Προς το περιεχόμενο

Προτεινόμενες αναρτήσεις

Δημοσ.
23 ώρες πριν, spectaculator είπε

Κατάλαβα μια χαρά! Δες κι εδώ:

https://hackernoon.com/psa-lastpass-does-not-encrypt-everything-in-your-vault-8722d69b2032

Ναι, βέβαια:

https://hackernoon.com/psa-lastpass-does-not-encrypt-everything-in-your-vault-8722d69b2032

Δες το τι και πως μπορεί να του ξεφύγει.

Επίσης, λένε πως αν χωρέσει του ποντικού η κεφαλή τότε...:

https://www.rapid7.com/db/modules/post/multi/gather/lastpass_creds

https://github.com/rapid7/metasploit-framework/blob/master/modules/post/multi/gather/lastpass_creds.rb

Υπάρχει άλλο ένα, που για ευνόητους λόγους δεν το κάνω post εδώ.

αυτο που ποσταρες αναφερεται σε θεμα privacy (web history) και οχι για το security (account creds) 

δεν το θεωρω σοβαρο προβλημα προσωπικα εγω, ουτως η αλλως ειμαι ηδη υπο παρακολουθηση απο κατι google,ms,facebook, κτλ 

για το ποιντ 3 που κανει, εχω να δω τετοια urls απο εποχης που κατεβαζα hacked urls για porno sites. προφανως αν καποιος δεν θελει να παρει το ρισκο, ψαχνει για κατι αλλο να κανει την δουλεια του. παντως το αρθρο ειναι πριν δυο χρονια, ισως το εχουν πατσαρει απο τοτε.

οπως και να εχει, η ουσια παραμενει οτι το lastpass εδω και δεκα χρονια δεν εχασε ποτε τα δεδομενα μας, ουτε ακουστηκε να εχει προσβαση σε αυτα. ειναι πολυ ευχρηστο, κανεις την δουλεια σου, και υποστηριζει ολες τις πλατφορμες. απο κει και υστερα, ο καθενας κανει τις επιλογες του.

  • Απαντ. 47
  • Δημ.
  • Τελ. απάντηση

Συχνή συμμετοχή στο θέμα

Δημοσ.
3 λεπτά πριν, KilliK είπε

αυτο που ποσταρες αναφερεται σε θεμα privacy (web history) και οχι για το security (account creds) 

δεν το θεωρω σοβαρο προβλημα προσωπικα εγω, ουτως η αλλως ειμαι ηδη υπο παρακολουθηση απο κατι google,ms,facebook, κτλ 

για το ποιντ 3 που κανει, εχω να δω τετοια urls απο εποχης που κατεβαζα hacked urls για porno sites. προφανως αν καποιος δεν θελει να παρει το ρισκο, ψαχνει για κατι αλλο να κανει την δουλεια του. παντως το αρθρο ειναι πριν δυο χρονια, ισως το εχουν πατσαρει απο τοτε.

οπως και να εχει, η ουσια παραμενει οτι το lastpass εδω και δεκα χρονια δεν εχασε ποτε τα δεδομενα μας, ουτε ακουστηκε να εχει προσβαση σε αυτα. ειναι πολυ ευχρηστο, κανεις την δουλεια σου, και υποστηριζει ολες τις πλατφορμες. απο κει και υστερα, ο καθενας κανει τις επιλογες του.

... Ούτε εσύ μπήκες στο κόπο να διαβάσεις παραπέρα! Ότι να ναι ακούς δω μέσα! Ψάξε να διαβάσεις ποια έκδοση του rb χρησιμοποιήθηκε στο aws και τσέπωσε κωδικούς από το lastpass. Έχεις ιδέα το τι είναι το metasploid και πως μπορείς να το χρησιμοποιήσεις; Είδες στο git το fork του περασμένου Ιούνη (μπες στο σχετικό φόρουμ, αρκετά είπα); Είδες πως εκείνο το fork δουλεύει ακόμα μια χαρά και από τη φύση του το lastpass δεν μπορεί να το αποφύγει;

Εγώ το παράτησα το Lastpass το 2016 (Ιούλιος) όταν είχε ένα bug που επέτρεπε τη κλοπή κωδικών.

Αργότερα, το 2017 είχε κι άλλα:

https://thehackernews.com/2017/02/password-manager-apps.html
(διάβασε προσεκτικά, δεν μιλάμε για privacy θέματα).

Έχει κι άλλα...

Δημοσ.
8 ώρες πριν, Ghost.Dog είπε

Να ρωτήσω κάτι? Μιλάνε εδώ μέσα αρκετοί γνώστες. πιθανόν και έxperts. Η απορία μου είναι η εξής: Η μηχανή πως "ξέρει" (βλέπε... 'επιτυγχάνει') οι αριθμοί που παράγει, για οποιονδήποτε σκοπό, ό,τι είναι.."τυχαίοι"? Τι θα πει "τυχαίο" για τον υπολογιστή / επεξεργαστή.Εχω διδαχθει παλιά, αλγόριθμους και υπολογιστικά συστήματα στο Πανεπιστήμιο, αλλά προφανώς έχουν αλλάξει πολλά. Πάντα όμως είχα την απορία: Πως παράγονται "τυχαίοι" αριθμοί από μια μηχανή? Μήπως είναι αυτοί που λέγαμε παλιά... "ψευδοτυχαίοι"?   Την ίδια απορία έχω πάνω κάτω και με τη φιλοσοφία του blockchain ας πούμε. Η μηχανή (βλέπε επεξεργαστής + λογισμικό) δεν γνωρίζει ανά πάσα στιγμή, ποιο στοιχείο είναι στη δικαιοδοσία του ? Δηλ whats the input / whats the output.  Αν είναι έτσι, το encryption, ακόμα κι αν είναι 128b, εφαρμόζεται πάνω σε ένα αρχικά γνωστό στοιχείο (αριθμοσειρά), που ναι μεν, την εκανε generate η μηχανή, πλην όμως, έστω και για 1 nanosecond, αυτή η πληροφορία υπήρξε "κάπου". Στο cloud, στο δισκο μου, στο desktop μου, στους servers του encryption provider,.... κάπου.

Anyways. Αυτά τα ζητήματα έπαιζαν πριν 20 χρόνια, που διδάχθηκα εγώ - τώρα πιθανώς έχουν αλλάξει. 
Thanks, kai sorry αν τα έμπλεξα .. όλα μαζί. !!

Υπάρχει μεγάλη περίπτωση να κάνω λάθος όμως αυτό που έχω κατανοήσει είναι ότι αν θέλεις πραγματικά τυχαίο αριθμό πρέπει να συνδέσεις κάτι αναλογικό, για αυτό και σε τόσες σειρές δείχνουν ράφια με lava lamps ή ραδιενεργά υλικά σε containers συνδεδεμένα με το pc. Οι εντολές random στις διάφορες γλώσσες βρίσκουν το seed που θα παράξει τον ψευτοτυχαίο αριθμό από το ρολόϊ του υπολογιστή.

Δημοσ. (επεξεργασμένο)

1. Ξεκολλήστε λίγο με το ψέκασμα. Πιο πιθανό απ'αυτά που λέτε ότι "γίνονται", είναι να μπουκάρουν στο σπίτι σου κ να πάρουν το notebook. End-to-end κρυπτογράφηση πρακτικά σπάει μόνο με φυσική πρόσβαση σε κάποια άκρη.

2. Ρίξτε μια ματιά κ στο bitwarden. 😉

3. "Εχω password.xls και νιώθω ασφαλής στην τοποθεσία PC." 🙈🤪
 

Επεξ/σία από pigeon
προσθήκη url
  • Thanks 1
Δημοσ. (επεξεργασμένο)
17 λεπτά πριν, pigeon είπε

1. Ξεκολλήστε λίγο με το ψέκασμα. Πιο πιθανό απ'αυτά που λέτε ότι "γίνονται", είναι να μπουκάρουν στο σπίτι σου κ να πάρουν το notebook. End-to-end κρυπτογράφηση πρακτικά σπάει μόνο με φυσική πρόσβαση σε κάποια άκρη.

2. Ρίξτε μια ματιά κ στο bitwarden. 😉

Αν μιλάμε για οικιακό υπολογιστή και για dick pics σίγουρα δεν θα κάτσει κανένας να διαθέσει πόρους για να σε κλέψει, όμως αν μιλάμε για εταιρική κατασκοπία δεν είναι καθόλου απίθανο να προσπαθήσει κάποιος να πάρει τα passwords σου. Με το lastpass υπάρχουν παράθυρα που θεωρητικά μπορεί να εκμεταλευτεί, χωρίς να ξέρω στην πράξη αν κάποιος το έχει καταφέρει. Άλλα προγράμματα κλείνουν αυτά τα παράθυρα επειδή α. Δεν τρέχουν μέσα στο browser b. Έχουν προστασία από keylogger c. Χρησιμοποιούν κάποιο κλειδί που οι χρήστες το κουβαλάνε πάντα μαζί τους. d. Δεν χρειάζονται καμία δικτυακή επικοινωνία.

Μην ξεχνάμε ότι πριν από το 2018 στους διαγωνισμούς μέσα σε 5 λεπτά είχαν σπάσει τις προστασίες των browser, ότι το WPA κάποτε θεωρούταν εντελώς ασφαλές όπως και το SMB. Δεν μπορείς να ξέρεις τι θα γίνει αύριο με αυτά που θεωρείς εντελώς ασφαλή σήμερα. Με αυτή τη λόγικη όσο μειώνεις το attack surface τόσο καλύτερη ασφάλεια έχεις θεωρητικά.

Επεξ/σία από elpenor
Δημοσ.
1 λεπτό πριν, elpenor είπε

Αν μιλάμε για οικιακό υπολογιστή και για dick pics σίγουρα δεν θα κάτσει κανένας να διαθέσει πόρους για να σε κλέψει, όμως αν μιλάμε για εταιρική κατασκοπία δεν είναι καθόλου απίθανο να προσπαθήσει κάποιος να πάρει τα passwords σου. Με το lastpass υπάρχουν παράθυρα που θεωρητικά μπορεί να εκμεταλευτεί, χωρίς να ξέρω στην πράξη αν κάποιος το έχει καταφέρει. Άλλα προγράμματα κλείνουν αυτά τα παράθυρα επειδή α. Δεν τρέχουν μέσα στο browser b. Έχουν προστασία από keylogger c. Χρησιμοποιούν κάποιο κλειδί που οι χρήστες το κουβαλάνε πάντα μαζί τους. d. Δεν χρειάζονται καμία δικτυακή επικοινωνία.


Αν και το ανέλυσαν οι προηγούμενοι, δεν υπάρχουν παράθυρα γιατι η κρυπτογραφηση γίνεται στον client και απο 'κει και πέρα ο κωδικός δεν αποκαλύπτεται αν δεν το ζητήσει πάλι ο client με το κλειδί του. Κάποια απ' αυτά που περιγράφεις ως security breach, ναι υπάρχουν, αλλά αφορούν τον client που γίνεται η κρυπτο/αποκρυπτογράφηση. Λες για "εταιρική κατασκοπεία" και στην ίδια πρόταση γράφεις ...keylogger; Καλά να πάθουν.

Δημοσ.
18 λεπτά πριν, pigeon είπε


Αν και το ανέλυσαν οι προηγούμενοι, δεν υπάρχουν παράθυρα γιατι η κρυπτογραφηση γίνεται στον client και απο 'κει και πέρα ο κωδικός δεν αποκαλύπτεται αν δεν το ζητήσει πάλι ο client με το κλειδί του. Κάποια απ' αυτά που περιγράφεις ως security breach, ναι υπάρχουν, αλλά αφορούν τον client που γίνεται η κρυπτο/αποκρυπτογράφηση. Λες για "εταιρική κατασκοπεία" και στην ίδια πρόταση γράφεις ...keylogger; Καλά να πάθουν.

Δεν είναι τόσο δύσκολο κάποιος υπάλληλος να καταφέρει να βάλει ένα keylogger στο pc σου, θα μπορούσες και εσύ να το πάθεις, υπάρχει αγορά στο dark web για τέτοιους ιούς που ακόμα δεν γίνονται detect από τα γνωστά αντιβιοτικά (εκτός αν είναι όλα ψέμματα για να φάνε τα λεφτά του κόσμου).

Η κρυπτογράφηση γίνεται στον browser τον οποίο εγώ δεν τον θεωρώ ασφαλή (μόνο 500 μέρες έχουν περάσει από τότε που είδαμε σε διαγωνισμούς να τους ισοπεδώνουν).

Οι περισσότεροι χρήστες (και εγώ ένας από αυτούς) έχουμε πολύ μικρή πιθανότητα να την πατήσουμε από την χρήση του lastpass και πολύ λίγα να χάσουμε, όμως είναι λογικό να έχουμε αντιρρήσεις όταν γράφουν κάποιοι ότι είναι ΑΔΥΝΑΤΟ να παραβιαστεί το lastpass. Πολύ δύσκολο σίγουρα, παραμένει όμως λιγότερο δύσκολο από άλλα προγράμματα.

Δημοσ. (επεξεργασμένο)
14 λεπτά πριν, elpenor είπε

Δεν είναι τόσο δύσκολο κάποιος υπάλληλος να καταφέρει να βάλει ένα keylogger στο pc σου, θα μπορούσες και εσύ να το πάθεις, υπάρχει αγορά στο dark web για τέτοιους ιούς που ακόμα δεν γίνονται detect από τα γνωστά αντιβιοτικά (εκτός αν είναι όλα ψέμματα για να φάνε τα λεφτά του κόσμου).

Η κρυπτογράφηση γίνεται στον browser τον οποίο εγώ δεν τον θεωρώ ασφαλή (μόνο 500 μέρες έχουν περάσει από τότε που είδαμε σε διαγωνισμούς να τους ισοπεδώνουν).

Οι περισσότεροι χρήστες (και εγώ ένας από αυτούς) έχουμε πολύ μικρή πιθανότητα να την πατήσουμε από την χρήση του lastpass και πολύ λίγα να χάσουμε, όμως είναι λογικό να έχουμε αντιρρήσεις όταν γράφουν κάποιοι ότι είναι ΑΔΥΝΑΤΟ να παραβιαστεί το lastpass. Πολύ δύσκολο σίγουρα, παραμένει όμως λιγότερο δύσκολο από άλλα προγράμματα.

Εγώ δεν είπα ότι είναι αδύνατον να παραβιαστεί το lastpass. Είπα είναι αδύνατον να αποκρυπτογραφηθούν τα passwords χωρίς το master password. Τώρα αν ο υπολογιστής σου έχει γίνει compromise και έχει μπει μέσα keylogger, remote access κτλ τότε δεν φταίει το lastpass.

18 ώρες πριν, elpenor είπε

Όντως πολύ καλό όμως άσχετο με τα κλεμμένα διαπιστευτήρια, οι περισσότερες παραβιάσεις έχουν γίνει στους server των εταιρειών την εποχή που οι εταιρείες αποθήκευαν το ίδιο το password και όχι ένα hash του, δεν υπήρχε κάτι που μπορούσε να κάνει ο χρήστης για να το αποφύγει αυτό. Πέρα από αυτό οι εποχές που κάποιος μπορούσε να κάνει brute force και να σπάσει τα αδύναμα password έχουν περάσει αφού οι εταιρείες πλέον αν δεν έχουν κάνει fingerprint το pc σου και τον ISP σου όχι μόνο δεν σε αφήνουν να δοκιμάσεις 10.000.000 password αλλά και το σωστό να βάλεις με την πρώτη πάλι θέλουν να το επαληθεύσουν με το κινητό σου κλπ.

Η όλη λογική του lastpass είναι το αντίθετο της ασφάλειας αφού τρέχει σε js μέσα στον browser, αν κάποιο άλλο addon καταφέρει να βρει κενό στο sandboxing που κάνουν οι browser μπορεί να κλέψει τα data. Επίσης τελευταία φορά που το δοκίμασα έκανε recover password χωρίς να σου στείλει email. Θεωρώ το keypass καλύτερη εναλλακτική.

Νομίζω με κάθε επιφύλαξη ότι το κάθε σου password γίνεται hash μία φορά με salt το master password.

Αν ένας keylogger σου κλέψει το master password με την χρήση του https://github.com/rapid7/metasploit-framework/blob/master/modules/post/multi/gather/lastpass_creds.rb μπορεί να κλέψει την database του lastpass και να την κάνει decrypt, κάτι που δεν μπορεί να συμβεί με το keypass.

To keypass δημιουργεί καλούς κωδικούς και κάνει autocomplete με ένα shortcut.

Το κάθε password γίνεται hash 1000δες φορές γιατί υπάρχει περίπτωση να κλαπεί το salt. Αν έχει γίνει hash μόνο μία φορά, τότε μπορεί πολύ εύκολα να κάνει dictionary attack χασάροντας κάθε φορά μία λέξη μαζί με το salt. Όμως αν για να δοκιμάσει κάθε λέξη πρέπει να την χασάρει 100.000 φορές τότε είναι μη πρακτικό το dictionary attack. Το καλό βέβαια είναι να βάζουμε τυχαίους χαρακτήρες γιατί άλλα site μπορεί να κάνουν hash μόνο μία φορά, και έτσι δεν είμαστε επιρρεπής σε dictionary attack.

Επίσης ζήτησα τι διαδικασία ακολουθεί κάθε φορά, για να δω αν χρησιμοποιεί τυχαίους κωδικούς ή βάζει παντού κάποιο που θυμάται. Ξέρω πως να παράγεις τυχαίους κωδικούς. Αλλά αν δεν έχει κάποιο πρόγραμμα να σου κάνει auto retrieve/autocomplete τότε είναι μη πρακτικό.

Επίσης το lastpass κάνει hashing και στον client και στον server. x2 δηλαδή.

Επεξ/σία από Retromaniac
  • Like 1
Δημοσ.
6 λεπτά πριν, Retromaniac είπε

Εγώ δεν είπα ότι είναι αδύνατον να παραβιαστεί το lastpass. Είπα είναι αδύνατον να αποκρυπτογραφηθούν τα passwords χωρίς το master password. Τώρα αν ο υπολογιστής σου έχει γίνει compromise και έχει μπει μέσα keylogger, remote access κτλ τότε δεν φταίει το lastpass.

Έχεις απόλυτο δίκιο ότι με αυτά που γνωρίζουμε σήμερα είναι αδύνατο να αποκρυπτογραφηθούν τα passwords χωρίς το master pass. Όμως από την στιγμή που υπάρχουν άλλα προγράμματα που ακόμα και με keylogger ή άλλες μεθόδους τα password σου παραμένουν ασφαλή δεν βρίσκω κάποιο λόγο να μην τα επιλέξω. Βέβαια σκέφτομαι έτσι γιατί έχω τους κωδικούς μου μόνο σε ένα pc, αν τους ήθελα sync στο κινητό/σπίτι/εξοχικό/laptop/desktop θα χρησιμοποιούσα το lastpass (όπως και το έχω χρησιμοποιήσει στο παρελθόν).

Δημοσ. (επεξεργασμένο)
9 ώρες πριν, Ghost.Dog είπε

Να ρωτήσω κάτι? Μιλάνε εδώ μέσα αρκετοί γνώστες. πιθανόν και έxperts. Η απορία μου είναι η εξής: Η μηχανή πως "ξέρει" (βλέπε... 'επιτυγχάνει') οι αριθμοί που παράγει, για οποιονδήποτε σκοπό, ό,τι είναι.."τυχαίοι"? Τι θα πει "τυχαίο" για τον υπολογιστή / επεξεργαστή.Εχω διδαχθει παλιά, αλγόριθμους και υπολογιστικά συστήματα στο Πανεπιστήμιο, αλλά προφανώς έχουν αλλάξει πολλά. Πάντα όμως είχα την απορία: Πως παράγονται "τυχαίοι" αριθμοί από μια μηχανή? Μήπως είναι αυτοί που λέγαμε παλιά... "ψευδοτυχαίοι"?   Την ίδια απορία έχω πάνω κάτω και με τη φιλοσοφία του blockchain ας πούμε. Η μηχανή (βλέπε επεξεργαστής + λογισμικό) δεν γνωρίζει ανά πάσα στιγμή, ποιο στοιχείο είναι στη δικαιοδοσία του ? Δηλ whats the input / whats the output.  Αν είναι έτσι, το encryption, ακόμα κι αν είναι 128b, εφαρμόζεται πάνω σε ένα αρχικά γνωστό στοιχείο (αριθμοσειρά), που ναι μεν, την εκανε generate η μηχανή, πλην όμως, έστω και για 1 nanosecond, αυτή η πληροφορία υπήρξε "κάπου". Στο cloud, στο δισκο μου, στο desktop μου, στους servers του encryption provider,.... κάπου.

Anyways. Αυτά τα ζητήματα έπαιζαν πριν 20 χρόνια, που διδάχθηκα εγώ - τώρα πιθανώς έχουν αλλάξει. 
Thanks, kai sorry αν τα έμπλεξα .. όλα μαζί. !!

Υπάρχουν κυκλώματα που παράγουν τυχαίους αριθμούς. Αλλά αυτό δεν μας ενδιαφέρει στην παραγωγή ενός password. Μας νοιάζει απλά να μην είναι κάποια λέξη και είναι εύκολο να το μαντέψει κανείς. Από εκεί και πέρα, είναι πολύ δύσκολο να κάνεις brute forcing με βάση την γεννήτρια τυχαίων αριθμών του lastpass γιατί το seed είναι τεράστιο, καθώς και το μέγεθος του password είναι άγνωστο, καθώς και οι επιλογές για την δημιουργία του. Δηλαδή μιλάμε για μη εφικτή λύση να δοκιμάζεις ένα ένα τα seeds και να περιμένεις να πετύχεις password. Το οποίο θα πρέπει να το κάνεις και για κάθε μέγεθος password και κάθε δυνατή επιλογή.

8 λεπτά πριν, elpenor είπε

Έχεις απόλυτο δίκιο ότι με αυτά που γνωρίζουμε σήμερα είναι αδύνατο να αποκρυπτογραφηθούν τα passwords χωρίς το master pass. Όμως από την στιγμή που υπάρχουν άλλα προγράμματα που ακόμα και με keylogger ή άλλες μεθόδους τα password σου παραμένουν ασφαλή δεν βρίσκω κάποιο λόγο να μην τα επιλέξω. Βέβαια σκέφτομαι έτσι γιατί έχω τους κωδικούς μου μόνο σε ένα pc, αν τους ήθελα sync στο κινητό/σπίτι/εξοχικό/laptop/desktop θα χρησιμοποιούσα το lastpass (όπως και το έχω χρησιμοποιήσει στο παρελθόν).

Αν θες την απόλυτη ασφάλεια είσαι Offline. Δεν υπάρχει άλλη λύση. Στο πεντάγωνο οι υπολογιστές που θέλουν ασφάλεια είναι Offline. Από εκεί και πέρα πρέπει να λειτουργούμε στα όρια του λογικού αλλιώς γινόμαστε οι "υποχόνδριοι" του internet και της τεχνολογίας. Αν κάποιος έχει κάτι τόσο σημαντικό, το βγάζει offline. Δεν κρατάς το password για λογαριασμό με 100.000.000 ευρώ στο cloud, ούτε στον pc που βλέπει Internet :P :)

 

Επεξ/σία από Retromaniac
  • Like 1
Δημοσ.
1 λεπτό πριν, elpenor είπε

Έχεις απόλυτο δίκιο ότι με αυτά που γνωρίζουμε σήμερα είναι αδύνατο να αποκρυπτογραφηθούν τα passwords χωρίς το master pass.

Μα δεν πρόκειται για καμιά μυστική, μαγική μέθοδο, είναι απλώς ανέφικτο να αποκρυπτογραφηθεί λόγω του θεωρητικά άπειρου χρόνου που απαιτείται. Το εξήγησε απλά ο Retromaniac, στο δίκτυο υπάρχουν άπειρα άρθρα και παραδείγματα με τους πόρους που απαιτούνται.

Σε κάθε περίπτωση, είτε χρησιμοποιείς "εξελάκι" είτε keepass είτε χαρτάκια post-it (user: υπουργός pass:12345), δεν γλιτώνεις απ'αυτά που ανέφερες ως ενδεχόμενα: keylogger, "dark web virus", CIA, james bond 😛 κτλ.

  • Like 2
Δημοσ.
1 λεπτό πριν, pigeon είπε

Μα δεν πρόκειται για καμιά μυστική, μαγική μέθοδο, είναι απλώς ανέφικτο να αποκρυπτογραφηθεί λόγω του θεωρητικά άπειρου χρόνου που απαιτείται. Το εξήγησε απλά ο Retromaniac, στο δίκτυο υπάρχουν άπειρα άρθρα και παραδείγματα με τους πόρους που απαιτούνται.

Σε κάθε περίπτωση, είτε χρησιμοποιείς "εξελάκι" είτε keepass είτε χαρτάκια post-it (user: υπουργός pass:12345), δεν γλιτώνεις απ'αυτά που ανέφερες ως ενδεχόμενα: keylogger, "dark web virus", CIA, james bond 😛 κτλ.

Για την κουβέντα και μόνο θα αναφέρω ξανά μερικές διαφορές.

Τo keypass δημιουργεί ένα secure desktop την στιγμή που εισάγεις το master password οπότε οι keylogger δεν μπορούν να το κλέψουν, θα μπορέσουν μόνο να κλέψουν ένα password την στιγμή που θα γίνεται autocomplete στο website και όχι όλα σου τα password ακόμα και αν έχουν κάνει clone τον δίσκο σου. Επίσης ακόμα και αν κάποιος κλέψει το master password υπάρχει και ένα key που μπορείς να το έχεις στο μπρελόκ σου ή στο cloud. Επίσης το keypass είναι open source αυτόνομο πρόγραμμα οπότε είναι ποιο εύκολο να βάλεις την ομάδα σου να περάσει τον κώδικα από όλα τα test και να σιγουρευτείς ότι δεν έχει κενά ασφαλείας. Το lastpass τρέχει μέσα στον browser οπότε κάποιο κενό ασφαλείας του browser το κάνει και αυτό ευάλωτο και είναι αδύνατο να επιθεωρήσεις τον κώδικα.

Όσο για την μέθοδο ο θεωρητικά άπειρος χρόνος που αναφέρεις είναι μεγάλο πρόβλημα όμως μόλις έχουμε κβαντικούς και μία νέα μορφή ενέργειας ο χρόνος αυτός θα μειωθεί πολύ, ένας άλλος λόγος που δεν μπορούμε με αυτά που ξέρουμε σήμερα να σπάσουμε την κρυπτογράφηση είναι ότι πολλές λέξεις παράγουν το ίδιο hash (collision). Πάντα θεωρητικά και για την κουβέντα και μόνο....

Δημοσ. (επεξεργασμένο)
41 λεπτά πριν, elpenor είπε

Για την κουβέντα και μόνο θα αναφέρω ξανά μερικές διαφορές. Τo keypass ...

Ετσί όπως περιγράφεις δουλεύει το keepass, το lastpass και το (open source) bitwarden που πρότεινα πριν κι άλλα τόσα. Όπως καταλήξαμε, ο κίνδυνος δεν είναι ούτε στην κρυπτογράφηση, ούτε στη βάση με τα κρυπτογραφημένα passwords γιατί η κλοπή κ μεταφορά τους σε άλλους υπολογιστές είναι πρακτικά ανώφελη χωρίς το master key. Ο κίνδυνος -αν υπάρχει- είναι στον client, στον browser ή στην εφαρμογή διαχείρισης.

Συμφωνούμε σ'αυτό, ο κίνδυνος βρίσκεται εκεί που ήταν πάντα, δηλαδή στη δική μας άκρη.  Η μοναδική, απόλυτα ασφαλής λύση για τους κωδικούς μας είναι η απομνημόνευση. Ολα τα υπόλοιπα έχουν θεωρητικές "τρύπες".😉

Επεξ/σία από pigeon
Δημοσ. (επεξεργασμένο)
4 ώρες πριν, pigeon είπε

Ετσί όπως περιγράφεις δουλεύει το keepass, το lastpass και το (open source) bitwarden που πρότεινα πριν κι άλλα τόσα. Όπως καταλήξαμε, ο κίνδυνος δεν είναι ούτε στην κρυπτογράφηση, ούτε στη βάση με τα κρυπτογραφημένα passwords γιατί η κλοπή κ μεταφορά τους σε άλλους υπολογιστές είναι πρακτικά ανώφελη χωρίς το master key. Ο κίνδυνος -αν υπάρχει- είναι στον client, στον browser ή στην εφαρμογή διαχείρισης.

Συμφωνούμε σ'αυτό, ο κίνδυνος βρίσκεται εκεί που ήταν πάντα, δηλαδή στη δική μας άκρη.  Η μοναδική, απόλυτα ασφαλής λύση για τους κωδικούς μας είναι η απομνημόνευση. Ολα τα υπόλοιπα έχουν θεωρητικές "τρύπες".😉

Χαχα όχι δεν λέω σε καμία περίπτωση ότι δουλεύουν με τον ίδιο τρόπο, μάλλον δεν έχω την δυνατότητα να το εξηγήσω καλά. Ίσως αν πατήσεις αυτό το link και μετά αυτό να γίνει ποιο κατανοητό αυτό που λέω, δηλαδή ότι το lastpass είναι πολύ ασφαλές αρκετά ασφαλές για ένα ιδιώτη αλλά το keepass περισσότερο, σύγκρινε αν θέλεις την δυσκολία να κλέψεις τα password στην κάθε περίπτωση. Kαι τα δύο είχαν και πιθανότατα έχουν bugs σε κάθε πιθανό attack vector όμως το keepass επειδή έχει πολύ μικρό attack surface ο μόνος attack vector (για το κύριο πρόγραμμα όχι για τα addons του) είναι το dll injection ενώ το lastpass έχει τόσους πολλούς.

Όσο το σκέφτομαι βρίσκω και άλλα προβλήματα με το lastpass, μην ξεχνάς ότι στην βάση του δεν έχει αποθηκευμένο μόνο ένα hash για το κάθε password σου αλλά πολλά, ένα για το recover μέσω sms, ένα για κάθε ένα από τα one time passwords, πράγμα που θεωρητικά μπορεί να κάνει την αποκρυπτογράφηση ποιο έυκολη αν κάποιος γνωρίζει ήδη έναν από τους κωδικούς σου.

Το συμπέρασμα μου είναι ότι αν γίνει ένας διαγωνισμός για τον ποιο ασφαλή password manager δεν θα τον κερδίσει το lastpass. Αυτό δεν σημαίνει ότι η ασφάλεια του δεν είναι αρκετή για τις dick pics και τα 10000 που έχουμε στο ebanking.

 

Επεξ/σία από elpenor
Δημοσ. (επεξεργασμένο)
2 ώρες πριν, elpenor είπε

Το συμπέρασμα μου είναι ότι αν γίνει ένας διαγωνισμός για τον ποιο ασφαλή password manager δεν θα τον κερδίσει το lastpass. Αυτό δεν σημαίνει ότι η ασφάλεια του δεν είναι αρκετή για τις dick pics και τα 10000 που έχουμε στο ebanking.

Ισως παρεξήγησες, κι εγώ keepass χρησιμοποιώ, χωρίς autofill και με αυτόματο κλείδωμα. Τελευταία δοκιμάζω το bitwarden με την ίδια λογική πάντα, όχι με autofill και γενικά δεν εμπιστεύομαι τα browser extensions.

Νομίζω όμως το θέμα της συζήτησης ήταν η ασφάλεια (ή όχι) του κρυπτογραφημένου κωδικού κ όχι του client που τον διαχειρίζεται. Γι'αυτό είπα, με την ίδια λογική δουλεύουν όλα, αλλιώς πάμε σε εντελώς offline καταστάσεις. Τώρα αν κάποιος γνωρίζει τον κωδικό μου ή μπορεί να δει το notebook μου τι να σου πω, ίσως είναι ευκολότερο να μπεί σπίτι μου. 🤷‍♂️

Επεξ/σία από pigeon
  • Like 2

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα

  • Δημιουργία νέου...