איך אתם שומרים סיסמאות?

[adamshalev]

האם המדיניות הבאה מקבילה לחיזוק ההגנה בעזרת 2fa ?
שימוש במנהל ססמאות סטנדרטי בענן + הוספת suffix קבוע שרק אני יודע לכל סיסמה שהוא מייצר. כלומר לא שומרים את הsuffix במנהל, אלא מקלידים אותו כל פעם מחדש.

באופן הזה אם מישהו מצליח לפרוץ למנהל הסיסמאות ולהשיג את כל הסיסמאות שלי, הוא עדיין לא יוכל להשתמש בהן ללא ידיעת הsuffix.

זה לא רעיון שלי, קראתי אותו לפני כמה ימים באיזה בלוג כשחיפשתי מידע על מנהלי סיסמאות, לצערי אני לא זוכר איזה בלוג כדי לתת קרדיט.

זה נשמע מסורבל, ואתה מסתכן בזה שלא תזכור איפה שמת את הסיומת ואיפה לא ואולי היא תשתנה בעתיד.
המטרה של מנהל הססמאות היא לוודא שאתה מאבטח אותו בצורה חזקה ונותן לו לזכור את הססמאות.

 

[Libertad]

האם המדיניות הבאה מקבילה לחיזוק ההגנה בעזרת 2fa ?
שימוש במנהל ססמאות סטנדרטי בענן + הוספת suffix קבוע שרק אני יודע לכל סיסמה שהוא מייצר. כלומר לא שומרים את הsuffix במנהל, אלא מקלידים אותו כל פעם מחדש.

באופן הזה אם מישהו מצליח לפרוץ למנהל הסיסמאות ולהשיג את כל הסיסמאות שלי, הוא עדיין לא יוכל להשתמש בהן ללא ידיעת הsuffix.

זה לא רעיון שלי, קראתי אותו לפני כמה ימים באיזה בלוג כשחיפשתי מידע על מנהלי סיסמאות, לצערי אני לא זוכר איזה בלוג כדי לתת קרדיט.

לא יודע אם אעשה את זה אבל בהחלט אשקול, תודה על הרעיון.

 

[FreeAgent]

הקשתי היום את הסיסמת לוגין לשרת שלי (דבר שקורה כמעט כל הפסקת חשמל), ונזכרתי שוב ביתרון של סיסמאות בשיטה של XKCD המהולל (https://xkcd.com/936)

יכולת לייצר סיסמאות כאלה זה חובה לכל מנהל סיסמאות, לדעתי

 

[Benjamin W]

האם המדיניות הבאה מקבילה לחיזוק ההגנה בעזרת 2fa ?
שימוש במנהל ססמאות סטנדרטי בענן + הוספת suffix קבוע שרק אני יודע לכל סיסמה שהוא מייצר. כלומר לא שומרים את הsuffix במנהל, אלא מקלידים אותו כל פעם מחדש.

באופן הזה אם מישהו מצליח לפרוץ למנהל הסיסמאות ולהשיג את כל הסיסמאות שלי, הוא עדיין לא יוכל להשתמש בהן ללא ידיעת הsuffix.

זה לא רעיון שלי, קראתי אותו לפני כמה ימים באיזה בלוג כשחיפשתי מידע על מנהלי סיסמאות, לצערי אני לא זוכר איזה בלוג כדי לתת קרדיט.

לא. 2FA, מגן עליך מפני פישינג (במידה כזאת או אחרת, ובתלות במנגנון הספציפי)
כלומר גם אם שרפת את הסיסמה, אתה עדיין מוגן (שוב, המידה תלויה במנגנון)

 

[מתכנת]

הקשתי היום את הסיסמת לוגין לשרת שלי (דבר שקורה כמעט כל הפסקת חשמל), ונזכרתי שוב ביתרון של סיסמאות בשיטה של XKCD המהולל (https://xkcd.com/936)

יכולת לייצר סיסמאות כאלה זה חובה לכל מנהל סיסמאות, לדעתי

בדוגמה שלהם סיסמה מורכבת ממילים שווה ל ‪2^44
הם לא התייחסו למתקפת מילון מבוססת מילים,
מה שיפה, שאפילו אם ננסה למדוד קושי לפי קומבינציות של מילים ואפילו אם המאגר כולל רק 2000 מילים זה ‪2000^4
שזה ממש קרוב ל ‪2^44

 

[FreeAgent]

בדוגמה שלהם סיסמה מורכבת ממילים שווה ל ‪2^44
הם לא התייחסו למתקפת מילון מבוססת מילים,

הם התייחסו רק למתקפה כזו - ההנחה שאיתה מגיעים ל44 ביט זה שהתוקף יודע שזה ארבע מילים ואת המילון שהשתמשת בו ביצירת הסיסמה

מה שיפה, שאפילו אם ננסה למדוד קושי לפי קומבינציות של מילים ואפילו אם המאגר כולל רק 2000 מילים זה ‪2000^4
שזה ממש קרוב ל ‪2^44

2 בחזקת 11 זה 2048

 

[מתכנת]

הם התייחסו רק למתקפה כזו - ההנחה שאיתה מגיעים ל44 ביט זה שהתוקף יודע שזה ארבע מילים ואת המילון שהשתמשת בו ביצירת הסיסמה

אשמח אם תסביר את החישוב איך הגיעו ל 44 ביט

2 בחזקת 11 זה 2048

את זה בכלל לא הבנתי, מה אתה רוצה לומר ? למה 11 ?

עריכה: נראה לי הבנתי, הם מניחים 11 ביט לכל מילה כי זה הגודל של המילון (2048 מילים) אז עכשיו די ברור למה הגעתי לתוצאה דומה דרך ‪2000^4
תודה על ההערה !

 

[Benjamin W]

הם לא התייחסו למתקפת מילון מבוססת מילים,

אתה יכול בקלות להפוך מתקפה כזאת ללא ישימה... פשוט מוסיף איזה קשקוש איפשהו...

 

[Libertad]

אתה יכול בקלות להפוך מתקפה כזאת ללא ישימה... פשוט מוסיף איזה קשקוש איפשהו...

לגמרי. מספיק להוסיף תו מיוחד בין כל מילה, לדוגמה מקף:
ani-kotev-beforum-hasolidit

מנהלי סיסמאות טובים גם נותנים לשלב מספרים ואותיות גדולות:
Ani-koTev-BforUm-Hasolidit9

אין רשימת מילים שתתפוס סיסמה כזאת וברוט פורס גם לא יהיה יעיל.

 

[Henchman34]

זה חמוד, אבל זה מבוסס על U2F . שזה מגניב, אבל לא נתמך בגיטהאב ועוד כל מיני. חשבתי יותר על כיוון של smart card דרך PIV או gpg

זה יחסית חדש אבל לדעתי יש כבר תמיכה ב-gitlab. אני משתמש ב-solokey שכולו בקוד פתוח(כולל החומרה) ולא בדקתי את התמיכה שלהם ב-PIV אבל למיטב ידיעתי yubikey תומך ב-PIV.

 

[Razor]

אני בדיוק מחפש מנהל ססמאות וקראתי דברים טובים על bitwarden. בעיקר מוצא חן בעיני שהוא open source, עבר audits, הוא קרוס פלאטפורם וחינמי.
נשמע שהחסרון העיקרי שמישהו ציין בreddit, הוא שזה one man show, ובדומה לפרוייקטים של קוד פתוח אחרים, יתכן והמתכנת ינטוש את הפרויקט יום אחד. זה לא נשמע לי מאד סביר כי יש גם מסלול premium ולפרוייקט יש הכנסות. אבל זה טיעון שצריך להתחשב בו.

למישהו יש עוד דעות בעד/נגד bitwarden?

Lastpass מת (או לפחות החינמיות שלו) יחי bitwarden!

היה קל לעבור, עובד טוב

 

[grimble grumble]

אני בדיוק מחפש מנהל ססמאות וקראתי דברים טובים על bitwarden. בעיקר מוצא חן בעיני שהוא open source, עבר audits, הוא קרוס פלאטפורם וחינמי.
נשמע שהחסרון העיקרי שמישהו ציין בreddit, הוא שזה one man show, ובדומה לפרוייקטים של קוד פתוח אחרים, יתכן והמתכנת ינטוש את הפרויקט יום אחד. זה לא נשמע לי מאד סביר כי יש גם מסלול premium ולפרוייקט יש הכנסות. אבל זה טיעון שצריך להתחשב בו.

למישהו יש עוד דעות בעד/נגד bitwarden?

העניין הוא שאתה לא נעול כי הוא מאפשר לך לייצא לפורמט סטנדרטי.
אז במקרה הגרוע, הפרויקט יסגר (ולא יעשו fork) או אולי תמצא אפשרות אחרת שאתה מעדיף, זה עניין של פחות מדקה לייצא ולייבא לאפליקציה אחרת.

 

[מתכנת]

היופי בטרזור הוא שסוד שלא פתחת במחשב מעולם לא נחשף במחשב. אני יודע בוודאות שהוא מוגן גם אם המחשב פרוץ ונגוע מהייסוד.

באמת יפה.
אתה מוגן גם מפני המתקפה הזו:
Backdoored password manager stole data from as many as 29K enterprises

 

[flower]

אחרי כל השרשור הגדול הזה
אפשר איזה סיכום או איזה קונצנסוס יש בנושא הזה?

 

[adamshalev]

באמת יפה.
אתה מוגן גם מפני המתקפה הזו:
Backdoored password manager stole data from as many as 29K enterprises

זה ממש נורא, וגם באמת נקודת הכשל העיקרית של כל password manager, לא משנה כמה טוב הוא וכמה open source הוא וכמה מלאך מי שכתב אותו. אתה אף פעם לא יודע אם הקובץ שאתה מוריד (או העדכון האוטומטי או הידני שלו), הוא לא compromised ולא שולח את כל הססמאות שלך לשרת צד ג.

לטרטור יש חסרונות, הוא לא הכי נח, הוא לא עובד על מובייל, הוא קצת יקר, כאב ראש להחליף אותו (יש לי שתיים פעילים), אבל מבחינת אבטחה - הוא עדיין מנצח כל אחד אחר. הסכנה העיקרית בטרזור היא הפוכה - אובדן גישה לססמאות.

 

[האזרח הקטן]

מנצל את השרשור, יש למישהו המלצה על התקן חיצוני לשמירת ססמאות?

 

[adamshalev]

מנצל את השרשור, יש למישהו המלצה על התקן חיצוני לשמירת ססמאות?

טרזור?
הוא לא שומר את הססמאות, הן נשמרות בדרופבוקס או גוגל דרייב, הוא מצפין אותן (ופותח אותן) על המכשיר מחוץ למחשב, ככה שהוא מגן על הססמאות נגד מחשב נגוע (למעט הססמא הבודדת שפתחת בשביל להשתמש בה על המחשב).

עוד אפשרות שחבר עושה זה keepasaxc על רסברי פיי שלא מחובר לאינטרנט, שזה די מסורבל.

 

[FreeAgent]

מנצל את השרשור, יש למישהו המלצה על התקן חיצוני לשמירת ססמאות?

פלאפון, או מכשיר אחר שמריץ אנדרואיד (טאבלט, סטרימר) או לינוקס (ראוטר, רומבה)
לפלאפון עם TPM טוב יש ייתרון שאפשר להצפין את המכשיר ומפתח ההצפנה כנראה ישאר מאובטח, כמעט כמו בטרזור. כמובן, זה מעניין אותך בעיקר אם אתה מודאג שהFBI יחרים לך את המכשיר בגבול וינסה לפרוץ אותו. לרוב מקרי הגניבות, הסיסמה מספיקה גם בלי שהיא מאובטחת בחומרה מוקשחת.
(פלאפונים מפורסמים בתור מכשיר שפורצים אליו - לרוב מדובר בפריצה לחשבון, או דברים של המערכת כמו מעקב אחרי המיקום של הפלאפון וכל מידע אחר שהמערכת מאפשרת לתוכנה לקבל. תוכנה יכולה לקבל מהמערכת אנדרואיד גישה לסמס, לשיחות, למיקום, וכו' וכו'. אין לה דרך פשוטה לקבל גישה למידע ששמרה תוכנה אחרת)

עדיין לא ניסיתי לשמור סיסמאות על הרומבה, אבל זה נשמע רעיון מעניין