky Password Premium - 1 éves licensz ingyen

Sticky Password 1 évre szól a kapott licence
1 napig igényelhető.

pörögjön a topic.

két frissebb hír:

http://myers.io/2015/10/22/1password-leaks-your-data/

http://itcafe.hu/hir/keepass_jelszotolvaj.html

Valahogy egyelőre nincs bizalmam egyetlen jelszókezelő sw-ben. Pedig nagy szükség lenne rá.. :/

Az, hogy 100%-ig nem bízol benne, azzal nincs is baj. Én még mindig azt mondom, hogy rendkívül fontos jelszavakat nem tárolunk ilyen helyen. Ennyi!