Parhaat ohjelmat salasanojen säilytykseen

[ojisama]

Nuo selainten omat salasanasuojaukset ovat vähän niin kuin rahojen säilöminen tyynyn alle. Teoriassa Ihan ok niin pitkään kunnes joku pääsee sinne asuntoon tai samalle sängylle.

Aiemminkin suositeltu Bitwarden on ilmaisista vaihtoehdoista tällä hetkellä paras ja käytettävin. Kannattaa tutustua.

Best Password Manager for Business, Enterprise & Personal | Bitwarden | Bitwarden

Bitwarden is the most trusted password manager for passwords and passkeys at home or at work, on any browser or device. Start with a free trial.

bitwarden.com

Siirryin tuota käyttämään, periaatteellisista syistä (ja mobiilisynkronointia varten), mutta deskarilla LastPass oli kyllä huomattavasti käytettävämpi.

Onko jossakin selostettu (detailitasolla) miten tuo useamman käyttäjän salasanojen jako toimii Bitwardenissa? Löysin jotain ylimalkaista viimeksi, kun katsoin.

 

[Tege]

Siirryin tuota käyttämään, periaatteellisista syistä (ja mobiilisynkronointia varten), mutta deskarilla LastPass oli kyllä huomattavasti käytettävämpi.

Onko jossakin selostettu (detailitasolla) miten tuo useamman käyttäjän salasanojen jako toimii Bitwardenissa? Löysin jotain ylimalkaista viimeksi, kun katsoin.

Puhutaan ns. perhejaosta?

Sharing | Bitwarden Help Center

Placing items in a collection within the Bitwarden password manager makes it easy to share among multiple users securely.

bitwarden.com

 

[Kautium]

Siirryin tuota käyttämään, periaatteellisista syistä (ja mobiilisynkronointia varten), mutta deskarilla LastPass oli kyllä huomattavasti käytettävämpi.

Mitä tarkoitat deskarilla? Jotain Windows-sovellusten kirjautumista, vai mitä? Siltä osin en ole koskaan tuota testannut. Selaimissa se toimii pluginin kautta samalla periaatteella joka alustalla (mobiiliversioissa tunnusten valinta tehdään eri tavalla, mutta sama idea).

Onko jossakin selostettu (detailitasolla) miten tuo useamman käyttäjän salasanojen jako toimii Bitwardenissa? Löysin jotain ylimalkaista viimeksi, kun katsoin.

En ole tähän koskaan tarkemmin perehtynyt, mutta perheen muiden salasanojen keskitetyn hallinnan vuoksi se on edessä meilläkin, joten jos jollakin on tästä kattavampia kokemuksia, niin minäkin kuuntelen niitä mielelläni.

 

[ojisama]

Mitä tarkoitat deskarilla? Jotain Windows-sovellusten kirjautumista, vai mitä? Siltä osin en ole koskaan tuota testannut. Selaimissa se toimii pluginin kautta samalla periaatteella joka alustalla (mobiiliversioissa tunnusten valinta tehdään eri tavalla, mutta sama idea).

Firefoxin (ja Chromen) plugaria tarkoitin. LastPass tuntui tarjoavan hanakammin käyttäjätunnusta kirjautumisiin, näytti vaihtoehdot selkeämmin. Ja tykkäsin myös erottelusta erilaisia kirjautumisia varten (palvelimet yms.). Ja käyttöliittymä on selkeämpi.

Yhden klikkauksen vähemmän vaativa kopioi salasana / käyttäjätunnus on Bitwardenissa parempi.

Puhutaan ns. perhejaosta?

Sharing | Bitwarden Help Center

Placing items in a collection within the Bitwarden password manager makes it easy to share among multiple users securely.

bitwarden.com

Töihin pohdin, mutta kaipaisin tarkempaa selontekoa siitä miten siinä hallitaan palvelimen päässä kryptausta, että salasanat saadaan jaettua organisaation jäsenille, vai pitääkö noihin vain luottaa. Näytti siltä, että vaatii luoton.

 

[Kautium]

Firefoxin (ja Chromen) plugaria tarkoitin. LastPass tuntui tarjoavan hanakammin käyttäjätunnusta kirjautumisiin, näytti vaihtoehdot selkeämmin. Ja tykkäsin myös erottelusta erilaisia kirjautumisia varten (palvelimet yms.). Ja käyttöliittymä on selkeämpi.

Yhden klikkauksen vähemmän vaativa kopioi salasana / käyttäjätunnus on Bitwardenissa parempi.

Noita voi tuunata aika hyvin asetuksista ja sieltä saa jopa automaattisen täytön päälle (jota tosin ei tietoturvasyistä kannata käyttää). Kirjautumisten tunnistamista voi myös säätää aika hyvin, mutta se vaatii hieman perehtymistä.

 

[Humanoid]

Liekkö tuo pitänee paikallisesti noita tietoja noin selkeästi tarjolla ja synkkaa vaan tarvittaessa.

How to hack Chrome password with Python

Do you think it is safe to store your password in Chrome? The short answer is “no”. Any perpetrator that has access to your laptop is able…

ohyicong.medium.com

Olettaisin että se loisi edes kryptaus avaimen jotenkin tiliin liittyen, mutten jaksanut tarkemmin tutkia asiaa...

Tämä on kyllä käsittämätöntä, että Chrome (ja muut sen pohjalle tehdyt) selaimet logittavat koneelle kaikenlaisia salausavaimia ym. eikä tuota "toiminnallisuutta" ole edes mahdollista ottaa pois päältä.

 

[escalibur]

Onko jossakin selostettu (detailitasolla) miten tuo useamman käyttäjän salasanojen jako toimii Bitwardenissa? Löysin jotain ylimalkaista viimeksi, kun katsoin.

Jako vaatii että tunnukset kuuluvat samaan "Organisaatioon"

Sharing | Bitwarden Help & Support

Signun linkin takaa löytyy yleinen esittelyvideo Bitwardenista Suomeksi jos aihe kiinnostaa.

 

[ojisama]

Jako vaatii että tunnukset kuuluvat samaan "Organisaatioon"

Sharing | Bitwarden Help & Support

Signun linkin takaa löytyy yleinen esittelyvideo Bitwardenista Suomeksi jos aihe kiinnostaa.

En katsonut videota, vastaako se kysymykseen miten se jakaminen teknisesti toimii?
"The key thing to know is that Organizations enable secure sharing from Organizations to users."

Perustin siis toki jo pari viikkoa sitten organisaation testiksi. Pohdin sitä, että mitä sinne uskaltaa laittaa. Henkilökohtaiset kamat joo, ja jos ymmärrän oikein, niin yksittäiselle tilille turvallisuutta vaativaakin kamaa, kun salausavain, vähän luottoa vaatien, vain itsellä.

 

[leripe]

En katsonut videota, vastaako se kysymykseen miten se jakaminen teknisesti toimii?
"The key thing to know is that Organizations enable secure sharing from Organizations to users."

Perustin siis toki jo pari viikkoa sitten organisaation testiksi. Pohdin sitä, että mitä sinne uskaltaa laittaa. Henkilökohtaiset kamat joo, ja jos ymmärrän oikein, niin yksittäiselle tilille turvallisuutta vaativaakin kamaa, kun salausavain, vähän luottoa vaatien, vain itsellä.

Varmaankin teidän yrityksellä on määritelty tietoturva vaatimukset jne sekä teette soppareita valmistajien kanssa jne.

 

[ojisama]

Varmaankin teidän yrityksellä on määritelty tietoturva vaatimukset jne sekä teette soppareita valmistajien kanssa jne.

Niin. Kuten sanoin, olisi kiva tietää mitä tuonne voi laittaa.

 

[Xiyng]

No huh, olipas helppoa.

Vanha totuushan on se, että jos vihamielinen taho pääsee laitteeseen fyysisesti käsiksi, peli on menetetty. Hyökkääjän toimintaa voi hankaloittaa, mutta viime kädessä sille ei voi oikein mitään. Todennäköisesti hyvinkin monimutkaisen hyökkäyksen pystyy paketoimaan sellaiseen muotoon, että sen saa suoritettua/asennettua sekunneissa.

Tämä on kyllä käsittämätöntä, että Chrome (ja muut sen pohjalle tehdyt) selaimet logittavat koneelle kaikenlaisia salausavaimia ym. eikä tuota "toiminnallisuutta" ole edes mahdollista ottaa pois päältä.

Kuten yllä totesin, viime kädessä asialle tuskin voi juuri mitään. Hyökkääjän toimintaa voi hankaloittaa, mutta jos hänellä on fyysinen pääsy laitteeseen, peli on lähtökohtaisesti menetetty, koska hyökkääjä voi lähtökohtaisesti tehdä laitteella ihan mitä tahansa. Esimerkiksi perinteisen keyloggerin asentamisella päässee jo hyvin pitkälle, jos ikinä tarvitsee kirjoittaa minkään vuoksi mitään salasanoja, riippumatta siitä, minne salausavaimet on tallennettu. Vastaavasti hyökkääjä pystynee kyllä hakemaan salausavaimen ihan samalla tavalla kuin käyttäjäkin, vaikka salausavaimen piilottaisi miten. Asiaa voi vaikeuttaa, mutta täydellistä suojaa ei tiettävästi ole.

 

[Cirrus]

Jos ajattelee, että sun tarvii vaan tuo ohjelma ladata ja ajaa, niin näet samantein kaikki Chromeen tallennetut salasanat, eli ei kovin vaikeaa. Password manager softat ei kyllä ihan noin helposti aukea, jos käyttää kunnollista sellaista.

Mutta se, että malware pääsee koneelle, sekä pystyy ajamaan tuon samaisen koodin riippuu paljon käyttäjästä ja miten se kone on konfattu, sekä pyöriikö taustalla ajantasainen antivirus (joka saattaa huomata kyseisen malwaren (code obfuscation)).

ChromePass - Chrome Browser Password Recovery for Windows

Allows you to recover Chrome Web browser passwords from current system and external drive of Windows operating system

www.nirsoft.net

En ainakaan itse suosittele käyttämään mihinkään tärkeään, jossa vaikka maksutietoja sun muita henkilötietoja kyseisen salasanan takana on.

Edit: Aijjuu, täähän on Win11 ketju, pitäs aina muistaa tarkistaa, noh, eiköhän tarvittaessa siirry...

Jatketaan vaikka täällä. Windows 11 liittyy enää vain etäisesti. Mutta huvin ja urheilun vuoksi testasin Win 11 testikoneessa vieläkö toimii ja toimii tuo. Nyt päästiin jo paremmalle keskustelun tasolle kuitenkin:
1. Että tuo skenaario toimii, niin hyökkääjä saa mellastaa koneellasi jo aika vapaasti. Hänen täytyy esimerkiksi pystyä laittamaan tietoturvasovellukset kiinni (ja varmaan on laittanutkin koska on koneellasi). Mm. denfeder urputtaa koko ajan tuosta. Noin vapaana oleva hyökkääjä on kyllä jo muutenkin aika iso ongelma.

2. Firefoxiin tuo ei toimi. Eikä toimi edgeenkään. Tästä päästiin siihen että chrome on windowssissa tietoturvattomampi password manager kuin moni muu. Mutta ei vielä ollenkaan siihen että että selaimet yleisesti on sellaisia.

 

[=JP=]

Jatketaan vaikka täällä. Windows 11 liittyy enää vain etäisesti. Mutta huvin ja urheilun vuoksi testasin Win 11 testikoneessa vieläkö toimii ja toimii tuo. Nyt päästiin jo paremmalle keskustelun tasolle kuitenkin:
1. Että tuo skenaario toimii, niin hyökkääjä saa mellastaa koneellasi jo aika vapaasti. Hänen täytyy esimerkiksi pystyä laittamaan tietoturvasovellukset kiinni (ja varmaan on laittanutkin koska on koneellasi). Mm. denfeder urputtaa koko ajan tuosta. Noin vapaana oleva hyökkääjä on kyllä jo muutenkin aika iso ongelma.

2. Firefoxiin tuo ei toimi. Eikä toimi edgeenkään. Tästä päästiin siihen että chrome on windowssissa tietoturvattomampi password manager kuin moni muu. Mutta ei vielä ollenkaan siihen että että selaimet yleisesti on sellaisia.

Joka selaimelle on oma softansa tuolla ja monelle muullekin:

Password Recovery Tools for Windows

Password Recovery Tools for lost password of Windows, Firefox, Outlook, Chrome, VPN, Internet Explorer, and more...

www.nirsoft.net

Taikka tuollainen, joka tukee useampaa selainta:

Recover lost passwords stored in your Web browser

Tool for Windows 10/8/7/Vista/XP to recover passwords stored by popular Web browsers (Chrome, Firefox, Edge, and others)

www.nirsoft.net

Ja kuten aiemmin sanoin, "code obfuscation" on avainsana sitten noissa malwareissa, ettei AV sitten tajuakaan että siellä pyörii jokin tuon tyyppinen softa taustalla ja avaa sun salasanat selväkieliseksi.
Ja tosiaan, riippuu monesta asiasta, että miten tuollainen lipsahtaa vaikka koneelle, mutta kun miettii peruskäyttäjää, niin eipä siellä paljoo mietitä ku painellaan vaan sitä "Next" nappia ja ties mitä muuta esim. selaimen popup ikkunassa vilkkuu. Taikka ku haetaan niitä CS (listaa mikä vaan suosittu peli) wallhack sun muita softia koneelle sen enempää ajattelematta ja ajetaan vaikka se AV softakin vähän varoittelee. Just oli myös Office dokumenteissa kauhea reikä, jota kautta pääsi koneelle ku vaan latas ja avasi tiedoston koneelle, kyllähän näitä keinoja löytyy, ei näitä muuten koko aikaa kehitetä, ku kohteita riittää...

Sen verta monta konetta on tullut tässä elämän aikana siivottua ja se on uskomatonta miten monta malwaree voi koneelta löytyä...

 

[Cirrus]

Joka selaimelle on oma softansa tuolla ja monelle muullekin:

Password Recovery Tools for Windows

Password Recovery Tools for lost password of Windows, Firefox, Outlook, Chrome, VPN, Internet Explorer, and more...

www.nirsoft.net

Taikka tuollainen, joka tukee useampaa selainta:

Recover lost passwords stored in your Web browser

Tool for Windows 10/8/7/Vista/XP to recover passwords stored by popular Web browsers (Chrome, Firefox, Edge, and others)

www.nirsoft.net

Ja kuten aiemmin sanoin, "code obfuscation" on avainsana sitten noissa malwareissa, ettei AV sitten tajuakaan että siellä pyörii jokin tuon tyyppinen softa taustalla ja avaa sun salasanat selväkieliseksi.
Ja tosiaan, riippuu monesta asiasta, että miten tuollainen lipsahtaa vaikka koneelle, mutta kun miettii peruskäyttäjää, niin eipä siellä paljoo mietitä ku painellaan vaan sitä "Next" nappia ja ties mitä muuta esim. selaimen popup ikkunassa vilkkuu. Taikka ku haetaan niitä CS (listaa mikä vaan suosittu peli) wallhack sun muita softia koneelle sen enempää ajattelematta ja ajetaan vaikka se AV softakin vähän varoittelee. Just oli myös Office dokumenteissa kauhea reikä, jota kautta pääsi koneelle ku vaan latas ja avasi tiedoston koneelle, kyllähän näitä keinoja löytyy, ei näitä muuten koko aikaa kehitetä, ku kohteita riittää...

Sen verta monta konetta on tullut tässä elämän aikana siivottua ja se on uskomatonta miten monta malwaree voi koneelta löytyä...

Sinänsä ei ole mitään väliä kuinka monta password recovery softaa on olemassa, jos pitää tietää se master password. Silloinhan on se normaali toimintamalli kyseessä.

Mutta huolestuttavaa on henk. koht. se jos firefoxissa toiminta on sama kuin chromessa. Edgeä en löytänyt softista (esittelytekstissä se mainittiin) ja operasta sanottiin selvästi että master password on oltava tiedossa.

Firefox pitää joko testata tai kaluta vielä kerran läpi nuo.

 

[=JP=]

Sinänsä ei ole mitään väliä kuinka monta password recovery softaa on olemassa, jos pitää tietää se master password. Silloinhan on se normaali toimintamalli kyseessä.

Mutta huolestuttavaa on henk. koht. se jos firefoxissa toiminta on sama kuin chromessa. Edgeä en löytänyt softista (esittelytekstissä se mainittiin) ja operasta sanottiin selvästi että master password on oltava tiedossa.

Firefox pitää joko testata tai kaluta vielä kerran läpi nuo.

Nyky Operat pyörii kans Chrome enginellä ja tuolla sanotaan että Chromen softa toimii siihenkin, liekkö Edge sama, koska sekin nykyään pohjautuu Chromeen.

Edit: Kyl tuolla on maininta, että Edge tuki lisätty kans tuohon, joka toimii monelle selaimelle.
Eli sen pitäs näyttää suosituimpien koneelle asennettujen selaimien salasanat...

 

[Cirrus]

Nyky Operat pyörii kans Chrome enginellä ja tuolla sanotaan että Chromen softa toimii siihenkin, liekkö Edge sama, koska sekin nykyään pohjautuu Chromeen.

Edit: Kyl tuolla on maininta, että Edge tuki lisätty kans tuohon, joka toimii monelle selaimelle.
Eli sen pitäs näyttää suosituimpien koneelle asennettujen selaimien salasanat...

Asiaa piti siis testata:

Defaulttiasetuksilla paikallisella tilillä:
Password viewer toimi:
Opera
Firefox
Edge
Chrome

Modatuilla asetuksilla eli master password asetuksilla
Firefox -> ei toimi (jeees!)
Edge -> win 11 testikoneessa en saanut vaihdettua asetuksia siten että device password menee päälle. Enkä sen puoleen viewattua koko salasanaa selaimesta kun se security popup ei aukea. Sama vika chromessa. Pitäisi saada tilitiedot security promptiin että saa device passwordin päälle. -> Oletan että ei näkyisi salasanat sitten.
Opera -> en löytänyt mitään lisäsuojausasetuksia nyky chromium-operasta
Chrome -> en löytänyt paikalliselle tilille lisäsuojausasetuksia

Testaamatta onlinetilien mukana tuomat suojaukset.

Edittinä tiivistys: Jos selain tukee erillisen password managerin kaltaista master password toimintoa, niin eroa ei ole tässä asiassa.

 

[user9999]

Itse käytän Mac-koneissa iCloud-avainnippua salasanoihin. Perusjutut pitäisi olla koneessa kunnossa.

1. Standard tili. Ei käytetä konetta Admin tilillä
2. Filevault levyn salaus on käytössä.
3. ICloudissa on käytössä 2FA tai se on pakko olla jos iCloud-avainnippu käytössä

Safarissa jos haluaa tarkastella tallennettuja salasanoja niin vaatii jonkin seuraavista

1. Salasanan
2. Touch ID sormenjäljen
3. Apple Watch hyväksynnän

Jos salasanoja haluaa tarkastella Keychain Access työkalulla niin se vaatii salasanan. Tuota Keychain Access työkalua pystyy vähän kiristämään eli sen saa lukkiutumaan automaattisesti. Ei jää vahingossa tilaan, että kuka vaan pääsee katsomaan tietoja.

Keychainin salauksesta:
Keychain items are encrypted using two different AES-256-GCM keys: a table key (metadata) and a per-row key (secret key). Keychain metadata (all attributes other than kSecValue) is encrypted with the metadata key to speed searches, and the secret value (kSecValueData) is encrypted with the secret key. The metadata key is protected by the Secure Enclave but is cached in the Application Processor to allow fast queries of the keychain. The secret key always requires a round trip through the Secure Enclave.

Jos ei ole tiedossa niin Secure Enclave on Applen SOC:ssa

Secure Enclave

The Secure Enclave is a dedicated secure subsystem in the latest versions of iPhone, iPad, Mac, Apple TV, Apple Watch, and HomePod.

support.apple.com

iCloud avainnipussa on End-to-End salaus.

Ja tietysti tuo Cloud-avainnippu on itsellä käytössä myös. iOS, iPadOS jne. laitteissa.

Edit: macOS Monterey, iOS 15 ja iPadOS 15 versioissa on sisäänrakennettu authenticator. En ole vielä testannut

Built-in authenticator
Generate verification codes needed for additional sign-in security. If a site offers two-factor authentication, you can set up verification codes under Passwords in System Preferences and Safari — no need to download an additional app. Once set up, verification codes autofill when you sign in to the site.

macOS Monterey Preview - New Features

See all the new features available with macOS Monterey.

www.apple.com

macOS Monterey Features Dedicated Password Section in System Preferences, Built-In Authenticator and More

macOS Monterey makes several improvements to password management, positioning iCloud Keychain as an ideal password service to replace third-party...

www.macrumors.com

 

[anon4340]

Onneksi KeePass-toteutukset ovat ilmaisia. Ja synkkaaminen on helppoa, kun pitää tietokantatiedostoa vaikka Dropboxin hakemistossa. Muistaa vain ottaa myös varmuuskopion aina välillä jonnekin talteen. Monet pilvipalvelut tarjoavat tiedostohistoriankin, jos tapahtuu vahinkoja.

Keepassilla kanssa menty montamonta vuotta. Nykyään sync sftp:llä omalle serverille. Dropboxin kanssa alkoi tulemaan ongelmia synckki rajoitusten kanssa. Androidissa Keepass2android ja windowssissa IOProtocolExt pluginilla, että saa tuon sftp:n.

 

[BaTTman]

Osaisiko joku kertoa käyttökokemuksia tuosta keepass vs applen oma salasana sovellus/appi/tallennuspaikka?

Nyt minulla on osa salasanoista puhelimessa, mutta pitäisi siirtää kasa salasanoja johonkin talteen. Käytännössä tarvitsen niitä salasanoja useilla eri laitteilla, mutta puhelin on pääsääntöisesti aina käden ulottuvilla.

 

[iccb]

Osaisiko joku kertoa käyttökokemuksia tuosta keepass vs applen oma salasana sovellus/appi/tallennuspaikka?

Nyt minulla on osa salasanoista puhelimessa, mutta pitäisi siirtää kasa salasanoja johonkin talteen. Käytännössä tarvitsen niitä salasanoja useilla eri laitteilla, mutta puhelin on pääsääntöisesti aina käden ulottuvilla.

En osaa verrata Keepassiin, mutta iOS 15 ja macOS monterey versiolla toi applen oma toimii hienosti. Siihen saa myös nykyään MFA-koodin syötettyä ja ainakin Safari selaimella täyttö onnistuu automaattisesti monella sivulla. Ei tarvetta erilliselle autentikaattori sovellukselle. Nykyään myös chromeen saa noita icloudin salasanoja ja se toimii siten myös muilla alustoilla, mutta näiden toiminnasta ei itselläni ole kokemusta.

 

[escalibur]

Osaisiko joku kertoa käyttökokemuksia tuosta keepass vs applen oma salasana sovellus/appi/tallennuspaikka?

Nyt minulla on osa salasanoista puhelimessa, mutta pitäisi siirtää kasa salasanoja johonkin talteen. Käytännössä tarvitsen niitä salasanoja useilla eri laitteilla, mutta puhelin on pääsääntöisesti aina käden ulottuvilla.

Suosittelen harkitsemaan ilmaista Bitwardenia, koska se ei ole alustariippuvainen. Siitä voi olla hyötyä jatkossa kun laitteet vaihtuvat uusiin. Signun linkin takaa löytyy esittelyvideo suomeksi, jos on kiinnostusta aiheesta.

 

[Taneli-]

Itse olen käyttänyt Dashlane ohjelmaa, yhdelle koneelle (PC) ilmainen jos haluaa käyttää useammalla koneella (esim. kännykkä + PC + läppäri tms) maksullinen. Saanut ihan hyviä arvosteluja vs. esim. F-Securen oma räpellys. Myös LastPass saanut hyviä arvosteluja:
(2018)

Kuluttaja testasi salasanojen suojaajat: Suomalainen vaihtoehto sai kylmää kyytiä – ilmaisetkin olivat parempia

Suomalaisen F-Securen Key -sovellus sijoittui viimeiseksi 12 salasanojen hallintaan tarkoitetun ohjelman vertailussa Kuluttaja-lehdessä.

www.is.fi

(2021)

Paras salasanan hallintaohjelma 2024: turvallisimmat ilmaiset ja maksulliset vaihtoehdot suojaukseen

Näille ohjelmilla suojaat salasanasi

global.techradar.com

 

[BaTTman]

Kiitos hyvistä vaihtoehdoista. Otin nyt kokeiluun tuon bitwardenin, kun löytyi hyvä esittelyvideokin.

 

[potero]

keepassxc on käytössä. Ajatus pilvipohjaisesta salasanamanagerista on omasta mielestä vähän häiritsevä

 

[leripe]

keepassxc on käytössä. Ajatus pilvipohjaisesta salasanamanagerista on omasta mielestä vähän häiritsevä

Eikös bitwardenin voi itsekin hostia vai muistanko väärin mutta ainakin kivempi käyttää kuin keepassi.

 

[potero]

Eikös bitwardenin voi itsekin hostia vai muistanko väärin mutta ainakin kivempi käyttää kuin keepassi.

Pystyy joo, se olisikin toinen ihan varteenotettava vaihtoehto. Mihinkään kaupallisiin palveluihin en tässä käyttötarkoituksessa mielelläni koske.

 

[Ruohonjuuri]

Täältä löytyy: GitHub - dani-garcia/vaultwarden: Unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs
Minulla on tuo ollut perheen käytössä nyt vuoden päivät. Ei mitään moitittavaa, eikä ole Lastpassia yhtään ikävä - päin vastoin

 

[escalibur]

Täältä löytyy: GitHub - dani-garcia/vaultwarden: Unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs
Minulla on tuo ollut perheen käytössä nyt vuoden päivät. Ei mitään moitittavaa, eikä ole Lastpassia yhtään ikävä - päin vastoin

Tuo ei taida olla tietoturva-auditoitu, jos oikein muistan. Itse suhtautuisin siihen varauksella.

 

[Humanoid]

Tuo ei taida olla tietoturva-auditoitu, jos oikein muistan. Itse suhtautuisin siihen varauksella.

Auditointi on muutenkin vähän ongelmallinen prosessi. Se tehdään aina jollekin tietylle versiolle ohjelmasta. Muutaman suuremman päivityksen jälkeen validointi ei ole välttämättä enää validi (pun). Tämä pätee myös Bitwardeniin (jonka auditoinnit ovat olleet lähinnä "kaikki ok" -tasoa?). Mutta minkäs teet. Auditointi on kallista, ja työläs prosessi. Lopputulos riippuu myös ihan auditoijasta itsestään.

 

[escalibur]

Auditointi on muutenkin vähän ongelmallinen prosessi. Se tehdään aina jollekin tietylle versiolle ohjelmasta. Muutaman suuremman päivityksen jälkeen validointi ei ole välttämättä enää validi (pun). Tämä pätee myös Bitwardeniin (jonka auditoinnit ovat olleet lähinnä "kaikki ok" -tasoa?). Mutta minkäs teet. Auditointi on kallista, ja työläs prosessi. Lopputulos riippuu myös ihan auditoijasta itsestään.

Sekin on totta, mutta on se silti tyhjää parempi. Se että "kaikki ok" voi kertoa myös kuinka tosissaan asiat on tehty.

 

[Humanoid]

Sekin on totta, mutta on se silti tyhjää parempi. Se että "kaikki ok" voi kertoa myös kuinka tosissaan asiat on tehty.

"Kaikki ok" taas ei kerro mitään tarkemmin teknisestä toteutuksesta, validointimekanismeista tai muusta. Vähän kuin papukaijamerkki.

 

[escalibur]

"Kaikki ok" taas ei kerro mitään tarkemmin teknisestä toteutuksesta, validointimekanismeista tai muusta. Vähän kuin papukaijamerkki.

Kertoo se sen että validoinnin tehnyt yritys ottaa vastuun tarkistuksesta. Taas kerran, tuokin on varmasti yleisesti parempi tilanne kuin ei tuollaistakaan auditointia. Jokainen tietty voi itse päättää kuinka turhasta tai "turhasta" asiasta on kyse.

 

[user9999]

Onko purukalla kaikki tunnukset ja salasanat näissä salasanaohjelmistoissa? Itsellä on muutama tunnus, joita en ole laittanut salasanaohjelmaan..

1. Google järjestelmän pääkäyttäjä
2. Google järjestelmän normaalitili. Tuossa on siis henkilökohtainen sähköposti
3. Microsoft tili. Tuossa Microsoft 365 tilaus ja tietokone on rekisteröitynyt tuohon
3. Apple ID
4. Voi olla jotain muitakin

Kaikissa noissa on MFA käytössä. Joskus vaan miettinyt, että pitäisikö osa noista laittaa salasanaohjelmistoon.

 

[Desgorr]

Onko purukalla kaikki tunnukset ja salasanat näissä salasanaohjelmistoissa? Itsellä on muutama tunnus, joita en ole laittanut salasanaohjelmaan..

1. Google järjestelmän pääkäyttäjä
2. Google järjestelmän normaalitili. Tuossa on siis henkilökohtainen sähköposti
3. Microsoft tili. Tuossa Microsoft 365 tilaus ja tietokone on rekisteröitynyt tuohon
3. Apple ID
4. Voi olla jotain muitakin

Kaikissa noissa on MFA käytössä. Joskus vaan miettinyt, että pitäisikö osa noista laittaa salssanaohjelmistoon.

Kaikki löytyy Bitwardenista. Toki Bitwarden MFA:n takana.

 

[BaTTman]

Onko purukalla kaikki tunnukset ja salasanat näissä salasanaohjelmistoissa? Itsellä on muutama tunnus, joita en ole laittanut salasanaohjelmaan..

1. Google järjestelmän pääkäyttäjä
2. Google järjestelmän normaalitili. Tuossa on siis henkilökohtainen sähköposti
3. Microsoft tili. Tuossa Microsoft 365 tilaus ja tietokone on rekisteröitynyt tuohon
3. Apple ID
4. Voi olla jotain muitakin

Kaikissa noissa on MFA käytössä. Joskus vaan miettinyt, että pitäisikö osa noista laittaa salasanaohjelmistoon.

Nuo nyt varmaan muistaa ilman näitä ohjelmiakin. Mutta jos haluaa koostaa ne jonnekkin talteen yhteen paikkaan niin mikä ettei.
Itsellä tuli tarve tällaiselle ohjelmalle, kun alkaa olemaan jo yli 20 tunnusta mitä pitää muistaa.

 

[Taneli-]

Onko purukalla kaikki tunnukset ja salasanat näissä salasanaohjelmistoissa? Itsellä on muutama tunnus, joita en ole laittanut salasanaohjelmaan..

1. Google järjestelmän pääkäyttäjä
2. Google järjestelmän normaalitili. Tuossa on siis henkilökohtainen sähköposti
3. Microsoft tili. Tuossa Microsoft 365 tilaus ja tietokone on rekisteröitynyt tuohon
3. Apple ID
4. Voi olla jotain muitakin

Kaikissa noissa on MFA käytössä. Joskus vaan miettinyt, että pitäisikö osa noista laittaa salasanaohjelmistoon.

Ei ole. Esimerkkejä:
- Pankkikortin tiedot
- Paypal
- Gmailin/googlen kirjautumistiedot
- Tietokoneen salasana/tunnuskoodi (mikä pitää sisällään myös Microsoftin tilin millä pystyy palauttamaan esim. Windows 10 tai 11 Enteprise, Officen jne. asennukset & tunnusluvut)
- Etäyhteydet työpaikalle jne. viralliset koodit
- Eri sähköpostien kirjautumistiedot (mitä nyt tarvitsee lähinnä etätyössä tai työssä, kotona selviää vähemmällä).
- Dashlanen (salasanaohjelma) tunnukset

Yleisesti mitä tuollaiseen kannattaa laittaa on sinänsä harmittavia jos menettää juttuja (kuten tämä ja tusina muista keskustelufoorumia), amazonin, Jimm's:n, Verkkokaupan, Gigantin jne. tunnukset (kunhan ei liitä sinne pankkikorttinsa tietoja vaan "näkee vaivaa" ja näpyttelee ne tiedot ostoksen yhteydessä)

Toki noistakin kannattaa jokin backup olla olemassa eikä vaan sokeasti luottaa salausohjelmaan.

 

[user9999]

Nuo nyt varmaan muistaa ilman näitä ohjelmiakin. Mutta jos haluaa koostaa ne jonnekkin talteen yhteen paikkaan niin mikä ettei.
Itsellä tuli tarve tällaiselle ohjelmalle, kun alkaa olemaan jo yli 20 tunnusta mitä pitää muistaa.

Nuo omat muistaa ilman ohjelmiakin. Itsellä on varmaan yli 50 tunnusta salasanaohjelmassa, mutta noita aikaisemmin mainittuja en ole laittanut.
Harvoin noiden tunnuksen salasanoja tarvii edes syöttää kun ne on laitteissa. Ehkä kerran vuodessa joutuu jostain syystä kirjautumaan työkoneelta selaimella omaan sähköpostiin.

 

[user9999]

Ei ole. Esimerkkejä:
- Pankkikortin tiedot
- Paypal
- Gmailin/googlen kirjautumistiedot
- Tietokoneen salasana/tunnuskoodi (mikä pitää sisällään myös Microsoftin tilin millä pystyy palauttamaan esim. Windows 10 tai 11 Enteprise, Officen jne. asennukset & tunnusluvut)
- Etäyhteydet työpaikalle jne. viralliset koodit
- Eri sähköpostien kirjautumistiedot (mitä nyt tarvitsee lähinnä etätyössä tai työssä, kotona selviää vähemmällä).
- Dashlanen (salasanaohjelma) tunnukset

Yleisesti mitä tuollaiseen kannattaa laittaa on sinänsä harmittavia jos menettää juttuja (kuten tämä ja tusina muista keskustelufoorumia), amazonin, Jimm's:n, Verkkokaupan, Gigantin jne. tunnukset (kunhan ei liitä sinne pankkikorttinsa tietoja vaan "näkee vaivaa" ja näpyttelee ne tiedot ostoksen yhteydessä)

Toki noistakin kannattaa jokin backup olla olemassa eikä vaan sokeasti luottaa salausohjelmaan.

Sama homma mulla niin ei ole myöskään

- Pankkikortin tiedot
- Paypal

Työpaikan tunnuksia ja järjestelmiä en käsittele omilla laitteilla. Toki työsähköposti, teams jne. on puhelimessa.

 

[Humanoid]

Onko purukalla kaikki tunnukset ja salasanat näissä salasanaohjelmistoissa? Itsellä on muutama tunnus, joita en ole laittanut salasanaohjelmaan..

1. Google järjestelmän pääkäyttäjä
2. Google järjestelmän normaalitili. Tuossa on siis henkilökohtainen sähköposti
3. Microsoft tili. Tuossa Microsoft 365 tilaus ja tietokone on rekisteröitynyt tuohon
3. Apple ID
4. Voi olla jotain muitakin

Kaikissa noissa on MFA käytössä. Joskus vaan miettinyt, että pitäisikö osa noista laittaa salasanaohjelmistoon.

Normaalien käyttäjätunnuksien lisäksi itseltä löytyy myös SSH- ja muita salausavaimia. Toisessa tietokannassa on erikseen 2FA-backup-koodeja ym. tärkeää tallessa tunnusten mahdollista palauttamista varten. Luottokorttitietoja en ole tallentanut mihinkään.

 

[Humanoid]

LastPassin osalta kuuluu hieman huolestuttavia huhuja:

Ask HN: How did my LastPass master password get leaked? | Hacker News

news.ycombinator.com

Ihmiset ovat saaneet sähköpostiinsa ilmoituksia joiden mukaan heidän master-salasanallaan on yritettyä kirjautua jostain puolelta maailmaa, ja LastPassin asiakstuki on vahvistanut ettei kyseessä ole phishingiä. Pahimmassa tapauksessa tunnuksia ei ole suojattu 2FA:lla, joten sisään on saatettu päästä onnistuneesti. On vielä epäselvää johtuuko kaikki vuoden 2017 vuodosta (jolloin vakuutettiin ettei master-salasanaa tarvitse vaihtaa), ohjelmasta joka on mahdollisesti haistellut leikepöytää, jostain selainlaajennuksesta (älkää kirjoittako master-salasanaa selaimeen..), vai onko joku löytäny LastPassista itsestään jonkin haavoittuvuuden.

 

[pulatunnus]

LastPassin osalta kuuluu hieman huolestuttavia huhuja:

Ask HN: How did my LastPass master password get leaked? | Hacker News

news.ycombinator.com

Ihmiset ovat saaneet sähköpostiinsa ilmoituksia joiden mukaan heidän master-salasanallaan on yritettyä kirjautua jostain puolelta maailmaa, ja LastPassin asiakstuki on vahvistanut ettei kyseessä ole phishingiä. Pahimmassa tapauksessa tunnuksia ei ole suojattu 2FA:lla, joten sisään on saatettu päästä onnistuneesti. On vielä epäselvää johtuuko kaikki vuoden 2017 vuodosta (jolloin vakuutettiin ettei master-salasanaa tarvitse vaihtaa), ohjelmasta joka on mahdollisesti haistellut leikepöytää, jostain selainlaajennuksesta (älkää kirjoittako master-salasanaa selaimeen..), vai onko joku löytäny LastPassista itsestään jonkin haavoittuvuuden.

En lukenut linkkisi keskustelua kokonaan, mutta aloituksessa mainittiin että aloittajan lisäksi parille muulla tapahtunut sama, ja ovat samalta IP alueelta. (jos oikein ymmärsin)

Ja jos ymmärsin oikein niin LastPass oli estänyt kirjautumisen.

Mutta oli juttu mikä tahansa, niin ymmärettävää että kovasti huolestuttaa jos joku yrittänyt päästä omaan salasana muistioon.

 

[Humanoid]

En lukenut linkkisi keskustelua kokonaan, mutta aloituksessa mainittiin että aloittajan lisäksi parille muulla tapahtunut sama, ja ovat samalta IP alueelta. (jos oikein ymmärsin)

Ja jos ymmärsin oikein niin LastPass oli estänyt kirjautumisen.

Mutta oli juttu mikä tahansa, niin ymmärettävää että kovasti huolestuttaa jos joku yrittänyt päästä omaan salasana muistioon.

Redditistä löytyi myös ketjuja joissa samaa on tapahtunut viime päivinä Bitwardenille ja 1Passwordille Laittakaahan master-passut vaihtoon ja 2FA päälle, jos ei jo ole.

Constantly getting new 1Password sign-in emails

I am always getting new sign-in emails from 1Password. I don't have any unauthorized devices on my account, but it is saying I have 50 authorized...

old.reddit.com

What is this email spam??

Posted in r/Bitwarden by u/TsunaXZ • 77 points and 74 comments

old.reddit.com

 

[pulatunnus]

Redditistä löytyi myös ketjuja joissa samaa on tapahtunut viime päivinä Bitwardenille ja 1Passwordille

Onko kyse kuinka poikkeavista määristä ?
(Minulla ei käsitystä kuinka paljon tuota tapahtuu normaalisti)

Siis ihan sillä että jos poikkeavan korkeaa, niin yksittäisen käyttäjän kannattaa ainakin kurkata palveluun ja tarkistaa lokeistä näkyykö muita kirjautumisia kuin varmasti omaksi tiedetyt, ja että on varma että siellä on kaikki. Ja varmistaa että on asetukset iskussa, kaksivaiheinen varma ja toimiva (siis ei menettämisen pelkoa).

Kriittiset salasanat päivittää sellaiseksi ettei palvelusta vuotaminen niitä vaaranna (ei tallessa selkokielisänä/kokonaan)

 

[Humanoid]

Onko kyse kuinka poikkeavista määristä ?
(Minulla ei käsitystä kuinka paljon tuota tapahtuu normaalisti)

Siis ihan sillä että jos poikkeavan korkeaa, niin yksittäisen käyttäjän kannattaa ainakin kurkata palveluun ja tarkistaa lokeistä näkyykö muita kirjautumisia kuin varmasti omaksi tiedetyt, ja että on varma että siellä on kaikki. Ja varmistaa että on asetukset iskussa, kaksivaiheinen varma ja toimiva (siis ei menettämisen pelkoa).

Kriittiset salasanat päivittää sellaiseksi ettei palvelusta vuotaminen niitä vaaranna (ei tallessa selkokielisänä/kokonaan)

Ei varmaan hirveän suurista määristä kyse. Hacker Newsin ketjussa alle 15 ihmistä taisi ilmottaa vastaavasta. Toimii silti hyvänä muistutuksena, että pilvipalveluiden kanssa pääsalasanasta ja kaksivaiheisesta autentikoinnista on hyvä pitää huolta.

EDIT: Voi myös olla, että jokin porukka kokeilee tässä vähän kepillä jäätä. Seuraava keino olisikin pyrkiä ohittamaan 2FA-autentikointi tai löytämään sen toteutuksesta jokin aukko. Sitä onneksi sattuu harvemmin.

 

[Humanoid]

LastPassin mukaan palveluun on mahdollisesti yritetty käyttää sähköposteja ja salasanoja jotka ovat vuotaneet toisaalta. Tämä ei kuitenkaan selitä sitä miksi ihmiset ovat saaneet sähköposteja joissa sanotaan, että tunnuksille on kirjauduttu onnistuneesti - eli käytetty oikeaa master-passwordia.

LastPass Says It Didn't Leak Your Password

The password manager was accused of a data breach but the company says that's not what happened.

gizmodo.com

 

[pulatunnus]

LastPassin mukaan palveluun on mahdollisesti yritetty käyttää sähköposteja ja salasanoja jotka ovat vuotaneet toisaalta. Tämä ei kuitenkaan selitä sitä miksi ihmiset ovat saaneet sähköposteja joissa sanotaan, että tunnuksille on kirjauduttu onnistuneesti - eli käytetty oikeaa master-passwordia.

Miksi ei voisi olla sama email / salasana pari, ei LastPass voi tietää onko ollut muualla käytössä (jaossa, tallennettu jne), kuin omiin tallenteisiin ja julkisiin kantoihin, mutta en tiedä tekeekö sellaisia vertailuja (joka kyllä olisi hyvä palvelu, + tallennettujen osalta)

 

[Juha Uotila]

LastPassin mukaan palveluun on mahdollisesti yritetty käyttää sähköposteja ja salasanoja jotka ovat vuotaneet toisaalta. Tämä ei kuitenkaan selitä sitä miksi ihmiset ovat saaneet sähköposteja joissa sanotaan, että tunnuksille on kirjauduttu onnistuneesti - eli käytetty oikeaa master-passwordia.

LastPass Says It Didn't Leak Your Password

The password manager was accused of a data breach but the company says that's not what happened.

gizmodo.com

Lähinnä varmaan kertoo siitä että on viisaasti käytetty samaa sähköpostia + salasanaa kuin jossain toisessa palvelussa josta sitten vuotaneet.

 

[escalibur]

Toimii silti hyvänä muistutuksena, että pilvipalveluiden kanssa pääsalasanasta ja kaksivaiheisesta autentikoinnista on hyvä pitää huolta.

2FA:ta tulisi käyttää AINA jos ja kun vain on mahdollista. Ihan sama mistä palvelusta ja järjestelmästä kyse. Tämä koskee kaikkia käyttäjiä, eikä ainostaan ylläpitäjiä tai muuten laajoilla oikeuksilla varustettuja tunnuksia.

Lähinnä varmaan kertoo siitä että on viisaasti käytetty samaa sähköpostia + salasanaa kuin jossain toisessa palvelussa josta sitten vuotaneet.

Ettei vaan kyse olisi jostain tälläisestä asiasta?

Ask HN: How did my LastPass master password get leaked? | Hacker News

news.ycombinator.com

 

[Humanoid]

Lähinnä varmaan kertoo siitä että on viisaasti käytetty samaa sähköpostia + salasanaa kuin jossain toisessa palvelussa josta sitten vuotaneet.

Näissä tapauksissa onkin erikoista se, että ihmiset sanovat pääsalasanan olevan sellainen mitä eivät ole käyttäneet missään muualla. Osa on generoinut sen ja tallentanut KeePass-tietokantaan, josta sitä on sitten kopioitu LastPassiin leikepöydän kautta (ei niin fiksua). Monet kokeilivat jo sitäkin, että ovatko LastPassin sähköpostit ns. false positiveja, eli samanlainen ilmoitus tulee, vaikka väärää salasanaa olisi käytetty. Näin ei kuitenkaan ollut, ja tilanteen alkuperäinen postaaja näki LastPassin access-logista nämä kirjautumisyritykset.

 

[pulatunnus]

Näissä tapauksissa onkin erikoista se, että ihmiset sanovat pääsalasanan olevan sellainen mitä eivät ole käyttäneet missään muualla. Osa on generoinut sen ja tallentanut KeePass-tietokantaan, josta sitä on sitten kopioitu LastPassiin leikepöydän kautta (ei niin fiksua). Monet kokeilivat jo sitäkin, että ovatko LastPassin sähköpostit ns. false positiveja, eli samanlainen ilmoitus tulee, vaikka väärää salasanaa olisi käytetty. Näin ei kuitenkaan ollut, ja tilanteen alkuperäinen postaaja näki LastPassin access-logista nämä kirjautumisyritykset.

Tuossa linkissä ei puhutta KeePassista, mutta muualla voi olla, liittyykö tapaukset toisiinsa.

Ymmärrän että salasanoja jaetaan eri holveihin, mutta idea vähän kärsiin jos toisessa holvissa säilöö toisen holvin pääsyy koodeja sellaisenaan.

kaksivaiheinen on joissain käyttötarkoituksissa todella ärsyttävä tai jopa estää ideaa, joissain se on ehdoton.