Parhaat ohjelmat salasanojen säilytykseen

Liittynyt
19.10.2016
Viestejä
857
Android 10 ehkä korjaa tuon taustalla tapahtuvan leikepöydän luvun vaatimalle erillisen oikeuden sille.



Android Q Will Better Protect Your Privacy With New Features

Samsungin luureissa on pitkään ollut hieno toiminto joka tallentaa leikepöydälle kopioidut tekstit. Vaikka joku salasanaohjelma kopioi salasanan leipöydölle vain vaikka minuutin ajaksi ja sitten pyyhkii sen, löytyy salasana silti vielä tuon hienon toiminnon ylläpitämästä leikepöytähistoriasta. Jos haluaa ne sieltä pois pitää ne itse poistaa. Kaiken lisäksi koko leikepöytähistoria tallentuu selväkielisenä tiedostojärjestelmään. Sen lukeminen tosin vaatii root-oikeiden. Ja toisaalta sen poistaminen vaatii tehdasasetusten palauttumisen tai root-oikeudet.
 
Viimeksi muokattu:
Liittynyt
17.10.2016
Viestejä
2 335
Vaikka joku salasanaohjelma kopioi salasanan leipöydölle vain vaikka minuutin ajaksi ja sitten pyyhkii sen
Tämä ei nyt suoraan liity tuohon Samsungin juttuusi, olen ymmärtänyt, että android appsit voivat "rekisteröityä" androidin systeemiin sillä lailla että android aina ilmoittaa kyseisille appseille että nyt muuttui leikepöytä ja tällä tiedolla. Eli toisin sanoen tuollaisella "tyhjää leikepöytä x sekunnin päästä" toiminnolla ei käytännössä ole mitään merkitystä. Hankalia juttuja nämä erittäin salaisten tietojen pitäminen salaisina.

Bitwardenin web-vaulttiin jos kirjautuu niin silloinhan master passwordhan "vuotaa" heidän serverille. Todennäköisesti he pitävät sen vain muistissa loggautumisen ajan ja sitä ei tallenneta mihinkään. Tosin olet jo luottanut softan tekijään jos olet käyttänyt sen appseja. Ja samahan on esim. Keepassin kanssa, luotat softan tekijään. Tietokoneella sitten taas varmaan softa/selainlisäke kopioi tietoja leikepöydän kautta joten siinä on vuotamisen mahdollisuus, mutta jos koneellasi on jo joku vakoilijasofta (Windows?) niin pelihän on jo muutenkin menetetty. Hankalia kyllä nämä salassa pidettävät asiat kun rupeaa miettimään kaikkia vuotomahdollisuuksia.
 
Liittynyt
19.10.2016
Viestejä
1 560
Bitwardenin web-vaulttiin jos kirjautuu niin silloinhan master passwordhan "vuotaa" heidän serverille.
Sinänsä ei ole pakko, ks. Challenge–response authentication - Wikipedia. Tosin tuossakin on heikkoutensa, ja joka tapauksessa Bitwardenin tarjoamassa client-päässä tuokin pitää käsitellä - mutta palvelimelle asti ei tarvitse mennä salasanaa. Vielä olennaisempaa on, etten tiedä, miten Bitwarden tuossa suhteessa toimii, mutta veikkaan joka tapauksessa, että salasanaa käytetään.
 
Liittynyt
17.10.2016
Viestejä
2 335
Menee ehkä mun ymmärryksen yli, mutta eikös sen serverin ole pakko tietää se master pw, millä se muuten decryptaa auki sen "vaultin"?
 

jjs

Liittynyt
11.11.2016
Viestejä
359
Menee ehkä mun ymmärryksen yli, mutta eikös sen serverin ole pakko tietää se master pw, millä se muuten decryptaa auki sen "vaultin"?
En tiedä miten juuri tässä ohjelmassa, mutta yleensä salasanaa ei tallennetta palvelimelle, vaan siellä on vain salasanasta laskettu tarkastussumma. Muuten noita kaikennäköisiä salasanavuotoja olisi vielä enemmän kuin nyt.
 
Liittynyt
17.10.2016
Viestejä
2 335
Olen kyllä tietoinen tuosta, mutta silti epäilen miten jos pelkkä hash lähetetään serverille niin miten sillä voisi avata sen kryptatun tiedon joka siellä Bitwardenin serverillä on kun kerran se on väitetysti kryptattu client-side. Onko se tieto sitten kryptattu hashilla eikä suoraan sillä pw:lla? Ääh, nyt menee jo överiksi, joka tapauksessa se pw minusta "vuotaa" ainakin siksi ajaksi kun olet kirjautunut nettipalveluun. Mutta se on kuitenkin siitä kiinni että luotatko palveluntarjoajaan (EDIT: ja heidän mahdollisiin kolmannenosapuolen käyttämiin server-palveluihin.. tässä tapauksessa Microsoft Azure?).

Esim. SpiderOak joka on minulla käytössä, se on myös client-side-encrypted tyylinen palvelu, mutta jos kirjautuu omalle tilille nettiselaimen kautta, se master pw menee serverille, mutta se on (kuulemma) vain serverin muistissa sen aikaa kun on kirjautuneena sisään, sitä ei tallenneta mihinkään.
 
Liittynyt
28.10.2016
Viestejä
2 364
Offline-pohjaisissa ratkaisuissa (esim. KeePassXC/KeePass) on aina se etu, että voit itse valita cloud-ratkaisun johon luotat, mikäli edes haluat ottaa sellaisen käyttöön.
 
Liittynyt
17.10.2016
Viestejä
2 335
Juuri näin. Mutta kuitenkin siinäkin joudut luottamaan sen softan tekijään ettei se vuoda mitään siinä tapauksessa jos sallii ulosmenevän liikenteen esim. suoraa pilvisynkkausta varten. Toki voi järjestää synkkauksen passusoftasta erikseen niin sen vuotomahdollisuuden saa estettyä. Deep down se on kuitenkin aika paljon luottamusta softaan näiden kanssa.
 

Kautium

IOdootti
Tukijäsen
Liittynyt
16.10.2016
Viestejä
19 527
Pitäisikö Bitwardenin osata jotenkin täyttää tunnustiedot eri palveluihin ilman käyttäjän toimenpiteitä ("autofill")? Pikaisella testauksella näin ei ainakaan oletuksena tapahdu Firefoxilla, eli käyttäjän pitää käydä sieltä Bitwarden addonin valikosta klikkaamassa haluttua tunnusta.

Edit.
Näköjään asetuksissa on tämän tarpeen toteuttava "experimental feature":
Auto-fill logins using the browser extension | Bitwarden Help & Support
Bitwarden includes an experimental feature to auto-fill logins immediately after a webpage containing a login form loads in your browser. This feature requires you to opt-in to use it. You can enable “Auto-fill On Page Load” under SettingsOptions.

In the case of multiple logins matching the current website, the last used login will be used for the auto-fill operation. If the wrong login is auto-filled, you can auto-fill again using the popup window and reset the last used login.
 
Liittynyt
28.10.2016
Viestejä
2 364
Juuri näin. Mutta kuitenkin siinäkin joudut luottamaan sen softan tekijään ettei se vuoda mitään siinä tapauksessa jos sallii ulosmenevän liikenteen esim. suoraa pilvisynkkausta varten. Toki voi järjestää synkkauksen passusoftasta erikseen niin sen vuotomahdollisuuden saa estettyä. Deep down se on kuitenkin aika paljon luottamusta softaan näiden kanssa.
Toki joudun. KeePass-pohjaisissa edes ulosmenevää liikennettä ei ole oletuksena lainkaan, poislukien päivitysten tarkistus ja faviconien lataus (jotka eivät edes tapahdu automaattisesti). Jos foliohattua alkaa kiristää, voin aina tarkistaa asian lähdekoodista.
 
Liittynyt
17.10.2016
Viestejä
2 335
Pitäisikö Bitwardenin osata jotenkin täyttää tunnustiedot eri palveluihin ilman käyttäjän toimenpiteitä ("autofill")? Pikaisella testauksella näin ei ainakaan oletuksena tapahdu Firefoxilla, eli käyttäjän pitää käydä sieltä Bitwarden addonin valikosta klikkaamassa haluttua tunnusta.

Edit.
Näköjään asetuksissa on tämän tarpeen toteuttava "experimental feature":
Auto-fill logins using the browser extension | Bitwarden Help & Support
Ei ole suositeltavaa käyttää tuollaista toimintoa. Tietosi voivat vuotaa. Tässä yksi esimerkki, on tosin pari vuotta vanha artikkeli mutta silti pätevä: Ad targeters are pulling data from your browser’s password manager

The scripts work by injecting invisible login forms in the background of the webpage and scooping up whatever the browsers autofill into the available slots.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Tiedä sitten kuinka turvallinen tuo Applen Safari AutoFill ratkaisu on o_O Tulee käytettyä.

 
Liittynyt
17.10.2016
Viestejä
2 335
Ihan sama ongelma siinäkin, jos jotain dataa lisätään automaagisesti nettisivun form-kenttiin niin ne voivat vuotaa. Suosittelen laittamaan pois päältä. Se on aika pieni juttu IMO klikata sitä kenttää sivulla ja valita login.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Ihan sama ongelma siinäkin, jos jotain dataa lisätään automaagisesti nettisivun form-kenttiin niin ne voivat vuotaa. Suosittelen laittamaan pois päältä. Se on aika pieni juttu IMO klikata sitä kenttää sivulla ja valita login.
Juu noin se toimii. Eli toimii vain jos klikkaa alla olevan kuvan oikealla olevaa avaimen/nuolen kuvaa, joka tuossa username kohdassa. Sitten sormella vahvistus.

 
Liittynyt
17.10.2016
Viestejä
2 335
Eli oliko "Safari AutoFill" asetus pois päältä tuossa kuvassa? Tuo on harmillinen tuo "autofill" termi kun se jossain softassa tarkoittaa ihan sitä mihin se mielestäni viittaa eli automaattisesti täytetään se tieto, mutta jossain softissa kuten esim. Bitwardenissa se ei sitä tarkoita vaan pitää erikseen valita se tieto jonka softa sitten täyttää siihen kenttään/tiin.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Eli oliko "Safari AutoFill" asetus pois päältä tuossa kuvassa? Tuo on harmillinen tuo "autofill" termi kun se jossain softassa tarkoittaa ihan sitä mihin se mielestäni viittaa eli automaattisesti täytetään se tieto, mutta jossain softissa kuten esim. Bitwardenissa se ei sitä tarkoita vaan pitää erikseen valita se tieto jonka softa sitten täyttää siihen kenttään/tiin.
Tuo kuva on netistä niin tuossa on Touch ID Safari AutoFill käytössä. Tuossa ehdotetussa tunnuksessa tuo sormenjäljen kuva. Toimii myös hiirellä valitsemalla tuota tunnusta.
Oon nyt pöytäkoneella (ei Touch ID:ta) niin toimenpide pitää tehdä hiirellä valitsemalla tunnus.



Sekava on. Tuo Touch ID (Safari AutoFill) tuli muutama kuukausi sitten Mojave käyttöjärjestelmään ja laitteisiin joissa Touch ID.
Apple to simplify Safari AutoFill with Touch ID support in macOS 10.14.4
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 019
Tuo kuva on netistä niin tuossa on Touch ID Safari AutoFill käytössä. Tuossa ehdotetussa tunnuksessa tuo sormenjäljen kuva. Toimii myös hiirellä valitsemalla tuota tunnusta.
Oon nyt pöytäkoneella (ei Touch ID:ta) niin toimenpide pitää tehdä hiirellä valitsemalla tunnus.



Sekava on. Tuo Touch ID (Safari AutoFill) tuli muutama kuukausi sitten Mojave käyttöjärjestelmään ja laitteisiin joissa Touch ID.
Apple to simplify Safari AutoFill with Touch ID support in macOS 10.14.4
Tuossa vielä tilanne MacBook Pro 2017 koneella jossa Touch ID.

 

Kautium

IOdootti
Tukijäsen
Liittynyt
16.10.2016
Viestejä
19 527
Eli oliko "Safari AutoFill" asetus pois päältä tuossa kuvassa? Tuo on harmillinen tuo "autofill" termi kun se jossain softassa tarkoittaa ihan sitä mihin se mielestäni viittaa eli automaattisesti täytetään se tieto, mutta jossain softissa kuten esim. Bitwardenissa se ei sitä tarkoita vaan pitää erikseen valita se tieto jonka softa sitten täyttää siihen kenttään/tiin.
Bitwardenissa autofill tarkoittaa samaa kuin useimmissa muissakin, eli että login-tiedot täytetään niille varattuihin kenttiin käyttäjän tekemän valinnan jälkeen ja "autofill on page load" on sitten Bitwardenin oma termi sille täysin automaattiselle täytölle.
 
Liittynyt
28.10.2016
Viestejä
2 364
Ihan sama ongelma siinäkin, jos jotain dataa lisätään automaagisesti nettisivun form-kenttiin niin ne voivat vuotaa. Suosittelen laittamaan pois päältä. Se on aika pieni juttu IMO klikata sitä kenttää sivulla ja valita login.
Juurikin näin. On aina turvallisempaa odottaa käyttäjältä jotain toimenpidettä joka täydentää kentät, kuin että se tapahtuisi automaattisesti.

En tiedä Bitwardenin Auto-Fillistä, mutta ainakin KeePassXC:n selainlaajennuksen puolella kaikki kentät jotka ovat piilossa, eivät näy kyseisellä sivulla, ovat liian pieniä tms. ignorataan täysin. Lisäksi sivuston tai muiden laajennusten scriptat eivät pysty suorittamaan toimintoja joilla saisi täydennyksen tehtyä ilman käyttäjän toimenpiteitä. Tämän lisäksi login-kentät toimivat aina ns. kombinaatioina, eli tietoja ei vahingossakaan kirjoiteta mihinkään yksittäiseen kenttään.

Ja jos Auto-Filliä haluaa välttämättä käyttää, voi sivulle asettaa manuaalisesti käyttöön vain tietyt kentät joihin täyttö tapahtuu.
 

Kautium

IOdootti
Tukijäsen
Liittynyt
16.10.2016
Viestejä
19 527
Harmi vaan että ei tarkoita kaikissa softissa, helposti tulee väärinkäsityksiä kun mainitaan autofill.
Näinhän se on joo. Minäkin olin alunperin siinä uskossa, että autofill juuri tarkoittaisi sitä että tiedot täytetään automaattisesti ilman mitään käyttäjän toimia sopiviin kenttiin.
 
Liittynyt
16.10.2016
Viestejä
1 051
https://blog.bitwarden.com/bitwarden-mobile-app-v2-0-now-available-a39829b42fc5

Jun 14

We’re excited to announce v2.0 of the Bitwarden mobile app. This release is a complete re-write of a Bitwarden mobile app from the ground up. This particular release is for Android only, however, iOS will soon follow. The goal of this re-write was to bring the mobile app in-line with all of the other Bitwarden client applications in terms of quality and feature parity. This will also allow us to iterate new versions more quickly and in line with other Bitwarden applications as we continue to add new features.
edit:

2.0.x-version uusien ominaisuuksien osalta on mainittu mm. :
New Features
.
.
.
  • PIN + Fingerprint unlocking can be used together at the same time
Jostain syystä itse en aluksi saanut version 2.0.4 ( 1921) asennettuani asetuksista kohdasta "Lukitseminen - Avaa sormenjäljellä" sormenjälkitunnistusta toimimaan lainkaan vaan se pysyi sinnikkäästi harmaana ja "Ei käytössä". Tähän auttoi kuitenkin Androidin kielen vaihtaminen tilapäisesti suomesta englanniksi (itse appsihan noudattaa käyttiksen kieltä ja kielelle ei käsittääkseni ole erillistä asetusta). Tämän jälkeen sormenjälkitunnistuksen pystyi enabloimaan ja käyttiksen kielen palautuksen jälkeenkin valinta pysyi vihreänä "Käytössä".

Appsiin saa asetuksista valittua nyt myös Dark Themen. Sormella scrollaamalla löytyy eri vaihtoehtoja defaultin lightin lisäksi.
 
Viimeksi muokattu:

Inehmo|

#73
Liittynyt
16.10.2016
Viestejä
672
https://blog.bitwarden.com/bitwarden-mobile-app-v2-0-now-available-a39829b42fc5



edit:

2.0.x-version uusien ominaisuuksien osalta on mainittu mm. :

Jostain syystä itse en aluksi saanut version 2.0.4 ( 1921) asennettuani asetuksista kohdasta "Lukitseminen - Avaa sormenjäljellä" sormenjälkitunnistusta toimimaan lainkaan vaan se pysyi sinnikkäästi harmaana ja "Ei käytössä". Tähän auttoi kuitenkin Androidin kielen vaihtaminen tilapäisesti suomesta englanniksi (itse appsihan noudattaa käyttiksen kieltä ja kielelle ei käsittääkseni ole erillistä asetusta). Tämän jälkeen sormenjälkitunnistuksen pystyi enabloimaan ja käyttiksen kielen palautuksen jälkeenkin valinta pysyi vihreänä "Käytössä".

Appsiin saa asetuksista valittua nyt myös Dark Themen. Sormella scrollaamalla löytyy eri vaihtoehtoja defaultin lightin lisäksi.
Olikin näköjään automaagisesti päivittinyt. Black theme OLED-näytöllä kyllä priimaa. :joy:
 
Liittynyt
17.04.2017
Viestejä
109
Itselläni on nykyään KeePass käytössä, koska jokaiselle alustalle löytyy toimiva versio ohjelmasta ja tiedot tallentuvat yhteen kdbx-tiedostoon, joka on helppo siirtää ja varmuuskopioda, sekä voi itse valita käyttämänsä pilipalvelun tai olla käyttämättä.

Ohjelmat eri alustoille:
Lisäksi lista mitä on ennen ollut käytössä ja miksi vaihdoin muuhun sovellukseen:
  • 1Password: siirtyivät kuukausittaisiin maksuihin ja omaan pilvipalveluun.
  • Locko: kehitys lopetettiin
  • Enpass: versio 5.x oli hyvä ja toimiva selainlisäosineen, mutta julkaisivat v6.0:n automaattisena päivityksenä ilman kunnollista testausta ja se sisälsi paljon bugeja, joista osa aiheutti datan menettämistä joillekin käyttäjille. Samalla poistivat kaikki 5.x version lataukset sivuiltaan (näyttävät olevan lisänneen takaisin). Datan ulosvienti CSV:nä teki epämääräisesti järjestellyn taulukon, jota sai järjestellä pari tuntia Excelissä ennen kuin sen pystyi tuomaan toiseen ohjelmaan.
 
Liittynyt
28.10.2016
Viestejä
2 364
Itselläni on nykyään KeePass käytössä, koska jokaiselle alustalle löytyy toimiva versio ohjelmasta ja tiedot tallentuvat yhteen kdbx-tiedostoon, joka on helppo siirtää ja varmuuskopioda, sekä voi itse valita käyttämänsä pilipalvelun tai olla käyttämättä.

Ohjelmat eri alustoille:
Tai sitten voit käyttää KeePassXC:tä joka toimii joka desktop-alustalla (Win/Mac/Linux).
 
Liittynyt
19.10.2016
Viestejä
1 560
Tai sitten voit käyttää KeePassXC:tä joka toimii joka desktop-alustalla (Win/Mac/Linux).
Ja näitähän voi toki käyttää ristiinkin, koska samaa tiedostoformaattia ne kuitenkin käyttävät. Itse käytän Windows-puolella alkuperäistä KeePassia ja Linux-puolella KeePassXC:tä, jossa on Linuxissa huomattavasti parempi käytettävyys kuin alkuperäisessä KeePassissa.
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Liittynyt
17.10.2016
Viestejä
985
Olin pitkään käyttäny LastPassia, mutta kavereiden ehdotuksesta vaihdoin 1Passwordiin ja oon ollu tyytyväinen. Tässä isoimmat syyt:
  • 1Password sisältää 2-way-auth koneiston sisäänrakennettuna. Eli jos kirjaudut vaikka paypaliin tjsp ja salasanan jälkeen kysyy koodia niin 1password osaa täyttää sen autom. Ei tarvii enää kaivaa sitä kännykkää esille.
    • Kännykkä toki esille silloin kun itse 1passwordiin kirjaudutaan uudelta laitteelta.
  • 1Password tukee subdomaineja, mitä lastpass ei tee.
  • Extensioni toimii kaikkialla. Lastpassilla oli paikoitellen ongelmia tiettyjen sivustojen kanssa.

Muuttaminen oli aika simppeliä. Piti vaan exportata jutut Lastpassista ja importoida 1Passwordiin.
 
Liittynyt
14.12.2017
Viestejä
234
Olin pitkään käyttäny LastPassia, mutta kavereiden ehdotuksesta vaihdoin 1Passwordiin ja oon ollu tyytyväinen. Tässä isoimmat syyt:
  • 1Password sisältää 2-way-auth koneiston sisäänrakennettuna. Eli jos kirjaudut vaikka paypaliin tjsp ja salasanan jälkeen kysyy koodia niin 1password osaa täyttää sen autom. Ei tarvii enää kaivaa sitä kännykkää esille.
    • Kännykkä toki esille silloin kun itse 1passwordiin kirjaudutaan uudelta laitteelta.
  • 1Password tukee subdomaineja, mitä lastpass ei tee.
  • Extensioni toimii kaikkialla. Lastpassilla oli paikoitellen ongelmia tiettyjen sivustojen kanssa.

Muuttaminen oli aika simppeliä. Piti vaan exportata jutut Lastpassista ja importoida 1Passwordiin.
Lastpass on vaan ilmaiseksi palveluksi oikein fiksu, mutta eipä tuo 1passwordikaan kovin paljoa vuodessakaan kustanna.
 
Liittynyt
17.10.2016
Viestejä
985
Lastpass on vaan ilmaiseksi palveluksi oikein fiksu, mutta eipä tuo 1passwordikaan kovin paljoa vuodessakaan kustanna.
Joo tuohan se syy oli alunperin. Helpottanu vaan omaa arkea niin paljon, että tuo muutama euro ei paljon hetkauta.
 

escalibur

"Random Tech Channel" @ YouTube
Liittynyt
17.10.2016
Viestejä
9 072
Olin pitkään käyttäny LastPassia, mutta kavereiden ehdotuksesta vaihdoin 1Passwordiin ja oon ollu tyytyväinen. Tässä isoimmat syyt:
  • 1Password sisältää 2-way-auth koneiston sisäänrakennettuna. Eli jos kirjaudut vaikka paypaliin tjsp ja salasanan jälkeen kysyy koodia niin 1password osaa täyttää sen autom. Ei tarvii enää kaivaa sitä kännykkää esille.
Tuo on aika kaksipiippuinen asia. Itse esimerkiksi en missään nimessä pitäisi "kaikkia munia samassa korissa". Jos käy perinteinen, on mitä todennäköisemmin vaikeampaa arvata mitä ulkopuolinen appi generoisi sisärakennetun sijasta.
 
Liittynyt
17.10.2016
Viestejä
985
Tuo on aika kaksipiippuinen asia. Itse esimerkiksi en missään nimessä pitäisi "kaikkia munia samassa korissa". Jos käy perinteinen, on mitä todennäköisemmin vaikeampaa arvata mitä ulkopuolinen appi generoisi sisärakennetun sijasta.
Näinhän se on. Tosin, että joku ulkopuolinen pääsee käsiksi tiliin, tarvitsee secret keyn, mun salasanan sekä vielä luurista 2way authin.

Se on eriasia sit jos itse tietokanta borkataan.
 
Liittynyt
17.10.2016
Viestejä
153
Salasanan säilyttäminen esimerkiksi muistilapulla povitaskussa on huomattavasti turvallisempaa kuin sen säilyttäminen pilvessä. Tämä nyt on vain tällaisen alalla olleen mielipide.
 
Liittynyt
17.10.2016
Viestejä
985
Salasanan säilyttäminen esimerkiksi muistilapulla povitaskussa on huomattavasti turvallisempaa kuin sen säilyttäminen pilvessä. Tämä nyt on vain tällaisen alalla olleen mielipide.
Ja sama salasana kaikkeen? Vai onko sulla nippu papereita taskussa? ;)
 
Liittynyt
17.10.2016
Viestejä
153
Tämä on se ongelma. Pahimmassa tapauksessa olet itse (dna) pääsy kaikkeen, tai sitten säilytät salasanat erillisinä itsestäsi. Toisaalta pilvessä salasanat ovat ovat saatavissa ilman sinun fyysistä läsnäoloasi.
 
Liittynyt
14.12.2017
Viestejä
234
Salasanan säilyttäminen esimerkiksi muistilapulla povitaskussa on huomattavasti turvallisempaa kuin sen säilyttäminen pilvessä. Tämä nyt on vain tällaisen alalla olleen mielipide.
Perustelisitko miten tämä on turvallisempaa?
 

Taneli-

☤ Virallinen ⚔ testaaja ☣
Liittynyt
17.10.2016
Viestejä
7 592
Perustelisitko miten tämä on turvallisempaa?
Sanotaan nyt esimerkkinä että jos käytetään pahinta mahdollista skenaariota eli käyttäjällä on (olen oikeasti nähnyt) se alkuperäinen lappu missä koneen tiedot ja salasana taitettuna koneen kannen ja näppäimistön välissä (läppäri) niin vielä täytyi päästä sotilaspoliisien ja koirien vartioimalle aidatulle alueelle + kantahenkilökunnan lävitse useista ovista jotka aukeavat ainoastaan kulkukortilla ja sinulla pitäisi olla myös tunnistekortti roikkumassa näkyvillä.

Eli ainakin armeijan tiloissa tuo on oikeasti turvallisempi vaihtoehto.

Tietysti jos miettii vaikka yleistä koulutilaa missä takki jätettäisiin ulos käytävään ilman mitään valvontaa se tuskin olisi ns. "turvallisempi" vaihtoehto.

Toki myös älyä voi käyttää, jos se salasana on rypistetty paperi missä lukee:

- Munia
- uunilenkki
- nakkeja
- 1 L maitoa
- Paahtoleipä
- conan sarjis

Ei siitä ehkä arvata ensimmäisenä salasanan olevan "Mun1Pc" (mikä salasanana on täysin surkea, älkää siis käyttäkö).
 

a85

Liittynyt
24.10.2016
Viestejä
1 009
Itse vaihdoin keepassin bitwardeniin, pelkästään helpomman käytettävyyden takia. Toki jos foliohattu kiristäisi niin saattaisi tuo ahdistaa kun tietokanta on nyt "kaikkien saatavilla". Pilvipalvelin on kuitenkin omassa hallinnassa niin ei pitäisi olla huolissaan, että joku muu pääsisi tietoja näpelöimään.
 
Liittynyt
19.10.2016
Viestejä
1 321
Lappu läppärin välissä ei ole lähelläkään huonointa salasanakäytäntöä, mutta ehkä nykypäivänä ei ihan kaikkein kätevin, salasanoja kuitenkin tarvitsee jonkun 10-20 lähes päivittäiseen käyttöön ja 50+ satunnaisemmin.

Tietoturvan kanssa joutuu aina tekemään kompromisseja käytettävyyden kanssa, ja jos käytettävyys tippuu liian huonoksi, alkaa oikominen turvallisuudesta. Meillä firmassa esimerkiksi selvästi huonoja käytäntöjä ovat salasanojen lyhyet vanhenemisajat ja virallisen salasanamanagerin puute.
 

neko

ᓚᘏᗢ
Liittynyt
18.10.2016
Viestejä
3 751
Koskien tuota, että tietokanta on "muiden saatavilla", niin tietokanta lienee salatussa muodossa, joten saahan sitä käpistellä. Laitoin muistaakseni testi LastPassin tietokannani nettiin murossa, ja sitä sai murtaa halutessaan. Ei kuulunut ikinä mitään, tosin olisi kannattanut laittaa jonnekin kansainväliselle foorumille niin olisi saanut ehkä enemmän huomiota.

Mutta siis mä se vaan pysyn LastPassissa, vaikka tosin olen mieltynyt laittamaan asioita talteen KeePass2:een (niin Wintendossa/Androidissa, sync autom. pilven kautta), kun LastPassin GUI/käytettävyys (muussa kuin tunnusten autom syötössä) on itse asiassa aika persiistä välillä, varsinkin toimivuus Androidissa vähän sinne päin. KeePass2:ssa saan saman tien tarvittaessa käyttööni sen perhanan tarvitsemani salasanan, ilman että jo tehdyn kirjautumisen jälkeen saan LastPassissa vielä kerran kirjoittaa salasanan (joka on tosiaan vahva, ja joo ymmärrän kysymyksen tarpeen). Työpöytä selailussa LastPass kuitenkin hoitaa hommat edelleen hyvin, joten vielä ei ole riittävästi tullut intoa kokeilla esim. tuota monen hokemaa Bitwardenia. Pitää joskus jos LastPassin kanssa tulee todellisia ongelmia. Onneksi usea paikka tarjoaa 2FA:n, olen ottanut aina käyttöön, jos on vähänkään tärkeämpi paikka.

Ja joo, tiedän LastPassin juuri korjatusta haavoittuvuudesta tms. Ei jaksa kiistellä. :)
 

Kautium

IOdootti
Tukijäsen
Liittynyt
16.10.2016
Viestejä
19 527
Koskien tuota, että tietokanta on "muiden saatavilla", niin tietokanta lienee salatussa muodossa, joten saahan sitä käpistellä. Laitoin muistaakseni testi LastPassin tietokannani nettiin murossa, ja sitä sai murtaa halutessaan. Ei kuulunut ikinä mitään, tosin olisi kannattanut laittaa jonnekin kansainväliselle foorumille niin olisi saanut ehkä enemmän huomiota.

Mutta siis mä se vaan pysyn LastPassissa, vaikka tosin olen mieltynyt laittamaan asioita talteen KeePass2:een (niin Wintendossa/Androidissa, sync autom. pilven kautta), kun LastPassin GUI/käytettävyys (muussa kuin tunnusten autom syötössä) on itse asiassa aika persiistä välillä, varsinkin toimivuus Androidissa vähän sinne päin. KeePass2:ssa saan saman tien tarvittaessa käyttööni sen perhanan tarvitsemani salasanan, ilman että jo tehdyn kirjautumisen jälkeen saan LastPassissa vielä kerran kirjoittaa salasanan (joka on tosiaan vahva, ja joo ymmärrän kysymyksen tarpeen). Työpöytä selailussa LastPass kuitenkin hoitaa hommat edelleen hyvin, joten vielä ei ole riittävästi tullut intoa kokeilla esim. tuota monen hokemaa Bitwardenia. Pitää joskus jos LastPassin kanssa tulee todellisia ongelmia. Onneksi usea paikka tarjoaa 2FA:n, olen ottanut aina käyttöön, jos on vähänkään tärkeämpi paikka.

Ja joo, tiedän LastPassin juuri korjatusta haavoittuvuudesta tms. Ei jaksa kiistellä. :)
Osa porukasta kokee ongelmaksi sen, että siihen tallennuskohteen omistajan osaamiseen pitää vain luottaa. Salauksia on monentasoisia ja toteutuksia samaten. Oikeaoppisesti toteutettua salausta ei varmasti avata yksityishenkilöiden resursseilla järkevässä ajassa mitenkään, mutta jos liikenne jossakin vaiheessa sinne salattavaan kantaan kulkeekin vaikka reikäisen palvelimen kautta, niin siinäpä onkin sitten se ketjun heikoin lenkki, jonka jälkeen kaikki muu on turhaa. Nämä ovat kaukaa haettuja skenaarioita, mutta onhan se kuitenkin ihan ymmärrettävää, että näitä pohditaan.

Bitwardenin olen itse kokenut omissa tarpeissa riittävän toimivaksi näistä ilmaisista vaihtoehdoista, mutta mobiiliclient on vähän kökkö, eikä se tunnu aina ymmärtävän kirjautumisdialogeja muutenkaan. Ongelmat ovat kuitenkin olleet kohtuullisen harvinaisia. Lastpassiakin testasin, mutta Bitwarden vei voiton pienellä marginaalilla.

Paikallisiin tallennuksiin en jaksa enää alkaa lainkaan ja nuo "salasanamuistio taskussa on paras" -kommentit nyt voi sivuuttaa muutenkin kokonaan.
 

neko

ᓚᘏᗢ
Liittynyt
18.10.2016
Viestejä
3 751
mutta jos liikenne jossakin vaiheessa sinne salattavaan kantaan kulkeekin vaikka reikäisen palvelimen kautta
LastPassin tapauksessa käsittääkseni salaus/purku tapahtuu paikallisesti, liikenteessä liikkuu ainoastaan salattua tietoa. Ja niin myös KeePassin kanssa kaiketi? :tup:

No voihan omalla konella olla jotain. Silloin on tosin muitakin onglemia, eikä varmaan salasanaohjelmalla niin väliä...
 
Liittynyt
14.12.2017
Viestejä
234
Sanotaan nyt esimerkkinä että jos käytetään pahinta mahdollista skenaariota eli käyttäjällä on (olen oikeasti nähnyt) se alkuperäinen lappu missä koneen tiedot ja salasana taitettuna koneen kannen ja näppäimistön välissä (läppäri) niin vielä täytyi päästä sotilaspoliisien ja koirien vartioimalle aidatulle alueelle + kantahenkilökunnan lävitse useista ovista jotka aukeavat ainoastaan kulkukortilla ja sinulla pitäisi olla myös tunnistekortti roikkumassa näkyvillä.

Eli ainakin armeijan tiloissa tuo on oikeasti turvallisempi vaihtoehto.

Tietysti jos miettii vaikka yleistä koulutilaa missä takki jätettäisiin ulos käytävään ilman mitään valvontaa se tuskin olisi ns. "turvallisempi" vaihtoehto.

Toki myös älyä voi käyttää, jos se salasana on rypistetty paperi missä lukee:

- Munia
- uunilenkki
- nakkeja
- 1 L maitoa
- Paahtoleipä
- conan sarjis

Ei siitä ehkä arvata ensimmäisenä salasanan olevan "Mun1Pc" (mikä salasanana on täysin surkea, älkää siis käyttäkö).
No tämä on sitten tilanne jos käytät kaikkialla samaa salasanaa. Väittäisin siis että ei järin turvallista.
 

Kautium

IOdootti
Tukijäsen
Liittynyt
16.10.2016
Viestejä
19 527
Sanotaan nyt esimerkkinä että jos käytetään pahinta mahdollista skenaariota eli käyttäjällä on (olen oikeasti nähnyt) se alkuperäinen lappu missä koneen tiedot ja salasana taitettuna koneen kannen ja näppäimistön välissä (läppäri) niin vielä täytyi päästä sotilaspoliisien ja koirien vartioimalle aidatulle alueelle + kantahenkilökunnan lävitse useista ovista jotka aukeavat ainoastaan kulkukortilla ja sinulla pitäisi olla myös tunnistekortti roikkumassa näkyvillä.

Eli ainakin armeijan tiloissa tuo on oikeasti turvallisempi vaihtoehto.

Tietysti jos miettii vaikka yleistä koulutilaa missä takki jätettäisiin ulos käytävään ilman mitään valvontaa se tuskin olisi
On niissä vartioiduissakin tiloissa myös muita ihmisiä. Sisäinen uhka on tietoturvamielessä muutenkin monesti jopa suurempi kuin ulkoinen.

/Offtopic
 
Liittynyt
21.02.2019
Viestejä
838
Mikä olisi paras ohjelma joka toimii Android/Windows ympyröissä?

Muutama vuosi sitten kokeilin eri ilmais äppsejä ja jotenkin ei vain tuntunut toimivan Android/Chrome combolla...

Nyt varmaan jo asiat paremmin?
Edit: Ei siis tarvitse olla ilmainen
Edit 2: Tuota 1Password kokeilin niin ilmeisesti ei toimi chromessa kaikilla sivuilla? iotech foorumilla antaa 1passwordin kirjautumisvaihtoehdon mutta esim matkapuhelinfoorumilla ei ainakaan kysynyt mitään kun foorumin kirjautumista testasi..
 
Viimeksi muokattu:
Liittynyt
14.12.2017
Viestejä
234
Mikä olisi paras ohjelma joka toimii Android/Windows ympyröissä?

Muutama vuosi sitten kokeilin eri ilmais äppsejä ja jotenkin ei vain tuntunut toimivan Android/Chrome combolla...

Nyt varmaan jo asiat paremmin?
Edit: Ei siis tarvitse olla ilmainen
Edit 2: Tuota 1Password kokeilin niin ilmeisesti ei toimi chromessa kaikilla sivuilla? iotech foorumilla antaa 1passwordin kirjautumisvaihtoehdon mutta esim matkapuhelinfoorumilla ei ainakaan kysynyt mitään kun foorumin kirjautumista testasi..
Lastpass toimi itellä joskus Chromessa ihan ok mut autofillistä Androidilla en tiedä ku en koskaan käyttäny sitä ominaisuutta.
 
Liittynyt
17.10.2016
Viestejä
985
Mikä olisi paras ohjelma joka toimii Android/Windows ympyröissä?

Muutama vuosi sitten kokeilin eri ilmais äppsejä ja jotenkin ei vain tuntunut toimivan Android/Chrome combolla...

Nyt varmaan jo asiat paremmin?
Edit: Ei siis tarvitse olla ilmainen
Edit 2: Tuota 1Password kokeilin niin ilmeisesti ei toimi chromessa kaikilla sivuilla? iotech foorumilla antaa 1passwordin kirjautumisvaihtoehdon mutta esim matkapuhelinfoorumilla ei ainakaan kysynyt mitään kun foorumin kirjautumista testasi..
Support foorumilla on noi 1password ongelmat korjattu todella nopeasti. Matkapuhelinfoorumin mobiilinäkymän formissa on jotain ei standardia niin ei tykkää automaattisesti täyttää. Sinne kun laittaa viestiä niin ainakin saa tarkemman selvityksen miksi ei toimi nyt, ja koska korjataan.
 
Liittynyt
02.11.2016
Viestejä
1 174
LastPass-lisäosa hidastaa huomattavasti selain-benchmarkia Bravessa, ehkä kaikissa Chromium-pohjaisissa selaimissa. Eri asia huomaako tavallisessa käytössä mitään eroa, en tiedä kun en ole käyttänyt koskaan.

 
Toggle Sidebar

Statistiikka

Viestiketjut
237 503
Viestejä
4 164 452
Jäsenet
70 416
Uusin jäsen
giantaxe

Hinta.fi

Ylös Bottom