[Dirty Harry]

[napoleon]

[skyTronic]

[Prillpapa]

Lastpass kunagi tasuta teenust koomale tõmbas, sai õnneks Bitwardeni peale kolitud, aga ega jah mingit kindlust siin tänapäeva maailmas ei ole. Süda läheb pahaks kui peaks mõtlema lekkimise peale
Samas tuleb endale aru anda, ega lõplikku turvalisust ei eksisteeri ja soovitused ise servereid jooksutada ja riskide hajutamiseks krüpteeritud paroolihoidlat hoida kuskil lahus - see ei ole igaühele jõukohane, samamoodi, kui julgeks väita, et ka serverite jooksutamine, turvapeensusteni konfimine käib enamusele lihtsalt üle jõu, isegi palgalised patsiga poisid saavad vahest vitsa, kui nende vastutada serverid kuskilt servast uuendamata ja pahalased ligi pääsevad, mida veel keskmisest tädi Maalist tahta.

Kas laiatarbe paroolihoidlad ja pilveteenused saavad üldse lõpuni turvalised olla, kuskil teises teemas käis läbi OneDrive&Dropboxi alternatiivina mingi pilv, mis serveri poolel krüpteerib ja jagab su andmed üle 80 riigi serverites jupikaupa laiali, nö hajutab riske. Aga hakkad nende teenuse tingimusi lugema on seal USA Patriot Act-id ja euroopa GDPR vms iganes, kus nad tunnistavad, et nad kohustatud võimude julgeoleku nõudmisi täitma ja vastavatel juhtudel tagama ligipääsu ka nendele klientide jupitatud-krüptitud failidele. Parim mida nemad teha saavad, on kuskile logisse kasutajale jälg maha jätta, et tema failide vastu huvi tuntud või midagi sarnast.

Arvatavalt ka paroolihoidlate arendajad peavad täitma riikide julgeolekunõudeid ja tagama vastava ligipääsu, võimalik et isegi varjatud tagauksed. Juba selliste tagauste olemasolu või ligipääsuvektorid ise on täiendav turvarisk.

Aga suures loogikas jah, kui kasutad erinevat ust, lukku või isegi osa luku-võtme osiseid viilid ise, on sellega võimalik lisaturvalisust luua aga teisalt kui oled amatöör ja oska lukule õigeid metalle valida ja ei orienteeru turvalises lukutdisainis on ehk targem kaustada laiatarbe lukke - oma ala spetsialistid on toote disaininud.

[napoleon]

[Kristoferr]

Bitwardenit pole google sõnul kunagi häkitud ja tegemist on vabavaraga. Milleks üldse mingeid kinnisi lahendusi kasutada - eriti veel selliseid, mis kord juba häkitud on...

[Etz]

[Prillpapa]

[Kristoferr]

Ei noh, vinged argumendid.

[skyTronic]

[napoleon]

[LKits]

KeePass andmebaas istub OneDrive-is, kaitstud nii parooli kui ka võtmefailiga.
Võtmefail asub arvutis ja telefonis ning liigutan ainult juhtmega. Aegajalt loon uue võtmefaili ning muudan parooli andmebaasis.

Telefonis OneDrive kaust "offline" süngitud ning Keepass faili saab avada ka sõrmejäljega. Tõenäoliselt see lahendus kõige turvalisem pole, aga samas ropult mugav.

[Dogbert]

[Dirty Harry]

LKits, kui tahta natuke irooniline olla, siis Microsoftil on turvaprobleeme, andmelekkeid, kasutusprobleeme olnud mõnuga, seega ehitada oma üliturvaline lahendus nende pilve peale - noh, kõlab mõnevõrra vastuoluliselt. Põmst sama nagu Lastpassiga, kui midagi pihta pannakse, siis jääb ainult loota, et su paroolihoidlat lahti ei muugita. SolarWinds'i juhtumi puhul pandi Microsoftist venelaste poolt nii palju lähtekoodi tuuri, et ma mõtleks mitu korda, enne kui nende asju kasutaks oluliste teenuste puhul.

Ja noh - usaldad teenust, häkitakse ära. Teed ülihea lahenduse, paned kellegi pilve - pilvest pannakse pihta. Võtad pilve oma kontrolli alla, häkitakse Synology ära. Teed oma pilve ownCloudiga, leitakse seal turvaviga ning tead mis? Häkitakse ära.

Kuhugi pead piiri tõmbama mugavuse ja turva osas. Arvestades, kuidas vaba lähtekoodiga tarkvaras leitakse teinekord CVSS 9-10 vigu, mis on seal olnud aastakümneid, siis ei ole see valdkond ka raudpoltkindel. Pealegi rauas leitakse vigu, milel kaudu saab softile ligi - kas hakkad oma vahvlitehast ehitama?

[LKits]

Dirty Harry, sa vist ei lugenud mu teksti täielikult lõpuni.
Vahet pole, mis sünkroniseerimisrakendust kasutan paroolide andmebaasi liigutamiseks.
Andmebaas on kaitstud parooli JA võtmefailiga.
Võtmefaili liigutan ainult üle kaabli, ühe korra, kui uus seade või uus OS.

Ehk paroolide andmebaas võib lekkida - pahalasel on vaja parooli JA võtmefaili. Ilmselgelt, kes soovib, see saab ka sellele ligi.
Kahjuks "Windows user account" kasutada ei saa, sest siis ei töötaks Androidis... Täpselt sama ka Yubikey-ga.

[Dogbert]

[Dirty Harry]

[LKits]

Dirty Harry, aaa seda küll jah, et turvaaugu leidmisel võib näiteks salvestamise käigus ühe või teise turvalisuse ajutiselt välja lülitada ja siis ongi andmebaas kaitseta.
Aga vähetõenäoline - KeePassi korralikult lammutatud, avatud lähtekoodiga ja värki.

Ning jätkuvalt mina isiklikult soovitan paroolivaba lähenemist. Yubikey BIO on näiteks variant ja igasugu Google ja MS kontodega sisselogimine. Samuti telefonis MS authenticator, mis küsib sõrmejälge.

Suures pildis sellisel juhul peaks kõik paroolid pähe õppima, AGA siis tuleb mingi kõva häkker, näiteks salvestab läbi seinte klahvide vajutuste heli ning teab su parooli.
#NCIS

Või lihtsam variant - peksab kurikaga kuni kõik välja ütled.

[Etz]

[skyTronic]

[Dogbert]

[napoleon]

[n3wb0y]

"The threat actor was also able to copy a backup of customer vault data from the encrypted storage container which is stored in a proprietary binary format that contains both unencrypted data, such as website URLs, as well as fully-encrypted sensitive fields such as website usernames and passwords, secure notes, and form-filled data. These encrypted fields remain secured with 256-bit AES encryption and can only be decrypted with a unique encryption key derived from each user’s master password using our Zero Knowledge architecture. As a reminder, the master password is never known to LastPass and is not stored or maintained by LastPass. The encryption and decryption of data is performed only on the local LastPass client."

Jep, kasutan Lastpassi edasi.

[Dogbert]

[skyTronic]