Tänud selgitamast _________________ " Maailm on täis kõikvõimalike külatarkade kogukondi, kelle ühine joon on teadus- ja tõenduspõhisele elukäsitusele vastandumine."
Kasutan nt LHV-sse logides (pangalingi kaudu makstes on see eriti mugav).
Riigi autentimisteenuses (universaalsem, https://snipboard.io/McRbez.jpg)
Vanasti Luxexpressis piletite ostul (PINS kaardi jne sisestamiseks)
Mõnes kohas veel.
Sisestamiseks kasuta CTRL + Shift + L (või brauseri lisas autofill)
Betamax, mugavusega tulevadki riskid kaasa. Internet ise ja kõik online teenused eraldi on üks suur risk... tõmbame juhtmed välja ja oleme turvalised? _________________ Lugupeetud AHV, enne kui vaidlema hakkad, mõtle hästi järgi, kas see ikka on tark mõte...
Mugavus versus turva. Saaks ju teha Keepassis korraliku masterparooliga paroolihoidla, see panna Dropboxi, seal seda masinate vahel jagada. Samas see tahab juba natuke rohkem IT-teadlikkust ning kasutajamugavus on kehv.
Suvalisi teenusepakkujaid ei tasu kasutada. Võtmed võiksid asuda ikka lokaalses masinas ning krüpteerituna tagavarakoopia kusiganes.
Yubikey on täitsa asjalik, uusimal versioonil biomeetria ka olemas.
Küll aga ootaks pigem telefonis authenticatoriga lahendusi. Et näiteks arvutil on NFC lugeja, paned telefonis authenticatori käima, topid sõrmejälje telefoni lugeja vastu ja asetad telefoni arvuti vastu - boom, sisse logitud kuhugi lehele. Või täpselt sama asi üle neti ehk ei vaja arvuti küljes NFC lugejat ning füüsilist "puudutust". Siis küll jääb aga üks oluline turvameede puudu.
Mugavus versus turva. Saaks ju teha Keepassis korraliku masterparooliga paroolihoidla, see panna Dropboxi, seal seda masinate vahel jagada. Samas see tahab juba natuke rohkem IT-teadlikkust ning kasutajamugavus on kehv.
Mugavus versus turva. Saaks ju teha Keepassis korraliku masterparooliga paroolihoidla, see panna Dropboxi, seal seda masinate vahel jagada. Samas see tahab juba natuke rohkem IT-teadlikkust ning kasutajamugavus on kehv.
Mul on sama lahendus OneDtive'is istumas.
Kahju, et mobiilidel seda kasutada ei saa, sest Android ei oska .exe midagi peale hakata.
Yubikey on teoorias tore. Praktikas oln see ikka paras Raspberry Pi, kus hack value on päris suur. Ikka on veidraid kohti, corner case'e, tuleb netist lahendusi otsida ja käsurida kuumaks ajada. Mõnus ja mugav kasutada pole, ei tööl ega kodus. St mugav on siis kasutada, kui keegi räpase eeltöö ära teeb.
Mugavus versus turva. Saaks ju teha Keepassis korraliku masterparooliga paroolihoidla, see panna Dropboxi, seal seda masinate vahel jagada. Samas see tahab juba natuke rohkem IT-teadlikkust ning kasutajamugavus on kehv.
Mul on sama lahendus OneDtive'is istumas.
Kahju, et mobiilidel seda kasutada ei saa, sest Android ei oska .exe midagi peale hakata.
Keepass2 fail GDrive'is, kasutada saab Androidiga väga kenasti:
Androidil on Keepass2 Android Offline olemas (muuhulgas omab sõrmejäljega autentimist).
Paroolide faili Androidil sünkib DriveSync, sest sellega saab sagedamini sünkida kui vaikimisi GDrive'i äpp seda teeb. _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
viimati muutis Dogbert 24.12.2022 17:58:28, muudetud 1 kord
Mugavus versus turva. Saaks ju teha Keepassis korraliku masterparooliga paroolihoidla, see panna Dropboxi, seal seda masinate vahel jagada. Samas see tahab juba natuke rohkem IT-teadlikkust ning kasutajamugavus on kehv.
Mul on sama lahendus OneDtive'is istumas.
Kahju, et mobiilidel seda kasutada ei saa, sest Android ei oska .exe midagi peale hakata.
KeePass on Androidile olemas, kasutab sama andmebaasi faili, mis PC versioon.
Mugavus versus turva. Saaks ju teha Keepassis korraliku masterparooliga paroolihoidla, see panna Dropboxi, seal seda masinate vahel jagada. Samas see tahab juba natuke rohkem IT-teadlikkust ning kasutajamugavus on kehv.
Mul on sama lahendus OneDtive'is istumas.
Kahju, et mobiilidel seda kasutada ei saa, sest Android ei oska .exe midagi peale hakata.
KeePass on Androidile olemas, kasutab sama andmebaasi faili, mis PC versioon.
Kuidas ma selle telefoni oma arvutis olevaga sünkroonis hoian?
Loe post kõrgemalt. Kasutan 8 aastat juba sedasi PC ja droidi peal (vanimad sissekanded andmebaasis paistavad olevat 2014 septembrist)
Online sünkimist pakkuvaid paroolihaldureid ei ole usaldanud just sel põhjusel, et paroolide andmebaasifail ei oleks sama paroolihalduri arendajale otseselt ligipääsetav. See on alati potentsiaalseks turvaprobleemiks, mis LastPass puhul ka realiseerus. _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
See tahab seega mingit uut andmebaasi tekitada? Olemasolevat Keepassi andmebaasi faili OneDrive'is ta ei näe igatahes.
Keepass2 formaadis on see fail ikka? (ega ma ei tea, võib-olla toetab ka vana formaati)
Äpi Keepass2 Android Offline menüüs on valik Change Database, edasi Open file ja Create new database mõlemad olemas.
OneDrive sünkib faile ikka telefoni SD-kaardile (virtuaalsele või füüsilisele), nii et system file pickeriga saab valida? (ma ei tea, pole OneDrive'i kasutanud) _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
viimati muutis Dogbert 24.12.2022 18:32:09, muudetud 1 kord
Nojah, ikkagi mingi ühilduvuse keberniit garanteeritud. Eks kunagi võtan ette, kui viitsimist on. Mul on seal koos tööasjadega vist üle 250 parooli. Neid käsitsi ümber tõsta...
Ma ei tea, kas asi selles tingimata on. Ma kasutan arvutis Keepass2, andmebaas on selle kdbx formaadis. Töötab nii PC-s kui Droidil tõrgeteta.
Keepass2 konvertis vana Keepass faili oma formaati tõrgeteta igatahes, kui üleminek ette sai võetud (ka juba aastaid tagasi).
Faili sünkib endise nimega DriveSync ehk pika uue nimega Autosync for Google Drive (by MetaCtrl), sest see sünkib otseselt SD kaardil olevaid faile (kaustu) ja sünkimissagedus on valitav alates 5 minutist. Tasuta versiooniga kaasnevad mõned piirangud (sünkitav on üksainus kaust ja kaasnevad äpisisesed reklaamid, mida näed siis kui äppi seadistada tahad vahel üliharva mingil põhjusel)
(paroole 287 hetkel) _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Mul on OneDrive Business ja ma tahaks seda edasi kasutada, kuna terve telefon sünkroniseerib end sinna.
Hetkel on KeePass portable OneDrive'is istumas. Arvasin, et saan ühe äpiga sellele seal ligi, aga tundub, et ikkagi mingid ekstrasammud vaja teha. _________________ M: Intel i5 4590 protsessorid M: HP Elitedesk 800 G3 SFF M: HP Elitedesk 800 G2 Mini 35W
Arvatavasti üsna sarnane DriveSync'ile. _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Ega suurt vahet pole, Lastpass või mõni muu paroolihaldur, eriti kui on veel tegemist suletud koodiga tarkvaraga: paroolide andmebaasi usaldamine seda sama andmebaasi avava tarkvara arendaja kätte on potentsiaalne lekkekoht. Ka juhul kui arendaja ei ole pahatahtlik ega müü oma projekti kunagi kellelegi pahatahtlikule (nagu võib järeldada, hargneb pahatahtlikkuse puhul siit vähemalt paar lekkestsenaariumit).
Sellepärast on mõistlik andmebaas ja tarkvara omavahel ära lahutada, kasutada andmebaasi sünkimiseks teisi, paroolihalduri arendajaga mitteseotud teenusepakkujaid.
Ma loodan, et põhjused on arusaadavad IT-valdkonna inimestele ja potentsiaalseid lekkestsenaariume ei pea siia lahti kirjutama hakkama. _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Sellepärast on mõistlik andmebaas ja tarkvara omavahel ära lahutada, kasutada andmebaasi sünkimiseks teisi, paroolihalduri arendajaga mitteseotud teenusepakkujaid.
Ma arvan, et see ebamugavus ei anna palju juurde. Kui parooli andmebaas lekib, siis mõlemal puhul on ikkagi vaja lisaks ka master passwordi.
Võimalus on ise hostida näiteks bitwardenit või offline andmebaasi sünkimiseks nextcloud. Või sünkida keepassi andmebaas otse seadmete vahel, mitte läbi failide jagamise teenuse: syncthing.
Ise hostimisega tuleb muidugi usaldada hostingu pakkujat kui just ise kodus serverit ei jooksuta. Hostingu teenuse kasutamisel alandaks riske natuke full disk encryptioni kasutamine. Aga kas suudad ise oma serverit paremini turvata kui cloudi parooli halduri teenusepakkuja?
Sellepärast on mõistlik andmebaas ja tarkvara omavahel ära lahutada, kasutada andmebaasi sünkimiseks teisi, paroolihalduri arendajaga mitteseotud teenusepakkujaid.
Ma arvan, et see ebamugavus ei anna palju juurde. Kui parooli andmebaas lekib, siis mõlemal puhul on ikkagi vaja lisaks ka master passwordi.
Võimalus on ise hostida näiteks bitwardenit või offline andmebaasi sünkimiseks nextcloud. Või sünkida keepassi andmebaas otse seadmete vahel, mitte läbi failide jagamise teenuse: syncthing.
Ise hostimisega tuleb muidugi usaldada hostingu pakkujat kui just ise kodus serverit ei jooksuta. Hostingu teenuse kasutamisel alandaks riske natuke full disk encryptioni kasutamine. Aga kas suudad ise oma serverit paremini turvata kui cloudi parooli halduri teenusepakkuja?
Just. Läheb samasse kategooriasse nagu see, et kunagi soovitati, et iga õige mees jooksutab oma mailiserverit. Tänapäeval on Mastodoni instants või siis paroolihaldur selleks. Idee pole ju halb kui oskused ja munad olemas on.
Ise hostimisega tuleb muidugi usaldada hostingu pakkujat kui just ise kodus serverit ei jooksuta. Hostingu teenuse kasutamisel alandaks riske natuke full disk encryptioni kasutamine. Aga kas suudad ise oma serverit paremini turvata kui cloudi parooli halduri teenusepakkuja?
Oma serveri saab üpris turvaliseks ehitada kuna võib kasutada igasuguseid trikke mida hostingupakkuja teha ei saa.
Lastpass kunagi tasuta teenust koomale tõmbas, sai õnneks Bitwardeni peale kolitud, aga ega jah mingit kindlust siin tänapäeva maailmas ei ole. Süda läheb pahaks kui peaks mõtlema lekkimise peale
Samas tuleb endale aru anda, ega lõplikku turvalisust ei eksisteeri ja soovitused ise servereid jooksutada ja riskide hajutamiseks krüpteeritud paroolihoidlat hoida kuskil lahus - see ei ole igaühele jõukohane, samamoodi, kui julgeks väita, et ka serverite jooksutamine, turvapeensusteni konfimine käib enamusele lihtsalt üle jõu, isegi palgalised patsiga poisid saavad vahest vitsa, kui nende vastutada serverid kuskilt servast uuendamata ja pahalased ligi pääsevad, mida veel keskmisest tädi Maalist tahta.
Kas laiatarbe paroolihoidlad ja pilveteenused saavad üldse lõpuni turvalised olla, kuskil teises teemas käis läbi OneDrive&Dropboxi alternatiivina mingi pilv, mis serveri poolel krüpteerib ja jagab su andmed üle 80 riigi serverites jupikaupa laiali, nö hajutab riske. Aga hakkad nende teenuse tingimusi lugema on seal USA Patriot Act-id ja euroopa GDPR vms iganes, kus nad tunnistavad, et nad kohustatud võimude julgeoleku nõudmisi täitma ja vastavatel juhtudel tagama ligipääsu ka nendele klientide jupitatud-krüptitud failidele. Parim mida nemad teha saavad, on kuskile logisse kasutajale jälg maha jätta, et tema failide vastu huvi tuntud või midagi sarnast.
Arvatavalt ka paroolihoidlate arendajad peavad täitma riikide julgeolekunõudeid ja tagama vastava ligipääsu, võimalik et isegi varjatud tagauksed. Juba selliste tagauste olemasolu või ligipääsuvektorid ise on täiendav turvarisk.
Aga suures loogikas jah, kui kasutad erinevat ust, lukku või isegi osa luku-võtme osiseid viilid ise, on sellega võimalik lisaturvalisust luua aga teisalt kui oled amatöör ja oska lukule õigeid metalle valida ja ei orienteeru turvalises lukutdisainis on ehk targem kaustada laiatarbe lukke - oma ala spetsialistid on toote disaininud. _________________ ---
võib kasutada igasuguseid trikke mida hostingupakkuja teha ei saa.
Nagu näiteks?
Teenused mingi custom pordi otsa ja IP lukku kui keegi default porti kangutab
Parooliga sisse logides esimese valesti sisestamise peale IP ööpäevaks lukku
Port knocking
lisaks igasugused muud security by obscurity nipid. Bot-d saab nii üsna lihtsalt eemal hoida. Hostingu pakkuja ei saa seda teha. Nende klienditeenindus ei tuleks nende probleemide tulvaga siis toime mis siis inimestel tekivad. Oma serveris mida ainult ise või veel paar inimest kasutab, võid seda kõike teha.
Jah, suunatud rünnaku puhul võib keegi mu arvutisse mingi pahareti istutada ja jälgida kuidas mingile serverile ligi saan. Samuti võib näpud sahtli vahele panna ja selle info välja peksta. Aga suunatud rünnak on hoopis teine teema. Tavalisele kasutajale on siiski kordades suurem oht bot-d, mis kas päris automaatselt asju ründavad või siis kaardistavad, et paharett teaks mida käsitsi kangutama minna.
Bitwardenit pole google sõnul kunagi häkitud ja tegemist on vabavaraga. Milleks üldse mingeid kinnisi lahendusi kasutada - eriti veel selliseid, mis kord juba häkitud on...
Nad lihtsalt ei tea seda ise veel… _________________ ...life is random...so am I...
So, there is a fan. Time to grab your sh*t, gentlemen!
Bitwardenit pole google sõnul kunagi häkitud ja tegemist on vabavaraga. Milleks üldse mingeid kinnisi lahendusi kasutada - eriti veel selliseid, mis kord juba häkitud on...
Ja mida see tõenäosusteooria kohaselt tähendab, kui pole ammu juhtunud siis..
või kui võtad lennukisse oma pommi kaasa - kui tõenäoline on, et lennukis on kaks pommi, kui isegi ühe pommi tõenäosus on pea olematu _________________ ---
võib kasutada igasuguseid trikke mida hostingupakkuja teha ei saa.
Nagu näiteks?
Teenused mingi custom pordi otsa ja IP lukku kui keegi default porti kangutab
Parooliga sisse logides esimese valesti sisestamise peale IP ööpäevaks lukku
Port knocking
lisaks igasugused muud security by obscurity nipid. Bot-d saab nii üsna lihtsalt eemal hoida. Hostingu pakkuja ei saa seda teha. Nende klienditeenindus ei tuleks nende probleemide tulvaga siis toime mis siis inimestel tekivad. Oma serveris mida ainult ise või veel paar inimest kasutab, võid seda kõike teha.
Jah, suunatud rünnaku puhul võib keegi mu arvutisse mingi pahareti istutada ja jälgida kuidas mingile serverile ligi saan. Samuti võib näpud sahtli vahele panna ja selle info välja peksta. Aga suunatud rünnak on hoopis teine teema. Tavalisele kasutajale on siiski kordades suurem oht bot-d, mis kas päris automaatselt asju ründavad või siis kaardistavad, et paharett teaks mida käsitsi kangutama minna.
Mõtled siis, et teenuse hostingu pakkuja (nagu bitwarden cloud) ei saa neid nippe rakendada, mitte serveri hostingu pakkuja (kuhu installid ise bitwardeni serveri)?
Mõtled siis, et teenuse hostingu pakkuja (nagu bitwarden cloud) ei saa neid nippe rakendada, mitte serveri hostingu pakkuja (kuhu installid ise bitwardeni serveri)?
Ei saa. Kaks probleemi:
1. kui avalikult kirjas on kuidas kõik töötab, siis kaotavad need nipid suure osa oma pointist kuigi väga suvalise bot-i eest kuigipalju kaitseks.
2. inimesed enne teevad ja siis mõtlevad. Isegi kui on suurelt ja punaselt kirjas, et ära nii tee, siis teevad ikka ja pärast ummistavad klienditeeninduse murega, et miks enam üldse ligi ei saa.
KeePass andmebaas istub OneDrive-is, kaitstud nii parooli kui ka võtmefailiga.
Võtmefail asub arvutis ja telefonis ning liigutan ainult juhtmega. Aegajalt loon uue võtmefaili ning muudan parooli andmebaasis.
Sellepärast on mõistlik andmebaas ja tarkvara omavahel ära lahutada, kasutada andmebaasi sünkimiseks teisi, paroolihalduri arendajaga mitteseotud teenusepakkujaid.
Ma arvan, et see ebamugavus ei anna palju juurde. Kui parooli andmebaas lekib, siis mõlemal puhul on ikkagi vaja lisaks ka master passwordi.
Võimalus on ise hostida näiteks bitwardenit või offline andmebaasi sünkimiseks nextcloud. Või sünkida keepassi andmebaas otse seadmete vahel, mitte läbi failide jagamise teenuse: syncthing.
Ise hostimisega tuleb muidugi usaldada hostingu pakkujat kui just ise kodus serverit ei jooksuta. Hostingu teenuse kasutamisel alandaks riske natuke full disk encryptioni kasutamine. Aga kas suudad ise oma serverit paremini turvata kui cloudi parooli halduri teenusepakkuja?
Ma ei soovitanud endale cloudi vm serverit tekitada, vaid mitte kasutada paroolihalduri arendaja enda poolt pakutavat pilve- või andmebaasi sünkimise teenust, mis käib läbi paroolihalduri enda hostitava serveri, nii et tarkvara arendajal on otsene ligipääs ka paroolide andmebaasile. Kui on tegemist pahatahtliku arendaja või bugise tarkvaraga, siis ei pruugi baasi avamiseks master passwordi vaja ollagi.
Soovitasin sellest tulenevate potentsiaalsete lekete vältimiseks kasutada offline paroolihaldurit ja andmebaasi hoida Dropboxis, GDrive'is, OneDrive'is või iCloudis. Paroolihalduri arendajast sõltumatus pilveteenuses andmebaasi hoidmine iseenesest juba nõuab sinu paroolide pihtapanemiseks suunatud ja teadlikku rünnet kellegi poolt, kes seda paroolihaldurit arendab või omab teadmisi selles olevast turvaaugust.
LKits kirjutas:
KeePass andmebaas istub OneDrive-is, kaitstud nii parooli kui ka võtmefailiga.
Võtmefail asub arvutis ja telefonis ning liigutan ainult juhtmega. Aegajalt loon uue võtmefaili ning muudan parooli andmebaasis.
Telefonis OneDrive kaust "offline" süngitud ning Keepass faili saab avada ka sõrmejäljega. Tõenäoliselt see lahendus kõige turvalisem pole, aga samas ropult mugav.
Täpselt nii. _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
viimati muutis Dogbert 25.12.2022 19:38:07, muudetud 2 korda
LKits, kui tahta natuke irooniline olla, siis Microsoftil on turvaprobleeme, andmelekkeid, kasutusprobleeme olnud mõnuga, seega ehitada oma üliturvaline lahendus nende pilve peale - noh, kõlab mõnevõrra vastuoluliselt. Põmst sama nagu Lastpassiga, kui midagi pihta pannakse, siis jääb ainult loota, et su paroolihoidlat lahti ei muugita. SolarWinds'i juhtumi puhul pandi Microsoftist venelaste poolt nii palju lähtekoodi tuuri, et ma mõtleks mitu korda, enne kui nende asju kasutaks oluliste teenuste puhul.
Ja noh - usaldad teenust, häkitakse ära. Teed ülihea lahenduse, paned kellegi pilve - pilvest pannakse pihta. Võtad pilve oma kontrolli alla, häkitakse Synology ära. Teed oma pilve ownCloudiga, leitakse seal turvaviga ning tead mis? Häkitakse ära.
Kuhugi pead piiri tõmbama mugavuse ja turva osas. Arvestades, kuidas vaba lähtekoodiga tarkvaras leitakse teinekord CVSS 9-10 vigu, mis on seal olnud aastakümneid, siis ei ole see valdkond ka raudpoltkindel. Pealegi rauas leitakse vigu, milel kaudu saab softile ligi - kas hakkad oma vahvlitehast ehitama?
Dirty Harry, sa vist ei lugenud mu teksti täielikult lõpuni.
Vahet pole, mis sünkroniseerimisrakendust kasutan paroolide andmebaasi liigutamiseks.
Andmebaas on kaitstud parooli JA võtmefailiga.
Võtmefaili liigutan ainult üle kaabli, ühe korra, kui uus seade või uus OS.
Ja noh - usaldad teenust, häkitakse ära. Teed ülihea lahenduse, paned kellegi pilve - pilvest pannakse pihta. Võtad pilve oma kontrolli alla, häkitakse Synology ära. Teed oma pilve ownCloudiga, leitakse seal turvaviga ning tead mis? Häkitakse ära.
Kuhugi pead piiri tõmbama mugavuse ja turva osas. Arvestades, kuidas vaba lähtekoodiga tarkvaras leitakse teinekord CVSS 9-10 vigu, mis on seal olnud aastakümneid, siis ei ole see valdkond ka raudpoltkindel. Pealegi rauas leitakse vigu, milel kaudu saab softile ligi - kas hakkad oma vahvlitehast ehitama?
Ja just sellepärast ei olegi mõistlik kasutada sellesama tarkvara arendaja poolt pakutavat sünkimisteenust.
Ilmneb turvaauk tarkvaras ja pannakse samas ka kõik selle tarkvaraga genereeritud andmebaasid pihta ning ongi massileke koos sinu paroolidega. Vaja on vaid arendaja pihta suunatud rünnet või pahatahtlikku arendajat.
Ilmneb turvaauk tarkvaras, aga andmebaasid on erinevates pilveteenustes laiali - ja ei toimu massileket. Vaja on turvaaugu ärakasutamisega tuttaval kurjategijal või -tegijatel otsida selle tarkvaraga loodud andmebaase täiesti suvalistest kohtadest, kuhu ligipääs ei ole seotud paroolihalduri arendajaga. Vaja on palju ründeid erinevate teenusepakkujate või isikute pihta.
Riski hajutamine. Terve kanala munad ühes kanala korvis vs laiali jagatuna terve küla peal. _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
viimati muutis Dogbert 25.12.2022 19:51:54, muudetud 5 korda
Dirty Harry, sa vist ei lugenud mu teksti täielikult lõpuni.
Vahet pole, mis sünkroniseerimisrakendust kasutan paroolide andmebaasi liigutamiseks.
Andmebaas on kaitstud parooli JA võtmefailiga.
Võtmefaili liigutan ainult üle kaabli, ühe korra, kui uus seade või uus OS.
Ehk paroolide andmebaas võib lekkida - pahalasel on vaja parooli JA võtmefaili. Ilmselgelt, kes soovib, see saab ka sellele ligi.
Kahjuks "Windows user account" kasutada ei saa, sest siis ei töötaks Androidis... Täpselt sama ka Yubikey-ga.
Leitakse turvaviga, mille puhul pole parooli ja võtmefaili vaja ja ongi hea plaan käpuli. See pole klaviatuurist välja imetud, selliseid asju juhtub. Seega võib muidugi teha oma käe all olevaid lahendusi, lihtsalt, et mida keerulisemaks ise teed, seda suurema tõenäosusega tulistad ise endale jalga. Ning turvaprobleeme ikka ei välista. Samas väga vahet pole isegi, mis meelerahu toob.
Dirty Harry, aaa seda küll jah, et turvaaugu leidmisel võib näiteks salvestamise käigus ühe või teise turvalisuse ajutiselt välja lülitada ja siis ongi andmebaas kaitseta.
Aga vähetõenäoline - KeePassi korralikult lammutatud, avatud lähtekoodiga ja värki.
Ning jätkuvalt mina isiklikult soovitan paroolivaba lähenemist. Yubikey BIO on näiteks variant ja igasugu Google ja MS kontodega sisselogimine. Samuti telefonis MS authenticator, mis küsib sõrmejälge.
Suures pildis sellisel juhul peaks kõik paroolid pähe õppima, AGA siis tuleb mingi kõva häkker, näiteks salvestab läbi seinte klahvide vajutuste heli ning teab su parooli.
#NCIS
Kui on tegemist pahatahtliku arendaja või bugise tarkvaraga, siis ei pruugi baasi avamiseks master passwordi vaja ollagi.
Pead ikkagi usaldama Keepass Windowsi ja lisaks selle mobiilirakenduste arendajaid.
Minu arvates keylogger on praktilisem risk ja selle puhul aitaks mingil määral 2FA, mida keepassiga kasutada ei saa. See ja sünkimise ebamugavus on põhused, miks ma lõpetasin Keepassi kasutamise. Yubikey ja cloud paroolihaldur on päris hea kombinatsioon.
Kui on tegemist pahatahtliku arendaja või bugise tarkvaraga, siis ei pruugi baasi avamiseks master passwordi vaja ollagi.
Pead ikkagi usaldama Keepass Windowsi ja lisaks selle mobiilirakenduste arendajaid.
Niipalju jah, et see tarkvara mingit nuhkvara ei sisalda ja et arendaja leitud turvaaugud mõistliku aja jooksul ära lapib. Ja seda peaks Windowsi versiooni puhul mingil määral tagama lähtekoodi avatus (mis muidugi ei taga veel kompileeritud versiooni turvalisust), aga ei ole arendaja huvides kõrge mainega tarkvara ja enda reputatsiooni ära nullida. Kõhkluste ja kahtluste korral võib tulemüüris võrku pääsu ära keelata.
Androidi versiooni puhul ei ole äpil võrku üldse asja, tegemist on offline äpiga ja võrgu kasutamise õigus tal puudub. _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
viimati muutis Dogbert 26.12.2022 00:51:56, muudetud 1 kord
Androidi puhul pole vahet kas võrku on asja või mitte. Keelata seda vist ei saa. Või noh, ei saa Androdi enda vahenditega, muude vahenditega ühel või teisel moel kindlasti saab
"The threat actor was also able to copy a backup of customer vault data from the encrypted storage container which is stored in a proprietary binary format that contains both unencrypted data, such as website URLs, as well as fully-encrypted sensitive fields such as website usernames and passwords, secure notes, and form-filled data. These encrypted fields remain secured with 256-bit AES encryption and can only be decrypted with a unique encryption key derived from each user’s master password using our Zero Knowledge architecture. As a reminder, the master password is never known to LastPass and is not stored or maintained by LastPass. The encryption and decryption of data is performed only on the local LastPass client."
Androidi puhul pole vahet kas võrku on asja või mitte. Keelata seda vist ei saa. Või noh, ei saa Androdi enda vahenditega, muude vahenditega ühel või teisel moel kindlasti saab
Keelata vähemalt rootimata ei saa, aga saab (täpsemate) permissionite alt vaadata, kas tal võrku asja on. Kui ei ole, siis võrgu kohta midagi märgitud pole. Võrku kasutavatel äppidel on. _________________ Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
aga ei ole arendaja huvides kõrge mainega tarkvara ja enda reputatsiooni ära nullida
Sama kehtib ka paroolihaldus teenuste kohta. Aga Keepassi arendajal pole juriidilist vastutust no warranty litsentsiga kui mingi bläkk peaks sisse jääma.
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
Kasutan 8 aastat juba sedasi PC ja droidi peal (vanimad sissekanded andmebaasis paistavad olevat 2014 septembrist)
