איך אתם שומרים סיסמאות?

[מתכנת]

@FreeAgent
אם הבנתי טוב את המוטיבציה, אתה רוצה stateless password manager - לשמור רק סיד ולהיות מסוגל לשחזר ממנו את הסיסמאות, בלי צורך לסנכרן התקנים שונים כל פעם שסיסמה נוספת או משתנה.
הבעיה היא שיש כמה כשלים שמונעים ממך להשיג את המטרה וציינת אותם במפורש או במרומז,
עדיין אתה חייב לשמור עוד הרבה מידע חוץ מהסיד -

1. שמות משתמשים,
2. כתובות אתרים,
3. בשביל שינוי סיסמה - ספרור
4. סוג פלט - זה לגמרי קשוח, איך אתה זוכר לכל שירות/אתר איזה סוג פלט בחרת ?

היכן אתה שומר את כל אלו ? איך הם מסוכנרכים בין הטלפון והמחשב ?

הפקה דטרמניסטית של סודות מתוך סיד זה רעיון ממש מגניב שאהבתי, אבל אישית נראה לי הוא מתאים יותר לארנקי קריפטו ופחות למנהלי סיסמאות.

 

[adamshalev]

@FreeAgent
אם הבנתי טוב את המוטיבציה, אתה רוצה stateless password manager - לשמור רק סיד ולהיות מסוגל לשחזר ממנו את הסיסמאות, בלי צורך לסנכרן התקנים שונים כל פעם שסיסמה נוספת או משתנה.
הבעיה היא שיש כמה כשלים שמונעים ממך להשיג את המטרה וציינת אותם במפורש או במרומז,
עדיין אתה חייב לשמור עוד הרבה מידע חוץ מהסיד -

1. שמות משתמשים,
2. כתובות אתרים,
3. בשביל שינוי סיסמה - ספרור
4. סוג פלט - זה לגמרי קשוח, איך אתה זוכר לכל שירות/אתר איזה סוג פלט בחרת ?

היכן אתה שומר את כל אלו ? איך הם מסוכנרכים בין הטלפון והמחשב ?

הפקה דטרמניסטית של סודות מתוך סיד זה רעיון ממש מגניב שאהבתי, אבל אישית נראה לי הוא מתאים יותר לארנקי קריפטו ופחות למנהלי סיסמאות.

גם בארנקי קריפטו אגב יש ספרור. הוא מניח אפס כברירת מחדל, אבל אתה צריך להגיד לו את מספר הארנק הסדרתי אם עשית יותר מאחד.
אבל כן זה מוגבל מדי בשביל one stop shop.

 

[מתכנת]

גם בארנקי קריפטו אגב יש ספרור

ההבדל הוא שבקריפטו הספרור הוא stateless, אתה (או הארנק עצמו) יכול פשוט לבדוק אם יש יתרה ב 100 או 1000 כתובות הבאים, אתה אדיש לספרור במידה מסוימת.
ואילו במקרה של מנהל סיסמאות אתה חייב לדעת היכן ה counter נמצא, אחרת האתר יחסום אותך אחרי מספר נסיונות שגויים.

בעצם אולי דיברת על slots, אבל גם slots זה רק חלוקה לוגית קבועה, בניגוד ל counter שמתקדם כל הזמן ומתוחזק לכל אתר בנפרד

 

[FreeAgent]

טוב. מה שאתה עושה זה רעיון רע.

'רעיון רע' זה ביטוי די חלש לתאר מערכת קריפטוגרפיה home-made בפייתון

1. אני לא חושב שיש לזה איזשהו יתרון על פני מנהל סיסמאות.

אני נוטה להסכים. יש אנשים שמתלהבים מהעיקרון (טוב, יש עד כמה שידוע לי אדם אחד), אבל אם אין לך בעיה עם מנהל סיסמאות אז יש לו רק יתרונות.

2. עדיין יש לך נקודת חולשה קריטית, שנמצאת באוויר, בדמות מפתח שממנו מופקות הסיסמאות. אין הבדל עקרוני בין זה לבין לשמור קובץ סיסמאות מוצפן ע"י סיסמה ראשית.

נכון. ההבדל העקרוני היחיד הוא מספר הביטים שצריך לשמור. בקובץ מוצפן, הגודל שלו הוא בO של כמות הסיסמאות. הסיד שלי הוא 256 ביט. זה O(1)
מצד שני, כמו שמתכנת אמר, יש עוד מידע שצריך לשמור וזה פוגע ב'טוהר' של המערכת. אבל לפחות לסיסמאות החשובות ביותר שלי אני לא צריך שום מידע נוסף.

3. אם יש איזשהו פאק במימוש שלך, שמאפשר מסיסמה אחת, או כמה סיסמאות, להפיק את המפתח שלך, או אפילו לצמצם מספיק את המרחב שבו הוא יכול להיות, אתה פותח את עצמך למגוון שלם של מתקפות.

כמובן. ה'מימוש' שלי, כאמור, הוא PBKDF2 (בפלאפון המימוש הפנימי הוא של אנדרואיד, בפייתון יש ספרייה. שניהם כמובן מגיעים לאותן תוצאות אחרת זה לא היה עובד). אני לא חושב שצריך להיות מומחה גדול בקריפטוגרפיה כדי להחליט אם זה חזק קריפטוגרפית. מספיק מומחה בינוני.
מסיסמה אחת של 44 ביט אפשר לצמצם את המרחב של הסיד רק ב44 ביט. אבל מכמה סיסמאות אפשר, אם יש חולשה בPBKDF2, לצמצם את המרחב עוד יותר.
PBKDF2 בנוי לhashing של סיסמאות - לקחת סיסמה וsalt ולייצר hash. הוא אמור להיות חד-כיווני - מהhash והsalt קשה להפיק את הסיסמה, וחזק נגד התקפות מילון - צריך להיות קשה 'להתאים' בין שתי סיסמאות שוות שעובדו עם salt שונה. השימוש שלי בו שונה - לתוקף עם כמה מהסיסמאות שלי יהיה כמה hashים וsaltים ואת הידע שהסיסמה היא אותה אחת. אני לא יודע מספיק כדי לדעת אם אפשר להוכיח שהוא חזק גם נגד הווקטור הזה.

היכן אתה שומר את כל אלו ? איך הם מסוכנרכים בין הטלפון והמחשב ?

כן, התוכנה שומרת את שם האתר. המשתמש, סוג הפלט והספרור, בדטהבייס פשוט (בפייתון זה קובץ, בפלאפון אנדרואיד מספק כזה). אני לא מסנכרן ביניהם - זה פיצ'ר חסר. אני גם לא מגבה אותו, חוץ מזה שיש שני עותקים כאמור. אם וכאשר אני אוסיף גיבוי, התוכן שלו 'רגיש' (שמות האתרים שאני חבר בהם) אבל לא 'סודי בהחלט' (מבחינת האלגוריתם, זה שקול לsalt שידוע לתוקף). כמובן שהוא יכול להיות מוצפן כמו שמנהל סיסמאות עושה.
(שני המימושים שומרים את סוג הפלט. המימוש בפלאפון לא שומר את שם המשתמש - לגמרי פאק שלי שלא תיקנתי עדיין.
זה בעצם הופך את המערכת לשקולה למנהל סיסמאות (בייחוד אם אני אוסיף אפשרות להצפין מידע שרירותי) - היתרון מבחינתי, כאמור, הוא שאת הסיסמה הכי חשובה לי אני יכול לשחזר מהדף שבכספת, ולא צריך לעדכן אותו אם אני אוסיף עוד סיסמה חשובה (בהנחה והיא לא תהיה לאתר מטומטם שלא מוכן לקבל BIP39 כסיסמה)

הפקה דטרמניסטית של סודות מתוך סיד זה רעיון ממש מגניב שאהבתי, אבל אישית נראה לי הוא מתאים יותר לארנקי קריפטו ופחות למנהלי סיסמאות.

אני שמח לשמוע שיש אדם שלישי שחושב שזה רעיון מגניב
אני רוצה לציין שלי היה את הרעיון לפני ששמעתי על ארנקי קריפטו, אבל ישבתי לממש אותו רק לפני שלוש שנים. באידיאל, אתרים לא היו דורשים ממך לזכור דברים טפשיים כמו שם משתמש או איזה הגבלות אזוטריות על סיסמאות הם המציאו, והיה אפשר לייצר את הסיסמה רק מהURL. אבל זה לא ככה וככל שאני מוסיף שירותים לדטהבייס יש יותר ויותר מקרי קצה (אתר שדורש אות 'מיוחדת' - אני מוסיף =, אבל יש אתר אחד שלא מקבל את זה כאות מיוחדת. אתר שדורש סיסמה קצרה(!!) ולא מקצץ אותה בעצמו).

 

[מתכנת]

לייצר את הסיסמה רק מהURL. אבל זה לא ככה וככל שאני מוסיף שירותים לדטהבייס יש יותר ויותר מקרי קצה (אתר שדורש אות 'מיוחדת' - אני מוסיף =, אבל יש אתר אחד שלא מקבל את זה כאות מיוחדת. אתר שדורש סיסמה קצרה(!!) ולא מקצץ אותה בעצמו).

שים לב שכתובת האתר זה משהו שנוטה להשתנות מפעם לפעם כשאתר משתדרג (מעבירים ל subdomain אחר וכד׳)
גם ההנחה שהאתר מקצץ את הסיסמה עלולה להיות בעייתית כי חוקי הקיצוץ צריכים להיות זהים הן בהרשמה והן בלוגין, כמו כן זה גם משהו שעשוי להשתנות ואז תמצא עצמך עם סיסמה שאתה לא יודע כמה לקצץ ממנה

הגודל שלו הוא בO של כמות הסיסמאות. הסיד שלי הוא 256 ביט. זה O(1)

יש לי מאות ערכים במנהל הסיסמאות והוא לא שוקל אפילו מגה בייט אחד.
O(n) נהיה אישו כשיש קושי חישובי או בעיית אחסון בסקייל, אבל כשמדברים על מנהל סיסמאות של אדם אחד, נו... זה לא ממלא אפילו Floppy Disk של 1.44 מגה.

 

[Benjamin W]

מסיסמה אחת של 44 ביט אפשר לצמצם את המרחב של הסיד רק ב44 ביט.

זה לא נכון. וזה תלוי בכל מיני דברים.
אני לא מכיר את PBKDF2 , אבל השימוש שלך ב SALT נראה לי קצת מדאיג.

'רעיון רע' זה ביטוי די חלש לתאר מערכת קריפטוגרפיה home-made בפייתון

זאת בדיוק הבעיה לדעתי. אני לא יודע איך מימשת ומה מימשת. אבל אם טעית במימוש בצורה שעלולה לחשוף את המפתח שלך, זה GAME OVER . אם כי, אני לא חושב שמישהו יטרח להתחיל לתקוף אותך, או לנסות לעשות לך crypto analysis

 

[FreeAgent]

>מסיסמה אחת של 44 ביט אפשר לצמצם את המרחב של הסיד רק ב44 ביט.
זה לא נכון. וזה תלוי בכל מיני דברים.

הנחתי שהתגובה הבאה תהיה סתירה לתיאורית האינפורמציה, ואני לא אוכזבתי.
הסיד הוא אקראי לגמרי. מN ביט של אינפורמציה אפשר לקבל רק N ביט של אינפורמציה.

אני לא מכיר את PBKDF2 , אבל השימוש שלך ב SALT נראה לי קצת מדאיג.

כן, זה לא השימוש הסטדנרטי ולכן זה מדאיג. את HMAC אתה מכיר?

זאת בדיוק הבעיה לדעתי. אני לא יודע איך מימשת ומה מימשת. אבל אם טעית במימוש בצורה שעלולה לחשוף את המפתח שלך, זה GAME OVER .

אני לא רואה את הקשר למימוש - כמו שאמרתי, המימוש הוא מספריות קריפטוגרפיה קיימות. אני מריץ את הtest vector שלהן ומקבל את אותן תוצאות. אם לPBKDF2 יש חולשה שמאפשרת מhash+salt אחד למצוא את הסיסמה, כל מאגר hashים שדלף לאינטרנט רגיש להתקפה הזאת. החולשה היחידה שאני מוסיף זה שלתוקף יכולה להיות גישה לכמה זוגות hash+salt תוך ידיעה שהסיסמה בפנים היא אותה אחת (ובמאגרים שדלפו לאינטרנט, התוקף רק חושד בכך).

O(n) נהיה אישו כשיש קושי חישובי או בעיית אחסון בסקייל, אבל כשמדברים על מנהל סיסמאות של אדם אחד, נו... זה לא ממלא אפילו Floppy Disk של 1.44 מגה.

כמובן שהissue זה לא אחסון המידע דיגיטלית. הנושא הוא האחסון על נייר. מנהל הסיסמאות של אשתי היה בהתחלה דף נייר. מאז הוא התנפח ל3(!) דפי נייר. זה גידול של 200%! בקצב הזה, עד הפרישה יהיה לה ספר שלם של סיסמאות

 

[Benjamin W]

הנחתי שהתגובה הבאה תהיה סתירה לתיאורית האינפורמציה, ואני לא אוכזבתי.

יופי...
אתה מכיר את הסיפור על הפריצה של ה PS3? איך הם השתמשו ב EC ?

מה שאני אומר, זה שאתה מניח, שהשתמשת בכלים בצורה נכונה. יכול להיות שכן, ויכול להיות שלא. אם לא, אז יכול להיות שמה, שאתה עושה הרבה יותר חלש ממה, שנראה לך. וצריך אשכרה להבין את המתמטיקה בשביל להגיד את זה. לדוגמה, יכול להיות, שהסיד שלך פחות אקראי ממה שנראה לך?

HMAC

כן... ולכן השימוש ב SALT ככה נראה לי מוזר...
נניח האם תוקף יכול לגרום לרסברי שלך להתחיל לחולל סיסמאות?

 

[FreeAgent]

אתה מכיר את הסיפור על הפריצה של ה PS3? איך הם השתמשו ב EC ?

ראיתי את ההרצאה שהבחור נתן על זה. לא זוכר את כל הפרטים כרגע.
הסתכלתי בויקי - זה היה שסוני השתמשו באותו nonce (זה כמו IV או salt ) פעמיים, או פשוט שמו שם אפס.
כן, זה דוגמה מצוינת להשתמש בכלי בצורה לא נכונה.

מה שאני אומר, זה שאתה מניח, שהשתמשת בכלים בצורה נכונה. יכול להיות שכן, ויכול להיות שלא. אם לא, אז יכול להיות שמה, שאתה עושה הרבה יותר חלש ממה, שנראה לך. וצריך אשכרה להבין את המתמטיקה בשביל להגיד את זה. לדוגמה, יכול להיות, שהסיד שלך פחות אקראי ממה שנראה לך?

לא הבנתי את הקשר בין החלק הראשון לשני. כל המערכת מקבלת את הסיד כinput, היא לא מייצרת אותו. איך קשור ייצור הסיד עכשיו?
בוא נניח שהסיד אקראי - הוא לא חלק מהמערכת, הוא קלט, וקל מאוד לייצר סיד אקראי (וייצור מספרים אקראיים הוא חלק מהמערכת גם במנהל סיסמאות או בכל דרך אחרת שלא תהיה חלשה בצורה מגוכחת). עכשיו נשאר האם השימוש בכלים הוא נכון. אני לא יודע לומר שכן - אני לא מומחה בcryptoanalysis או מתמטיקאי. אני מסכים שיכולה להיות שם חולשה, אבל זה לא אומר שבהכרח יש שם אחת.
כאמור, חשיפה של סיסמה אחת לא מהווה וקטור התקפה יותר משהיא מהווה על PBKDF2 שמתשמשים בו נכון - זה בדיוק לקבל hash+salt ולהוציא החוצה את הסיסמה המקורית. אני חושב שהחולשה שאני מוסיף - בה ה'סיסמה' היא בעצם תמיד אותו דבר ורק הsalt משתנה - גם אמורה להיות מוגנת אבל לא מצאתי טענה בPBKDF2 אכן חזק נגד זה.
חיפוש קצר באינטרנט על Determinstically Generated Passwords מוצא כמה וכמה פרויקטים שמשתמשים באותו אלגוריתם (וכמה שמשתמשים באלגורתמים דומים), וגם טענות על החולשות של מערכות כאלה. אבל לא מצאתי התקפה קריפטוגרפית על זה שהיא גם ישימה. אולי יום אחד אלגוריתם דומה יהיה בשימוש נרחב ויהיה מחקר בנושא.

כן... ולכן השימוש ב SALT ככה נראה לי מוזר...

ראיתי שחלק מהפרויקטים הדומים שמים את 'שם האתר' כסיומת לסיד, ולא כsalt. אני לא יודע אם זה משנה כי שניהם נכנסים לתוך הhash הראשוני.

נניח האם תוקף יכול לגרום לרסברי שלך להתחיל לחולל סיסמאות?

עכשיו זו שאלה אחרת לגמרי - על האבטחה של המערכת ולא של הקריפטוגרפיה. ההגנה היחידה על הרסברי היא בsecurity through obscurity - כלומר הוא לא מוגן בכלל נגד תוקף שמנסה לגנוב ממני אישית סיסמאות, ויש לו גישה "פיזית" (נניח, פרץ לאחד המחשבים בבית). אני סומך על הפלאפון הרבה יותר. יום אחד אני אחליף אותו בארנק חומרה

 

[Benjamin W]

תגידו yubikey
למי יש פה? איזה שימושים מעניינים יש לזה מלבד גוגל פייסבוק ו aws ?

מי פה משתמש בו ל ssh? מה עם PGP?

 

[Edmond]

מי פה משתמש בו ל ssh?

אני, זה רק דורש מודול PAM ייעודי. לדעתי אחלה.

איזה שימושים מעניינים יש לזה

הכניסה ל back-office וגם ל VPN של החברה הקודמת שלי היה באמצעות זה.

 

[Benjamin W]

מודול PAM

של pgp4win ? או אתה יכול להמליץ?

 

[Edmond]

או אתה יכול להמליץ?

משתמש ברשמי https://github.com/Yubico/yubico-pam

של pgp4win ?

נראה לי שאתה מבלבל בין PAM ל PGP....

 

[Benjamin W]

משתמש ברשמי https://github.com/Yubico/yubico-pam


נראה לי שאתה מבלבל בין PAM ל PGP....

השיט למטה עובד דרך pam לא?

Windows

developers.yubico.com

 

[Edmond]

השיט למטה עובד דרך pam לא?

לא...
גם אין PAM בווינדוס.

זה דרך להגדיר אימות וכו' בצד שרת בלינוקס, BSD, יוניקס ושאר חברים

 

[סמבה]

יכול להמליץ בחום על bitwarden.
זאת חברה עם מנהגים טובים והוא פופולארי בקהילות privacy conscious
UI אלגנטי ונוח. יש קליינטים לכל סביבה ואפילו WEB קליינט. מסונכרן בשרת שלהם.
הכל בקוד פתוח. למתקדמים, ניתן להריץ SELF HOST.
פרימיום עולה 10$ לשנה, שזה הרבה יותר זול מהמתחרים.
אפשר לעשות יבוא/יצוא בקלות.

אני בדיוק מחפש מנהל ססמאות וקראתי דברים טובים על bitwarden. בעיקר מוצא חן בעיני שהוא open source, עבר audits, הוא קרוס פלאטפורם וחינמי.
נשמע שהחסרון העיקרי שמישהו ציין בreddit, הוא שזה one man show, ובדומה לפרוייקטים של קוד פתוח אחרים, יתכן והמתכנת ינטוש את הפרויקט יום אחד. זה לא נשמע לי מאד סביר כי יש גם מסלול premium ולפרוייקט יש הכנסות. אבל זה טיעון שצריך להתחשב בו.

למישהו יש עוד דעות בעד/נגד bitwarden?

 

[Henchman34]

מי פה משתמש בו ל ssh? מה עם PGP?

אני אענה על החלק של ssh. בלינוקס החל מגרסה OpenSSH 8.2 יש תמיכה ב-FIDO2. אתה יוצר מפתח מסוג ecdsa-sk או ed25519-sk ואז כל שימוש במפתח ssh דורש ממך לחיצה על ההתקן FIDO2 שלך. אם תבחר להוסיף סיסמה למפתח שלך אז התקן ה- FIDO2 שלך משמש כ-second factor שלא משתמש ב-OTP.

 

[Libertad]

אני בדיוק מחפש מנהל ססמאות וקראתי דברים טובים על bitwarden. בעיקר מוצא חן בעיני שהוא open source, עבר audits, הוא קרוס פלאטפורם וחינמי.
נשמע שהחסרון העיקרי שמישהו ציין בreddit, הוא שזה one man show, ובדומה לפרוייקטים של קוד פתוח אחרים, יתכן והמתכנת ינטוש את הפרויקט יום אחד. זה לא נשמע לי מאד סביר כי יש גם מסלול premium ולפרוייקט יש הכנסות. אבל זה טיעון שצריך להתחשב בו.

למישהו יש עוד דעות בעד/נגד bitwarden?

אני משתמש ב-Bitwarden בדיוק מהסיבות שאמרת ומאוד אוהב.

לפני כן השתמשתי ב-1Password, חייב להגיד שהוא מעולה אבל אני לא רואה סיבה לשלם כשיש את Bitwarden.
היה לי גם KeyPass אבל לא התחברתי כי אני מעדיף מנהל סיסמאות בענן שאפשר להתחבר אליו מכל מכשיר בקלות.

יש לי Yubikey אבל בכל פעם שהוא נדרש ממני בהתחברות אני לוחץ "היכנס בדרך אחרת" ובעצם לא משתמש בו, זה גם מצחיק כי פורץ יכול לעשות את אותו הדבר.
מה שכן אני שוקל לקנות את החדש עם ה-NFC כי אני חושב שיש סיכוי שבאמת אשתמש בו, זה הרבה יותר נוח מלחבר אותו למחשב בכל פעם שאני עובד וגם זה יעבוד עם הטלפון.
יש לי גם Trezor אבל אני בוחר לא להשתמש בו משתי סיבות:
1. אפשר להבין ממנו שיש לי ביטקוין ולטרגט אותי או לנסות לגנוב לי אותו.
2. זה לא נוח כי צריך שהוא תמיד יהיה עליי וכו'

כמובן שיש פתרונות יותר מאובטחים כמו שהציעו פה בשירשור אבל אני חושב ש-Bitwarden הוא פתרון מעולה למי שחשוב לו לשלב גם נוחות.
כל הסיסמאות שלי ארוכות בטירוף ועל כל החשבונות שלי יש 2FA כולל על המנהל סיסמאות, לבינתיים אף אחד לא רודף אחריי אז אני חושב שזה מספיק טוב (:

 

[Benjamin W]

אני אענה על החלק של ssh. בלינוקס החל מגרסה OpenSSH 8.2 יש תמיכה ב-FIDO2. אתה יוצר מפתח מסוג ecdsa-sk או ed25519-sk ואז כל שימוש במפתח ssh דורש ממך לחיצה על ההתקן FIDO2 שלך. אם תבחר להוסיף סיסמה למפתח שלך אז התקן ה- FIDO2 שלך משמש כ-second factor שלא משתמש ב-OTP.

זה חמוד, אבל זה מבוסס על U2F . שזה מגניב, אבל לא נתמך בגיטהאב ועוד כל מיני. חשבתי יותר על כיוון של smart card דרך PIV או gpg

 

[סמבה]

האם המדיניות הבאה מקבילה לחיזוק ההגנה בעזרת 2fa ?
שימוש במנהל ססמאות סטנדרטי בענן + הוספת suffix קבוע שרק אני יודע לכל סיסמה שהוא מייצר. כלומר לא שומרים את הsuffix במנהל, אלא מקלידים אותו כל פעם מחדש.

באופן הזה אם מישהו מצליח לפרוץ למנהל הסיסמאות ולהשיג את כל הסיסמאות שלי, הוא עדיין לא יוכל להשתמש בהן ללא ידיעת הsuffix.

זה לא רעיון שלי, קראתי אותו לפני כמה ימים באיזה בלוג כשחיפשתי מידע על מנהלי סיסמאות, לצערי אני לא זוכר איזה בלוג כדי לתת קרדיט.