איך אתם שומרים סיסמאות?

[Ron B]

אתה יודע האם הוא שומר temp לא מוצפן וכד' תוך בזמן הכתיבה או מתישהו?

הוא שומר swap שהוא גם מוצפן. אז אין בעייה עם זה.
מה שכן הזיכרון עצמו לא מוצפן, אז אם יש administrator בזמן שאתה עובד על הקובץ הוא יכול תאורטית לחדור לזיכרון.
משתמש גם בלינוקס וגם בחלונות באמצעות cygwin.

 

[adamshalev]

משתמש גם בלינוקס וגם בחלונות באמצעות cygwin.

ניסית WSL במקום sygwin?

לגבי חומרת ססמאות - יש גם את הדבר החמוד הזה. הוא שומר הכל על קובץ keepass שנגיש רק דרך המקלדת דרך עם קומפוננטת usb בין המקלדת למחשב. אחת הבעיות זה שבשוטף צריך כל הזמן להוסיף ולערוך רשומות והוא לא נותן לזה מענה.
https://www.crowdsupply.com/third-pin/pastilda

 

[ido15]

שלום לכולם רציתי לשתף שבזכות השרשור הזה הבנתי כמה הסיסמאות שלי חשופות.
כשקראתי בתגובות הבנתי שאני חריג... זאת אומרת שבכלל לא ידעתי מה זה u2f ובקושי ייחסתי לזה חשיבות.
@adamshalev ראיתי שהשתמשת בעבר בkeepass והחלטת לעבור למנהל ססמאות מבוסס חומרה, ספציפית Trezor.
אשמח אם תוכל לתת לזה קצת יותר הסבר על הסיכון רק סיסמה אחת ולא כולן ומה זה שונה מkeepass
אשמח לשמוע גם את דעתך/כם לגבי דיסק קשיח חיצוני ששם אני שם את התקייה של keepass
ואם זה דרך טובה להצפין את דיסק קשיח חיצוני עם 7ZIP.
דבר האחרון לגבי yubico מתלבט אם להזמין 2 מוצרים כאלו בשביל הkeepass וחשבון גוגל מה אתה חושבים?
שוב תודה רבה, על השירשור
עידו.

 

[adamshalev]

@ido15
הסיכון העיקרי שאני מתייחס אליו בשימוש במנהל ססמאות מבוסס חומרה לעומת תוכנה זה שהמחשב שאתה עובד עליו נגוע.
נהוג לומר שאם גורם זדוני יכול להריץ קוד כלשהו על המחשב שלך אז זה GAME OVER.
כשזה נוגע לססמאות - אם יש לך גורם זדוני על המחשב ופתחת את קובץ הססמאות מבוסס תוכנה כמו KeePass, אז זה באמת גיים-אובר. למרות שרצית רק את הססמא לאתר דרעק כלשהו חשפת גם את הססמא לבנק, לברוקר, לג’ימייל, ואת כל שאר הדברים הרגישים שלא התכוונת בכלל לחשוף.
במנהל מבוסס חומרה, גם אם יש גורם זדוני על המחשב, כאשר אתה מבקש ממנו ססמא מסויימת, רק היא מועברת מהמנהל למחשב, ושאר הססמאות לא נחשפות. זאת גישה הרבה יותר בריאה והיא הרבה יותר תואמת למה שאתה מצפה שיקרה.
זה מאפשר לך שכבת הגנה נוספת על המידע הרגיש ופותח לך מרחב פעולה רחב יותר. למשל אתה יכול להרשות לעצמך לחשוף את הססמאות ה״רגילות״ על מחשב ממוצע, אבל להקפיד לגשת לססמאות הסופר רגישות רק ממחשב שהוא מאובטח מעבר לרגיל (מה זה אומר זה כבר דיון בפני עצמו).

לא הבנתי מה לשים קובץ קיפאס על כונן קשיח משנה לך. ככלל - אתה צריך שהוא יהיה מוצפן באופן חזק ושיהיה מגובה בהרבה מקומות אמינים.
אבטחה ונגישות הן תמיד trade off. מצד אחד, אתה יכול לפרסם את כל הססמאות שלך בחוצות העיר ואז הן לעולם לא ילכו לאיבוד, אבל האבטחה שלך אפס. מנגד, אתה יכול לשמור את כל הססמאות בקובץ אחד מוצפן, על מחשב שלא היה מחובר לרשת, להעתיק אותו לדיסק און קי, לשרוף את המחשב, לקבור את הדיסק און קי בכספת במדבר, להשתכר עד עלפון ככה שלא תזכור באיזה מדבר קברת אותה וככה הססמאות יהיו מאובטחות ביותר. אבל איבדת אותן לנצח.
בטרזור למשל קובץ הססמאות המוצפן נשמר בדרופבוקס, ומעבר לכך אני מגבה אותו בעוד שירותי ענן. אני לא מודאג מכך שהוא יושב בשלושה שירותי ענן כי ההצפנה חזקה. זה איזון בין נגישות לאבטחה.

7zip תומך בכמה שיטות הצפנה. חלקן חזקות (נכון להיום), חלקן פח. כעקרון זאת תוכנת כיווץ, לא תוכנת הצפנה. אתה צריך לתת לתוכנה יעודית לעשות את הפעולה הרגישה והחשובה הזאת - קרי מנהל ססמאות איכותי.

Yubikey וקיפאס זה שילוב מעניין, אבל צריך להבין אותו טוב.
מה שהוא *לא עושה* זה להוסיף 2 factor auth לפתיחה של הקובץ. אם יש לך גורם זדוני על המחשב כשאתה פותח את הקובץ, זה גיים-אובר עם או בלי היוביקי.
מה שהוא *כן עושה* זה להפוך כל ססמא, לא משנה כמה היא חלשה, לחזקה ובלתי פריצה, ע״י זה שהוא מחייב אותה לעבור גם דרך מחרוזת אקראית שיושבת רק על היוביקיי. מה שנח זה שניתן לצרוב אותה לכל יוביקי כך שכל עוד אתה שומר עותק שלה במקום מאובטח, אתה תהיה בסדר. אבל במקרה ואיבדת את כל היוביקיס שהיא הייתה צרובה עליהן ואיבדת את המחרוזת גיבוי, יו אר פא*ד.

לגבי U2F - אני ממליץ בחום להשתמש בזה בכל אתר שתומך בפרוטוקול. הוא חסין man in the middle ומתקפות פישינג.
אפשר לראות איזה שירותים תומכים ב U2F כאן:
http://www.dongleauth.info/

 

[מתכנת]

אפשר לראות איזה שירותים תומכים ב U2F כאן:
http://www.dongleauth.info/

איזה ביזיון, בדיוק השירותים היותר חשובים ואלו שזה הכי רלוונטי עבורם לא מיישמים
http://www.dongleauth.info/#finance
http://www.dongleauth.info/#investing
http://www.dongleauth.info/#payments
http://www.dongleauth.info/#retail
http://www.dongleauth.info/#backup

לגבי U2F - אני ממליץ בחום להשתמש בזה בכל אתר שתומך בפרוטוקול.

או לפחות OTP שהרבה יותר נפוץ.

 

[adamshalev]

@מתכנת הבעיה היא שלחברות מבוססות יש תמריץ מועט להוסיף תמיכה איכותית ל 2FA. לא זוכר מי, אולי לינדקאין, פרסמו שרק אחוז מאד קטן חד ספרתי של משתמשים מאמצים מנגנוני 2FA למרות שהחברה מעודדת אותם לעשות את זה והופכת את החוויה לקלה ככל הניתן.
המשמעות היא שברמת האבטחה והצורך לטפל בפריצה לחשבונות וכד זה כמעט לא משנה שום דבר מבחינת החברה, ומעבר לכך המשתמשים שבוחרים להשתמש ב 2FA הם כנראה הפחות בעייתיים מלכתחילה.
בעיית האבטחה של לוגין וובי היא לא פתורה עדיין ב scale.

 

[ido15]

לא הבנתי מה לשים קובץ קיפאס על כונן קשיח משנה לך

לשים קובץ קיפאס על הכונן בשביל אם אני אצטרך לעשות פירמוט נהרס המחשב שיהיה לי את הקובץ מגובה.

מה שהוא *לא עושה* זה להוסיף 2 factor auth לפתיחה של הקובץ. אם יש לך גורם זדוני על המחשב כשאתה פותח את הקובץ, זה גיים-אובר עם או בלי היוביקי.

לא הבנתי למה גיימאובר אם יש לי את היYubikey? הוא יהיה חייב לפתוח את הקיפאס בזכות היוביקי... איך הוא לא מוסיף לי את האופציה של2 factor auth כי לזה נועד הYubikey

 

[adamshalev]

לשים קובץ קיפאס על הכונן בשביל אם אני אצטרך לעשות פירמוט נהרס המחשב שיהיה לי את הקובץ מגובה.

זה לא ממש גיבוי. זה עותק. אם תעתיק את הקובץ ל-20 ספריות שונות במחשב אז יש לך 20 גיבוייים?
עד כמה חמור זה אם כל העותקים של קובץ ה-KeePass שלך יושמדו ללא יכולת שחזור?
גיבוי צריך להיות מבוזר על פני מספר מקומות ואופנים. גיבוי ענן, גיבוי מקומי, גיבוי של ההיסטוריה וכד'.

לא הבנתי למה גיימאובר אם יש לי את היYubikey? הוא יהיה חייב לפתוח את הקיפאס בזכות היוביקי... איך הוא לא מוסיף לי את האופציה של2 factor auth כי לזה נועד הYubikey

כמו שהסברתי. הדרך שבה קיפאס מימשו תמיכה ביוביקי היא שכל מה שהוא עושה זה להפוך את הססמא שלך לחזקה יותר. עדיין - הפתיחה של הקיפאס נעשית עם ססמא (מחוזקת), ואם יש לך גורם זדוני במחשב שמאזין לססמא (המחוזקת) בזמן שאתה פותח את הקובץ - GAME OVER.

 

[מתכנת]

כמו שהסברתי. הדרך שבה קיפאס מימשו תמיכה ביוביקי היא שכל מה שהוא עושה זה להפוך את הססמא שלך לחזקה יותר. עדיין - הפתיחה של הקיפאס נעשית עם ססמא (מחוזקת), ואם יש לך גורם זדוני במחשב שמאזין לססמא (המחוזקת) בזמן שאתה פותח את הקובץ - GAME OVER.

ואחדד - גיים-אובר לכל התוכן שנמצא בקיפאס באותה עת.

 

[מתכנת]

אפשר לראות איזה שירותים תומכים ב U2F כאן:
http://www.dongleauth.info/

האתר הזה מגניב, חייב לומר.. (למרות שהוא מסחרי ובעצם בא לשווק את המוצרים של החברה ההיא)
כאן יש רשימה של התקנים, האם הבנת איך הם תומכים OTP סטייל google authenticatior ? מניח שצריך אפליקציה יעודית כי איך מסך למכשירים הללו, היכן נשמרים ה security keys של השירותים השונים, ומי מחולל את ה OTP ?

 

[adamshalev]

@מתכנת
כל אפליקציית OTP שומרת את ה-seed הסודי שמגנרט את ה-OTP הייחודי שהשרת מצפה לקבל. אפליקציות כמו Authy למשל גם מגבות את ה-seeds הללו (מוצפנים) בענן למקרה שהטלפון שלך ילך קפוט.
מכשירי החומרה עושים את אותו הדבר, רק שה-seed של ה-OTP נגזר מה-seed של המכשיר, וכמו שניחשת אתה צריך תוכנה קטנה בשביל לראות את המספר המגונרט. אני משער שהטרזור החדש יוכל להציג את המספר על המסך שלו גם (אבל לא לזה הוא טוב, OTP על טלפון זה טוב באותה מידה).

 

[מתכנת]

רק שה-seed של ה-OTP נגזר מה-seed של המכשיר,

זה בדיוק מה שלא הבנתי, הרי את ה seed מחולל השירות הספציפי (נניח גוגל, ואגב הם קוראים לזה security key או משהו כזה)
ואם כן, לא ברור לי איך המכשיר אוכל סידים שמכתיבים לו ואינם נגזרים מהסיד המקורי (אלא עם זה עובד בשיטה של מנהל הסיסמאות של טרייזור)

 

[adamshalev]

זה בדיוק מה שלא הבנתי, הרי את ה seed מחולל השירות הספציפי (נניח גוגל, ואגב הם קוראים לזה security key או משהו כזה)
ואם כן, לא ברור לי איך המכשיר אוכל סידים שמכתיבים לו ואינם נגזרים מהסיד המקורי (אלא עם זה עובד בשיטה של מנהל הסיסמאות של טרייזור)

צודק. טעות שלי, הוא חייב להכתב לזכרון של המכשיר.

 

[yossik]

האם אפשר לפשט את הנושא?
מה הכי טוב והכי פשוט משמירת סיסמאות על דיסק-און-קי אחד או שניים שמוגים בסיסמא אחת חזקה שהתאים האפורים שלנו מסוגלים לזכור.
אני כעיקרון לא מעלה סיסמאות לאתר אינטרנטי כי הכל ניתן לפריצה [ראה כתבות אחרונות על הפריצה למאגר הביומטרי ההודי ומשרד הפנים שלנו לניהול תורים לתעודות ביומטריות].

 

[adamshalev]

מה הכי טוב והכי פשוט משמירת סיסמאות על דיסק-און-קי אחד או שניים שמוגים בסיסמא אחת חזקה שהתאים האפורים שלנו מסוגלים לזכור.

הסיכון שתאבד את הססמאות גבוה מדי (לא רק תאבד פיסית את הדיסקאוןקי, אלא גם שהוא יפסיק לעבוד וכד׳).
למה לא לפחות לשים בדרופבוקס ועוד כמה מקומות?
באיזה מנהל ססמאות אתה משתמש (מה אתה שומר בדיוק על הדיסקאוןקי?)

 

[yossik]

הסיכון שתאבד את הססמאות גבוה מדי

no way no how.

למה לא לפחות לשים בדרופבוקס ועוד כמה מקומות?

כי אני פרנואידי ולא שומר סימאות בעננים למיניהם.

באיזה מנהל ססמאות אתה משתמש

איני משתמש במנהל סיסמאות, אני זוכר כ 20+ בלי לפתוח את קובץ הסיסמאות שלי.

מה אתה שומר בדיוק על הדיסקאוןקי?

את הכול - סיסמאות ל9 חשבונותמייל בגוגל, סיסמאות לקבצים אישיים [צוואה, נכסים,חשבונות בנק ומה לא עוד...]

 

[adamshalev]

no way no how.

מה בדיוק מונע משני דיסקאונקיס להפסיק לעבוד פתאום?

כי אני פרנואידי ולא שומר סימאות בעננים למיניהם.

אתה צריך להיות, אבל רק אם אתה לא מצפין את המידע שלך. מנגד, אתה גם צריך להיות פארנואידי שהמידע שלך יאבד לעד מבלי שיש לך מאיפה לשחזר אותו.

איני משתמש במנהל סיסמאות, אני זוכר כ 20+ בלי לפתוח את קובץ הסיסמאות שלי.

אם אתה זוכר 20 ססמאות זה אומר שהן כנראה לא חזקות במיוחד. אתה יודע להגיד כמה ביטים של אנטרופיה יש להן?

את הכול - סיסמאות ל9 חשבונותמייל בגוגל, סיסמאות לקבצים אישיים [צוואה, נכסים,חשבונות בנק ומה לא עוד...]

סבבה. התכוונתי לפורמט. איך אתה מצפין את המידע בדיסקאונקי? איך אתה פותח אותו?

 

[adamshalev]

אגב בנושא משיק - מציע בחום להרשם עם כל המיילים שלכם לשירות של https://haveibeenpwned.com/
הוא יגיד לכם באיזה פריצות\הדלפות של מידע המייל שלכם מופיע.

למי שאולי חושש לגבי למי הוא מוסר את המייל שלו - שיקרא קצת בגוגל על Troy Hunt. הוא מעל לג׳יט, הוא חוקר אבטחה ובין השאר ייעץ לקונגרס האמריקאי איך להתמודד עם בעיית הפריצות\הדלפות העולמית.

 

[מתכנת]

למה לא לפחות לשים בדרופבוקס ועוד כמה מקומות?

בדיוק חשבתי על זה, יום אחד AES יפרץ, וקובצי הקיפאס שלי (על שלל גרסאותיהם) הממוקמים בענן יהיה פריצים....

 

[adamshalev]

בדיוק חשבתי על זה, יום אחד AES יפרץ, וקובצי הקיפאס שלי (על שלל גרסאותיהם) הממוקמים בענן יהיה פריצים....

אתה תשמע על זה הרבה לפני שזה יהיה Issue עבורך אישית.
מעבר לכך, כמה פתרונות:
- בקיפאס עם AES אפשר לעשות לולאות של הצפנה, ככה שכל איטרציה של פריצה לוקחת בדיוק שניה. ברוט-פורס הופך לבלתי אפשרי עבור שום מחשב.
- בקיפאס אפשר לבחור באלגוריתמי הצפנה מתקדמים יותר, וכאלו שהם memory intensive.
- אל תשים את הקובץ בשם ברור כמו MyPasswords.kdbx, אלא תקרא לו כמו משהו ״אילת.jpg״. אתה בקלות יכול להגדיר קיצור מקשים או קישור מהדסקטופ שפותח את הקובץ עם קיפאס.

התרחיש ש: AES (או אלגוריתם אחר שנחשב בטוח) נפרץ, וגם פרצו לחשבון דרופבוקס האישי שלך וגם עלו השם שנתת לקובץ שלך וגם כל זה קרה הרבה לפני ששמעת על זה ועדכת את הססמאות החשובות שלך למשהו אחר הוא במוני מונים קטן מהסיכוי שדיסקאוןקי / הארד-דיסק חיצוני יגנבו/יכשלו.
כמו שרשמתי מקודם - יש trade-off בין חוזקת האבטחה, לבין הנגישות לדברים שאתה רוצה לאבטח. כל אחד צריך למצוא את האופטימום שלו. אין תשובה אחת נכונה. אני אישית בוחר ב״תצפין כמה שיותר חזק״, ו״תגבה בכמה שיותר מקומות״.