Προς το περιεχόμενο

Προτεινόμενες αναρτήσεις

Δημοσ.

Εφαρμογούλα σαν αυτή που έχω φτιάξει εγώ, ένα uwp (windows + mobile), που αποθηκεύει κρυπτογραφημένα τα password στο onedrive μου και απλα τα κάνω copy paste. Ούτε plugin, ούτε τίποτα...

Δηλαδή συμβατή μόνο με Windows. Ειδικά σε Mobile, απευθύνεται σε τεράστιο κοινό...

 

Δεύτερον, αποθηκεύεις τους κωδικούς σου στο OneDrive. Κρυπτογραφημένους πως;

  • Like 1
  • Απαντ. 75
  • Δημ.
  • Τελ. απάντηση

Συχνή συμμετοχή στο θέμα

Δημοφιλείς Ημέρες

Δημοσ.

Βασικά θέμα προτίμησης είναι αυτές οι πλατφόρμες. Εγώ προσωπικά προτιμώ και εμπιστεύομαι την κρυπτογράφηση του 1Password γιατί γενικά με βολεύει ως Cross-Platform εφαρμογή για όλες τις συσκευές μου. Το LastPass δεν θα το εμπιστευόμουν για παράδειγμα όπως δεν θα εμπιστευόμουν το OneDrive για τους κωδικούς μου έστω και κρυπτογραφημένους. Τώρα αν είσαι χρήστης Windows και έγραψες την δική σου εφαρμογή γιατί όχι, μια χαρά σε βρίσκω. Ακόμα καλύτερα θα ήταν αν τους συγχρόνιζες σε δικό σου Server στο σπίτι αντί για το OneDrive. 

 

Το onedrive είναι 99.999% available. Και τώρα αν μπουν ειδικά για μένα στο onedrive μου, και πάρουν τους κρυπτογραφημένους κωδικούς, χαλάλι τους... Να δω τι θα τους κάνουν :P

Πάντως την κρυπτογράφηση δεν τι έχω φτιάξει εγώ έτοιμη την έχω πάρει, εννοείται!!!

Δηλαδή συμβατή μόνο με Windows. Ειδικά σε Mobile, απευθύνεται σε τεράστιο κοινό...

 

Δεύτερον, αποθηκεύεις τους κωδικούς σου στο OneDrive. Κρυπτογραφημένους πως;

 

Καλα τι μεγάλο κοινό; Για το εαυτό μου την έφτιαξα. Η κρυπτογράφηση γίνεται με έτοιμους αλγόριθμους...

Κοίτα πόσο εύκολο είναι :P

http://www.codeproject.com/Articles/769741/Csharp-AES-bits-Encryption-Library-with-Salt

Δημοσ.

Το onedrive είναι 99.999% available. Και τώρα αν μπουν ειδικά για μένα στο onedrive μου, και πάρουν τους κρυπτογραφημένους κωδικούς, χαλάλι τους... Να δω τι θα τους κάνουν :P

Πάντως την κρυπτογράφηση δεν τι έχω φτιάξει εγώ έτοιμη την έχω πάρει, εννοείται!!!

 

Καλα τι μεγάλο κοινό; Για το εαυτό μου την έφτιαξα. Η κρυπτογράφηση γίνεται με έτοιμους αλγόριθμους...

Το προτείνεις όμως ως εναλλακτική για να το κάνουν οι υπόλοιποι. Εκτός αν η παραπάνω δήλωση ήταν απλά για λόγους εντυπωσιασμού.

 

Όσον αφορά την κρυπτογράφηση, αν δε γνωρίζεις τους αλγόριθμους, είναι άχρηστη.

Και επαναλαμβάνω, το να προτείνεις κάτι τέτοιο ως ανταγωνιστικού του LastPass, είναι υπερωψία. Υποτιμάς ανθρώπους με 30 χρόνια στα θρανία που έχουν δημιουργήσει μια πλατφόρμα ασφαλείας με τεράστιο πελατειακό κοινό.

  • Like 3
Δημοσ.

Το προτείνεις όμως ως εναλλακτική για να το κάνουν οι υπόλοιποι. Εκτός αν η παραπάνω δήλωση ήταν απλά για λόγους εντυπωσιασμού.

 

Όσον αφορά την κρυπτογράφηση, αν δε γνωρίζεις τους αλγόριθμους, είναι άχρηστη.

Και επαναλαμβάνω, το να προτείνεις κάτι τέτοιο ως ανταγωνιστικού του LastPass, είναι υπερωψία. Υποτιμάς ανθρώπους με 30 χρόνια στα θρανία που έχουν δημιουργήσει μια πλατφόρμα ασφαλείας με τεράστιο πελατειακό κοινό.

 

Τι λες άνθρωπέ μου; Το προτείνω σαν εναλλακτική στους προγραμματιστές που θέλουν να είναι ανεξάρτητοι.

Τους αλγόριθμους και τους γνωρίζω και έχω ασχοληθεί επειδή έχω σπουδάσει πληροφορική, αλλά την υλοποίηση την έχει έτοιμη το .net από ανθρώπους ειδικούς σε αυτό. Ξέρεις δεν ανακαλύπτεις κάθε φορά τον τροχό από την αρχή.

Και από που ως που είναι άχρηστη η κρυπτογράφηση αν δεν γνωρίζεις πως λειτουργεί; Τι άκυρο είναι αυτό; Αντί να λέω σε ένα πρόγραμμα κάνε μου την κρυπτογράφηση, το λέω σε μία ρουτίνα. Το interface άλλαξε. Το ίδιο άχρηστη είναι με την ίδια λογική για οποιοδήποτε χρήστη τέτοιων προγραμμάτων....

  • Like 2
Δημοσ.

Αυτό που λέει ο retromaniac σύμφωνοι δεν έχει την ασφάλεια του lastpass αλλά αν συγκρίνεις ποσά άτομα προσπαθούν να σπάσουν το lastpass και πόσοι του retromaniac καταλαβαίνεις ποιο είναι πιο ασφαλές.

  • Like 2
Δημοσ.

Αυτό που λέει ο retromaniac σύμφωνοι δεν έχει την ασφάλεια του lastpass αλλά αν συγκρίνεις ποσά άτομα προσπαθούν να σπάσουν το lastpass και πόσοι του retromaniac καταλαβαίνεις ποιο είναι πιο ασφαλές.

Υπάρχει βέβαια και αυτή η άποψη... https://blog.agilebits.com/2012/11/08/dont-trust-a-password-management-system-you-design-yourself/

  • Like 1
Δημοσ.

 

Φυσικά. Η εφαρμογή που έχω φτιάξει ΓΙΑ ΤΟΝ ΕΑΥΤΟ ΜΟΥ, δεν εγγυάται security αν έχουν κάνει take over τον pc μου. Θέλω να δω το lastpass όμως πως θα μπορούσε να αντισταθεί σε ένα keylogger. Ποιος από εσάς χρησιμοποιεί virtual keyboard all the time;

Δημοσ.

Συγγνωμη ακομα και αν εχεις keylogger στο pc σου και δεν κανεις χρηση του virtual keyboard αν εχεις ενεργοποιησει το 2 step verification πως ακριβως θα μπει ο αλλος στο account σου?

  • Like 1
Δημοσ.

Τι λες άνθρωπέ μου; Το προτείνω σαν εναλλακτική στους προγραμματιστές που θέλουν να είναι ανεξάρτητοι.

Τους αλγόριθμους και τους γνωρίζω και έχω ασχοληθεί επειδή έχω σπουδάσει πληροφορική, αλλά την υλοποίηση την έχει έτοιμη το .net από ανθρώπους ειδικούς σε αυτό. Ξέρεις δεν ανακαλύπτεις κάθε φορά τον τροχό από την αρχή.

Και από που ως που είναι άχρηστη η κρυπτογράφηση αν δεν γνωρίζεις πως λειτουργεί; Τι άκυρο είναι αυτό; Αντί να λέω σε ένα πρόγραμμα κάνε μου την κρυπτογράφηση, το λέω σε μία ρουτίνα. Το interface άλλαξε. Το ίδιο άχρηστη είναι με την ίδια λογική για οποιοδήποτε χρήστη τέτοιων προγραμμάτων....

Το ότι γνωρίζεις έναν αλγόριθμο, ονομαστικά, δε σημαίνει ότι γνωρίζεις και πως ακριβώς λειτουργεί. Μπορεί και να το ξέρεις, εφόσον έχεις σπουδάσει, αλλά είναι αρκετά advanced και από όσο γνωρίζω δε διδάσκονται στα περισσότερα πανεπιστήμια.

Βρίσκομαι στο χώρο της πληροφορικής από το 1982 και εργάζομαι στο ΙΤ ενός από τους μεγαλύτερους χρηματοπιστωτικούς οργανισμούς στον κόσμο. Όπως καταλαβαίνεις, μπορώ να γνωρίζω μερικά πραγματάκια παραπάνω για κρυπτογράφιση και ασφάλεια.

 

Όσο εύκολο είναι να βάλουν ένα keylogger σε εμένα, το ίδιο ακριβώς γίνεται και με εσένα.

Εμένα και να μπούνε κάποια στιγμή στο LastPass, λόγω του όγκου των χρηστών που έχει, θα είναι δύσκολο να υποκλέψουν τα δικά μου  στοιχεία. Επίσης, το ότι θα πάρουν τα κρυπτογραφημένα δεδομένα, δε σημαίνει ότι θα μπορέσουν και να τα αποκρυπτογραφήσουν. Ανάλογα με τον κωδικό του καθενός, θα χρειαστεί και χρόνος. Οπότε, συνήθως τέτοιες κινήσεις είναι από ανταγωνιστές που θέλουν να βλάψουν την εταιρία κι όχι από κάποιους κλέφτες που θέλουν να μπούνε στο email σου ή στο Fb σου και να δούν τις γυμνές φωτογραφίες που σου έστειλε το γκομενάκι.

 

Αν για κάποιο λόγο σε βάλουν στο μάτι, ότι και να κάνεις δεν τη γλιτώνεις. Μερικές δικλείδες ασφαλείας, απλά σε βοηθάνε να περιορίσεις τη ζημία (πχ τραπεζικοί λογαριασμοί και κάρτες).

 

Τέλος, η κρυπτογράφηση που μάλλον έχεις εφαρμόσει, βασίζεται σε έναν απλό αλγόριθμο με κάποιο κλειδί, 256-1024-2048bit, και φαντάζομαι ότι παίρνεις τα δεδομένα από το OneDrive, τα αποκρυπτογραφείς τοπικά και βάζεις τα στοιχεία στην αντίστοιχη φόρμα. Αυτή είναι η απλούστερη μέθοδος κρυπτογράφησης και μπορεί να σπάσει με ένα απλό BruteForce ή με "τρύπα" στο κλειδί σου (που φαντάζομαι έφτιαξες μόνος σου).

 

Μπορείς να ρίξεις μια ματιά σε αυτόν τον οδηγό, που εξηγεί και συγκρίνεις τις μεθόδους κρυπτογράφησης. Θα διαπιστώσεις ότι κάποιοι αλγόρθιμοι είναι από το 1975 κι όσο κι αν έχουν εξελιχθεί, έχουν αρκετά αδύναμα σημεία:

http://www.sersc.org/journals/IJSIA/vol9_no4_2015/27.pdf

 

Σε αυτή την εργασία, μπορείς να δεις ενδεικτικά και συγκριτικά, χρόνους που χρειάζονται για κάθε αλγόριθμο, ανάλογα με το κλειδί του, να σπάσουν. Είναι βέβαια παλαιότερο, αλλά λαμβάνοντας υπόψη την εξέλιξη στους επεξεργαστές αλλά και την παράλληλη εξέλιξη στους αλγόριθμους και στα μεγέθη των κλειδιών, οι χρόνοι είναι κοντά. Αυτό που δε φαίνεται βέβαια εδώ, είναι η δύναμη του distributed computing που μπορεί να αποκρυπτογραφήσει δεδομένα σε λίγα λεπτά, αν κάποιος έχει την πρόσβαση σε χιλιάδες συστήματα.

http://www.cse.wustl.edu/~jain/cse567-06/ftp/encryption_perf/

 

Και εδώ μπορείς να διαβάσεις κάποια πράγματα για το μέλλον, όπου η μεθοδολογία πια πάει σε άλλο επίπεδο, επιστρέφοντας στον επίδοξο hacker φαινομενιικά δεδομένα, που όμως δεν είναι τα αληθινά, έτσι δε μπορεί να γνωρίζει αν βρήκε το κλειδί ή όχι:

http://gizmodo.com/sneaky-honey-encryption-stops-hackers-by-drowning-the-1511718913

  • Like 1
Δημοσ.

Προφανώς δεν προσπαθώ να προστατευθώ από την NSA...

Αλλά μια που το έχεις σπουδάσει να πάω την συζήτηση σε άλλο επίπεδο.

Εγώ δεν έχω το master password αποθηκευμένο hashed στo onecloud. Για τον απλούστατο λόγο ότι δεν χρειάζεται να κάνω επαλήθευση ότι είναι δικό μου το account. Οπότε δεν ΥΠΑΡΧΕΙ hashed password για να κάνουν brute force. Σε αντίθεση με το last pass που το έχει hashed για να κάνει επαλήθευση του login.

Καταλαβαίνεις τώρα γιατί το να έχεις ΔΙΚΟ σου πρόγραμμα σε διευκολύνει στην ασφάλεια;

Δημοσ.

Τέλος, η κρυπτογράφηση που μάλλον έχεις εφαρμόσει, βασίζεται σε έναν απλό αλγόριθμο με κάποιο κλειδί, 256-1024-2048bit, και φαντάζομαι ότι παίρνεις τα δεδομένα από το OneDrive, τα αποκρυπτογραφείς τοπικά και βάζεις τα στοιχεία στην αντίστοιχη φόρμα. Αυτή είναι η απλούστερη μέθοδος κρυπτογράφησης και μπορεί να σπάσει με ένα απλό BruteForce ή με "τρύπα" στο κλειδί σου (που φαντάζομαι έφτιαξες μόνος σου).

 

Εγώ δεν ανησυχώ ιδιαίτερα μήπως σπάσει ένα 2048-bit κλειδί με brute force. Το πιθανότερο είναι ότι όταν θα σπάσει κάτι τέτοιο δε θα μπορώ εκ των πραγμάτων να νοιαστώ, από 'κει που θα είμαι...

 

:P 

  • Like 2
Δημοσ.

Το onedrive είναι 99.999% available. Και τώρα αν μπουν ειδικά για μένα στο onedrive μου, και πάρουν τους κρυπτογραφημένους κωδικούς, χαλάλι τους... Να δω τι θα τους κάνουν :P

Πάντως την κρυπτογράφηση δεν τι έχω φτιάξει εγώ έτοιμη την έχω πάρει, εννοείται!!!

 

Καλα τι μεγάλο κοινό; Για το εαυτό μου την έφτιαξα. Η κρυπτογράφηση γίνεται με έτοιμους αλγόριθμους...

Κοίτα πόσο εύκολο είναι :P

http://www.codeproject.com/Articles/769741/Csharp-AES-bits-Encryption-Library-with-Salt

 

Φίλε ψήσου να βάλεις την εφαρμογή Github ώστε να μπορούμε να κάνουμε fork όσοι ενδιαφερόμαστε και να την πειράξουμε/αλλάξουμε/βελτιώσουμε. Και εσύ θα βγεις κερδισμένος γιατί μπορεί να στην βελτιώσει κάποιος και αυτοί που ενδιαφερόμαστε δεν χρειάζεται να ξανα-ανακαλύψουμε τον τροχό.

Αν και μάλλον θα χρειαστεί να το κάνω από την αρχή εγώ γιατί θέλω να κάνει RSA 4096bit κρυπτογράφηση το κάθε pass, με διαφορετικό κλειδί και μετά το ιδιωτικό κλειδί θα κρυπτογραφείται με δική μου custom κρυπτογράφηση και θα αποθηκεύεται σε εξωτερικά μέσα, ιδανικά το κάθε κλειδί θα έχει το δικό του.

  • Like 2
Δημοσ.

Προφανώς δεν προσπαθώ να προστατευθώ από την NSA...

Αλλά μια που το έχεις σπουδάσει να πάω την συζήτηση σε άλλο επίπεδο.

Εγώ δεν έχω το master password αποθηκευμένο hashed στo onecloud. Για τον απλούστατο λόγο ότι δεν χρειάζεται να κάνω επαλήθευση ότι είναι δικό μου το account. Οπότε δεν ΥΠΑΡΧΕΙ hashed password για να κάνουν brute force. Σε αντίθεση με το last pass που το έχει hashed για να κάνει επαλήθευση του login.

Καταλαβαίνεις τώρα γιατί το να έχεις ΔΙΚΟ σου πρόγραμμα σε διευκολύνει στην ασφάλεια;

Ούτε το lastpass έχει αποθηκευμένο το master password στη βάση τους.

Καταλαβαίνεις τώρα ότι δεν είναι τόσο απλό;

  • Like 1
Δημοσ.

Ούτε το lastpass έχει αποθηκευμένο το master password στη βάση τους.

Καταλαβαίνεις τώρα ότι δεν είναι τόσο απλό;

 

Και φυσικά δεν το έχει, έχει το hashed όμως που μπορεί να γίνει brute force...

Πως αλλιώς επαληθεύει το login σου στο site τους;

Φίλε ψήσου να βάλεις την εφαρμογή Github ώστε να μπορούμε να κάνουμε fork όσοι ενδιαφερόμαστε και να την πειράξουμε/αλλάξουμε/βελτιώσουμε. Και εσύ θα βγεις κερδισμένος γιατί μπορεί να στην βελτιώσει κάποιος και αυτοί που ενδιαφερόμαστε δεν χρειάζεται να ξανα-ανακαλύψουμε τον τροχό.

 

Ναι. Να την συμμαζέψω πρώτα για να μην με κοροϊδεύετε. Σας ξέρω τι ρεμάλια είστε οι προγραμματιστές :)

Πάντως υπάρχουν όλα τα επιμέρους που χρειάζεσαι σε βιβλιοθήκες έτοιμα.

Δημοσ.

Και φυσικά δεν το έχει, έχει το hashed όμως που μπορεί να γίνει brute force...

Πως αλλιώς επαληθεύει το login σου στο site τους;

Μάλλον δε γνωρίζεις τι είναι το hashed+salted password....

Διάβασε σε παρακαλώ, πριν αρχίσεις να γράφεις απόψεις και επικρίσεις.

Επειδή αντέγραψες έναν έτοιμο κώδικα από κάποιο site, δε σε κάνει ειδικό σε θέματα κρυπτογράφησης.

  • Like 1

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα

  • Δημιουργία νέου...