Προς το περιεχόμενο

Προτεινόμενες αναρτήσεις

Δημοσ. (επεξεργασμένο)
3 ώρες πριν, Kercyn είπε

Αυτά που λες είναι αντίστοιχα του "Δε χρησιμοποιώ ζώνη στο αυτοκίνητο γιατί αν τρακάρω, θα κρατήσω κόντρα στο τιμόνι με όλη μου τη δύναμη οπότε δε θα πάθω κάτι". Ναι οκ δικαίωμά σου να κάνεις ό,τι θέλεις με τους λογαριασμούς σου και τους κωδικούς σου, αλλά τουλάχιστον μη λες ότι είσαι προστατευμένος και ο τρόπος που έχεις εφεύρει είναι ασφαλής γιατί θα πάρεις κανέναν άνθρωπο στο λαιμό σου. Θα παραθέσω άλλη μια φορά κάποια πράγματα που ενδεχομένως να σου φανούν ενδιαφέροντα ή/και χρήσιμα για να καταλάβεις γιατί η τεχνική σου δε σε προστατεύει:

  • Public key encryption
  • Zero-knowledge proof
  • Social engineering

Μπορείς, προφανώς, να τα αγνοήσεις, όπως έκανες και την πρώτη φορά. Ο λόγος που οι password managers είναι ασφαλείς είναι γιατί μπορείς να αποδείξεις ότι οι τεχνικές που χρησιμοποιούνται είναι ασφαλείς. Η δική σου προσέγγιση είναι ότι αισθάνεσαι, πιστεύεις και θεωρείς ότι είναι ασφαλείς, χωρίς καν να έχεις σχέση με το χώρο, ενισχύοντας παράλληλα το confirmation bias σου με ένα βίντεο του Snowden που δε μιλάει καν για αυτά που λέμε εδώ!

Όχι, η πρώτη φράση σου δεν έχει καμία σχέση με το θέμα. Άσχετη φράση σε άσχετο θέμα. Μοιάζει με τα παραδείγματα του Μανώλη παραπάνω...

Σε αντίθεση με εσένα, δεν παρουσιάζω "την μεγάλη αλήθεια". Αυτό είναι και το πρώτο λάθος που γίνεται από τους χρήστες κάθε forum και ξεκινούν καυγάδες.

Εγώ έγραψα τί δουλεύει για εμένα. Έχω σχετικά λίγους λογαριασμούς και κυριολεκτικά 3 που με νοιάζουν πραγματικά. Το να θυμάμαι κωδικούς μου είναι εξαιρετικά εύκολο. Ποτέ δεν το παρουσίασα σαν "μεγάλη αλήθεια", αλλά περισσότερο σαν μια εναλλακτική επιλογή.

Το άρθρο, να θυμίσω ότι μιλάει για ένα γνωστό password manager, του οποίου οι "αποδεδειγμένα ασφαλείς τεχνικές του" παραβιάστηκαν κατ' επανάληψη. Ήρθες, λοιπόν, εσύ και μερικοί άλλοι να κουνήσουν το δάχτυλο περί ασφάλειας των password managers σε αυτό το άρθρο... Οκ...

Οι password manager δεν είναι ανίκητοι στο phising που αφορά ΤΟΥΣ ΚΩΔΙΚΟΥΣ ΤΟΥ ΙΔΙΟΥ ΤΟΥ PASS MANAGER. Επιπλέον, οι πολλοί χρήστες πιθανόν να αποθηκεύσουν τους κωδικούς του password manager στον browser... Αυτό είναι και το μεγαλύτερο κενο ασφαλείας τους... Πέρα από την περίπτωση του άρθρου. Η ασφάλεια είναι σχετική και οι password managers δεν είναι πανάκεια. Το μεγαλύτερο κενό ασφαλείας είναι να νοιώθεις ότι είσαι ασφαλής. Με τον τρόπο που παρουσιάζεις τους password managers φροντισε να μην πάρεις εσύ κάποιους στο λαιμό σου... Μία βάση δεδομένων με όλους τους κωδικούς του χρήστη είναι στατιστικά πιο ελκυστικός στόχος από έναν κωδικό ενός site...

Αν κάποιος αποκτήσει πρόσβαση στον password manager (πχ στον Bitwarden που πρότεινες), αποκτά πρόσβαση σε κάθε κωδικό σου... Γνωρίζει κάθε site που έχεις λογαριασμό, κάθε username και κάθε password... Good luck with that...

Ίσως να χρησιμοποιούσα password managers που δεν αποθηκεύουν δεδομένα σε servers πχ KeePassXC.

Επεξ/σία από Tlykog
  • Απαντ. 138
  • Δημ.
  • Τελ. απάντηση

Συχνή συμμετοχή στο θέμα

Δημοσ.
13 ώρες πριν, Tlykog είπε

Δε ρώτησα που το γράφεις ΕΣΥ. Ρώτησα που το γράφει το SITE. Δηλαδή αν μπω εδώ:

https://www.passwordmonster.com/

που το γράφει; Αυτό ρώτησα.

Άνοιξε την javascript του site είναι όλα εκεί μέσα!
Απ' την άλλη δεν χρειάζεται να γνωρίζεις javascript για να καταλάβεις ότι αν μπορούσε να προσομοιώσει λεξιλόγιο το αποτέλεσμα δεν θα επέστρεφε τόσο γρήγορα.

 

13 ώρες πριν, Tlykog είπε

λέξεις σε μία γλώσσα είναι απίστευτα πολλές και αν βάλεις τις παραλλαγές, τους συνδυασμούς κτλ οι συνολικοί συνδυασμοί είναι απίστευτα πολλοί και ο κωδικός, πρακτικά, άσπαστος

Κάτι που δεν ανέφερα νομίζω είναι και οι σηνήθεις λέξεις που κάνουν την πολυπλοκότητα του αλγορίθμου, πολύ πιο μικρή. Το 100% για παράδειγμα που έχεις βάλει σχεδόν σε όλα είναι ένα παράδειγμα.

13 ώρες πριν, Tlykog είπε

Δεν έγραψα ΠΟΤΕ ότι πρέπει να χρησιμοποιηθεί λέξη χωρίς αριθμούς και ειδικά σύμβολα. Στο έγραψα και άλλες φορές, αλλά επιμένεις. Φέρε μου μια παραπομπή που γράφω ότι πρέπει να χρησιμοποιηθεί μία λέξη χωρίς σύμβολα. Αυτό που έβαλες σαν παραπομπή (και το ξαναέβαλες...) είναι ξεκάθαρα αναληθές.

image.png.b2b378ee7aa62e573fc59ccb48749322.pngΑξίζει περαιτέρω να αναφερθεί ότι με το μάτι μπορεί να δει κανείς αρκετά μοτίβα στους κωδικούς σου, φαντάσου τι μπορεί να κάνει ένας καλός αλγόριθμος με αυτή την πληροφορία!

7 ώρες πριν, Tlykog είπε

Το άρθρο, να θυμίσω ότι μιλάει για ένα γνωστό password manager, του οποίου οι "αποδεδειγμένα ασφαλείς τεχνικές του" παραβιάστηκαν κατ' επανάληψη. Ήρθες, λοιπόν, εσύ και μερικοί άλλοι να κουνήσουν το δάχτυλο περί ασφάλειας των password managers σε αυτό το άρθρο... Οκ...

Αν έκανες τον κόπο να διαβάσεις το άρθρο θα έβλεπες ότι τα password των χρηστών δεν κινδυνεύουν. Αν ήξερες 5 πράγματα από Ασφάλεια Πληροφοριακών Συστημάτων και δεν τα μάθαινες με τον Κωστόπουλο, θα ήξερες και γιατί.

Δημοσ. (επεξεργασμένο)
1 ώρα πριν, manolis940 είπε

Άνοιξε την javascript του site είναι όλα εκεί μέσα!
Απ' την άλλη δεν χρειάζεται να γνωρίζεις javascript για να καταλάβεις ότι αν μπορούσε να προσομοιώσει λεξιλόγιο το αποτέλεσμα δεν θα επέστρεφε τόσο γρήγορα.

Δείξε μου screenshot από τη javascript που το γράφει.

Ενώ με brute force, γράφει ότι το σπάει σε 2 δις χρόνια, αλλά σου επιστρέφει αποτέλεσμα σε 1 sec...

Δεν εξομοιώνει κάτι. Υπολογίζει πόσο χρόνο θα χρειαστεί να σπάσει, βάσει του μεγέθους, της πολυπλοκότητας κτλ.

1 ώρα πριν, manolis940 είπε

Κάτι που δεν ανέφερα νομίζω είναι και οι σηνήθεις λέξεις που κάνουν την πολυπλοκότητα του αλγορίθμου, πολύ πιο μικρή. Το 100% για παράδειγμα που έχεις βάλει σχεδόν σε όλα είναι ένα παράδειγμα..

 Το 100% είναι ένα τυχαίο παράδειγμα. Εσύ βάλε 909#* αν θέλεις. 

Το 100%, συγκεκριμένα, την κάνει ακόμα πιο μεγάλη. Στο Donaldduckishappywith, το passwordmonster.com, βγάζει 47 ώρες. Στο Donaldduckishappywith100% βγάζει 509 χρόνια... Αυτό που γράφεις είναι λάθος.

1 ώρα πριν, manolis940 είπε

image.png.b2b378ee7aa62e573fc59ccb48749322.png

Το κομμάτι που γράφει:

"Πχ passphrase και στο τέλος το όνομα του site και ένα συγκεκριμένο συνδυασμο αριθμών και συμβόλου, όπως:

PrinceCharleslovesinsomnia.gr100%

PrinceCharleslovesgmail.com100%"

Γιατί το παρακάμπτεις συνέχεια; Αυτό δεν καταλαβαίνω αν το κάνεις επίτηδες ή απλά δεν κατάλαβες τί έγραψα... Δεν γράφω πουθενά ότι πρέπει να βάζεις μόνο το pass phrase.

1 ώρα πριν, manolis940 είπε

Αξίζει περαιτέρω να αναφερθεί ότι με το μάτι μπορεί να δει κανείς αρκετά μοτίβα στους κωδικούς σου, φαντάσου τι μπορεί να κάνει ένας καλός αλγόριθμος με αυτή την πληροφορία!

Αξίζει να αναφερθεί ότι τα μοτίβα που αναφέρω είναι απλά επίτηδες για να γίνουν κατανοητά τα παραδείγματα. Μπορείς να φτιάξεις κάποια λιγότερο προφανή. Επιπλέον, σε ένα site, ο hacker, θα πρέπει να ξέρει ΚΑΙ το username. Οπότε, απλά δεν ισχύει αυτό που γράφεις από κάθε πλευρά.

1 ώρα πριν, manolis940 είπε

Αν έκανες τον κόπο να διαβάσεις το άρθρο θα έβλεπες ότι τα password των χρηστών δεν κινδυνεύουν. Αν ήξερες 5 πράγματα από Ασφάλεια Πληροφοριακών Συστημάτων και δεν τα μάθαινες με τον Κωστόπουλο, θα ήξερες και γιατί.

 Μάλλον εσύ θα πρέπει να ξαναδιαβάσεις το άρθρο:

Στις 1/12/2022 στις 9:49 ΜΜ, nchatz είπε

Ο Toubba δεν ανέφερε ποιες πληροφορίες πελατών έγιναν διαθέσιμες κατά την επίθεση, όμως δήλωσε ότι η εταιρεία εργάζεται για να "κατανοήσει το εύρος της επίθεσης και να προσδιορίσει ποιες συγκεκριμένες πληροφορίες έχουν προσπελαστεί".

Στις 1/12/2022 στις 9:49 ΜΜ, nchatz είπε

Η GoTo -πρώην LogMeIn- η οποία εξαγόρασε την LastPass το 2015, ανέφερε σε μια παρόμοια ασαφή δήλωση ότι διερευνά το περιστατικό. Πάντως μέχρι στιγμής δεν είναι ακόμη σαφές αν οι πελάτες τόσο της LogMeIn όσο και της GoTo επηρεάζονται από την παραβίαση.

Το ότι ο διευθύνων σύμβουλος ανέφερε σε blog ότι όλα είναι εντάξει, δε σημαίνει ότι είναι κιόλας... Η επίσημη θέση της εταιρείας είναι ότι το ερευνά.

Εδώ μιλάμε για κωδικούς που δεν σπάνε, άρα η μόνη μέθοδος είναι το phising. Σε αυτή τη μέθοδο μπορεί κάποιος να αποκτήσεις τους κωδικούς login του password manager και με μία κίνηση να έχει πρόσβαση σε κάθε κωδικό και κάθε username, σε καθε site που έχεις... Καλή τύχη με αυτό...

Στη δική μου περίπτωση θα αποκτήσει πρόσβαση μόνο σε ελάχιστα sites, όπου το username είναι πχ το email ή κάτι προφανές. 

Εδώ να τονίσω και πάλι ότι δεν απάντησες σε πολλά ερωτήματα που σου έχω θέσει. Εγώ απάντησα σε όλα τα δικά σου, ένα προς ένα, όπως πάντα. Αυτό λέγεται μονομερής διάλογος, δηλαδή εγώ κάνω διάλογο και εσύ μονόλογο. Δεν απαντάς στα ουσιαστικα και απλά γράφεις τα δικά σου ξανά και ξανα...

Επεξ/σία από Tlykog
Δημοσ.
5 ώρες πριν, Tlykog είπε

Δεν γράφω πουθενά ότι πρέπει να βάζεις μόνο το pass phrase.

passphrase είναι και αυτό "SnowMeltHighTemp" και αυτό "SnowMeltHighTemp100%" δεν είναι μόνο το πρώτο.

5 ώρες πριν, Tlykog είπε

Δείξε μου screenshot από τη javascript που το γράφει.

Εδώ γέλασα... Δεν άντεξα !!!!

5 ώρες πριν, Tlykog είπε

Αξίζει να αναφερθεί ότι τα μοτίβα που αναφέρω είναι απλά επίτηδες για να γίνουν κατανοητά τα παραδείγματα. Μπορείς να φτιάξεις κάποια λιγότερο προφανή

 

Ναι αλλά πάντα θα υπάρχουν μοτίβα. Χρειάζεται μόνο 3 με 4 να γίνουν leak από site που κρατάνε τα passwords σε plain text και τα 509 χρόνια θα γίνουν δεπτερόλεπτα.

5 ώρες πριν, Tlykog είπε

Το ότι ο διευθύνων σύμβουλος ανέφερε σε blog ότι όλα είναι εντάξει, δε σημαίνει ότι είναι κιόλας... Η επίσημη θέση της εταιρείας είναι ότι το ερευνά.

Το σίγουρο είναι ότι αν τα αρχεία που έφυγαν απ' τους Servers της εταιρείας δεν ήταν ασφαλή, μετά από τόσες μέρες θα βλέπαμε hackariσμα λογαριασμών σε όλο το internet. Οπότε μάλλον είναι. Απ΄την άλλη μπορώ να σου εγγυηθώ για τους γνωστούς opensource ότι είναι και με το παραπάνω. Θες μήπως και δω να σου δείξω που το γράφει στην C++, στην PHP, στην SQL και στην Python ? 

6 ώρες πριν, Tlykog είπε

Εδώ μιλάμε για κωδικούς που δεν σπάνε, άρα η μόνη μέθοδος είναι το phising. Σε αυτή τη μέθοδο μπορεί κάποιος να αποκτήσεις τους κωδικούς login του password manager και με μία κίνηση να έχει πρόσβαση σε κάθε κωδικό και κάθε username, σε καθε site που έχεις... Καλή τύχη με αυτό...

To 2FA πήγε περίπατο ;

 

6 ώρες πριν, Tlykog είπε

Εδώ να τονίσω και πάλι ότι δεν απάντησες σε πολλά ερωτήματα που σου έχω θέσει. Εγώ απάντησα σε όλα τα δικά σου, ένα προς ένα, όπως πάντα. Αυτό λέγεται μονομερής διάλογος, δηλαδή εγώ κάνω διάλογο και εσύ μονόλογο. Δεν απαντάς στα ουσιαστικα και απλά γράφεις τα δικά σου ξανά και ξανα...

Δεν έχω τον χρόνο σου. Παρόλο που τα διαβάζω όλα, για πράγματα που ήδη έχω απαντήσει δεν κάθομαι να τα επαναλάβω.

  • Moderators
Δημοσ.

Εγώ αποχωρώ. Κανείς δεν ξέρει τα πάντα, αλλά το να ακυρώνεις έναν ολόκληρο κλάδο (για τον οποίο δεν ξέρεις τίποτα) επειδή θεωρείς ότι έχεις βρει τη μαγική συνταγή είναι λίγο... κάπως. Η μεθοδολογία σου σε βολεύει και μπράβο σου, δεν είναι όμως ασφαλής by any stretch of the imagination όπως λεν και στο χωριό μου.

  • Like 1
Δημοσ. (επεξεργασμένο)
3 ώρες πριν, manolis940 είπε

passphrase είναι και αυτό "SnowMeltHighTemp" και αυτό "SnowMeltHighTemp100%" δεν είναι μόνο το πρώτο.

Δίνεις παραπομπή που το γράφω ξεκάθαρα τί εννοώ και ακόμα αναρωτιέσαι... Τί να πω;...:lol:

3 ώρες πριν, manolis940 είπε

Εδώ γέλασα... Δεν άντεξα !!!!

Το ξέρω, ήταν μ@λακία, αλλά εσύ ξεκίνησες πρώτος και είπα να το συνεχίσω... Τί να κάνω; Παιδί είμαι κι εγώ και ζήλεψα...:lol:

3 ώρες πριν, manolis940 είπε

Ναι αλλά πάντα θα υπάρχουν μοτίβα. Χρειάζεται μόνο 3 με 4 να γίνουν leak από site που κρατάνε τα passwords σε plain text και τα 509 χρόνια θα γίνουν δεπτερόλεπτα.

Αυτό που γράφεις είναι αδύνατο να συμβεί με τους κωδικούς του password manager; Ένας να γίνει leak και ο hacker αποκτάει πρόσβαση στα πάντα. Αφού δε χρησιμοποιείς passphrases, γιατί θεωρείς ότι σπάνε εύκολα, πιθανότατα τους κωδικούς του password manager τους έχεις κάπου αποθηκευμένους... Εγώ τους έχω στο μυαλό μου...;)

3 ώρες πριν, manolis940 είπε

Το σίγουρο είναι ότι αν τα αρχεία που έφυγαν απ' τους Servers της εταιρείας δεν ήταν ασφαλή, μετά από τόσες μέρες θα βλέπαμε hackariσμα λογαριασμών σε όλο το internet. Οπότε μάλλον είναι. Απ΄την άλλη μπορώ να σου εγγυηθώ για τους γνωστούς opensource ότι είναι και με το παραπάνω. Θες μήπως και δω να σου δείξω που το γράφει στην C++, στην PHP, στην SQL και στην Python ? 

Ποιος θα το έβλεπε; Οι έρευνες είναι σε εξέλιξη. Εκτός αυτού, είναι δύσκολο να καταλάβεις ότι ένα μέρος με συγκεντρωμένους τόσους κωδικούς αποτελεί και δελεαστικό στόχο.

Αν οι κωδικοί είναι τόσο καλά κλειδωμένοι και προστατευμένοι, ακόμα και μετά από hacking, τότε γιατί να μπει κάποιος στον κόπο να πάρει τα δεδομένα των χρηστών εξαρχής;

Ερωτήση, που θα πάει άκλαυτη, όπως και οι υπόλοιπες που έκανα...

3 ώρες πριν, manolis940 είπε

Δεν έχω τον χρόνο σου. Παρόλο που τα διαβάζω όλα, για πράγματα που ήδη έχω απαντήσει δεν κάθομαι να τα επαναλάβω.

Δεν έχεις απαντήσει πραγματικά σε τίποτα. Δεν είναι θέμα χρόνου, αφού τον βρήκες για να γράψεις τα δικά σου κατεβατά, αλλά όχι για να απαντήσεις σε τίποτα... Δουλεύω, 12-14 ώρες την ημέρα (είμαι λογιστής με δικό μου λογιστικό γραφείο)... Μη μου μιλάς για ελεύθερο χρόνο... Όποτε μπορώ απαντάω όμως.

3 ώρες πριν, manolis940 είπε

To 2FA πήγε περίπατο ;

Αυτό που χρησιμοποιούν "όλοι" οι χρήστες όταν δεν είναι υποχρεωτικό, αντί του απλου login που είναι πιο γρήγορο... Βέβαια...

Ο bitwarden που δοκίμασα λίγο ΔΕΝ το έχει. Εκτός και αν το ενεργοποιείς. Οι περισσότεροι ΔΕΝ θα το ενεργοποιήσουν. Ο λόγος: νοιώθουν ασφαλείς...

1 ώρα πριν, Kercyn είπε

Εγώ αποχωρώ. Κανείς δεν ξέρει τα πάντα, αλλά το να ακυρώνεις έναν ολόκληρο κλάδο (για τον οποίο δεν ξέρεις τίποτα) επειδή θεωρείς ότι έχεις βρει τη μαγική συνταγή είναι λίγο... κάπως. Η μεθοδολογία σου σε βολεύει και μπράβο σου, δεν είναι όμως ασφαλής by any stretch of the imagination όπως λεν και στο χωριό μου.

Ενώ εσύ τον ξέρεις τόσο καλά που δε μπήκες στον κόπο να απαντήσεις σε τίποτα επί της ουσίας...

Δε βρήκα καμία "μαγική" συνταγή. Βρήκα μία που δουλεύει για εμένα και ίσως και για άλλους και γι αυτό είπα να τη μοιραστώ μαζί σας. Επιχειρηματολόγησα στο γιατί με βολεύει και για την πρακτική του αξία ΓΙΑ ΜΕΝΑ.

Είναι ασφαλέστατη και με έχει βολέψει εδώ και 2 δεκαετίες. Δεν εξαρτώμαι από κανένα software και οι κωδικοί θα πρέπει, πρακτικά, να δωθούν από εμένα.

Η φαντασίωση είναι να νομίζεις ότι είσαι ασφαλής από χρησιμοποιώντας κάποιο software με σκοπό να προστατευτείς από τις επιθέσεις κάποιου άλλου software... Άπειρα τα παραδείγματα στο χώρο της τεχνολογίας ότι κάτι τέτοιο δεν ισχύει κατά κανόνα...

Επεξ/σία από Tlykog
  • Moderators
Δημοσ.
40 λεπτά πριν, Tlykog είπε

Ενώ εσύ τον ξέρεις τόσο καλά που δε μπήκες στον κόπο να απαντήσεις σε τίποτα επί της ουσίας...

Δε βρήκα καμία "μαγική" συνταγή. Βρήκα μία που δουλεύει για εμένα και ίσως και για άλλους και γι αυτό είπα να τη μοιραστώ μαζί σας. Επιχειρηματολόγησα στο γιατί με βολεύει και για την πρακτική του αξία ΓΙΑ ΜΕΝΑ.

Είναι ασφαλέστατη και με έχει βολέψει εδώ και 2 δεκαετίες. Δεν εξαρτώμαι από κανένα software και οι κωδικοί θα πρέπει, πρακτικά, να δωθούν από εμένα.

Η φαντασίωση είναι να νομίζεις ότι είσαι ασφαλής από χρησιμοποιώντας κάποιο software με σκοπό να προστατευτείς από τις επιθέσεις κάποιου άλλου software... Άπειρα τα παραδείγματα στο χώρο της τεχνολογίας ότι κάτι τέτοιο δεν ισχύει κατά κανόνα...

Τι ακριβώς δεν έχω απαντήσει; Σου έχω βάλει 2 φορές επιπλέον πράγματα που μπορείς να κοιτάξεις για να καταλάβεις καλύτερα αυτά που λέω. Η λύση σου, για πολλοστή φορά, σίγουρα δεν είναι ασφαλέστατη. Δεν είναι καν ασφαλής. Και δεν είναι ασφαλής, αν μη τι άλλο, για τους εξής λόγους:

  • Οι "διαφορετικοί" κωδικοί σου είναι σε πολύ μεγάλο βαθμό ίδιοι, επιτρέποντας σε έναν επιτιθέμενο να μαντέψει πολύ πιο εύκολα κωδικούς σε διαφορετικά sites.
  • Οι κωδικοί σου περιέχουν πληροφορίες αξιοποιήσιμες από τον επιτιθέμενο (όπως το όνομα του site).
  • Το να θυμάσαι τους κωδικούς σε κάνει πολύ πιο vulnerable σε phishing attacks (ένας password manager δε θα σου βγάλει prompt για auto fill σε ένα phishing site).

Δεν έχω καμία "φαντασίωση" ότι είμαι ασφαλής. Ξέρω ότι είμαι ασφαλής, και το ξέρω διότι οι τεχνικές που χρησιμοποιεί ένας password manager για να αποθηκεύσει κωδικούς και δεδομένα έχουν αποδειχτεί εδώ και δεκαετίες ότι είναι μαθηματικά ασφαλείς. Όπως έχω ξαναπεί, όποιος για κάποιο λόγο φοβάται, υπάρχει και η λύση του self-hosted.

Και για να στο κάνω και ακόμη πιο πρακτικό για σένα:

Όντας λογιστής, τους κωδικούς των πελατών σου τους θυμάσαι κι αυτούς; Ή τους έχεις γραμμένους σε κάνα τεφτέρι; Ή ακόμη χειρότερα τους έχεις στα emails που σου στέλνουν; Μπορείς να καταλάβεις (φαντάζομαι κι ελπίζω) τους κινδύνους που σου περιγράφω και τι συνέπειες θα είχε μια διαρροή.

  • Like 2
Δημοσ.
3 ώρες πριν, Tlykog είπε

Δίνεις παραπομπή που το γράφω ξεκάθαρα τί εννοώ και ακόμα αναρωτιέσαι... Τί να πω;...:lol:

Όχι έχεις μπερδέψει τους όρους και προσπαθώ να σε βοηθήσω.... αλλά πόσο.

 

3 ώρες πριν, Tlykog είπε

Το ξέρω, ήταν μ@λακία, αλλά εσύ ξεκίνησες πρώτος και είπα να το συνεχίσω... Τί να κάνω; Παιδί είμαι κι εγώ και ζήλεψα...:lol:

Ελπίζω όντως να είσαι και να μεγαλώσεις κάποια στιγμή και να καταλάβεις τι πατάτα έγραψες ;)

 

3 ώρες πριν, Tlykog είπε

Αυτό που γράφεις είναι αδύνατο να συμβεί με τους κωδικούς του password manager; Ένας να γίνει leak και ο hacker αποκτάει πρόσβαση στα πάντα. Αφού δε χρησιμοποιείς passphrases, γιατί θεωρείς ότι σπάνε εύκολα, πιθανότατα τους κωδικούς του password manager τους έχεις κάπου αποθηκευμένους... Εγώ τους έχω στο μυαλό μου...;)

Εδώ πραγματικά δείχνεις ότι δεν έχεις ιδέα του τρόπου αποθήκευσης των κωδικών. Αν σε ενδιαφέρει το θέμα μακριά απ' τον Κωστόπουλο.
https://cybernews.com/best-password-managers/how-do-password-managers-work/

3 ώρες πριν, Tlykog είπε

Εκτός αυτού, είναι δύσκολο να καταλάβεις ότι ένα μέρος με συγκεντρωμένους τόσους κωδικούς αποτελεί και δελεαστικό στόχο.

Μια στρατιωτική βάση επίσης είναι εύκολος στόχος, παρόλα αυτά είναι φανερή. Οι σύγχρονοι μεθόδοι ασφαλείας δεν απαιτούν να κρύβεσαι πίσω απ' το δάκτυλο σου. Οι τρόποι αποθήκευσης των password είναι γνωστοί αλλά ταυτόχρονα αδιαπέραστοι. Σου επισυνάπτω ένα κρυπτογραφημένο json αρχείο απ' το bitwarden που περιέχει ένα κωδικό. Αν μπορείς βρες τον.

{
  "encrypted": true,
  "encKeyValidation_DO_NOT_EDIT": "2.VixzLaXJkLiCLpprJIqcZg==|Nv4AQMlF4SsYgKxnV5ud4gxuoUk2OKxM6PhoyZNvGJ0j4nrRrYFONwi80BeCAPHe|8kvEk0MpO1JJHPTrf7dKe5ql6lkJNv16fZT9v6ODovA=",
  "folders": [],
  "items": [
    {
      "id": "3c901746-8910-41d1-b0fd-af65015c1bd5",
      "organizationId": null,
      "folderId": null,
      "type": 1,
      "reprompt": 0,
      "name": "2.MsAS7F6cIALh812ynlpgKA==|mJi+C5zE+ojvY6INvFHpGA==|PfGU04a7/TtXV0DpiuwOxQl5cNhlmOW/HvQngOpCokI=",
      "favorite": false,
      "login": {
        "username": "2.+TT8cVozJpK1sZNMbXartA==|QnEqZoOwL2coppu50ABrcg==|7majJUdrxTe94BKEN6+mm3+yfF9k4ieblE5vxzgtaMU=",
        "password": "2.1/QNDuIxbrlRxMU+jarMug==|kzEjGQpSXHG9yuN5UIRH3hl5pfIKXWaUjAGW8Q226ueAJeRQCptClTO9vLu/xv0I|NDjF8zDbVNGVccjxpg7s8nVKJzVfM/m0fDPSfQPHLbo="
      },
      "collectionIds": null
    }
  ]
}
3 ώρες πριν, Tlykog είπε

Οι περισσότεροι ΔΕΝ θα το ενεργοποιήσουν. Ο λόγος: νοιώθουν ασφαλείς..

Φαντάζομαι ότι στο μυαλό σου "Έριξα μια ματιά" = "Εκτεταμένη έρευνα τρόπου χρήσης των υπόλοιπων χρηστών"
Τώρα που τα βλέπεις ξανά σου φαίνονται ίδια;

Εγώ δεν έχω κάνει έρευνα πάνω στο ζήτημα και όπως δεν θα δεχτώ την δική σου άποψη δεν θα εκφέρω και ως δεδομένο την δικιά μου, αλλά μου μοιάζει πιο πιθανό κάποιος να πάει στον password  manager επειδή δεν νιώθει ασφαλής.

Όπως και να χει, σε αυτό δεν φταίει ο password manager, αλλά ο χρήστης. Όπως και σε άλλες περιπτώσεις όπως για παράδειγμα να βάλεις το κινητό σου για password ή την ημερομηνία γενεθλίων σου.

3 ώρες πριν, Tlykog είπε

Δεν έχεις απαντήσει πραγματικά σε τίποτα. Δεν είναι θέμα χρόνου, αφού τον βρήκες για να γράψεις τα δικά σου κατεβατά

Τα γράφω σε 5 λεπτά όσο και να σου φαίνεται παράξενο. Περισσότερο χρόνο τρώγω στο να διαβάσω. Επίσης ξέχασα να σου πω ότι αν σου απαντήσει κάποιος άλλος πάνω στο θέμα όπως ο @Kercyn παραπάνω, δεν θα κάτσω να γράψω τα ίδια. Στο χωριό μου το λένε spam αυτό.

1 ώρα πριν, Kercyn είπε

Όντας λογιστής, τους κωδικούς των πελατών σου τους θυμάσαι κι αυτούς; Ή τους έχεις γραμμένους σε κάνα τεφτέρι; Ή ακόμη χειρότερα τους έχεις στα emails που σου στέλνουν; Μπορείς να καταλάβεις (φαντάζομαι κι ελπίζω) τους κινδύνους που σου περιγράφω και τι συνέπειες θα είχε μια διαρροή

Εκεί να δεις πατάτες που έχω δει, απ' τους συναδέλφους της μητέρας😂

Πάει ο άλλος και βάζει σε όλους τους πελάτες:

BG156854652EM
156854652

όπου BG είναι τα δικά του αρχικά μετά ακολουθεί το ΑΦΜ και μετά τα αρχικά του πελάτη. Δεν κάνεις επίσης λάθος. Από πάνω βλέπεις το username και από κάτω το password, δεν κάνεις λάθος😂.

Όπως και με τον @Tlykog έτσι κι αυτός, νόμιζε ότι είναι ειδήμων. Μάλιστα ισχυριζόταν ότι έβαζε σε πρόγραμμα τον κωδικό και του έλεγε ότι είναι ασφαλής.

Έτσι δεν κρατήθηκα μετά από αυτή την συζήτηση, πήγα σπίτι, μπήκα στο Ε9 του και του έβαλα στον πρώτο πίνακα εγγραφή με Οδό-Θέση "ΠΑΠΑΡΑ ΒΑΛΕ ΑΣΦΑΛΕΙΣ ΚΩΔΙΚΟΥΣ". Το έκανα και σε μερικούς πελάτες του, αλλά παρόλο που είδε τις εγγραφές και τις έσβησε, δεν μπήκε στον κόπο να αλλάξει τους κωδικούς.
Όπως είπα και πριν δεν μπορείς να τους σώσεις όλους!

Δημοσ. (επεξεργασμένο)
Στις 8/12/2022 στις 11:39 ΜΜ, manolis940 είπε

Όχι έχεις μπερδέψει τους όρους και προσπαθώ να σε βοηθήσω.... αλλά πόσο.

Αυτό είναι στο όριο του trolling πραγματικά....:lol:

Δεν έχεις απαντήσει, μέχρι τώρα σε τίποτα επί της ουσίας. Κάθε φορά σου απαντάω και κάθε φορά γράφεις μόνο τα δικά σου...

Στις 8/12/2022 στις 11:39 ΜΜ, manolis940 είπε

Ελπίζω όντως να είσαι και να μεγαλώσεις κάποια στιγμή και να καταλάβεις τι πατάτα έγραψες ;)

Πάλι επιλεκτικά διαβάζεις... Έγραψα ΚΑΙ εγώ... Τί να κάνω; Όταν κάποιος είναι παιδί, καμιά φορά, ξεχνιέμαι και εγώ και παλιμπαιδίζω...:lol:

Στις 8/12/2022 στις 11:39 ΜΜ, manolis940 είπε

Εδώ πραγματικά δείχνεις ότι δεν έχεις ιδέα του τρόπου αποθήκευσης των κωδικών. Αν σε ενδιαφέρει το θέμα μακριά απ' τον Κωστόπουλο.
https://cybernews.com/best-password-managers/how-do-password-managers-work/

Και επαναλαμβάνω την ερώτηση: 

Στις 8/12/2022 στις 11:39 ΜΜ, manolis940 είπε

Αυτό που γράφεις είναι αδύνατο να συμβεί με τους κωδικούς του password manager; Ένας να γίνει leak και ο hacker αποκτάει πρόσβαση στα πάντα

Δηλαδή αν πχ κάποιος, με phising, σου πάρει τους κωδικούς του password manager, τί γίνεται; Εδώ ζητάω απάντηση. Διάβασε την παραπομπή που μου έδωσες και πες μου που το γράφει.

Στις 8/12/2022 στις 11:39 ΜΜ, manolis940 είπε

Μια στρατιωτική βάση επίσης είναι εύκολος στόχος, παρόλα αυτά είναι φανερή. Οι σύγχρονοι μεθόδοι ασφαλείας δεν απαιτούν να κρύβεσαι πίσω απ' το δάκτυλο σου. Οι τρόποι αποθήκευσης των password είναι γνωστοί αλλά ταυτόχρονα αδιαπέραστοι. Σου επισυνάπτω ένα κρυπτογραφημένο json αρχείο απ' το bitwarden που περιέχει ένα κωδικό. Αν μπορείς βρες τον.

{
  "encrypted": true,
  "encKeyValidation_DO_NOT_EDIT": "2.VixzLaXJkLiCLpprJIqcZg==|Nv4AQMlF4SsYgKxnV5ud4gxuoUk2OKxM6PhoyZNvGJ0j4nrRrYFONwi80BeCAPHe|8kvEk0MpO1JJHPTrf7dKe5ql6lkJNv16fZT9v6ODovA=",
  "folders": [],
  "items": [
    {
      "id": "3c901746-8910-41d1-b0fd-af65015c1bd5",
      "organizationId": null,
      "folderId": null,
      "type": 1,
      "reprompt": 0,
      "name": "2.MsAS7F6cIALh812ynlpgKA==|mJi+C5zE+ojvY6INvFHpGA==|PfGU04a7/TtXV0DpiuwOxQl5cNhlmOW/HvQngOpCokI=",
      "favorite": false,
      "login": {
        "username": "2.+TT8cVozJpK1sZNMbXartA==|QnEqZoOwL2coppu50ABrcg==|7majJUdrxTe94BKEN6+mm3+yfF9k4ieblE5vxzgtaMU=",
        "password": "2.1/QNDuIxbrlRxMU+jarMug==|kzEjGQpSXHG9yuN5UIRH3hl5pfIKXWaUjAGW8Q226ueAJeRQCptClTO9vLu/xv0I|NDjF8zDbVNGVccjxpg7s8nVKJzVfM/m0fDPSfQPHLbo="
      },
      "collectionIds": null
    }
  ]
}
Στις 8/12/2022 στις 8:10 ΜΜ, Tlykog είπε

Ότι να ναι. Άλλα ρωτάω, άλλα απαντάς... Να στο δώσω, λοιπόν, στο παράδειγμά σου ΜΗΠΩΣ και αυτή τη φορά απαντήσεις:

αν στη στρατιωτική βάση, που αναφέρεις, κάποιος έχει στολή και όλα τα απαραίτητα χαρτιά για να μπει και να πάρει ότι θέλει, γιατί να μην το κάνει; Έχεις μαζεμένα εκεί τα πάντα από κωδικούς και είναι πολύ δελεαστικός στόχος να δοκιμάσει.

Στη δική μου περίπτωση έχω πολλές στρατιωτικές βάσεις και αν μπει μπορεί να μη βρει και τίποτα ενδιαφέρον. Σε αυτές που με ενδιαφέρουν έχω άλλους κωδικούς.

Στις 8/12/2022 στις 11:39 ΜΜ, manolis940 είπε

Φαντάζομαι ότι στο μυαλό σου "Έριξα μια ματιά" = "Εκτεταμένη έρευνα τρόπου χρήσης των υπόλοιπων χρηστών"
Τώρα που τα βλέπεις ξανά σου φαίνονται ίδια;

Εγώ δεν έχω κάνει έρευνα πάνω στο ζήτημα και όπως δεν θα δεχτώ την δική σου άποψη δεν θα εκφέρω και ως δεδομένο την δικιά μου, αλλά μου μοιάζει πιο πιθανό κάποιος να πάει στον password  manager επειδή δεν νιώθει ασφαλής.

Όπως και να χει, σε αυτό δεν φταίει ο password manager, αλλά ο χρήστης. Όπως και σε άλλες περιπτώσεις όπως για παράδειγμα να βάλεις το κινητό σου για password ή την ημερομηνία γενεθλίων σου.

Στις περισσότερες φορές ο χρήστης φταίει, αλλά δε μπορώ να είμαι αυστηρός σε αυτό. Οι άνθρωποι πάντα θα έχουν αδυναμίες και πάντα κάποιοι άλλοι θα τις εκμεταλλεύονται.

Όταν γίνει το λάθος, όμως, ο password manager, ένα μέρος που είναι μαζεμένοι όλοι οι κωδικοί σου, είναι κακή ιδέα.

Στις 8/12/2022 στις 11:39 ΜΜ, manolis940 είπε

Τα γράφω σε 5 λεπτά όσο και να σου φαίνεται παράξενο. Περισσότερο χρόνο τρώγω στο να διαβάσω. Επίσης ξέχασα να σου πω ότι αν σου απαντήσει κάποιος άλλος πάνω στο θέμα όπως ο @Kercyn παραπάνω, δεν θα κάτσω να γράψω τα ίδια. Στο χωριό μου το λένε spam αυτό.

Καλά, δεν παίζει να διαβάζεις κάτι... Απλά γράφεις... Αυτό δε θελεί καθόλου κόπο να το καταλάβει κανείς... Μη συζητάμε και τα αυτονόητα τώρα...:lol:

Στις 8/12/2022 στις 11:39 ΜΜ, manolis940 είπε

Εκεί να δεις πατάτες που έχω δει, απ' τους συναδέλφους της μητέρας😂

Πάει ο άλλος και βάζει σε όλους τους πελάτες:

BG156854652EM
156854652

όπου BG είναι τα δικά του αρχικά μετά ακολουθεί το ΑΦΜ και μετά τα αρχικά του πελάτη. Δεν κάνεις επίσης λάθος. Από πάνω βλέπεις το username και από κάτω το password, δεν κάνεις λάθος😂.

Όπως και με τον @Tlykog έτσι κι αυτός, νόμιζε ότι είναι ειδήμων. Μάλιστα ισχυριζόταν ότι έβαζε σε πρόγραμμα τον κωδικό και του έλεγε ότι είναι ασφαλής.

Έτσι δεν κρατήθηκα μετά από αυτή την συζήτηση, πήγα σπίτι, μπήκα στο Ε9 του και του έβαλα στον πρώτο πίνακα εγγραφή με Οδό-Θέση "ΠΑΠΑΡΑ ΒΑΛΕ ΑΣΦΑΛΕΙΣ ΚΩΔΙΚΟΥΣ". Το έκανα και σε μερικούς πελάτες του, αλλά παρόλο που είδε τις εγγραφές και τις έσβησε, δεν μπήκε στον κόπο να αλλάξει τους κωδικούς.
Όπως είπα και πριν δεν μπορείς να τους σώσεις όλους!

ΔΕΝ ΠΑΙΖΕΙ ΝΑ ΒΑΖΕΙ ΤΕΤΟΙΟΥΣ ΚΩΔΙΚΟΥΣ. Στο γράφω υπεύθυνα σαν λογιστής. Η ΑΑΔΕ το έχει απαγορεύσει εδώ και χρόνια. Αυτό που γράφεις είναι σίγουρα ψέμα.

Να φέρω και εγώ παράδειγμα έναν ημικαθυστερημένο στο επάγγελμά σου και να τον ταυτίσω με εσένα... Για να δούμε πόσο σωστό θα είναι...

Πάνω που νόμιζα ότι δε μπορείς να πας πιο χαμηλά...:lol:

Όταν υπάρχει έλλειψη επιχειρηματολογίας είναι αυτονόητο, αλλά οι άνθρωποι παντα βρίσκουν τρόπους να σε εκπλήξουν...

Στις 8/12/2022 στις 9:40 ΜΜ, Kercyn είπε

Τι ακριβώς δεν έχω απαντήσει; Σου έχω βάλει 2 φορές επιπλέον πράγματα που μπορείς να κοιτάξεις για να καταλάβεις καλύτερα αυτά που λέω. Η λύση σου, για πολλοστή φορά, σίγουρα δεν είναι ασφαλέστατη. Δεν είναι καν ασφαλής. Και δεν είναι ασφαλής, αν μη τι άλλο, για τους εξής λόγους:

  • Οι "διαφορετικοί" κωδικοί σου είναι σε πολύ μεγάλο βαθμό ίδιοι, επιτρέποντας σε έναν επιτιθέμενο να μαντέψει πολύ πιο εύκολα κωδικούς σε διαφορετικά sites.
  • Οι κωδικοί σου περιέχουν πληροφορίες αξιοποιήσιμες από τον επιτιθέμενο (όπως το όνομα του site).
  • Το να θυμάσαι τους κωδικούς σε κάνει πολύ πιο vulnerable σε phishing attacks (ένας password manager δε θα σου βγάλει prompt για auto fill σε ένα phishing site).

Δεν έχω καμία "φαντασίωση" ότι είμαι ασφαλής. Ξέρω ότι είμαι ασφαλής, και το ξέρω διότι οι τεχνικές που χρησιμοποιεί ένας password manager για να αποθηκεύσει κωδικούς και δεδομένα έχουν αποδειχτεί εδώ και δεκαετίες ότι είναι μαθηματικά ασφαλείς. Όπως έχω ξαναπεί, όποιος για κάποιο λόγο φοβάται, υπάρχει και η λύση του self-hosted.

Και για να στο κάνω και ακόμη πιο πρακτικό για σένα:

Όντας λογιστής, τους κωδικούς των πελατών σου τους θυμάσαι κι αυτούς; Ή τους έχεις γραμμένους σε κάνα τεφτέρι; Ή ακόμη χειρότερα τους έχεις στα emails που σου στέλνουν; Μπορείς να καταλάβεις (φαντάζομαι κι ελπίζω) τους κινδύνους που σου περιγράφω και τι συνέπειες θα είχε μια διαρροή.

Ωραία, απαντώ, για ακόμη μία φορά:

  • Όχι, δεν είναι ίδιοι. Είναι διαφορετικοί σε μεγάλο ποσοστό. Επιπλέον, θα πρέπει να γνωρίζει κάποιος ΚΑΙ το username. Το έχω γράψει, το προσπερνάς συνέχεια...
  • Αυτό για πολλοστή φορά: ΗΤΑΝ ΜΟΝΟ ΕΝΑ ΠΑΡΑΔΕΙΓΜΑ, ΕΓΡΑΨΑ ΞΕΚΑΘΑΡΑ ΟΤΙ ΔΕΝ ΤΟ ΚΑΝΩ.Ας κάνω ένα κοινωνικό πείραμα: στις πόσες φορές θα το καταλάβεις, τόσο εσύ, όσο και οι άλλοι.
  • Ποτέ δε μπαίνω σε κάποιο site από παραπομπή πχ email. Είναι στις βασικές οδηγίες ασφαλείας. Παρόλα αυτά ας πάρουμε την περίπτωσή σου με ένα παράδειγμα: έστω ότι μου στέλνει κάποιος ένα email και μου γράφει να συνδεθώ στον Χ λογαριασμό, γιατί "εμφανίστηκε κάποιο πρόβλημα". Την πατάω και το κάνω. Μπαίνω στην παραπομπή και βάζω τους κωδικούς μου. Τί θα πάθω; θα του γνωστοποιήσω έναν κωδικό. Αν γίνει το ίδιο με τους κωδικούς του password manager, τί κάνω; Του δίνω κάθε κωδικό.

για εσένα, που έχεις γνώσεις πάνω στο θέμα, είναι όλα οκ. Τί γίνεται όμως στο μέσο χρήστη; Αυτόν που είναι επηρρεπής και στο phising; Αυτόν που είναι, μερικώς, τεχνολογικά αναλφάβητος; Νοιωθει πιο ασφαλής, άρα γίνεται και πιο απρόσεκτος.

Τους έχω σε λογιστικό πρόγραμμα. Είναι encrypted σε τοπικό server και κρατάω backup τακτικά σε 3 μέρη (τοπικά). Τα 2 είναι εξωτερικά μέσα αποθήκευσης που αφαιρούνται και συνδέονται μόνο για backup.

Προφανώς και δεν πρέπει να συμβεί διαρροή, αλλά τις περισσότερες φορές το πρόβλημα είναι οι ίδιοι οι χρήστες. Πχ με τα rapid test, πήγαιναν πολλοί και τους έδιναν στο φαρμακείο. Πολλά φαρμακεία τους αποθήκευαν στη αυτοσυμπλήρωση του browser... Παρανόμως, και το έκαναν για ταχύτητα, ώστε να υπάρχουν και να τους βάλουν πιο γρήγορα όταν έρθει ο πελάτης.

Οι ίδιοι οι πελάτες μου ζητάνε, επίμονα, να βάλω εύκολους κωδικούς, ώστε να τους θυμούνται και δε νοιάζονται. Πάρε, λοιπόν, αυτούς τους ανθρώπους και δώστους ένα μέρος όπου μπορούν να συγκεντρώσουν όλους του κωδικούς και πες τους ότι θα τους προστατεύσει καλύτερα... Σχεδόν όλοι θα βάλουν username και password, στον password manager, κάτι απλό, που σπάει σε δευτερόλεπτα... Δεν το βλέπω καλή ιδέα.

Επεξ/σία από Tlykog
Δημοσ.

Μάλλον δεν έχεις καταλάβει οτι στον password manager συνήθως δεν βάζεις εσύ τους κωδικούς αλλα τους κανεις regenerate αυτόματα ανάλογα τις παραμέτρους που θέτεις. Το ιδιο ισχύει κ για το username.

Phishing κ password manager δεν πάνε μαζί. Το πρώτο flag που θα χεις ειναι οτι η σελίδα που έμπαινες ξαφνικα δεν κανει autofill ή οτι δεν σου βγαίνει επιλογή για autofill. Αυτό από μόνο του θα κανει καποιον να γράψει την σελίδα που έμπαινε είτε στο vault ειτε στον browser. Οπότε θα εχει πολλές ενδείξεις οτι κατι παει λάθος. 

Οι περισσότεροι password manager εχουν πλεον σαν αυτοματο με το που κλεινεις τον browser να κλειδώνουν. Αρα θα πρέπει να κανεις πολλαπλα λάθη, συν να δώσεις το 2FA.

  • Like 1
  • Thanks 1
Δημοσ. (επεξεργασμένο)
Στις 9/12/2022 στις 4:48 ΜΜ, bilya είπε

Μάλλον δεν έχεις καταλάβει οτι στον password manager συνήθως δεν βάζεις εσύ τους κωδικούς αλλα τους κανεις regenerate αυτόματα ανάλογα τις παραμέτρους που θέτεις. Το ιδιο ισχύει κ για το username.

Phishing κ password manager δεν πάνε μαζί. Το πρώτο flag που θα χεις ειναι οτι η σελίδα που έμπαινες ξαφνικα δεν κανει autofill ή οτι δεν σου βγαίνει επιλογή για autofill. Αυτό από μόνο του θα κανει καποιον να γράψει την σελίδα που έμπαινε είτε στο vault ειτε στον browser. Οπότε θα εχει πολλές ενδείξεις οτι κατι παει λάθος. 

Οι περισσότεροι password manager εχουν πλεον σαν αυτοματο με το που κλεινεις τον browser να κλειδώνουν. Αρα θα πρέπει να κανεις πολλαπλα λάθη, συν να δώσεις το 2FA.

Δε μιλάω για το phising στα site, των οποίων οι κωδικοί είναι αποθηκευμένοι στον password manager.

Να στο δώσω σε παράδειγμα. Έχω το bitwarden. Μου στέλνουν ένα email που γράφει "ότι το bitwarden έχει πρόβλημα και πρέπει να συνδεθώ , ώστε να επιβεβαιώσω την ταυτότητά μου από τον παρακάτω σύνδεσμο". Την πατάω και το κάνω. Άρα δίνω τους κωδικούς μου, άρα ο επιτηθέμενος έχει πλέον πρόσβαση σε κάθε κωδικό μου.

Στο bitwarden πχ εφτιαξα λογαριασμό από το pc της δουλειάς μου. Μπήκα από το ipad, μέσω browser ap;o to σπίτι μου και το μόνο που έκανε ήταν να μου στείλει email ότι κάποιος μπήκε από άλλο browser. Μια χαρά είχα πρόσβαση στα πάντα.

Επεξ/σία από Tlykog
Δημοσ.
Στις 2/12/2022 στις 11:09 ΠΜ, m3ltd0wn είπε

δεν είναι κακή λύση αλλά αν είσαι mobile τι κάνεις;

αν βρεθείς κάπου που δεν έχεις πρόσβαση στο txt αρχείο;

αν αλλάξεις κάποιον κωδικό και εκείνη την στιγμή δεν ενημερώσεις το αρχείο σου;

και αν έχεις πολλά αντίγραφα του αρχείου πως τα κρατάς ενήμερα όλα;

επίσης αν κάποιος σου πάρει το αρχείο αυτό; το έχεις κρυπτογραφημένο; Πόσο χρόνο σου παίρνει για να το ανοίξεις και πάντα θα μπορείς (πχ, σε κινητό πως το ανοίγεις, το έχεις σε rar με κωδικό);

Με ενδιαφέρουν οι απαντήσεις γιατί τα έχω σκεφτεί όλα αυτά και δεν έχω βρει μια λύση που να με ικανοποιεί και να με βολεύει ταυτόχρονα.

Υπάρχουν passwords για χαζομάρες, π.χ. Nexus mod που το χακάρανε και passwords για πιο σοβαρά πράγματα όπως οι τραπεζικές συναλλαγές.

Για το τελευταίο μπορείς να έχεις ειδικό κρυπτογραφημένο partition με άλλη εγκατάσταση των Win όπου θα μπαίνεις μόνο για τέτοια πράγματα και για τίποτε άλλο(φυσικά με secure boot on και τα συναφή). Εκεί θα ανοίγεις και το κρυπτογραφημένο txt με τους σχετικούς κωδικούς. Αυτό μπορεί να γίνεται backup ή synced σε όσους δίσκους θες χωρίς πρόσβαση στο περιεχόμενό του.

Για τις σαχλαμάρες μπορείς να κρατάς επίσης κρυπτογραφημένο txt με άλλο κωδικό στο κύριο partition.

υ.γ.: Ο Snowden πρότεινε passphrases ως κωδικούς γιατί τις φράσεις τις θυμόμαστε ευκολότερα και αποτελούνται από λέξεις που είναι χιλιάδες και όχι δεκάδες, όπως οι χαρακτήρες.

Υπάρχει όμως και άλλος τρόπος να φτιάξεις πανίσχυρα passwords με μήκος σιδηρόδρομου και να τα ανακτάς όποτε θες με ελάχιστη προσπάθεια. Θέλω να δω αν το έχει σκεφτεί κανείς.

Στις 2/12/2022 στις 12:29 ΜΜ, manolis940 είπε

Για ένα password cracking tool που κάνει αναζήτηση με λεξιλόγιο, το παραπάνω είναι ένα password 6 χαρακτήρων και με τους 4 συνδυασμούς.

Όχι τέτοια πράγματα σε τεχνολογικό-επιστημονικό φόρουμ. Δεν είναι μια λέξη ένας χαρακτήρας για σπαστήρι που χρησιμοποιεί λέξεις.

Ας πούμε ότι φτιάχνω ένα password από 5 λέξεις. Ας υποθέσουμε ότι ο hacker χρησιμοποιεί σπαστήρι που χρησιμοποιεί λεξικό με 10.000 λέξεις και οι λέξεις μου είναι εκεί μέσα.

Οι πιθανοί συνδυασμοί είναι 10.000^5=100.000.000.000.000.000.000

Αν το διανθίσω και με κάποια τυχαία σύμβολα(π.χ. @#$) τότε τα πράγματα γίνονται απείρως δυσκολότερα.

Στις 4/12/2022 στις 12:45 ΠΜ, M A T R I X είπε

Αρχικά γελάω, γιατί η λέξη ασφάλεια και το παραπάνω παράδειγμα δεν γίνεται να βρίσκονται στην ίδια πρόταση. Δεν θα κάτσω να σου εξηγήσω πιο σπάει πιο εύκολα, γιατί δεν έχει ιδιαίτερο νόημα, αλλά μάλλον κάπου έχεις μπερδευτεί με το encryption και τους password managers. 

Οι password managers δεν είναι τίποτε, μα τίποτε άλλο, από μια κρυπτογραφημένη βάση δεδομένων. Κάτι πιο εξελιγμένο από ένα κρυπτογραφημένο αρχείο txt.

Εκείνο που προστατεύει στους on-line password managers είναι το multiFA, εφόσον υπάρχει. Αλλιώς, αν σου ρίξουν malware στο pc και σου υποκλέψουν τον master κωδικό που δίνεις στον server της υπηρεσίας την πάτησες, όπως και με το txt αρχείο.

Όμως όπου υπάρχει αυξημένος κίνδυνος ασφάλειας(λεφτά, εφορία κλπ.) υπάρχει ήδη 2FA από τον πάροχο της υπηρεσίας(π.χ. την τράπεζα). Βέβαια, ακόμα καλύτερα ο web based password manager αν αντέχεις το διόλου ευκαταφρόνητο κόστος.

  • Thanks 1
Δημοσ.
17 ώρες πριν, pirmen56 είπε

Υπάρχει όμως και άλλος τρόπος να φτιάξεις πανίσχυρα passwords με μήκος σιδηρόδρομου και να τα ανακτάς όποτε θες με ελάχιστη προσπάθεια. Θέλω να δω αν το έχει σκεφτεί κανείς.

Γνωρίζω ότι αυτό ξεφεύγει λίγο από το αρχικό θέμα αλλά θα ήθελα να δω τις σκέψεις σου επ'αυτού.

Για εμένα ο πιο σίγουρος τρόπος να δημιουργήσεις Password μεγάλο και uncrackable με οποιαδήποτε επίθεση λεξικού είναι να πάρεις ένα πολύ γνωστό κατεβατό που δεν θα το ξεχάσεις ποτέ (π.χ. τον ύμνο της ομάδας σου) και να τρέξεις ένα "αλγόριθμο" πάνω σε αυτό. Δηλαδή με λίγα λόγια δημιουργείς ένα hash της γνωστής σου φράσης... Ένας πολύ απλός αλγόριθμος για παράδειγμα θα ήταν να έπαιρνες το πρώτο γράμμα της πρώτης λέξης, τα δυο πρώτα γράμματα της δεύτερης λέξης, κ.ο.κ. Φυσικά μπορείς να κάνεις και πολύ πιο σύνθετα πράγματα. Κάπου στη μέση του κατεβατού κοτσάρεις και ένα hash του site για τον οποίο δημιουργείται ο κωδικός οπότε έχεις ένα unique password που δεν ξεχνάς, μπορείς να γράψεις πολύ γρήγορα, και ακόμα και εαν γινόταν leak δεν θα μπορούσαν να μαντέψουν τα password σου για άλλα sites.

  • Thanks 1
Δημοσ.
1 ώρα πριν, Engimek είπε

Γνωρίζω ότι αυτό ξεφεύγει λίγο από το αρχικό θέμα αλλά θα ήθελα να δω τις σκέψεις σου επ'αυτού.

Για εμένα ο πιο σίγουρος τρόπος να δημιουργήσεις Password μεγάλο και uncrackable με οποιαδήποτε επίθεση λεξικού είναι να πάρεις ένα πολύ γνωστό κατεβατό που δεν θα το ξεχάσεις ποτέ (π.χ. τον ύμνο της ομάδας σου) και να τρέξεις ένα "αλγόριθμο" πάνω σε αυτό. Δηλαδή με λίγα λόγια δημιουργείς ένα hash της γνωστής σου φράσης... Ένας πολύ απλός αλγόριθμος για παράδειγμα θα ήταν να έπαιρνες το πρώτο γράμμα της πρώτης λέξης, τα δυο πρώτα γράμματα της δεύτερης λέξης, κ.ο.κ. Φυσικά μπορείς να κάνεις και πολύ πιο σύνθετα πράγματα. Κάπου στη μέση του κατεβατού κοτσάρεις και ένα hash του site για τον οποίο δημιουργείται ο κωδικός οπότε έχεις ένα unique password που δεν ξεχνάς, μπορείς να γράψεις πολύ γρήγορα, και ακόμα και εαν γινόταν leak δεν θα μπορούσαν να μαντέψουν τα password σου για άλλα sites.

Ακριβώς αυτό. Τη μέθοδο μπορούμε να την ονομάσουμε "Εφαρμογή κανόνα/μοτίβου πάνω σε δεδομένα."  Ένας σχετικά απλός κανόνας π.χ. να πάρεις 10 λέξεις ανά τρεις, από κάποιο κείμενο που μόνο εσύ ξέρεις. Έτσι απαιτούνται δύο στοιχεία. Ο ευκολομνημόνευτος κανόνας και τα δεδομένα. Καλή λύση για master passwords.

edit: Σχετικά με τους password managers, πέρα από τις συνδρομητικές υπηρεσίες, υπάρχει και άλλος ένα τρόπος για 2FA.

KeePass συν το OtpKeyProv plugin. Κρυπτογραφείς την βάση με δύο κωδικούς. Αυτόν που θυμάσαι και θα πληκτρολογείς στο pc και έναν Base32 που θα βρίσκεται σε κάποιον authenticator στο κινητό σου, κρυμμένος πίσω από μια γεννήτρια OTP, τύπου HOTP.

Αν και για μένα η ουσία είναι το 2FA να βρίσκεται στο ίδιο το site(π.χ τράπεζα) και όχι απλά να προστατεύει τη βάση με τους κωδικούς. Εκεί αν σε χτυπήσει malware και σου βρουν έστω 2-3 σημαντικούς κωδικούς, την έκατσες.

Δημοσ.
Στις 9/12/2022 στις 10:22 ΠΜ, Tlykog είπε

Αυτό είναι στο όριο του trolling πραγματικά....:lol:

Δεν έχεις απαντήσει, μέχρι τώρα σε τίποτα επί της ουσίας.

Μα τι θα κάτσει ρε αδερδέ να κάνει κανείς μαζί σου; Θα σε πάρει στα σοβαρά.

10 άτομα έχουμε προσπαθήσει να σου εξηγίσουμε για τα οφέλη των Password manager και η απάντηση σου συνέχει είναι ένα videάκι με Κωστόπουλο και Snowden που δεν μιλάει καν για password managers.

Στις 9/12/2022 στις 10:22 ΠΜ, Tlykog είπε

Δηλαδή αν πχ κάποιος, με phising, σου πάρει τους κωδικούς του password manager, τί γίνεται; Εδώ ζητάω απάντηση. Διάβασε την παραπομπή που μου έδωσες και πες μου που το γράφει.

Και απάντησα. 2FA δεν παίζει ;

Στις 9/12/2022 στις 10:22 ΠΜ, Tlykog είπε

Ότι να ναι. Άλλα ρωτάω, άλλα απαντάς.

Δεν το κατάλαβες διάβασε ξανά.

 

Στις 9/12/2022 στις 10:22 ΠΜ, Tlykog είπε

Οι άνθρωποι πάντα θα έχουν αδυναμίες και πάντα κάποιοι άλλοι θα τις εκμεταλλεύονται.

Και μια από αυτές είναι να δημιουργείς password απ' το μυαλό σου με συγκεκριμένο μοτίβο...

 

Στις 9/12/2022 στις 10:22 ΠΜ, Tlykog είπε

ΔΕΝ ΠΑΙΖΕΙ ΝΑ ΒΑΖΕΙ ΤΕΤΟΙΟΥΣ ΚΩΔΙΚΟΥΣ. Στο γράφω υπεύθυνα σαν λογιστής. Η ΑΑΔΕ το έχει απαγορεύσει εδώ και χρόνια. Αυτό που γράφεις είναι σίγουρα ψέμα.

Είσαι και λογιστής τώρα εκτός από υπεύθυνος συστημάτων ασφαλείας;

Η απαίτηση ενός ασφαλή κωδικού γίνεται τώρα τελευταία. Ωστόσο πάλι οι λογιστές συνεχίζουν να φτιάχνουν μοτίβα που απλά περιέχουν και ένα σύμβολο.

Αυτό βεβαίως όπως αναφέρω έχει γίνει στο παρελθόν και δεν έγινε χθες. Αλλά είναι που διαβάζεις τι γράφω

Στις 9/12/2022 στις 10:22 ΠΜ, Tlykog είπε

Επιπλέον, θα πρέπει να γνωρίζει κάποιος ΚΑΙ το username

Μπορεί και να σαι λογιστής όντως.

 

Στις 9/12/2022 στις 10:22 ΠΜ, Tlykog είπε

Τα 2 είναι εξωτερικά μέσα αποθήκευσης που αφαιρούνται και συνδέονται μόνο για backup.

Και φαντάζομαι τα backup είναι unencrypted και πιστεύεις ότι κάποιο malware δεν μπορεί να τραβήξει ένα αρχείο όσο είναι συνδεδεμένο το εξωτερικό μέσο αποθήκευσης

 

Στις 10/12/2022 στις 7:03 ΜΜ, Tlykog είπε

Στο bitwarden πχ εφτιαξα λογαριασμό από το pc της δουλειάς μου. Μπήκα από το ipad, μέσω browser ap;o to σπίτι μου και το μόνο που έκανε ήταν να μου στείλει email ότι κάποιος μπήκε από άλλο browser. Μια χαρά είχα πρόσβαση στα πάντα.

Αφού δεν ενεργοποίησες το 2FA τι περίμενες;
Απ΄την άλλη όταν σου πάρω το password loveyourtits100% δεν θα πάρεις ούτε το email !

 

Στις 10/12/2022 στις 7:41 ΜΜ, pirmen56 είπε

Όχι τέτοια πράγματα σε τεχνολογικό-επιστημονικό φόρουμ. Δεν είναι μια λέξη ένας χαρακτήρας για σπαστήρι που χρησιμοποιεί λέξεις.

Ας πούμε ότι φτιάχνω ένα password από 5 λέξεις. Ας υποθέσουμε ότι ο hacker χρησιμοποιεί σπαστήρι που χρησιμοποιεί λεξικό με 10.000 λέξεις και οι λέξεις μου είναι εκεί μέσα.

Οι πιθανοί συνδυασμοί είναι 10.000^5=100.000.000.000.000.000.000

Έχω εξηγήσει παραπάνω γιατί η πολυπλοκότητα αυτή μειώνεται... Μην κάνεις και εσύ τα ίδια και με βάζεις να επαναλαμβάνομαι.

Στις 10/12/2022 στις 7:41 ΜΜ, pirmen56 είπε

Οι password managers δεν είναι τίποτε, μα τίποτε άλλο, από μια κρυπτογραφημένη βάση δεδομένων. Κάτι πιο εξελιγμένο από ένα κρυπτογραφημένο αρχείο txt.

Εκείνο που προστατεύει στους on-line password managers είναι το multiFA, εφόσον υπάρχει. Αλλιώς, αν σου ρίξουν malware στο pc και σου υποκλέψουν τον master κωδικό που δίνεις στον server της υπηρεσίας την πάτησες, όπως και με το txt αρχείο.

Σου φαίνεται λίγο το κρυπτογραφημένο αρχείο txt ; Σας έδωσα ένα παραπάνω έτσι απλόχερα, μπρορείς να βρεις το username και το password καθώς και τα άλλα στοιχεία ;

Το περίμενα.....

Αν σου ρίξουν malware στο PC τύπου keyloger φαντάζομαι εννοείς, ναι θα έχεις πρόβλημα και ναι χρειάζεισαι 2FA. Ωστόσο δεν είπε κανένας ότι ο password manager είναι η μαγική λύση για όλα. Γι αυτό υπάρχουν και τα anti-Malware software καθώς βεβαίως και η ακολουθία άλλων σωστών πρακτικών όπως το ενημερωμένο ΛΣ, η εγκατάσταση εφαρμογών από γνωστές πηγές κτλ κτλ.

Μιας και ανέφερα και τα anti-Malware λογισμικά, αξίζει να σημειωθεί ότι και ο Bitdefender έχει password manager που λειτουργεί online. Αλλά τι ξέρουν τώρα αυτοί. Εγώ έχω το λογιστή μου τον @Tlykog και εμπιστεύομαι μόνο αυτόν.

 

Να αφήσουμε βέβαια στην άκρη όλα τα παραπάνω γιατί έχει κουράσει το θέμα και δεν ξέρω αν την επόμενη φορά έχω όρεξη για trolling. Πάμε στα σοβαρά προβλήματα.

Είμαι ένας χρήστης όπως έδειξα παραπάνω που έχω στον password μου manager 470 συνδέσεις. Μέσα σ' αυτές πέραν από site είναι και κωδικοί για καταγραφικά , routers κτλ κτλ.

Θα ήθελα μία λύση με passphrases εκτός password manager, αλλά να την έχω και παντού μαζί μου. Bonus θα ήθελα και τον εύκολο διαμοιρασμό κάποιων από αυτά με συνεργάτες μου.

Ακούω .....

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
  • Δημιουργία νέου...