איך אתם שומרים סיסמאות?

[adamshalev]

אתה גם יודע קצת על המבנה הפנימי של הקובץ? ה metadata של כל entry כן נשמר חשוף? הקובץ שומר כל entry באופן שניתן לראות לספור אותם?
לגבי המכשיר עצמו, מבחינת דרייברים וכו' זה plug&play ?

זה JSON. הוא כולו מוצפן עם טרזור. ברגע שאתה "פותח" את מנהל הססמאות (דורש אישור בטרזור), הקובץ נפתח (decrypted). הוא מכיל מטא-דאטא על כל הרשומות (שגורם זדוני על המחשב יראה), אבל הססמאות וה-notes מוצפנים בנפרד לכל רשומה. בשביל לפתוח כל אחת מהן צריך לאשר בטרזור את הרשומה הספציפית.

אם יש לך לינק בשלוף, אשמח.

לא בשלוף, נתקלתי בבלוג אחד לפחות שתיאר את זה.

 

[ביולוג ירושלמי]

זה הפתרון שלי (לא שזה יעזור פה למישהו).

 

[adamshalev]

זה הפתרון שלי (לא שזה יעזור פה למישהו).

(לדעתי) גרוע מאד. מה יקרה כאשר שהמחברת תגנב\תאבד? אפילו LastPass לאין ערוך יותר טוב.

 

[ביולוג ירושלמי]

מה יקרה כאשר שהמחברת תגנב\תאבד?

תגנב זו אופציה שאני לא לוקח בחשבון למרות שהיא תיתכן.
תאבד לא יקרה כי אני אחראי על גבול ה- OCD, ואני לא מאבד דברים.
חוץ מזה בתור לא אדם טכנולוגי, זה באמת הפיתרון שלי (שבטוח שלא יעזור פה למישהו).

 

[nick]

(לדעתי) גרוע מאד. מה יקרה כאשר שהמחברת תגנב\תאבד? אפילו LastPass לאין ערוך יותר טוב.

יש ססמה שאי אפשר לשחזר?
למיטב ידיעתי תמיד אפשר, אז זה לא אמור להיות כזה נורא.

 

[Benjamin W]

https://www.youtube.com/watch?v=PFNRkd1g-kg

 

[adamshalev]

https://www.youtube.com/watch?v=PFNRkd1g-kg

כמה מחשבות:
- מבוסס Bluetooth שבעצמו מהווה סיכון אבטחה.
- בתור מנהל ססמאות לא שונה מLastPass (שתומך ב 2fa).
- מהווה single point of failure לכל אספקטי האבטחה שלך (אני לא רוצה שמכשיר אחד יתן לגנב גישה להכל, זה נוגדאת עקרון השכבות ומינימום אחריות של אבטחה חזקה).

אבטחה טובה משלבת משהו שאתה יודע עם משהו שיש לך פיסית. המכשיר הזה מרדד את האבטחה של הכל (מחשב, טלפון, אתרים, רכב, בית) לדבר אחד בלבד - משהו שיש לך.

 

[מרק עוגיות]

לא משתמשת בשום אפליקציה. יש מעט מאד סיסמאות שאי אפשר לשחזר על ידי בקשה לאיפוס סיסמא שמתבצעת על ידי שליחה לאימייל ושגם באמת מטריד אותי שיגנבו לי. אז אני צריכה לזכור את הסיסמא של האימייל, ועוד שלוש ארבע סיסמאות חשובות כמו הסיסמא של הבנק ושל העבודה. יש עוד כמה סיסמאות שקשה יחסית לשחזר אבל הן לא באמת חשובות, כי גם אם מישהו יפרוץ הוא לא יוכל לעשות שום דבר מסוכן (למשל סיסמא לאתר שמראה אינפורמציה אמנם אישית, אבל לא רגישה מבחינתי, ושאי אפשר לעשות בו שום פעולות). אותן אני שומרת בדרך לא מאובטחת במיוחד.

כל השאר, אם שכחתי אני מבקשת לשחזר, זה בדרך כלל תהליך של 30 שניות. גם את אלו שלא ניתן לשחזר כך, כמו הסיסמא של הבנק, אפשר ליצור מחדש אם אשכח, רק זה יקח יותר זמן וטרטור. אני לא מצליחה לחשוב עכשיו על אף סיסמא שאם אשכח אותה זה יהיה אסון ולא יהיה ניתן לשחזר אותה בדרך כלשהי, במקרה הגרוע דרך שרות לקוחות איטי כלשהו. אולי סיסמת האימייל.

 

[adamshalev]

@מרק עוגיות ככל שהססמאות שלך יותר קלות לשחזור ולשינון, כך הן גם יותר פריצות.
זה לא אומר שאת צריכה לשנות משהו בהכרח, רק להכיר בכך שמדובר בטרייד-אוף.

 

[hag]

מה דעתכם על השיטה הבאה :

לייצר ״תיקייה״ עם סיסמא (במקינטוש אפשר ליצר קובץ dmg שניתן לערוך המוצפן ב AES 128/256 אך אני מניח שאפשר לעשות את גם עם תוכנות אחרות) לשים שם את כל הסיסמאות בתוך קובץ טקסט וזהו. לזכור את הסיסמא ולגבות את הקובץ בנייד או בd.o.k
חוץ מנוחות יש איזה יתרון מובהק לתוכנות כמו keepass על השיטה הזאת? בסוף זה הכנסת מאסטר קיי והעתק הדבק...

 

[adamshalev]

@hag מנהל ססמאות טוב (דוגמת keepass) מוסיף עוד יכולות ראויות, אם כי מה שציינת כנראה יעשה את העבודה ברמה הכי בסיסית.
למשל:
- שמירת גיבוי גרסאות של הססמאות ישר בתוך קובץ הססמאות
- הקלדה אוטומטית של שדה היוזר ושדה הססמא לשדות הרלוונטיים עם קיצור מקשים
- חיפוש/סינון פשוט
- הצפנה חזקה יותר, ובפרט כזו שמאטה את הפורץ ו/או מחייבת אותו לנצל המון זכרון (בקי פאס יש למשל אפשרות לקנפג את קושי ההצפנה כך שלמחשב שלך יקח שניה אחת בדיוק רק לעשות decrypt, מה שהופך שיטות brute force ללא פרקטיות לחלוטין אפילו אם הססמא חלשה במובן רגיל)
- יש כל מני הגנות נגד גניבת ססמאות גם אם המחשב נגוע (זה עובד רק מול סוגים מסויימים של תוקפים, ותלוי מימוש, אבל זה עדיף מקובץ טקסט במוני מונים).

באופן כללי - עדיף להשתמש בכלי ייעודי שנכתב ע״י אנשים שמבינים באבטחת מידע והצפנה, ולא לעשות דברים כאלו לבד.

 

[מתכנת]

מנהל ססמאות טוב (דוגמת keepass) מוסיף עוד יכולות ראויות,

+1
כמה פיצ'רים שימושיים נוספים שעולים לי מיד לראש:
נעילה אוטומטית לאחר זמן חוסר פעילות שהוגדר.
מחיקה אוטו' של הסיסמה מה clipboard לאחר מספר שניות.
תזכורת להחלפת סיסמאות / סיסמה ראשית

באופן כללי - עדיף להשתמש בכלי ייעודי שנכתב ע״י אנשים שמבינים באבטחת מידע והצפנה, ולא לעשות דברים כאלו לבד.

כתבת פעם

לעולם אל תכתבו ספריה שמטפלת בתאריכים וזמנים בעצמכם. לעולם.

זה נכון במידה רבה גם על הצפנה והאשינג.

בנוסף לחסרונות שציינת לגבי שמירת סיסמאות בקובץ טקסט חלק מתוכנות העריכה שומרות גיבוי (למקרה שהתוכנה/המחשב יסגרו בפתאומיות) הגיבוי הזה בתיקיית TEMP וכד' למותר לציין שזה לא מוצפן, גם לאחר שהתוכנה מוחקת אותו ניתן לשחזור כל עוד לא נדרס.

 

[פשוט]

לינק לאדם שטען שהוא פרץ?

לצערי לא אוכל משום שזה היה בשיחת ווטסאפ בקבוצת מתכנתים

 

[מתכנת]

גם אני ב Keepass אבל לאחרונה איזה אדם שאינני מכיר בקבוצת מתכנתים טען שזה פתרון לא מוגן והוא פרץ אותו. אינני יודע איך לאכול את זה.

אין לך שום אינפורמציה נוספת? ההוא לא סיפק שום מידע?
כי זה קצת יומרני לטעון טענה כזו בלי להצביע על כלום.

 

[Benjamin W]

- מבוסס Bluetooth שבעצמו מהווה סיכון אבטחה.

בסדר, אפשר להעביר דברים על unsecure channel

בתור מנהל ססמאות לא שונה מLastPass

וודאי שכן. הוא חושף רק ססמא אחת ולא הכל

שתומך ב 2fa

תומכים בצורה מאוד גרועה.

מהווה single point of failure לכל אספקטי האבטחה שלך

אכן, אבל זה וקטור תקיפה מאוד לא סביר. וניתן לבטל אותו.

אבטחה טובה משלבת משהו שאתה יודע עם משהו שיש לך פיסית.

something you know, something you have, something you are .........

תראה, אני לא חושב שזה פתרון טוב ל authentication באופן גורף, לא הייתי משתמש בזה בשביל להתחבר לבנק, או לחשבון המייל העיקרי שלי.

אבל לרוב המוחלט של הדברים שיש לי ב lastpass זה פתרון סביר בהחלט.

מכיר את השיטה של גוגל, שאתה תמיד צריך להכניס סיסמה (בעיקר בשביל פעולות מיוחדות) אבל את ה 2FA אתה צריך רק בשביל לזהות את המכשיר? וזה נזכר ל30 יום?

אז אולי אפשר לעשות משהו דומה עם הדבר הזה. לוג אין ראשוני עם סיסמה ו EZKEY , ואח"כ מספיק ה EZKEY. לדברים כמו פייסבוק זה יותר ממספיק.

 

[adamshalev]

וודאי שכן. הוא חושף רק ססמא אחת ולא הכל

כנראה שפספסתי את החלק הזה. יש אישור ידני לססמא ספציפית שאתה רוצה לחשוף?

something you are

לא ציינתי את זה כי בפועל לא ראיתי יישום טוב של זה עדיין. משהו שיש לך - כמו טרזור\יוביקי וכד' עובד מצויין לעומת זאת.

בתכלס לרוב הדברים keepass / lastpass מספיק. מנהל ססמאות פיסי חשוב לדברים החשובים באמת, אבל אני בכוונה משתמש בו להכל בשביל להרגיל את עצמי ושלא יהיה לי תירוץ לעגל פינות.

 

[מתכנת]

בסדר, אפשר להעביר דברים על unsecure channel

לא בדיוק.
עצם העובדה שיש Bluetooth interface זה ווקטור תקיפה (גם במובייל אגב), אלא אם יש אפשרות לנטרל לחלוטין את המשדר וגם אז בעירבון מוגבל.

 

[מרק עוגיות]

ככל שהססמאות שלך יותר קלות לשחזור ולשינון, כך הן גם יותר פריצות.
זה לא אומר שאת צריכה לשנות משהו בהכרח, רק להכיר בכך שמדובר בטרייד-אוף.

ברור. אבל זה לא בשליטתי שיש סיסמאות שניתן לשחזר באמצעות "שכחתי סיסמה", כך האתרים בנויים. לגבי סיסמאות שאני זוכרת, כפי שכתבתי הן מעטות ולכן אני יכולה לעשות אותן מסובכות ועדיין לזכור אותן.

 

[adamshalev]

ברור. אבל זה לא בשליטתי שיש סיסמאות שניתן לשחזר באמצעות "שכחתי סיסמה", כך האתרים בנויים

זה כן בשליטתך מידת מה. את יכולה להפוך אותן למגונרטות וארוכות, כך שניחוש שלהן, או ברוט-פורס יהיה בלתי אפשרי, ודליפה של אחת מהן לא תסכן ססמא של אף שירות אחר.
לגבי השחזור - את יכול שהמייל שאליו בקשות השחזור נשלחות יהיה מייל מוקשח של ג׳ימייל (אפשר להקשיח את המייל באופן כזה שלא ניתן יהיה להכנס אליו ללא אחזקה פיסית של מכשיר כמו Yubikey או אחרים שתומכים ב-U2F).

 

[מתכנת]

מכשיר כמו Yubikey

יש לך ניסיון עם זה או משהו להגיד מעבר?
איך מגבים אותו למקרה שיאבד?