Parhaat ohjelmat salasanojen säilytykseen

  • Keskustelun aloittaja Keskustelun aloittaja IDDQD
  • Aloitettu Aloitettu
Ainakin osa LastPassin ilmoituksista on lähetetty virheen vuoksi aiheetta:

As previously stated, LastPass is aware of and has been investigating recent reports of users receiving e-mails alerting them to blocked login attempts.
We quickly worked to investigate this activity and at this time we have no indication that any LastPass accounts were compromised by an unauthorized third-party as a result of this credential stuffing, nor have we found any indication that user’s LastPass credentials were harvested by malware, rogue browser extensions or phishing campaigns.

However, out of an abundance of caution, we continued to investigate in an effort to determine what was causing the automated security alert e-mails to be triggered from our systems.
Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.

These alerts were triggered due to LastPass’s ongoing efforts to defend its customers from bad actors and credential stuffing attempts. It is also important to reiterate that LastPass’ zero-knowledge security model means that at no time does LastPass store, have knowledge of, or have access to a users’ Master Password(s).
We will continue to regularly monitor for unusual or malicious activity and will, as necessary, continue to take steps designed to ensure that LastPass, its users and their data remain protected and secure.

Lähde: LastPass users warned their master passwords are compromised
 
Tuokaan ei selitä sitä miksi käyttäjät ovat nähneet nuo kirjautumisyritykset myös access logeissaan. Silloinhan myös niissä pitäisi olla jotain vikaa?
Itse tulkitsen LastPassin vastausta niin, että virhe on voinut tapahtua nimenomaan jo kirjaamisvaiheessa eikä välttämättä vasta "hälytysvaiheessa". Kieltämättä "hälytysvaiheesta" tuossa vastauksessa kuitenkin ainakin näennäisesti puhutaan, joten ellei tämä mene epätäsmällisen muotoilun piikkiin, tässä voi varmaan jotain jännää olla edelleen. En nyt kuitenkaan ota asiaan tarkemmin kantaa, kun en LastPassia käytä, mutta pistipähän silmään tuo vastaus silti.
 
Itse tulkitsen LastPassin vastausta niin, että virhe on voinut tapahtua nimenomaan jo kirjaamisvaiheessa eikä välttämättä vasta "hälytysvaiheessa". Kieltämättä "hälytysvaiheesta" tuossa vastauksessa kuitenkin ainakin näennäisesti puhutaan, joten ellei tämä mene epätäsmällisen muotoilun piikkiin, tässä voi varmaan jotain jännää olla edelleen. En nyt kuitenkaan ota asiaan tarkemmin kantaa, kun en LastPassia käytä, mutta pistipähän silmään tuo vastaus silti.

Eniten tässä ihmetyttääkin nuo epäselvyydet. Aluksi LastPassin mukaan kyse oli väärillä tunnuksilla tehdyistä kirjautumisyrityksistä jotka näkyivät myös käyttäjien access logeissa. Nyt ne ovatkin sitten virhe sähköposti-ilmoituksissa :hmm: Odotan mielenkiinnolla, että milloin antavat tuosta hieman tarkempaa teknistä selvitystä.
 
Nopeasti näytti spekuloinnilta ?

Hieman juu, koska LastPass ei kerro selkeästikään kaikkea. Uusimman blogipostauksen mukaan kyseessä oli bugi ja se koski vain osaa käyttäjistä:

Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.

Eli ilmeisesti sisään on yritetty väärällä salasanalla, mutta oikeilla tunnuksilla. Silti tuossa on edelleen täysin epäselvää mm. miksi bugi koski vain tiettyjä käyttäjiä, ja mikä heidät erotti muista? Luulisi, että kaikille käyttäjille käytetään identtistä varoitusmekanismia. Etenkin, jos sen triggaa vain oikean hashin (eli salasanan) käyttäminen.

Boldaukset lainauksessa kertovat myös bisnes-kielestä ja antaa kuvan ettei LastPassilla itselläkään ole tarkkaa kuvausta tapahtuneesta :hmm: We need more details.
 
LastPassilla ei näytä menevän erityisen hyvin. Ilmeisesti yrittävät pakotetusti pitää käyttäjät omina asiakkaina. Yrittävät siis kovasti olla "toinen Oracle". :p



Seuraavaksi DDoS:ataan Bitwardenia? :think:
 
Tuo siis koskee ilmaisversiota.
Vielä on vuosi edullista LP:tä, jos sitten vaihtoehdolle mahdollisuus.
 
Tuo siis koskee ilmaisversiota.
Vielä on vuosi edullista LP:tä, jos sitten vaihtoehdolle mahdollisuus.

Aivan sama mitä versiota mutta mieti nyt vähän. Kokeilet jotain (ilmais tai ei) versiota ja yllättäen ilman mitään ilmoitusta et saa enää tunnuksia ja salasanoja käyttöösi ilman että maksat rahaa. Ei siis että asiasta ilmoitetaan ja sinulla olisi aikaa miettiä miten haluat asiat hoitaa vaan tyylillä "eilen kaikki toimi, tänään pyydetään rahaa että pääsisin käsiksi omiin tietoihini". Lisätään tähän se että päästäksesi ilmoittamaan tai keskustelemaan asiasta joudut luomaan uudet tunnukset (ellet maksa rahaa) koska vanhoja et voi käyttää kirjautuaksesi heidän keskustelufoorumeilleen. Että nettiselaimella toimivassa lisäosassa on bugi mikä estää tunnusten ja salasanojen siirtämisen eteenpäin ja vastaava bugi että et voi siirtää puhelimen ja pöytäkoneen välillä tietoja juuri nyt. Miten sattuikaan.

Ei tuo ainakaan saa ihmisiä siirtymään tuota tuotetta käyttämään.

Tähän saakka itsekin toki maininnut myös tuon LastPassin yhtenä mahdollisena vaihtoehtona jos on tarvinut pitää jotain esitelmää aiheesta Dashlanen ja muiden rinnalla. Nyt ei tuota enää tule mainittua eikä varsinkaan suositeltua. Lähinnä ehkä varoittavana esimerkkinä käyttäen.

Todella moni haluaa kuitenkin ensin (mieluusti) kokeilla miten homma toimii, jos tykkäävät niin sitten ehkä siirtyvät käyttämään rahaa koska haluavat esim. käyttää samaa softaa useamman pöytäkoneen, läppärin, tabletin ja kännykän kanssa.
 
Tuo siis koskee ilmaisversiota.
Vielä on vuosi edullista LP:tä, jos sitten vaihtoehdolle mahdollisuus.

Latasin pari kuukautta sitten LastPassista salasanat ihan onnistuneesti Bitwardeniin. Kaikkia tyyppejä ei tosin ollut, mutta niistäkin tuli muistaakseni nootteja tms.

Eli ilmeisesti tuo ongelma tuossa koskee mobiilisovellukseen lukittuja salasanoja mobiili-ilmaisversiossa, jos on käyttänyt ne vaihdot mobiilin ja deskarin välillä?

Lopussa tosin mainitsee siinä viestissään, että siellä on nyt joku valinta, mutta odotus sen saamiseen oli liian pitkä?
 
LastPassilla ei näytä menevän erityisen hyvin. Ilmeisesti yrittävät pakotetusti pitää käyttäjät omina asiakkaina. Yrittävät siis kovasti olla "toinen Oracle". :p
Jos oikein ymmärsin linkkisi, niin se koski lähinnä sitä että ilmaisversion käyttäjä voi massa viedä holvin sisältöä työpöytä versiolla. Ei mobiilissa. Koska ilmaisversiossa on rajoitetumpi niin mobiiliin lukittunut ilmais käyttäjät ei voi sillä versiolla massa viedä holvin sisältöä.

Voi olla että meno jotain oleellista ohi, en lähtenyt googlailee. mikä on yhteys huonosti menemiseen.


Seuraavaksi DDoS:ataan Bitwardenia? :think:
?
LastPassilla riski 20miljoonan GDPR sakkoon bugin takia. ja jotain GDPR lätinää pitkät pätkät.
 
Viimeksi muokattu:
Harmi kyllä tuo Lastpassin perseily, se on ollut käytettävyydeltään kuitenkin (puutteineenkin) parhaimmistoa noista monen laitteen softista. Mutta siinä kyllä haiskahtaa aika vahvasti kalma tällä hetkellä, omistaja vaihtuu turhan usein, turvallisuudessa on puutteita ja sitten vielä tuollaista ihme sekoilua noiden käyttäjien tietojen kanssa. Vaihtoon menee kun maksukausi loppuu.
 
Jos oikein ymmärsin linkkisi, niin se koski lähinnä sitä että ilmaisversion käyttäjä voi massa viedä holvin sisältöä työpöytä versiolla. Ei mobiilissa. Koska ilmaisversiossa on rajoitetumpi niin mobiiliin lukittunut ilmais käyttäjät ei voi sillä versiolla massa viedä holvin sisältöä.

Voi olla että meno jotain oleellista ohi, en lähtenyt googlailee. mikä on yhteys huonosti menemiseen.

Aika selkeästi nuo "huonosti menemiseen" viittavat asiat ovat listattuna.

"• Only making the export function available via the desktop browser plugin, despite locking peoples accounts to either Desktop or Mobile after 3 switches between these platforms.
• Accidentally on purpose having a "bug" in the desktop broswer plugin that stops people who's accounts are locked to their mobile devices from being able to export their data.
• Accidentally on purpose having another "bug" in the desktop browser plugin that means export of data from the desktop browser plugins doesn't work anyway
• Having no formal support channel to resolve this issue, forcing people to create a separate account to access the "community" forums where you can post about how LastPass are illegally holding your data hostage and hope that someone from the company will respond."

?
LastPassilla riski 20miljoonan GDPR sakkoon bugin takia. ja jotain GDPR lätinää pitkät pätkät.
DDoS-kommentti oli lähinnä vitsi, joka ei liittynyt mahdollisiin GDPR:n sakkoihin mitenkään.

Saatan olla väärässä, mutta tässä koko touhussa paistaa läpi jonkin sortin epätoivo. Jokainen tietty suhtautukoot asiaan miten parhaaksi näkee.
 
Saatan olla väärässä, mutta tässä koko touhussa paistaa läpi jonkin sortin epätoivo. Jokainen tietty suhtautukoot asiaan miten parhaaksi näkee.

Aika pitkä matka dossaamisen siitä, että mobiiliversioon ei ole toteutettu exporttia, ja kolmen vaihdon (käytän mobiilia, käytänkin deskaria, käytänkin mobiilia) jäkeen voit olla lukittu mobiiliin. Ja ilmeisesti valituksen jälkeen kesti kaksi viikkoa, että tuotantoon tuli joku vipu tätä varten(?). Tosi hyvä vitsi, että alkavat tekemään rikoksia epätoivossaan.

E. Tarkistin mitä kirjoitti. Lisäsivät ylimääräisen vaihdon tilille, niin sai tiedot haettua. GDPR-uhkailu menee kyllä ohi. Muistaakseni kuukausi aikaa GDPR:n osalta tietojen saamiseen.
 
Aika selkeästi nuo "huonosti menemiseen" viittavat asiat ovat listattuna.
Lainauksestasi
Google käännös
"• Vientitoiminnon saaminen saataville vain työpöytäselainlaajennuksen kautta, vaikka ihmisten tilit lukitaan joko Desktop- tai Mobile-tilille kolmen vaihdon jälkeen näiden alustojen välillä.
• Vahingossa tahallaan "vika" työpöytäselainlaajennuksessa, joka estää ihmisiä, joiden tilit on lukittu mobiililaitteisiinsa, voimasta viedä tietojaan.
• Vahingossa tahallaan toinen "vika" työpöytäselainlaajennuksessa, mikä tarkoittaa, että tietojen vienti työpöytäselainlaajennuksista ei kuitenkaan toimi
• Koska meillä ei ole virallista tukikanavaa tämän ongelman ratkaisemiseksi, ihmiset pakotetaan luomaan erillinen tili päästäkseen "yhteisön" foorumeille, joissa voit kirjoittaa siitä, kuinka LastPass pitää laittomasti tietojasi panttivankina, ja toivoa jonkun yrityksen vastaavan.

Eli huonosti meneminen ei viitannut siihen että yhtiöllä menee huonosti. :)

Vaan nimenomaan tuo että mobiilikäyttäjät ei voi massa viedä holvin sisältöä ulos palvelusta.

Desktop käyttäjä voi, tosin jostain bugista tuossa puhutaan ettei voisikaan.

Sori tyhmyys, LastPass tavis käyttäjiä on suomessakin paljon, joten arvostan että postaa firman tuomia tuntemuksista, mutta olisi iso plussa jos avataan vähän mistä kyse. Linkeillä keskustelu ei ihan se juttu.

Muuten vaikuttaa vain firman dissaamiselta.


. Referoin linkit lauseella tai parilla ja puolestani se saa riittää.
Tämä olisi mahtavaa.

.
 
Viimeksi muokattu:
Sori tyhmyys, LastPass tavis käyttäjiä on suomessakin paljon, joten arvostan että postaa firman tuomia tuntemuksista, mutta olisi iso plussa jos avataan vähän mistä kyse.

Muuten vaikuttaa vain firman dissaamiselta.
LastPassia on kommentoitu tässä ketjussa aikaisemminkin. Huonosti menemisella tarkoitin lähinnä käyttäjän kannalta negatiivisia asioita, olkoot kyse noista typeristä rajoituksista taikka hintojen nostamisesta. Tietoturvan osalta, kyse on varmasti pätevästä palvelusta. Valitettavasti en ala kääntelemään linkkejä ja artikkeleita millään Google translatella siltä varalta ettei joku satu osaamaan englantia. Referoin linkit lauseella tai parilla ja puolestani se saa riittää.

Eiköhän jokaisen pointti ole tullut selväksi, joten en jaksa vatvoa tästä sen enempää.
 
LastPassia on kommentoitu tässä ketjussa aikaisemminkin. Huonosti menemisella tarkoitin lähinnä käyttäjän kannalta negatiivisia asioita, olkoot kyse noista typeristä rajoituksista taikka hintojen nostamisesta. Tietoturvan osalta, kyse on varmasti pätevästä palvelusta. Valitettavasti en ala kääntelemään linkkejä ja artikkeleita millään Google translatella siltä varalta ettei joku satu osaamaan englantia. Referoin linkit lauseella tai parilla ja puolestani se saa riittää.

Eiköhän jokaisen pointti ole tullut selväksi, joten en jaksa vatvoa tästä sen enempää.

"LastPassilla ei näytä menevän erityisen hyvin. Ilmeisesti yrittävät pakotetusti pitää käyttäjät omina asiakkaina. Yrittävät siis kovasti olla "toinen Oracle". :p "

Vatvon nyt vielä sen verran, että toivoisin, että kirjoitukset olisi ihan asiaa. Eihän ne yritä pitää pakotetusti käyttäjiä omina asiakkainaan. Eivät siis 'kovasti yritä' olla "toinen Oracle". Deskarilla sai helposti haettua ne tiedot, ja helpparista sai tuokin ylimääräisen vaihdon hakua varten. (Ja reaalielämässä, jos ei ole päättänyt, että käyttääkö softaa deskarilla vai mobiilissa, niin montako passua siellä edes on, ne pystyisi yksitellenkin kopioimaan?)

En lue iltalehtiä kuin pakotetusti, niin vähän meh tuollaiset tiivistelmät.

E. Siirryin itse Bitwardeniin, kun halusin käyttää molemmissa, ja olen pihi. Pidän LastPassia silti snadisti parempana käyttöliittymän osalta.
 
Lastpass - F-Secure Key - Bitwarden premium/maksullinen. En kyllä vaihtaisi noihin aiempiin tästä.
Lastpassistä vaihdoin aikoinaan ekan tietomurron takia. Keyssä harmitti webbisovelluksen puute. Bitwardenissa en oikein ole löytänyt puutteita.
 
Kellään muulla Bitwardenissa Androidilla sellaista ongelmaa, että välillä tuo tunnusten täyttö lomakkeelle ei toimi? Vie sinne listaan, missä on kaikki tunnukset eikä siihen valintalistaan, mistä klikataan täytettävät tunnukset.
 
Kellään muulla Bitwardenissa Androidilla sellaista ongelmaa, että välillä tuo tunnusten täyttö lomakkeelle ei toimi? Vie sinne listaan, missä on kaikki tunnukset eikä siihen valintalistaan, mistä klikataan täytettävät tunnukset.

Missä noi lomakkeet sijaitsee? Jossakin sovelluksessa, vai nettisivuilla?
 
Missä noi lomakkeet sijaitsee? Jossakin sovelluksessa, vai nettisivuilla?
Vähän huonosti kirjoitettu. Eli siis ihan kirjautuminen nettisivustoille selaimessa. Samaa kyllä myös välillä sovelluksiin kirjautumisessa.

Välillä toimii hyvin, välillä ei. Joskus tuon Bitwardenin uudelleenkäynnistys auttaa joskus ei.
 
Vähän huonosti kirjoitettu. Eli siis ihan kirjautuminen nettisivustoille selaimessa. Samaa kyllä myös välillä sovelluksiin kirjautumisessa.

Välillä toimii hyvin, välillä ei. Joskus tuon Bitwardenin uudelleenkäynnistys auttaa joskus ei.
Ei ole ihan samanlaisia ongelmia ollut minulla, mutta muita pieniä sekoiluja kylläkin. Joskus se ei tunnista kirjautumissivua lainkaan ja toisinaan painike änkee väkisin muiden sivulla olevien vaihtoehtojen päälle jne. Se Bitwardenin android-kikkare ei ole missään vaiheessa ollut erityisen laadukkaan oloinen, mutta pääsääntösiesti sillä on kuitenkin saanut asiansa hoidettua.
 
Vähän huonosti kirjoitettu. Eli siis ihan kirjautuminen nettisivustoille selaimessa. Samaa kyllä myös välillä sovelluksiin kirjautumisessa.

Välillä toimii hyvin, välillä ei. Joskus tuon Bitwardenin uudelleenkäynnistys auttaa joskus ei.
Joo välillä tekee sitä, oletan että johtuu siitä ettei se pyöri taustalla päällä kun sen käynnistämisen/avaamisen jälkeen ehdotukset tulee näkyviin taas.
 
Mikähän omaan Androidin Bitwardeniin iski aivan yllättäen. Ihan sama minkä sivuston tietoja koittaa täyttää niin ilmoittaa vain: "Kohteet palvelulle --, holvissasi ei ole kohteita osoitteelle --" :confused:

Pitää manuaalisesti hakea joka sivustolle kirjautumistiedot.

Taisi hajota samoihin aikoihin kun Vivaldi päivittyi uusimpaan versioon.
 
Mikähän omaan Androidin Bitwardeniin iski aivan yllättäen. Ihan sama minkä sivuston tietoja koittaa täyttää niin ilmoittaa vain: "Kohteet palvelulle --, holvissasi ei ole kohteita osoitteelle --" :confused:

Pitää manuaalisesti hakea joka sivustolle kirjautumistiedot.

Taisi hajota samoihin aikoihin kun Vivaldi päivittyi uusimpaan versioon.

No niinpäs näkyy olevan minunkin Vivaldin kanssa. Eiköhän tuo ole selaimen päivityksen mukana tullut bugi. Onneksi ei ole iso homma käyttää selaimessa näppäimistöstä avatun Bitwardenin hakua ja siitä painaa auto-filliä.
 
Itselläni on nyt ollut tuo KeepassXC käytössä jo pari vuotta salasanojen hallintaan, mutta nyt tuo mobiili käyttö on alkanut kasvamaan sen verta suureksi että sen takia täytyisi etsiä sellainen vaihtoehto että mikä synkkaisi automaattisesti salasana pilvi palveluun sillä itse en ole saanut android laitteessa tuota keepassin tietokannan synkkausta toimimaan . (Eli Googledriven tiedostojakoa).
Onko tuolle Bitwardenille olemassa varteenotettavia vaihtoehtoja tällä hetkellä, joihin kannattaisi tutustua? Pieni maksullisuus ei haittaa.
F-securen password manageri on ollut työpaikalla käytössä, mutta ne muuttavat kerrran parissa vuodessa tuota tuotteen nimeä ja palvelun kokonais pakettia joten se ei kauheasti omaan käyttöön herätä luottamusta.
 
Itselläni on nyt ollut tuo KeepassXC käytössä jo pari vuotta salasanojen hallintaan, mutta nyt tuo mobiili käyttö on alkanut kasvamaan sen verta suureksi että sen takia täytyisi etsiä sellainen vaihtoehto että mikä synkkaisi automaattisesti salasana pilvi palveluun sillä itse en ole saanut android laitteessa tuota keepassin tietokannan synkkausta toimimaan . (Eli Googledriven tiedostojakoa).
Onko tuolle Bitwardenille olemassa varteenotettavia vaihtoehtoja tällä hetkellä, joihin kannattaisi tutustua? Pieni maksullisuus ei haittaa.
F-securen password manageri on ollut työpaikalla käytössä, mutta ne muuttavat kerrran parissa vuodessa tuota tuotteen nimeä ja palvelun kokonais pakettia joten se ei kauheasti omaan käyttöön herätä luottamusta.

Nyt useampaan tutustunu, niin 1Password on ehdottomasti paras. Vähän kalliimpi se on kun noi muut.

Mikä erottanu sen eniten muista on toi tuki täydentää subdomainille erikseen ja 2FA täyttömahdollisuus.
 
Itselläni on nyt ollut tuo KeepassXC käytössä jo pari vuotta salasanojen hallintaan, mutta nyt tuo mobiili käyttö on alkanut kasvamaan sen verta suureksi että sen takia täytyisi etsiä sellainen vaihtoehto että mikä synkkaisi automaattisesti salasana pilvi palveluun sillä itse en ole saanut android laitteessa tuota keepassin tietokannan synkkausta toimimaan . (Eli Googledriven tiedostojakoa).
Onko tuolle Bitwardenille olemassa varteenotettavia vaihtoehtoja tällä hetkellä, joihin kannattaisi tutustua? Pieni maksullisuus ei haittaa.
F-securen password manageri on ollut työpaikalla käytössä, mutta ne muuttavat kerrran parissa vuodessa tuota tuotteen nimeä ja palvelun kokonais pakettia joten se ei kauheasti omaan käyttöön herätä luottamusta.
Suosittelen kokeilemaan Bitwardenia. 1Passwordissa on joitakin parempia ominaisuuksia, mutta en tiedä ovatko ihan hintaeronsa arvoisia yksittäiskäytössä. Jos päätät ottaa 1Passwordin, muista käyttää .eu-domainia, muuten datat säilytetään Pohjois-Amerikan AWS:ssä EU:n AWS:n sijaan.

Yleisesti siis, kumpikin on loistava työkalu tähän tarkoitukseen.


ps. En käyttäisi salasanaohjelmiston omaa 2FA/MFA:ta, vaan koodit kannattaa arpoa esim Authyllä. Muussa tapauksessa pääsy salasanahallintaan, saattaa mahdollistaa pääsyn 2FA/MFA:n takana oleviin palveluihinkin.
 
Viimeksi muokattu:
ps. 2FA/MFA:ta en käyttäisi kummankaan yhteydessä, vaan koodit kannattaa arpoa esim Authyllä. Muussa tapauksessa pääsy salasanahallintaan, saattaa mahdollistaa pääsyn 2FA/MFA:n takana oleviin palveluihinkin.
Sori en oikein ymmärrä mitä tarkoitat tällä. Bitwarden ollut käytössä itsellä 2FA:n kanssa jo pitkän aikaa? Miten käyttämällä 2FA:ta joku voisi mitenkään saada sen 2FA:n käyttöön ilman sun puhelinta?
 
Sori en oikein ymmärrä mitä tarkoitat tällä. Bitwarden ollut käytössä itsellä 2FA:n kanssa jo pitkän aikaa? Miten käyttämällä 2FA:ta joku voisi mitenkään saada sen 2FA:n käyttöön ilman sun puhelinta?

Bitwardenia voi käyttää myös autentikaattorina noille TOTP, eli 2FA koodeille. Tätä en kyllä itsekään suosittele vaan kannattaa käyttää erillistä puhelimessa olevaa autentikaattoria, kuten Authy, Google Authenticator, jne...

Jos joku pääsee luvattomasti Bitwardenin tiliisi käsiksi, niin saa sieltä generoitua myös nuo vaihtuvat TOTP koodit. Jos taas käytät erillistä ohjelmaa koodien generointiin, niin ei saa tietoon kuin salasanat.
 
Bitwardenia voi käyttää myös autentikaattorina noille TOTP, eli 2FA koodeille. Tätä en kyllä itsekään suosittele vaan kannattaa käyttää erillistä puhelimessa olevaa autentikaattoria, kuten Authy, Google Authenticator, jne...

Jos joku pääsee luvattomasti Bitwardenin tiliisi käsiksi, niin saa sieltä generoitua myös nuo vaihtuvat TOTP koodit. Jos taas käytät erillistä ohjelmaa koodien generointiin, niin ei saa tietoon kuin salasanat.
Siinä se tulikin. Ilmaisin asiani hieman huonosti.

2FA/MFA:n kannattaa toisaan pitää niin erillään kuin vain mahdollista. Authy on sen takia hyvä valinta, koska sitä voi käyttää useammalla eri laitteella yhtä aikaa, tosin kuin esim. Google/Microsoft Authenticatoria.
 
Onko tuolle Bitwardenille olemassa varteenotettavia vaihtoehtoja tällä hetkellä, joihin kannattaisi tutustua? Pieni maksullisuus ei haittaa.
Onko Bitwardenissa joku vika, miksi sille pitäisi etsiä vaihtoehtoja? Olisi ehkä helpompi ehdottaa vaihtoehtoa, jos tietäisi mitä siitä puuttuu tai on huonoa. Omassa käytössä tuo on ollut oikein mainio.
 
Siinä se tulikin. Ilmaisin asiani hieman huonosti.

2FA/MFA:n kannattaa toisaan pitää niin erillään kuin vain mahdollista. Authy on sen takia hyvä valinta, koska sitä voi käyttää useammalla eri laitteella yhtä aikaa, tosin kuin esim. Google/Microsoft Authenticatoria.

Viestin innoittamana kirjauduin myös tabletilla Microsoft Authenticatoriin. Mitä rajoituksia tuossa siis on?
 
Viestin innoittamana kirjauduin myös tabletilla Microsoft Authenticatoriin. Mitä rajoituksia tuossa siis on?
Viimeksi kun testasin mm. synkkaus laitteiden väliltä ei toiminut. Toimiiko se nyt? Toinen ärsyke oli palauttaa MS Authenticatorin varmistuksista. Kävi ilmi että se varmisti tunnukset, mutta ei "QR-koodi" eli kaikki MFA:t piti resetoida tämän rajoituksen vuoksi.
 
2FA/MFA:n kannattaa toisaan pitää niin erillään kuin vain mahdollista. Authy on sen takia hyvä valinta, koska sitä voi käyttää useammalla eri laitteella yhtä aikaa, tosin kuin esim. Google/Microsoft Authenticatoria.
Täytynee kokeilla Authya, mutta em. ohjelmia voi käyttää yhtä aikaa useammalla laitteella. Silti tosiaan aion kokeilla mainitsemaasi Authya, koska mitenkään erityisen tyytyväinen en ole Googlen tai MS:n vastaaviin. Aina vaan tuntuu kestävän itsellä nämä siirtymiset, kesken on Google -> MS (ja ehkä jääkin).
 
Viimeksi kun testasin mm. synkkaus laitteiden väliltä ei toiminut. Toimiiko se nyt? Toinen ärsyke oli palauttaa MS Authenticatorin varmistuksista. Kävi ilmi että se varmisti tunnukset, mutta ei "QR-koodi" eli kaikki MFA:t piti resetoida tämän rajoituksen vuoksi.

Ei se lennossa synkkaa edelleenkään, backupeista se mielestäni osasi palauttaa yksinkertaisella koodilla toimivat muut palvelut, mutta ei mitään MS tilejä. Nykyäänhän tuossa on myös salasana synkkaus mikä synkronoi Edgeen tallennetut salasanat.

TOPT koodi on pääsääntöisesti ollut 16-32 merkkiä pitkä random string pelkkiä kirjaimia, jos sen saa kaivettua QR koodin takaa tekstimuotoon niin senhän voi tallentaa Exceliin, Notepadiin, omaan Keepass kantaan sekä useimmat muut passu managerit tai vaikka kaikkiin yhtä aikaa. Noiden pyörittely on käynyt raskaaksi sitä mukaan, kun palvelut lisääntyy niin itse en jaksa pitää erillään muuta kuin muutaman tärkeimmän palvelun koodit.

Passumanagerin murto on aina riski, mutta en ole nähnyt vielä juttua, että noita olisi urakalla murrettu? Isompi riski taitaa olla se, että malware nappaa selaimen cookiesta kirjautumiscookien ja ohittaa sillä palvelun passun ja MFA kyselyt. Toi siis mahdollista jos selain muistaa kirjautumisen eikä kirjaudu joka käyttökerran jälkeen palvelusta kokonaan ulos.
 
Ei se lennossa synkkaa edelleenkään, backupeista se mielestäni osasi palauttaa yksinkertaisella koodilla toimivat muut palvelut, mutta ei mitään MS tilejä. Nykyäänhän tuossa on myös salasana synkkaus mikä synkronoi Edgeen tallennetut salasanat.

TOPT koodi on pääsääntöisesti ollut 16-32 merkkiä pitkä random string pelkkiä kirjaimia, jos sen saa kaivettua QR koodin takaa tekstimuotoon niin senhän voi tallentaa Exceliin, Notepadiin, omaan Keepass kantaan sekä useimmat muut passu managerit tai vaikka kaikkiin yhtä aikaa. Noiden pyörittely on käynyt raskaaksi sitä mukaan, kun palvelut lisääntyy niin itse en jaksa pitää erillään muuta kuin muutaman tärkeimmän palvelun koodit.

Passumanagerin murto on aina riski, mutta en ole nähnyt vielä juttua, että noita olisi urakalla murrettu? Isompi riski taitaa olla se, että malware nappaa selaimen cookiesta kirjautumiscookien ja ohittaa sillä molemmat passun ja MFAn. Toi siis mahdollista jos selain muistaa kirjautumisen eikä kirjaudu joka käyttökerran jälkeen palvelusta kokonaan ulos.
Tilien paluttaminen varmistuksista tai ylipäättäen koko asian hallinta lienee yhä yhtä suurta sotkua ja säätöä. Teknisen henkilön näkökulmasta säätö voisi jopa onnistua, mutta tavallisten käyttäjien osalta kyse voi olla melkoisesta painajaisesta. Siksi suosittelinkin Authyä koska se lienee yksi vähiten ongelmallisimmista, vaikka sekään ei ole täydellinen.

Passumanagerin murto on ainakin teoriatasolla mahdollinen, joskin miltei äärettömän epätodennäköinen. Omien tunnusten joutuminen vääriin käsiin (tavalla tai toisella), on taas huomattavasti todennäköisempi tilanne. Tämän takia 2FA/MFA-koodit on hyvä pitää erillään, koska silloin eri tunnusten hyväksikäyttö on astetta hankalampi, vaikka osa palveluista sortuisikin salasanan resetointiin ilman MFA-tietoa.
 
Bitwardenia voi käyttää myös autentikaattorina noille TOTP, eli 2FA koodeille. Tätä en kyllä itsekään suosittele vaan kannattaa käyttää erillistä puhelimessa olevaa autentikaattoria, kuten Authy, Google Authenticator, jne...

Jos joku pääsee luvattomasti Bitwardenin tiliisi käsiksi, niin saa sieltä generoitua myös nuo vaihtuvat TOTP koodit. Jos taas käytät erillistä ohjelmaa koodien generointiin, niin ei saa tietoon kuin salasanat.
Okei joo ymmärsin siis väärin. Bitwardeniin kirjautumisessa on siis itsellä käytössä 2FA. Puhelimessa taas sitten nuo erilliset 2FA-ohjelmat, joita mm Bitwarden käyttää :)

Edit. Lisätään vielä ymmärsin että suositeltiin käyttämään Bitwardenia ilman että ottaa siihen kaksivaiheisen kirjautumisen käyttöön. Niin ei siis todellakaan kannata tehdä!
 
vaikka osa palveluista sortuisikin salasanan resetointiin ilman MFA-tietoa.

Erilaisissa monivaiheisissa tunnistuksissa on äärimäisen tärkeää että palveluun voi kirjautua jos menettää kyisessä palvelussa käytetyn toisen vaiheen tunnistusmenetelmän. Jos käyttää jotain ohjelmallista systeemiä, niin sen varmuukopion/vaihtoehdon pitää olla luotettavasti toimiva. Jos pitää tehdä käsin varmuuskopio/peilaus niin menee vähän riski jutuksi. Jos toinen vaihe on jostain palvelusta riippuvainen, niin sille pitäisi olla vaihtoehto jne.
 
Erilaisissa monivaiheisissa tunnistuksissa on äärimäisen tärkeää että palveluun voi kirjautua jos menettää kyisessä palvelussa käytetyn toisen vaiheen tunnistusmenetelmän. Jos käyttää jotain ohjelmallista systeemiä, niin sen varmuukopion/vaihtoehdon pitää olla luotettavasti toimiva. Jos pitää tehdä käsin varmuuskopio/peilaus niin menee vähän riski jutuksi. Jos toinen vaihe on jostain palvelusta riippuvainen, niin sille pitäisi olla vaihtoehto jne.
Onhan se tärkeää, mutta ei mitenkään itsestäänselvää. Esim Bitwardenin tapauksessa Master Keyn unohtaminen voi ja oikeastaan johtaakin koko Vaultin menettämiseen. (Muokattua yritysversiota poisslukien) I Forgot my Master Password | Bitwarden Help & Support Tätä voidaan pitää myös hyvänäkin asiana, koska salaustehdän Master Key:tä vastaan.

MFA/2FA unohtumisen kohdalla menee palvelukohtaisesti, kuka vaatii minkälaisiakin todisteita. Osa on vaatinut jopa virallisen henkilötodistuksen skannaamista ja lähettämistä aspaan yms. Tavalla tai toisella luvassa on isompaa tai pienempää säätöä.
 
Noille 2FA:n palautuskoodeille ym. on ihan kätevää tehdä vaikka ihan erillinen KeePass-tietokanta, niin pysyvät turvallisesti tallessa. Niitä kun ei kannata laittaa myöskään samaan koriin tavallisten tunnusten kanssa.
 
Noille 2FA:n palautuskoodeille ym. on ihan kätevää tehdä vaikka ihan erillinen KeePass-tietokanta, niin pysyvät turvallisesti tallessa. Niitä kun ei kannata laittaa myöskään samaan koriin tavallisten tunnusten kanssa.
Tuossa aiemmassa viestissä hain sitä että jos jotain softa/palvelu juttua suositellaan ja jos se ei synkkaa ja toimia useammassa laitteessa yhtäaikaa, ilman käyttäjän jumppaa ja intoa harrastaa, + se että toimii vaikka palvelu kaatuisi, muutoin se on nopeasti tie pahoihin ongelmiin.
Sama myös se että jos suositellaan palveluihin monivaiheista tunnistautumista, niin ykkös juttu on se että nimenomaan on monivaiheinen tunnistus on sellainen jos yksi vaadituista ei ole käytössä, niin kirjautuminen onnistuu.

Monella keskivertokäyttäjällä on varmaa kokemusta pankkien tunnistaumisilla, joiden käyttö voi jymähtää siihen että se puhelin ei olekkaan käytössä ja varapuhelin jossa hommien pitäisi toimia onkin vuoden parin lepäämisen jälkeen vaatimassa jotain ihme prosessia.

Pankki tunnistautuminen on toki tieturvaltaankin niin kriittinen että se oma lukunsa mutta erilaisissa humppa palveluissa isompiriski on se ettei palvelu ole käyttäjän käytössä, vs se että tieturva estää luvallisen käytön.

Noille 2FA:n palautuskoodeille ym. on ihan kätevää tehdä vaikka ihan erillinen KeePass-tietokanta, niin pysyvät turvallisesti tallessa. Niitä kun ei kannata laittaa myöskään samaan koriin tavallisten tunnusten kanssa.
Jos katsotaan tarpeelliseksi että pitää olla kaksi eri holvia, KeePass ohjelmia voi asentaa useampia, tai yhdellä käyttää useampaa tietokantaa, mutta niiden palautuskoodien tallentaminen pitäisi olla helppoa, eli vaatis sellaisen ohjelman joka ne sinne hautaisi vaivatta, siis ihan yhdellä laitteella operoidessa.
 
Jos katsotaan tarpeelliseksi että pitää olla kaksi eri holvia, KeePass ohjelmia voi asentaa useampia, tai yhdellä käyttää useampaa tietokantaa, mutta niiden palautuskoodien tallentaminen pitäisi olla helppoa, eli vaatis sellaisen ohjelman joka ne sinne hautaisi vaivatta, siis ihan yhdellä laitteella operoidessa.

Kuten aiemmin ehdotettiin, niin kannattaa pitää ne 2FA-koodit muualla, erillisessä autentikaatio-ohjelmassa. Tietääkseni jokaisella yleisellä KeePass-ohjelmalla voi käyttää useaa tietokantaa yhtäaikaa. KeePassXC:llä pitäisi onnistua sekin, että jos sinulla on auki kaksi tietokantaa jossa toisessa vain 2FA:t pelkkien URL:ien kera, selainlaajennus osaa noukkia ne sieltäkin.

Synkkahommissa Android-laitteen kera Syncthing taitaa olla aika ylivoimainen.
 
Kuten aiemmin ehdotettiin, niin kannattaa pitää ne 2FA-koodit muualla, erillisessä autentikaatio-ohjelmassa. Tietääkseni jokaisella yleisellä KeePass-ohjelmalla voi käyttää useaa tietokantaa yhtäaikaa. KeePassXC:llä pitäisi onnistua sekin, että jos sinulla on auki kaksi tietokantaa jossa toisessa vain 2FA:t pelkkien URL:ien kera, selainlaajennus osaa noukkia ne sieltäkin.

Synkkahommissa Android-laitteen kera Syncthing taitaa olla aika ylivoimainen.
Ok, eli jos Androidissa KeePassXC + Syncthing, niin KeePassXC poimii selain laajennoksella ne koodit talteen?
Edit:
Taisit tuossa tarkoittaa PCtä ja siinä jotain selain laajennusta.

Eli ajatuksesi oli se että palvelu kohtaisesti tallentelet palvelun erillisen "palautuskoodit", selain laajennoksella.

Eli jos käyttää jotain monivaiheista tunnistus sovellusta/palvelua, niin riittääkö sieltä yhden palautuskoodin tallentaminen. Siis ilmeisesti osassa onnistuu, osassa ei. Jolloin ei tarvi pitää kahta tietokantaa auki.

Siis tässä nyt haetaan juttua joka olisi vaivaton tavis käyttäjälle.
 
Ok, eli jos Androidissa KeePassXC + Syncthing, niin KeePassXC poimii selain laajennoksella ne koodit talteen?
Edit:
Taisit tuossa tarkoittaa PCtä ja siinä jotain selain laajennusta.

Eli ajatuksesi oli se että palvelu kohtaisesti tallentelet palvelun erillisen "palautuskoodit", selain laajennoksella.

Eli jos käyttää jotain monivaiheista tunnistus sovellusta/palvelua, niin riittääkö sieltä yhden palautuskoodin tallentaminen. Siis ilmeisesti osassa onnistuu, osassa ei. Jolloin ei tarvi pitää kahta tietokantaa auki.

Siis tässä nyt haetaan juttua joka olisi vaivaton tavis käyttäjälle.

Alla lyhyesti miten itsellä on tuo kuviot järjestettynä:
- KeePassXC + tietokanta josta kopio luurissa. Synkkaan manuaalisesti, koska uusia tunnuksia tarvii lisätä todella harvoin.
- Raivo OTP puhelimessa 2FA-tunnistukseen
- Erillinen KeePass-tietokanta jossa tallessa 2FA-koodit + niiden palautus- ja backup-koodit
- Osa 2FA-koodeista (joihinkin ei-niin-tärkeisiin palveluihin) on tallessa ihan tavallisessa tietokannassa, palautuskoodit silti tuossa erillisessä

Tallennan 2FA-koodit siis manuaalisesti, QR-koodin kautta Raivo OTP:hen, ja merkkijonokoodilla KeePass-tietokantaan. Voi kuulostaa monimutkaiselta etenkin "taviskäyttäjälle", mutta kun tähän käyttötapaan on tottunut, homma on melko vaivatonta.
 
Jos pilvi ei pelota, niin en voisi itse suositella oikein muita kuin Bitwarden ja Authy. Hirveästi kätevämmäksi ei touhua saa ja myös halpaa.
 
Onko Bitwardenissa joku vika, miksi sille pitäisi etsiä vaihtoehtoja? Olisi ehkä helpompi ehdottaa vaihtoehtoa, jos tietäisi mitä siitä puuttuu tai on huonoa. Omassa käytössä tuo on ollut oikein mainio.
Ei tuosta puutu mitään sellaista mitä tarvitsisin. Halusin vaan tietää onko sille mitään muuta varteen otettavaa vaihtoehtoa.

keepass2android tiettävästi synkkaa nätisti pilvipalveluiden levytilan tallenteeseen

https://play.google.com/store/apps/details?id=keepass2android.keepass2android
Mutta koitan nyt tätä että kuinka toimii Google Driven kanssa. Kun ongelma oli tosiaan tuon android laitteen synkkauksessa.
 

Statistiikka

Viestiketjuista
262 389
Viestejä
4 549 630
Jäsenet
74 980
Uusin jäsen
Joonaskoo90

Hinta.fi

Back
Ylös Bottom