Parhaat ohjelmat salasanojen säilytykseen

[Tege]

Siirryin tuota käyttämään, periaatteellisista syistä (ja mobiilisynkronointia varten), mutta deskarilla LastPass oli kyllä huomattavasti käytettävämpi.

Onko jossakin selostettu (detailitasolla) miten tuo useamman käyttäjän salasanojen jako toimii Bitwardenissa? Löysin jotain ylimalkaista viimeksi, kun katsoin.

Puhutaan ns. perhejaosta?

Share Items | Bitwarden

There are lots of different methods for sharing items using Bitwarden. In this article, we'll walk through those methods. Whichever method works best for your workflow, remember that you'll need to be a member of an organization in order to share.

bitwarden.com

 

[Kautium]

Siirryin tuota käyttämään, periaatteellisista syistä (ja mobiilisynkronointia varten), mutta deskarilla LastPass oli kyllä huomattavasti käytettävämpi.

Mitä tarkoitat deskarilla? Jotain Windows-sovellusten kirjautumista, vai mitä? Siltä osin en ole koskaan tuota testannut. Selaimissa se toimii pluginin kautta samalla periaatteella joka alustalla (mobiiliversioissa tunnusten valinta tehdään eri tavalla, mutta sama idea).

Onko jossakin selostettu (detailitasolla) miten tuo useamman käyttäjän salasanojen jako toimii Bitwardenissa? Löysin jotain ylimalkaista viimeksi, kun katsoin.

En ole tähän koskaan tarkemmin perehtynyt, mutta perheen muiden salasanojen keskitetyn hallinnan vuoksi se on edessä meilläkin, joten jos jollakin on tästä kattavampia kokemuksia, niin minäkin kuuntelen niitä mielelläni.

 

[ojisama]

Mitä tarkoitat deskarilla? Jotain Windows-sovellusten kirjautumista, vai mitä? Siltä osin en ole koskaan tuota testannut. Selaimissa se toimii pluginin kautta samalla periaatteella joka alustalla (mobiiliversioissa tunnusten valinta tehdään eri tavalla, mutta sama idea).

Firefoxin (ja Chromen) plugaria tarkoitin. LastPass tuntui tarjoavan hanakammin käyttäjätunnusta kirjautumisiin, näytti vaihtoehdot selkeämmin. Ja tykkäsin myös erottelusta erilaisia kirjautumisia varten (palvelimet yms.). Ja käyttöliittymä on selkeämpi.

Yhden klikkauksen vähemmän vaativa kopioi salasana / käyttäjätunnus on Bitwardenissa parempi.

Puhutaan ns. perhejaosta?

Share Items | Bitwarden

There are lots of different methods for sharing items using Bitwarden. In this article, we'll walk through those methods. Whichever method works best for your workflow, remember that you'll need to be a member of an organization in order to share.

bitwarden.com

Töihin pohdin, mutta kaipaisin tarkempaa selontekoa siitä miten siinä hallitaan palvelimen päässä kryptausta, että salasanat saadaan jaettua organisaation jäsenille, vai pitääkö noihin vain luottaa. Näytti siltä, että vaatii luoton.

 

[Kautium]

Firefoxin (ja Chromen) plugaria tarkoitin. LastPass tuntui tarjoavan hanakammin käyttäjätunnusta kirjautumisiin, näytti vaihtoehdot selkeämmin. Ja tykkäsin myös erottelusta erilaisia kirjautumisia varten (palvelimet yms.). Ja käyttöliittymä on selkeämpi.

Yhden klikkauksen vähemmän vaativa kopioi salasana / käyttäjätunnus on Bitwardenissa parempi.

Noita voi tuunata aika hyvin asetuksista ja sieltä saa jopa automaattisen täytön päälle (jota tosin ei tietoturvasyistä kannata käyttää). Kirjautumisten tunnistamista voi myös säätää aika hyvin, mutta se vaatii hieman perehtymistä.

 

[escalibur]

Onko jossakin selostettu (detailitasolla) miten tuo useamman käyttäjän salasanojen jako toimii Bitwardenissa? Löysin jotain ylimalkaista viimeksi, kun katsoin.

Jako vaatii että tunnukset kuuluvat samaan "Organisaatioon"

Sharing | Bitwarden Help & Support

Signun linkin takaa löytyy yleinen esittelyvideo Bitwardenista Suomeksi jos aihe kiinnostaa.

 

[ojisama]

Jako vaatii että tunnukset kuuluvat samaan "Organisaatioon"

Sharing | Bitwarden Help & Support

Signun linkin takaa löytyy yleinen esittelyvideo Bitwardenista Suomeksi jos aihe kiinnostaa.

En katsonut videota, vastaako se kysymykseen miten se jakaminen teknisesti toimii?
"The key thing to know is that Organizations enable secure sharing from Organizations to users."

Perustin siis toki jo pari viikkoa sitten organisaation testiksi. Pohdin sitä, että mitä sinne uskaltaa laittaa. Henkilökohtaiset kamat joo, ja jos ymmärrän oikein, niin yksittäiselle tilille turvallisuutta vaativaakin kamaa, kun salausavain, vähän luottoa vaatien, vain itsellä.

 

[leripe]

En katsonut videota, vastaako se kysymykseen miten se jakaminen teknisesti toimii?
"The key thing to know is that Organizations enable secure sharing from Organizations to users."

Perustin siis toki jo pari viikkoa sitten organisaation testiksi. Pohdin sitä, että mitä sinne uskaltaa laittaa. Henkilökohtaiset kamat joo, ja jos ymmärrän oikein, niin yksittäiselle tilille turvallisuutta vaativaakin kamaa, kun salausavain, vähän luottoa vaatien, vain itsellä.

Varmaankin teidän yrityksellä on määritelty tietoturva vaatimukset jne sekä teette soppareita valmistajien kanssa jne.

 

[ojisama]

Varmaankin teidän yrityksellä on määritelty tietoturva vaatimukset jne sekä teette soppareita valmistajien kanssa jne.

Niin. Kuten sanoin, olisi kiva tietää mitä tuonne voi laittaa.

 

[Xiyng]

No huh, olipas helppoa.

Vanha totuushan on se, että jos vihamielinen taho pääsee laitteeseen fyysisesti käsiksi, peli on menetetty. Hyökkääjän toimintaa voi hankaloittaa, mutta viime kädessä sille ei voi oikein mitään. Todennäköisesti hyvinkin monimutkaisen hyökkäyksen pystyy paketoimaan sellaiseen muotoon, että sen saa suoritettua/asennettua sekunneissa.

Tämä on kyllä käsittämätöntä, että Chrome (ja muut sen pohjalle tehdyt) selaimet logittavat koneelle kaikenlaisia salausavaimia ym. eikä tuota "toiminnallisuutta" ole edes mahdollista ottaa pois päältä.

Kuten yllä totesin, viime kädessä asialle tuskin voi juuri mitään. Hyökkääjän toimintaa voi hankaloittaa, mutta jos hänellä on fyysinen pääsy laitteeseen, peli on lähtökohtaisesti menetetty, koska hyökkääjä voi lähtökohtaisesti tehdä laitteella ihan mitä tahansa. Esimerkiksi perinteisen keyloggerin asentamisella päässee jo hyvin pitkälle, jos ikinä tarvitsee kirjoittaa minkään vuoksi mitään salasanoja, riippumatta siitä, minne salausavaimet on tallennettu. Vastaavasti hyökkääjä pystynee kyllä hakemaan salausavaimen ihan samalla tavalla kuin käyttäjäkin, vaikka salausavaimen piilottaisi miten. Asiaa voi vaikeuttaa, mutta täydellistä suojaa ei tiettävästi ole.

 

[Cirrus]

Jos ajattelee, että sun tarvii vaan tuo ohjelma ladata ja ajaa, niin näet samantein kaikki Chromeen tallennetut salasanat, eli ei kovin vaikeaa. Password manager softat ei kyllä ihan noin helposti aukea, jos käyttää kunnollista sellaista.

Mutta se, että malware pääsee koneelle, sekä pystyy ajamaan tuon samaisen koodin riippuu paljon käyttäjästä ja miten se kone on konfattu, sekä pyöriikö taustalla ajantasainen antivirus (joka saattaa huomata kyseisen malwaren (code obfuscation)).

ChromePass - Chrome Browser Password Recovery for Windows

Allows you to recover Chrome Web browser passwords from current system and external drive of Windows operating system

www.nirsoft.net

En ainakaan itse suosittele käyttämään mihinkään tärkeään, jossa vaikka maksutietoja sun muita henkilötietoja kyseisen salasanan takana on.

Edit: Aijjuu, täähän on Win11 ketju, pitäs aina muistaa tarkistaa, noh, eiköhän tarvittaessa siirry...

Jatketaan vaikka täällä. Windows 11 liittyy enää vain etäisesti. Mutta huvin ja urheilun vuoksi testasin Win 11 testikoneessa vieläkö toimii ja toimii tuo. Nyt päästiin jo paremmalle keskustelun tasolle kuitenkin:
1. Että tuo skenaario toimii, niin hyökkääjä saa mellastaa koneellasi jo aika vapaasti. Hänen täytyy esimerkiksi pystyä laittamaan tietoturvasovellukset kiinni (ja varmaan on laittanutkin koska on koneellasi). Mm. denfeder urputtaa koko ajan tuosta. Noin vapaana oleva hyökkääjä on kyllä jo muutenkin aika iso ongelma.

2. Firefoxiin tuo ei toimi. Eikä toimi edgeenkään. Tästä päästiin siihen että chrome on windowssissa tietoturvattomampi password manager kuin moni muu. Mutta ei vielä ollenkaan siihen että että selaimet yleisesti on sellaisia.

 

[=JP=]

Jatketaan vaikka täällä. Windows 11 liittyy enää vain etäisesti. Mutta huvin ja urheilun vuoksi testasin Win 11 testikoneessa vieläkö toimii ja toimii tuo. Nyt päästiin jo paremmalle keskustelun tasolle kuitenkin:
1. Että tuo skenaario toimii, niin hyökkääjä saa mellastaa koneellasi jo aika vapaasti. Hänen täytyy esimerkiksi pystyä laittamaan tietoturvasovellukset kiinni (ja varmaan on laittanutkin koska on koneellasi). Mm. denfeder urputtaa koko ajan tuosta. Noin vapaana oleva hyökkääjä on kyllä jo muutenkin aika iso ongelma.

2. Firefoxiin tuo ei toimi. Eikä toimi edgeenkään. Tästä päästiin siihen että chrome on windowssissa tietoturvattomampi password manager kuin moni muu. Mutta ei vielä ollenkaan siihen että että selaimet yleisesti on sellaisia.

Joka selaimelle on oma softansa tuolla ja monelle muullekin:

Password Recovery Tools for Windows

Password Recovery Tools for lost password of Windows, Firefox, Outlook, Chrome, VPN, Internet Explorer, and more...

www.nirsoft.net

Taikka tuollainen, joka tukee useampaa selainta:

Recover lost passwords stored in your Web browser

Tool for Windows 10/8/7/Vista/XP to recover passwords stored by popular Web browsers (Chrome, Firefox, Edge, and others)

www.nirsoft.net

Ja kuten aiemmin sanoin, "code obfuscation" on avainsana sitten noissa malwareissa, ettei AV sitten tajuakaan että siellä pyörii jokin tuon tyyppinen softa taustalla ja avaa sun salasanat selväkieliseksi.
Ja tosiaan, riippuu monesta asiasta, että miten tuollainen lipsahtaa vaikka koneelle, mutta kun miettii peruskäyttäjää, niin eipä siellä paljoo mietitä ku painellaan vaan sitä "Next" nappia ja ties mitä muuta esim. selaimen popup ikkunassa vilkkuu. Taikka ku haetaan niitä CS (listaa mikä vaan suosittu peli) wallhack sun muita softia koneelle sen enempää ajattelematta ja ajetaan vaikka se AV softakin vähän varoittelee. Just oli myös Office dokumenteissa kauhea reikä, jota kautta pääsi koneelle ku vaan latas ja avasi tiedoston koneelle, kyllähän näitä keinoja löytyy, ei näitä muuten koko aikaa kehitetä, ku kohteita riittää...

Sen verta monta konetta on tullut tässä elämän aikana siivottua ja se on uskomatonta miten monta malwaree voi koneelta löytyä...

 

[Cirrus]

Joka selaimelle on oma softansa tuolla ja monelle muullekin:

Password Recovery Tools for Windows

Password Recovery Tools for lost password of Windows, Firefox, Outlook, Chrome, VPN, Internet Explorer, and more...

www.nirsoft.net

Taikka tuollainen, joka tukee useampaa selainta:

Recover lost passwords stored in your Web browser

Tool for Windows 10/8/7/Vista/XP to recover passwords stored by popular Web browsers (Chrome, Firefox, Edge, and others)

www.nirsoft.net

Ja kuten aiemmin sanoin, "code obfuscation" on avainsana sitten noissa malwareissa, ettei AV sitten tajuakaan että siellä pyörii jokin tuon tyyppinen softa taustalla ja avaa sun salasanat selväkieliseksi.
Ja tosiaan, riippuu monesta asiasta, että miten tuollainen lipsahtaa vaikka koneelle, mutta kun miettii peruskäyttäjää, niin eipä siellä paljoo mietitä ku painellaan vaan sitä "Next" nappia ja ties mitä muuta esim. selaimen popup ikkunassa vilkkuu. Taikka ku haetaan niitä CS (listaa mikä vaan suosittu peli) wallhack sun muita softia koneelle sen enempää ajattelematta ja ajetaan vaikka se AV softakin vähän varoittelee. Just oli myös Office dokumenteissa kauhea reikä, jota kautta pääsi koneelle ku vaan latas ja avasi tiedoston koneelle, kyllähän näitä keinoja löytyy, ei näitä muuten koko aikaa kehitetä, ku kohteita riittää...

Sen verta monta konetta on tullut tässä elämän aikana siivottua ja se on uskomatonta miten monta malwaree voi koneelta löytyä...

Sinänsä ei ole mitään väliä kuinka monta password recovery softaa on olemassa, jos pitää tietää se master password. Silloinhan on se normaali toimintamalli kyseessä.

Mutta huolestuttavaa on henk. koht. se jos firefoxissa toiminta on sama kuin chromessa. Edgeä en löytänyt softista (esittelytekstissä se mainittiin) ja operasta sanottiin selvästi että master password on oltava tiedossa.

Firefox pitää joko testata tai kaluta vielä kerran läpi nuo.

 

[=JP=]

Sinänsä ei ole mitään väliä kuinka monta password recovery softaa on olemassa, jos pitää tietää se master password. Silloinhan on se normaali toimintamalli kyseessä.

Mutta huolestuttavaa on henk. koht. se jos firefoxissa toiminta on sama kuin chromessa. Edgeä en löytänyt softista (esittelytekstissä se mainittiin) ja operasta sanottiin selvästi että master password on oltava tiedossa.

Firefox pitää joko testata tai kaluta vielä kerran läpi nuo.

Nyky Operat pyörii kans Chrome enginellä ja tuolla sanotaan että Chromen softa toimii siihenkin, liekkö Edge sama, koska sekin nykyään pohjautuu Chromeen.

Edit: Kyl tuolla on maininta, että Edge tuki lisätty kans tuohon, joka toimii monelle selaimelle.
Eli sen pitäs näyttää suosituimpien koneelle asennettujen selaimien salasanat...

 

[Cirrus]

Nyky Operat pyörii kans Chrome enginellä ja tuolla sanotaan että Chromen softa toimii siihenkin, liekkö Edge sama, koska sekin nykyään pohjautuu Chromeen.

Edit: Kyl tuolla on maininta, että Edge tuki lisätty kans tuohon, joka toimii monelle selaimelle.
Eli sen pitäs näyttää suosituimpien koneelle asennettujen selaimien salasanat...

Asiaa piti siis testata:

Defaulttiasetuksilla paikallisella tilillä:
Password viewer toimi:
Opera
Firefox
Edge
Chrome

Modatuilla asetuksilla eli master password asetuksilla
Firefox -> ei toimi (jeees!)
Edge -> win 11 testikoneessa en saanut vaihdettua asetuksia siten että device password menee päälle. Enkä sen puoleen viewattua koko salasanaa selaimesta kun se security popup ei aukea. Sama vika chromessa. Pitäisi saada tilitiedot security promptiin että saa device passwordin päälle. -> Oletan että ei näkyisi salasanat sitten.
Opera -> en löytänyt mitään lisäsuojausasetuksia nyky chromium-operasta
Chrome -> en löytänyt paikalliselle tilille lisäsuojausasetuksia

Testaamatta onlinetilien mukana tuomat suojaukset.

Edittinä tiivistys: Jos selain tukee erillisen password managerin kaltaista master password toimintoa, niin eroa ei ole tässä asiassa.

 

[user9999]

Itse käytän Mac-koneissa iCloud-avainnippua salasanoihin. Perusjutut pitäisi olla koneessa kunnossa.

1. Standard tili. Ei käytetä konetta Admin tilillä
2. Filevault levyn salaus on käytössä.
3. ICloudissa on käytössä 2FA tai se on pakko olla jos iCloud-avainnippu käytössä

Safarissa jos haluaa tarkastella tallennettuja salasanoja niin vaatii jonkin seuraavista

1. Salasanan
2. Touch ID sormenjäljen
3. Apple Watch hyväksynnän

Jos salasanoja haluaa tarkastella Keychain Access työkalulla niin se vaatii salasanan. Tuota Keychain Access työkalua pystyy vähän kiristämään eli sen saa lukkiutumaan automaattisesti. Ei jää vahingossa tilaan, että kuka vaan pääsee katsomaan tietoja.

Keychainin salauksesta:
Keychain items are encrypted using two different AES-256-GCM keys: a table key (metadata) and a per-row key (secret key). Keychain metadata (all attributes other than kSecValue) is encrypted with the metadata key to speed searches, and the secret value (kSecValueData) is encrypted with the secret key. The metadata key is protected by the Secure Enclave but is cached in the Application Processor to allow fast queries of the keychain. The secret key always requires a round trip through the Secure Enclave.

Jos ei ole tiedossa niin Secure Enclave on Applen SOC:ssa

The Secure Enclave

Secure Enclave is a dedicated secure subsystem in the latest versions of iPad, iPhone, Mac, Apple TV, Apple Vision Pro, Apple Watch, and HomePod.

support.apple.com

iCloud avainnipussa on End-to-End salaus.

Ja tietysti tuo Cloud-avainnippu on itsellä käytössä myös. iOS, iPadOS jne. laitteissa.

Edit: macOS Monterey, iOS 15 ja iPadOS 15 versioissa on sisäänrakennettu authenticator. En ole vielä testannut

Built-in authenticator
Generate verification codes needed for additional sign-in security. If a site offers two-factor authentication, you can set up verification codes under Passwords in System Preferences and Safari — no need to download an additional app. Once set up, verification codes autofill when you sign in to the site.

macOS Monterey Preview - New Features

See all the new features available with macOS Monterey.

www.apple.com

macOS Monterey Features Dedicated Password Section in System Preferences, Built-In Authenticator and More

macOS Monterey makes several improvements to password management, positioning iCloud Keychain as an ideal password service to replace third-party services like Lastpass and 1Password. In System Preferences, there's a new "Passwords" section that houses all of your iCloud Keychain logins and...

www.macrumors.com

 

[anon4340]

Onneksi KeePass-toteutukset ovat ilmaisia. Ja synkkaaminen on helppoa, kun pitää tietokantatiedostoa vaikka Dropboxin hakemistossa. Muistaa vain ottaa myös varmuuskopion aina välillä jonnekin talteen. Monet pilvipalvelut tarjoavat tiedostohistoriankin, jos tapahtuu vahinkoja.

Keepassilla kanssa menty montamonta vuotta. Nykyään sync sftp:llä omalle serverille. Dropboxin kanssa alkoi tulemaan ongelmia synckki rajoitusten kanssa. Androidissa Keepass2android ja windowssissa IOProtocolExt pluginilla, että saa tuon sftp:n.

 

[BaTTman]

Osaisiko joku kertoa käyttökokemuksia tuosta keepass vs applen oma salasana sovellus/appi/tallennuspaikka?

Nyt minulla on osa salasanoista puhelimessa, mutta pitäisi siirtää kasa salasanoja johonkin talteen. Käytännössä tarvitsen niitä salasanoja useilla eri laitteilla, mutta puhelin on pääsääntöisesti aina käden ulottuvilla.

 

[iccb]

Osaisiko joku kertoa käyttökokemuksia tuosta keepass vs applen oma salasana sovellus/appi/tallennuspaikka?

Nyt minulla on osa salasanoista puhelimessa, mutta pitäisi siirtää kasa salasanoja johonkin talteen. Käytännössä tarvitsen niitä salasanoja useilla eri laitteilla, mutta puhelin on pääsääntöisesti aina käden ulottuvilla.

En osaa verrata Keepassiin, mutta iOS 15 ja macOS monterey versiolla toi applen oma toimii hienosti. Siihen saa myös nykyään MFA-koodin syötettyä ja ainakin Safari selaimella täyttö onnistuu automaattisesti monella sivulla. Ei tarvetta erilliselle autentikaattori sovellukselle. Nykyään myös chromeen saa noita icloudin salasanoja ja se toimii siten myös muilla alustoilla, mutta näiden toiminnasta ei itselläni ole kokemusta.

 

[escalibur]

Osaisiko joku kertoa käyttökokemuksia tuosta keepass vs applen oma salasana sovellus/appi/tallennuspaikka?

Nyt minulla on osa salasanoista puhelimessa, mutta pitäisi siirtää kasa salasanoja johonkin talteen. Käytännössä tarvitsen niitä salasanoja useilla eri laitteilla, mutta puhelin on pääsääntöisesti aina käden ulottuvilla.

Suosittelen harkitsemaan ilmaista Bitwardenia, koska se ei ole alustariippuvainen. Siitä voi olla hyötyä jatkossa kun laitteet vaihtuvat uusiin. Signun linkin takaa löytyy esittelyvideo suomeksi, jos on kiinnostusta aiheesta.

 

[Taneli-]

Itse olen käyttänyt Dashlane ohjelmaa, yhdelle koneelle (PC) ilmainen jos haluaa käyttää useammalla koneella (esim. kännykkä + PC + läppäri tms) maksullinen. Saanut ihan hyviä arvosteluja vs. esim. F-Securen oma räpellys. Myös LastPass saanut hyviä arvosteluja:
(2018)

Kuluttaja testasi salasanojen suojaajat: Suomalainen vaihtoehto sai kylmää kyytiä – ilmaisetkin olivat parempia

Suomalaisen F-Securen Key -sovellus sijoittui viimeiseksi 12 salasanojen hallintaan tarkoitetun ohjelman vertailussa Kuluttaja-lehdessä.

www.is.fi

(2021)

Paras salasanan hallintaohjelma 2026: turvallisimmat ilmaiset ja maksulliset vaihtoehdot suojaukseen

Näille ohjelmilla suojaat salasanasi

global.techradar.com

 

[BaTTman]

Kiitos hyvistä vaihtoehdoista. Otin nyt kokeiluun tuon bitwardenin, kun löytyi hyvä esittelyvideokin.

 

[potero]

keepassxc on käytössä. Ajatus pilvipohjaisesta salasanamanagerista on omasta mielestä vähän häiritsevä

 

[leripe]

keepassxc on käytössä. Ajatus pilvipohjaisesta salasanamanagerista on omasta mielestä vähän häiritsevä

Eikös bitwardenin voi itsekin hostia vai muistanko väärin mutta ainakin kivempi käyttää kuin keepassi.

 

[potero]

Eikös bitwardenin voi itsekin hostia vai muistanko väärin mutta ainakin kivempi käyttää kuin keepassi.

Pystyy joo, se olisikin toinen ihan varteenotettava vaihtoehto. Mihinkään kaupallisiin palveluihin en tässä käyttötarkoituksessa mielelläni koske.

 

[Ruohonjuuri]

Täältä löytyy: GitHub - dani-garcia/vaultwarden: Unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs
Minulla on tuo ollut perheen käytössä nyt vuoden päivät. Ei mitään moitittavaa, eikä ole Lastpassia yhtään ikävä - päin vastoin

 

[escalibur]

Täältä löytyy: GitHub - dani-garcia/vaultwarden: Unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs
Minulla on tuo ollut perheen käytössä nyt vuoden päivät. Ei mitään moitittavaa, eikä ole Lastpassia yhtään ikävä - päin vastoin

Tuo ei taida olla tietoturva-auditoitu, jos oikein muistan. Itse suhtautuisin siihen varauksella.

 

[escalibur]

Auditointi on muutenkin vähän ongelmallinen prosessi. Se tehdään aina jollekin tietylle versiolle ohjelmasta. Muutaman suuremman päivityksen jälkeen validointi ei ole välttämättä enää validi (pun). Tämä pätee myös Bitwardeniin (jonka auditoinnit ovat olleet lähinnä "kaikki ok" -tasoa?). Mutta minkäs teet. Auditointi on kallista, ja työläs prosessi. Lopputulos riippuu myös ihan auditoijasta itsestään.

Sekin on totta, mutta on se silti tyhjää parempi. Se että "kaikki ok" voi kertoa myös kuinka tosissaan asiat on tehty.

 

[escalibur]

"Kaikki ok" taas ei kerro mitään tarkemmin teknisestä toteutuksesta, validointimekanismeista tai muusta. Vähän kuin papukaijamerkki.

Kertoo se sen että validoinnin tehnyt yritys ottaa vastuun tarkistuksesta. Taas kerran, tuokin on varmasti yleisesti parempi tilanne kuin ei tuollaistakaan auditointia. Jokainen tietty voi itse päättää kuinka turhasta tai "turhasta" asiasta on kyse.

 

[user9999]

Onko purukalla kaikki tunnukset ja salasanat näissä salasanaohjelmistoissa? Itsellä on muutama tunnus, joita en ole laittanut salasanaohjelmaan..

1. Google järjestelmän pääkäyttäjä
2. Google järjestelmän normaalitili. Tuossa on siis henkilökohtainen sähköposti
3. Microsoft tili. Tuossa Microsoft 365 tilaus ja tietokone on rekisteröitynyt tuohon
3. Apple ID
4. Voi olla jotain muitakin

Kaikissa noissa on MFA käytössä. Joskus vaan miettinyt, että pitäisikö osa noista laittaa salasanaohjelmistoon.

 

[Desgorr]

Onko purukalla kaikki tunnukset ja salasanat näissä salasanaohjelmistoissa? Itsellä on muutama tunnus, joita en ole laittanut salasanaohjelmaan..

1. Google järjestelmän pääkäyttäjä
2. Google järjestelmän normaalitili. Tuossa on siis henkilökohtainen sähköposti
3. Microsoft tili. Tuossa Microsoft 365 tilaus ja tietokone on rekisteröitynyt tuohon
3. Apple ID
4. Voi olla jotain muitakin

Kaikissa noissa on MFA käytössä. Joskus vaan miettinyt, että pitäisikö osa noista laittaa salssanaohjelmistoon.

Kaikki löytyy Bitwardenista. Toki Bitwarden MFA:n takana.

 

[BaTTman]

Onko purukalla kaikki tunnukset ja salasanat näissä salasanaohjelmistoissa? Itsellä on muutama tunnus, joita en ole laittanut salasanaohjelmaan..

1. Google järjestelmän pääkäyttäjä
2. Google järjestelmän normaalitili. Tuossa on siis henkilökohtainen sähköposti
3. Microsoft tili. Tuossa Microsoft 365 tilaus ja tietokone on rekisteröitynyt tuohon
3. Apple ID
4. Voi olla jotain muitakin

Kaikissa noissa on MFA käytössä. Joskus vaan miettinyt, että pitäisikö osa noista laittaa salasanaohjelmistoon.

Nuo nyt varmaan muistaa ilman näitä ohjelmiakin. Mutta jos haluaa koostaa ne jonnekkin talteen yhteen paikkaan niin mikä ettei.
Itsellä tuli tarve tällaiselle ohjelmalle, kun alkaa olemaan jo yli 20 tunnusta mitä pitää muistaa.

 

[Taneli-]

Onko purukalla kaikki tunnukset ja salasanat näissä salasanaohjelmistoissa? Itsellä on muutama tunnus, joita en ole laittanut salasanaohjelmaan..

1. Google järjestelmän pääkäyttäjä
2. Google järjestelmän normaalitili. Tuossa on siis henkilökohtainen sähköposti
3. Microsoft tili. Tuossa Microsoft 365 tilaus ja tietokone on rekisteröitynyt tuohon
3. Apple ID
4. Voi olla jotain muitakin

Kaikissa noissa on MFA käytössä. Joskus vaan miettinyt, että pitäisikö osa noista laittaa salasanaohjelmistoon.

Ei ole. Esimerkkejä:
- Pankkikortin tiedot
- Paypal
- Gmailin/googlen kirjautumistiedot
- Tietokoneen salasana/tunnuskoodi (mikä pitää sisällään myös Microsoftin tilin millä pystyy palauttamaan esim. Windows 10 tai 11 Enteprise, Officen jne. asennukset & tunnusluvut)
- Etäyhteydet työpaikalle jne. viralliset koodit
- Eri sähköpostien kirjautumistiedot (mitä nyt tarvitsee lähinnä etätyössä tai työssä, kotona selviää vähemmällä).
- Dashlanen (salasanaohjelma) tunnukset

Yleisesti mitä tuollaiseen kannattaa laittaa on sinänsä harmittavia jos menettää juttuja (kuten tämä ja tusina muista keskustelufoorumia), amazonin, Jimm's:n, Verkkokaupan, Gigantin jne. tunnukset (kunhan ei liitä sinne pankkikorttinsa tietoja vaan "näkee vaivaa" ja näpyttelee ne tiedot ostoksen yhteydessä)

Toki noistakin kannattaa jokin backup olla olemassa eikä vaan sokeasti luottaa salausohjelmaan.

 

[user9999]

Nuo nyt varmaan muistaa ilman näitä ohjelmiakin. Mutta jos haluaa koostaa ne jonnekkin talteen yhteen paikkaan niin mikä ettei.
Itsellä tuli tarve tällaiselle ohjelmalle, kun alkaa olemaan jo yli 20 tunnusta mitä pitää muistaa.

Nuo omat muistaa ilman ohjelmiakin. Itsellä on varmaan yli 50 tunnusta salasanaohjelmassa, mutta noita aikaisemmin mainittuja en ole laittanut.
Harvoin noiden tunnuksen salasanoja tarvii edes syöttää kun ne on laitteissa. Ehkä kerran vuodessa joutuu jostain syystä kirjautumaan työkoneelta selaimella omaan sähköpostiin.

 

[user9999]

Ei ole. Esimerkkejä:
- Pankkikortin tiedot
- Paypal
- Gmailin/googlen kirjautumistiedot
- Tietokoneen salasana/tunnuskoodi (mikä pitää sisällään myös Microsoftin tilin millä pystyy palauttamaan esim. Windows 10 tai 11 Enteprise, Officen jne. asennukset & tunnusluvut)
- Etäyhteydet työpaikalle jne. viralliset koodit
- Eri sähköpostien kirjautumistiedot (mitä nyt tarvitsee lähinnä etätyössä tai työssä, kotona selviää vähemmällä).
- Dashlanen (salasanaohjelma) tunnukset

Yleisesti mitä tuollaiseen kannattaa laittaa on sinänsä harmittavia jos menettää juttuja (kuten tämä ja tusina muista keskustelufoorumia), amazonin, Jimm's:n, Verkkokaupan, Gigantin jne. tunnukset (kunhan ei liitä sinne pankkikorttinsa tietoja vaan "näkee vaivaa" ja näpyttelee ne tiedot ostoksen yhteydessä)

Toki noistakin kannattaa jokin backup olla olemassa eikä vaan sokeasti luottaa salausohjelmaan.

Sama homma mulla niin ei ole myöskään

- Pankkikortin tiedot
- Paypal

Työpaikan tunnuksia ja järjestelmiä en käsittele omilla laitteilla. Toki työsähköposti, teams jne. on puhelimessa.

 

[pulatunnus]

LastPassin osalta kuuluu hieman huolestuttavia huhuja:

Ask HN: How did my LastPass master password get leaked? | Hacker News

news.ycombinator.com

Ihmiset ovat saaneet sähköpostiinsa ilmoituksia joiden mukaan heidän master-salasanallaan on yritettyä kirjautua jostain puolelta maailmaa, ja LastPassin asiakstuki on vahvistanut ettei kyseessä ole phishingiä. Pahimmassa tapauksessa tunnuksia ei ole suojattu 2FA:lla, joten sisään on saatettu päästä onnistuneesti. On vielä epäselvää johtuuko kaikki vuoden 2017 vuodosta (jolloin vakuutettiin ettei master-salasanaa tarvitse vaihtaa), ohjelmasta joka on mahdollisesti haistellut leikepöytää, jostain selainlaajennuksesta (älkää kirjoittako master-salasanaa selaimeen..), vai onko joku löytäny LastPassista itsestään jonkin haavoittuvuuden.

En lukenut linkkisi keskustelua kokonaan, mutta aloituksessa mainittiin että aloittajan lisäksi parille muulla tapahtunut sama, ja ovat samalta IP alueelta. (jos oikein ymmärsin)

Ja jos ymmärsin oikein niin LastPass oli estänyt kirjautumisen.

Mutta oli juttu mikä tahansa, niin ymmärettävää että kovasti huolestuttaa jos joku yrittänyt päästä omaan salasana muistioon.

 

[pulatunnus]

Redditistä löytyi myös ketjuja joissa samaa on tapahtunut viime päivinä Bitwardenille ja 1Passwordille

Onko kyse kuinka poikkeavista määristä ?
(Minulla ei käsitystä kuinka paljon tuota tapahtuu normaalisti)

Siis ihan sillä että jos poikkeavan korkeaa, niin yksittäisen käyttäjän kannattaa ainakin kurkata palveluun ja tarkistaa lokeistä näkyykö muita kirjautumisia kuin varmasti omaksi tiedetyt, ja että on varma että siellä on kaikki. Ja varmistaa että on asetukset iskussa, kaksivaiheinen varma ja toimiva (siis ei menettämisen pelkoa).

Kriittiset salasanat päivittää sellaiseksi ettei palvelusta vuotaminen niitä vaaranna (ei tallessa selkokielisänä/kokonaan)

 

[pulatunnus]

LastPassin mukaan palveluun on mahdollisesti yritetty käyttää sähköposteja ja salasanoja jotka ovat vuotaneet toisaalta. Tämä ei kuitenkaan selitä sitä miksi ihmiset ovat saaneet sähköposteja joissa sanotaan, että tunnuksille on kirjauduttu onnistuneesti - eli käytetty oikeaa master-passwordia.

Miksi ei voisi olla sama email / salasana pari, ei LastPass voi tietää onko ollut muualla käytössä (jaossa, tallennettu jne), kuin omiin tallenteisiin ja julkisiin kantoihin, mutta en tiedä tekeekö sellaisia vertailuja (joka kyllä olisi hyvä palvelu, + tallennettujen osalta)

 

[Juha Uotila]

LastPassin mukaan palveluun on mahdollisesti yritetty käyttää sähköposteja ja salasanoja jotka ovat vuotaneet toisaalta. Tämä ei kuitenkaan selitä sitä miksi ihmiset ovat saaneet sähköposteja joissa sanotaan, että tunnuksille on kirjauduttu onnistuneesti - eli käytetty oikeaa master-passwordia.

LastPass Says It Didn't Leak Your Password

The password manager was accused of a data breach but the company says that's not what happened.

gizmodo.com

Lähinnä varmaan kertoo siitä että on viisaasti käytetty samaa sähköpostia + salasanaa kuin jossain toisessa palvelussa josta sitten vuotaneet.

 

[escalibur]

Toimii silti hyvänä muistutuksena, että pilvipalveluiden kanssa pääsalasanasta ja kaksivaiheisesta autentikoinnista on hyvä pitää huolta.

2FA:ta tulisi käyttää AINA jos ja kun vain on mahdollista. Ihan sama mistä palvelusta ja järjestelmästä kyse. Tämä koskee kaikkia käyttäjiä, eikä ainostaan ylläpitäjiä tai muuten laajoilla oikeuksilla varustettuja tunnuksia.

Lähinnä varmaan kertoo siitä että on viisaasti käytetty samaa sähköpostia + salasanaa kuin jossain toisessa palvelussa josta sitten vuotaneet.

Ettei vaan kyse olisi jostain tälläisestä asiasta?

Ask HN: How did my LastPass master password get leaked? | Hacker News

news.ycombinator.com

 

[pulatunnus]

Näissä tapauksissa onkin erikoista se, että ihmiset sanovat pääsalasanan olevan sellainen mitä eivät ole käyttäneet missään muualla. Osa on generoinut sen ja tallentanut KeePass-tietokantaan, josta sitä on sitten kopioitu LastPassiin leikepöydän kautta (ei niin fiksua). Monet kokeilivat jo sitäkin, että ovatko LastPassin sähköpostit ns. false positiveja, eli samanlainen ilmoitus tulee, vaikka väärää salasanaa olisi käytetty. Näin ei kuitenkaan ollut, ja tilanteen alkuperäinen postaaja näki LastPassin access-logista nämä kirjautumisyritykset.

Tuossa linkissä ei puhutta KeePassista, mutta muualla voi olla, liittyykö tapaukset toisiinsa.

Ymmärrän että salasanoja jaetaan eri holveihin, mutta idea vähän kärsiin jos toisessa holvissa säilöö toisen holvin pääsyy koodeja sellaisenaan.

kaksivaiheinen on joissain käyttötarkoituksissa todella ärsyttävä tai jopa estää ideaa, joissain se on ehdoton.

 

[Xiyng]

Ainakin osa LastPassin ilmoituksista on lähetetty virheen vuoksi aiheetta:

As previously stated, LastPass is aware of and has been investigating recent reports of users receiving e-mails alerting them to blocked login attempts.
We quickly worked to investigate this activity and at this time we have no indication that any LastPass accounts were compromised by an unauthorized third-party as a result of this credential stuffing, nor have we found any indication that user’s LastPass credentials were harvested by malware, rogue browser extensions or phishing campaigns.

However, out of an abundance of caution, we continued to investigate in an effort to determine what was causing the automated security alert e-mails to be triggered from our systems.
Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.

These alerts were triggered due to LastPass’s ongoing efforts to defend its customers from bad actors and credential stuffing attempts. It is also important to reiterate that LastPass’ zero-knowledge security model means that at no time does LastPass store, have knowledge of, or have access to a users’ Master Password(s).
We will continue to regularly monitor for unusual or malicious activity and will, as necessary, continue to take steps designed to ensure that LastPass, its users and their data remain protected and secure.

Lähde: LastPass users warned their master passwords are compromised

 

[Xiyng]

Tuokaan ei selitä sitä miksi käyttäjät ovat nähneet nuo kirjautumisyritykset myös access logeissaan. Silloinhan myös niissä pitäisi olla jotain vikaa?

Itse tulkitsen LastPassin vastausta niin, että virhe on voinut tapahtua nimenomaan jo kirjaamisvaiheessa eikä välttämättä vasta "hälytysvaiheessa". Kieltämättä "hälytysvaiheesta" tuossa vastauksessa kuitenkin ainakin näennäisesti puhutaan, joten ellei tämä mene epätäsmällisen muotoilun piikkiin, tässä voi varmaan jotain jännää olla edelleen. En nyt kuitenkaan ota asiaan tarkemmin kantaa, kun en LastPassia käytä, mutta pistipähän silmään tuo vastaus silti.

 

[pulatunnus]

Täältä tulikin hyvää tiivistystä tapauksesta:

Nopeasti näytti spekuloinnilta ?

 

[escalibur]

LastPassilla ei näytä menevän erityisen hyvin. Ilmeisesti yrittävät pakotetusti pitää käyttäjät omina asiakkaina. Yrittävät siis kovasti olla "toinen Oracle".

https://alternativeto.net/news/2022/1/lastpass-seemingly-deliberately-holding-users-password-data-hostage-alongside-new-pricing-plans/

LastPass risking a €20 million GDPR fine due to unresolved bugs

Of the many grievances listed, some really standout and they all revolve around tactics that make it hard, if not impossible, for a LastPass free user to export their personal data.

www.neowin.net

Seuraavaksi DDoS:ataan Bitwardenia?

 

[juhaa]

Tuo siis koskee ilmaisversiota.
Vielä on vuosi edullista LP:tä, jos sitten vaihtoehdolle mahdollisuus.

 

[Taneli-]

Tuo siis koskee ilmaisversiota.
Vielä on vuosi edullista LP:tä, jos sitten vaihtoehdolle mahdollisuus.

Aivan sama mitä versiota mutta mieti nyt vähän. Kokeilet jotain (ilmais tai ei) versiota ja yllättäen ilman mitään ilmoitusta et saa enää tunnuksia ja salasanoja käyttöösi ilman että maksat rahaa. Ei siis että asiasta ilmoitetaan ja sinulla olisi aikaa miettiä miten haluat asiat hoitaa vaan tyylillä "eilen kaikki toimi, tänään pyydetään rahaa että pääsisin käsiksi omiin tietoihini". Lisätään tähän se että päästäksesi ilmoittamaan tai keskustelemaan asiasta joudut luomaan uudet tunnukset (ellet maksa rahaa) koska vanhoja et voi käyttää kirjautuaksesi heidän keskustelufoorumeilleen. Että nettiselaimella toimivassa lisäosassa on bugi mikä estää tunnusten ja salasanojen siirtämisen eteenpäin ja vastaava bugi että et voi siirtää puhelimen ja pöytäkoneen välillä tietoja juuri nyt. Miten sattuikaan.

Ei tuo ainakaan saa ihmisiä siirtymään tuota tuotetta käyttämään.

Tähän saakka itsekin toki maininnut myös tuon LastPassin yhtenä mahdollisena vaihtoehtona jos on tarvinut pitää jotain esitelmää aiheesta Dashlanen ja muiden rinnalla. Nyt ei tuota enää tule mainittua eikä varsinkaan suositeltua. Lähinnä ehkä varoittavana esimerkkinä käyttäen.

Todella moni haluaa kuitenkin ensin (mieluusti) kokeilla miten homma toimii, jos tykkäävät niin sitten ehkä siirtyvät käyttämään rahaa koska haluavat esim. käyttää samaa softaa useamman pöytäkoneen, läppärin, tabletin ja kännykän kanssa.

 

[ojisama]

Tuo siis koskee ilmaisversiota.
Vielä on vuosi edullista LP:tä, jos sitten vaihtoehdolle mahdollisuus.

Latasin pari kuukautta sitten LastPassista salasanat ihan onnistuneesti Bitwardeniin. Kaikkia tyyppejä ei tosin ollut, mutta niistäkin tuli muistaakseni nootteja tms.

Eli ilmeisesti tuo ongelma tuossa koskee mobiilisovellukseen lukittuja salasanoja mobiili-ilmaisversiossa, jos on käyttänyt ne vaihdot mobiilin ja deskarin välillä?

Lopussa tosin mainitsee siinä viestissään, että siellä on nyt joku valinta, mutta odotus sen saamiseen oli liian pitkä?

 

[pulatunnus]

LastPassilla ei näytä menevän erityisen hyvin. Ilmeisesti yrittävät pakotetusti pitää käyttäjät omina asiakkaina. Yrittävät siis kovasti olla "toinen Oracle".

Jos oikein ymmärsin linkkisi, niin se koski lähinnä sitä että ilmaisversion käyttäjä voi massa viedä holvin sisältöä työpöytä versiolla. Ei mobiilissa. Koska ilmaisversiossa on rajoitetumpi niin mobiiliin lukittunut ilmais käyttäjät ei voi sillä versiolla massa viedä holvin sisältöä.

Voi olla että meno jotain oleellista ohi, en lähtenyt googlailee. mikä on yhteys huonosti menemiseen.

Seuraavaksi DDoS:ataan Bitwardenia?

?
LastPassilla riski 20miljoonan GDPR sakkoon bugin takia. ja jotain GDPR lätinää pitkät pätkät.

 

[ravallo]

Harmi kyllä tuo Lastpassin perseily, se on ollut käytettävyydeltään kuitenkin (puutteineenkin) parhaimmistoa noista monen laitteen softista. Mutta siinä kyllä haiskahtaa aika vahvasti kalma tällä hetkellä, omistaja vaihtuu turhan usein, turvallisuudessa on puutteita ja sitten vielä tuollaista ihme sekoilua noiden käyttäjien tietojen kanssa. Vaihtoon menee kun maksukausi loppuu.

 

[escalibur]

Jos oikein ymmärsin linkkisi, niin se koski lähinnä sitä että ilmaisversion käyttäjä voi massa viedä holvin sisältöä työpöytä versiolla. Ei mobiilissa. Koska ilmaisversiossa on rajoitetumpi niin mobiiliin lukittunut ilmais käyttäjät ei voi sillä versiolla massa viedä holvin sisältöä.

Voi olla että meno jotain oleellista ohi, en lähtenyt googlailee. mikä on yhteys huonosti menemiseen.

Aika selkeästi nuo "huonosti menemiseen" viittavat asiat ovat listattuna.

"• Only making the export function available via the desktop browser plugin, despite locking peoples accounts to either Desktop or Mobile after 3 switches between these platforms.
• Accidentally on purpose having a "bug" in the desktop broswer plugin that stops people who's accounts are locked to their mobile devices from being able to export their data.
• Accidentally on purpose having another "bug" in the desktop browser plugin that means export of data from the desktop browser plugins doesn't work anyway
• Having no formal support channel to resolve this issue, forcing people to create a separate account to access the "community" forums where you can post about how LastPass are illegally holding your data hostage and hope that someone from the company will respond."

?
LastPassilla riski 20miljoonan GDPR sakkoon bugin takia. ja jotain GDPR lätinää pitkät pätkät.

DDoS-kommentti oli lähinnä vitsi, joka ei liittynyt mahdollisiin GDPR:n sakkoihin mitenkään.

Saatan olla väärässä, mutta tässä koko touhussa paistaa läpi jonkin sortin epätoivo. Jokainen tietty suhtautukoot asiaan miten parhaaksi näkee.