Parhaat ohjelmat salasanojen säilytykseen

[escalibur]

Ei tuosta puutu mitään sellaista mitä tarvitsisin. Halusin vaan tietää onko sille mitään muuta varteen otettavaa vaihtoehtoa.

Muutamia vuosia Bitwardenia käyttäneenä tässä ovat tähänastiset löytämäni puutteet:

- Pilviversio sijaitsee USA:n Azuressa. Toistaiseksi ei ole olemassa esim. "EU"-vaihtoehtoa. Itse hostattu versio ei ole sama asia.
- Pilviversiossa ei ole WAF (Web Application Firewall) esim. 1Passwordin tapaan. Olisi kätevää rajoittaa omaa portaalia esim "Salli vain suomalaiset IP:t, estä loput mukaan lukien VPN:t, VPS-palvelutarjoajat yms). Bitwardenilla ei ole alidomain-portaalia, joten tämän poissaolemisen voi jotenkin vielä ymmärtääkin.
- Käyttöliittymä ei välttämättä ole kaikkien mieleen. Itse arvostan loogista ja nopeaa käyttöliittymää, joten ainakaan itse en kaipaa ylimääräisiä #yolo-animaatioita ja viiveitä.
- Salasanojen jakaminen on yhä rajallinen vrt. 1Passwordiin jossa salasana voi jakaa sähköpostilla esim domain-kohtaisesti ajan umpeutumissääntöineen yms.

Hinta/laatu/käytettävyys-suhteeltaan Bitwarden on ylivoimaisesti paras testaamani ja löytämäni vaihtoehto.

 

[Humanoid]

Muutamia vuosia Bitwardenia käyttäneenä tässä ovat tähänastiset löytämäni puutteet:

- Pilviversio sijaitsee USA:n Azuressa. Toistaiseksi ei ole olemassa esim. "EU"-vaihtoehtoa. Itse hostattu versio ei ole sama asia.
- Pilviversiossa ei ole WAF (Web Application Firewall) esim. 1Passwordin tapaan. Olisi kätevää rajoittaa omaa portaalia esim "Salli vain suomalaiset IP:t, estä loput mukaan lukien VPN:t, VPS-palvelutarjoajat yms). Bitwardenilla ei ole alidomain-portaalia, joten tämän poissaolemisen voi jotenkin vielä ymmärtääkin.
- Käyttöliittymä ei välttämättä ole kaikkien mieleen. Itse arvostan loogista ja nopeaa käyttöliittymää, joten ainakaan itse en kaipaa ylimääräisiä #yolo-animaatioita ja viiveitä.
- Salasanojen jakaminen on yhä rajallinen vrt. 1Passwordiin jossa salasana voi jakaa sähköpostilla esim domain-kohtaisesti ajan umpeutumissääntöineen yms.

Hinta/laatu/käytettävyys-suhteeltaan Bitwarden on ylivoimaisesti paras testaamani ja löytämäni vaihtoehto.

Tähän täytyy toki lisätä ainakin se seikka, että ilman nettiyhteyttä tietokantaasi et voi lisätä sinne mitään uutta, tai muokata sitä. Mahdolliset katkokset palvelussa vaikuttavat isoon osaan käyttäjiä kerralla. Vai onko tuohon asiaan tullut jo jotain edistystä?

 

[escalibur]

Tähän täytyy toki lisätä ainakin se seikka, että ilman nettiyhteyttä tietokantaasi et voi lisätä sinne mitään uutta, tai muokata sitä. Mahdolliset katkokset palvelussa vaikuttavat isoon osaan käyttäjiä kerralla. Vai onko tuohon asiaan tullut jo jotain edistystä?

En ole perehtynyt asiaan, koska äkkiseltään en keksi tilannetta jossa on tarvetta lisäillä asioita Bitwardeniin ilman toimivaa nettiyhteyttä. Ehkä joku konesalissa nukkuva ja asuva on eri mieltä asiasta.

Mahdolliset katkokset palveluun vaikuttavat samalla tavalla kuten vaikkapa Gmailin, Microsoft 365:n, Adobe Creative Cloudiin, Netflixiin jne jne. Se on maailma jossa nyt eletään.

 

[pulatunnus]

En ole perehtynyt asiaan, koska äkkiseltään en keksi tilannetta jossa on tarvetta lisäillä asioita Bitwardeniin ilman toimivaa nettiyhteyttä. Ehkä joku konesalissa nukkuva ja asuva on eri mieltä asiasta.

Mahdolliset katkokset palveluun vaikuttavat samalla tavalla kuten vaikkapa Gmailin, Microsoft 365:n, Adobe Creative Cloudiin, Netflixiin jne jne. Se on maailma jossa nyt eletään.

Osa noista toimii offline.

Siis oletan että tässä haetaan sitä tilannetta että voi tallentaa, tai muuttaa tietoja ilman yhteyttä ja ennenkaikkea voi käyttää. Se ei ole kovin tavaton tilanne.

Eli se tilanne kuin luot uuden tietueen, niin oltava varma että se myös tallentuu, tai jos muutat salasanan niin se myös tallentuu. En muita mikä ohjelma oli sellainen että käyttöliittymä/ohjelma oli sen verran kökkö että saattoi hukata tietueen muutokset, jos homma jäi kesken. Eli tallensi vasta kun sai muokkauksen, tai uuden tietueen valmiiksi, ei siis ollut edes yhteydestä kiinni.

Edit:
Ja jos ei ole yhteyttä pilveen, niin päivittää muutokset kun yhteys on käytettävissä. ja historia oletuksena säilyy. synkki ristiriidoista kertoo, ja molemmat säilyy historiassa.

 

[user9999]

Itsellä on käytössä Applen oma iCloud Keychain niin se ei tarvitse nettiyhteyttä jos haluaa lisätä uuden salasanatiedon tms. tai muokata olemassa olevaa. Nuo tallentuu laitteelle. iCloud keychain synkka sitten tarvii nettiyhteyden, jotta tiedot päivittyvät muille laitteille.
iCloud Keychainissa ei ole mitään webbisivua, mistä pääsisi tarkastelemaan sinne tallennettuja salasanoja.

Sama homma jos on käytössä iCloud Keychain Verification koodit.
With iCloud Keychain verification codes, iPhones, iPads, and Macs generate verification codes entirely offline, reducing the risk associated with sending them online. iCloud Keychain synchronizes codes across all of the user’s devices.

 

[pulatunnus]

Itsellä on käytössä Applen oma iCloud Keychain niin se ei tarvitse nettiyhteyttä jos haluaa lisätä uuden salasanatiedon tms. tai muokata olemassa olevaa. Nuo tallentuu laitteelle. ...

Tuossa vähän se ongelma että toimii vain Applen omissa tuetuissa laitteissa.
En nyt tilannetta tarkistanut, niin lisämutkia on tuonut se että miten tiedot saa vietyä sieltä ulos (näppärästi).

 

[user9999]

Tuossa vähän se ongelma että toimii vain Applen omissa tuetuissa laitteissa.
En nyt tilannetta tarkistanut, niin lisämutkia on tuonut se että miten tiedot saa vietyä sieltä ulos (näppärästi).

Toimii ehkä Windowssissa. En ole testannu

Set up iCloud Passwords on your Windows computer

Set up iCloud Passwords in iCloud for Windows so you can manage and autofill your passwords on your PC.

support.apple.com

Jossain päivityksessä tuli Monterey käyttikseen export/import ominaisuus.

1Password tuotteella on myös tuohon ohje.

Move your iCloud Passwords from Safari to 1Password

Transfer your passwords from Safari on your Mac into 1Password using the 1Password apps or on 1Password.com

support.1password.com

 

[Humanoid]

En ole perehtynyt asiaan, koska äkkiseltään en keksi tilannetta jossa on tarvetta lisäillä asioita Bitwardeniin ilman toimivaa nettiyhteyttä. Ehkä joku konesalissa nukkuva ja asuva on eri mieltä asiasta.

Mahdolliset katkokset palveluun vaikuttavat samalla tavalla kuten vaikkapa Gmailin, Microsoft 365:n, Adobe Creative Cloudiin, Netflixiin jne jne. Se on maailma jossa nyt eletään.

Harvinainen tilanne ehkä, mutta ei mahdoton. Puhuin kuitenkin lähinnä tilanteesta jossa netti kyllä muuten toimii mutta Bitwardenin palvelut eivät. Backupien osalta taitaa monilla olla myös niin, että Bitwardenista exportataan KeePass-tietokantaan?

EDIT: Ainiin. Puuttuuhan Bitwardenista myös Auto-Type (toivottu jo ainakin neljä vuotta sitten), eli salasanojen täydennys jonnekin muualle kuin selainikkunaan. Jotain kolmannen osapuolen kötöstyksiä siihen näyttäisi löytyvän, mutta ohjelmassa itsessään ei moista taida olla?

 

[escalibur]

Harvinainen tilanne ehkä, mutta ei mahdoton. Puhuin kuitenkin lähinnä tilanteesta jossa netti kyllä muuten toimii mutta Bitwardenin palvelut eivät. Backupien osalta taitaa monilla olla myös niin, että Bitwardenista exportataan KeePass-tietokantaan?

EDIT: Ainiin. Puuttuuhan Bitwardenista myös Auto-Type (toivottu jo ainakin neljä vuotta sitten), eli salasanojen täydennys jonnekin muualle kuin selainikkunaan. Jotain kolmannen osapuolen kötöstyksiä siihen näyttäisi löytyvän, mutta ohjelmassa itsessään ei moista taida olla?

Silloin kun oma netti toimii ja palvelu X ei, on taas ihan tilanteesta ja itse palvelusta kyse. Vaikka osa palveluista toimiikin offline-tilassa edes joten-kuten, aivan varmasti monesta palvelusta löytyy ominaisuuksia ja asioita jotka ovat riippuvaisia palvelun online-tilasta. En väitä että Bitwarden olisi tällä saralla erityisen hyvä ja valitkoot käyttäjät minkä tahansa muun työkalun, jos se palvelee heitä paremmin.

Backupien käytännöistä en osaa sanoa. Luultavasti jokainen huolehtii asiasta omalla tavalla, jos huolehtii. Tässäkään Bitwarden ei ole minkälainen poikkeus suuntaan eikä toiseen.

Auto-Type-yms ominaisuudet ovat vähän niin ja näin, aikakaudella jossa "kukaan ei enää koodaa softaa Windowsille". Poikkeustapauksia löytyy varmasti miljoonia, mutta toisaalta taas ymmärrän Bitwardenin kehittäjien prioriteettejä, panostaa huomattavasti kysyttympiin ominaisuuksiin.

Käyttäkööt kuitenkin jokainen sitä työkalua joka toimii omassa käytössä parhaiten. Tärkeintä on että on edes joku salasanojen työkalu käytössä.

 

[leripe]

Harvinainen tilanne ehkä, mutta ei mahdoton. Puhuin kuitenkin lähinnä tilanteesta jossa netti kyllä muuten toimii mutta Bitwardenin palvelut eivät. Backupien osalta taitaa monilla olla myös niin, että Bitwardenista exportataan KeePass-tietokantaan?

EDIT: Ainiin. Puuttuuhan Bitwardenista myös Auto-Type (toivottu jo ainakin neljä vuotta sitten), eli salasanojen täydennys jonnekin muualle kuin selainikkunaan. Jotain kolmannen osapuolen kötöstyksiä siihen näyttäisi löytyvän, mutta ohjelmassa itsessään ei moista taida olla?

Tuohan puuttuva juttu on kätevästi integroitu näppäimistön yläpalkkiin, esim. swiftkeyssä.

 

[Humanoid]

Tuohan puuttuva juttu on kätevästi integroitu näppäimistön yläpalkkiin, esim. swiftkeyssä.

Tietokoneella, työpöytäkäytössä? Miten täytät tunnuksesi esim. Steamin kirjautumisikkunaan?

 

[leripe]

Tietokoneella, työpöytäkäytössä? Miten täytät tunnuksesi esim. Steamin kirjautumisikkunaan?

Aaa, niin paljon vähemmän tarvii pc:llä lätkiä salasanoja, niin en edes haluaisi tuollaista integraatiota sovelluksiin.

 

[Humanoid]

Auto-Type-yms ominaisuudet ovat vähän niin ja näin, aikakaudella jossa "kukaan ei enää koodaa softaa Windowsille". Poikkeustapauksia löytyy varmasti miljoonia, mutta toisaalta taas ymmärrän Bitwardenin kehittäjien prioriteettejä, panostaa huomattavasti kysyttympiin ominaisuuksiin.

Käyttäkööt kuitenkin jokainen sitä työkalua joka toimii omassa käytössä parhaiten. Tärkeintä on että on edes joku salasanojen työkalu käytössä.

Tuo pasteamani Auto-Type -ketju on melko pitkä monen vuoden ajalta, joten tuo on ehdottomasti yksi sen kysytyimpiä ominaisuuksia. Lähes jotain työpöydällä oleva Electron-pohjainen sovellus (eli löytyy kaikille yleisimmille deskarikäyttiksille), oli se sitte Steam, Discord, tai mikä tahansa muu, ei toimi kirjautumiseen Bitwardenin kanssa muuten kuin leikepöydän kautta. Se taas ei ole turvallinen tapa täyttää salasanoja.

Kysehän oli nyt Bitwardenin puutteista, ei siitä mikä työkalu toimii omassa käytössä parhaiten.

 

[escalibur]

Tuo pasteamani Auto-Type -ketju on melko pitkä monen vuoden ajalta, joten tuo on ehdottomasti yksi sen kysytyimpiä ominaisuuksia. Lähes jotain työpöydällä oleva Electron-pohjainen sovellus (eli löytyy kaikille yleisimmille deskarikäyttiksille), oli se sitte Steam, Discord, tai mikä tahansa muu, ei toimi kirjautumiseen Bitwardenin kanssa muuten kuin leikepöydän kautta. Se taas ei ole turvallinen tapa täyttää salasanoja.

Kysehän oli nyt Bitwardenin puutteista, ei siitä mikä työkalu toimii omassa käytössä parhaiten.

Eipä kukaan väittänytkään etteikö se olisi Bitwardenin puute. Itse en näe tuossa asiassa suurta ongelmaa, koska salasanojen kopiointi leikepöydän kautta on yhä äärimmäisen yleistä johtuen eri softien yhteensopivuusrajoituksista. Tietoturvan kannalta tässä on joitakin riskejä, mutta ottaen huomioon menetelmän suosion uskoisin että tästä uutisoitaisiin päivittäin jos ongelma olisi riesaksi asti. Jossitelulla voidaan toki maalailla vaikka minkälaisia tarinoita.

Steam, Discord yms sovellukset ovat sellaisia joihin ainakin itse kirjaudun kenties muutaman kerran vuodessa. Oletan että suurin osa käyttäjistä ei kirjaudu näihin päivittäin, vaan tallentaa kirjautumistiedot itse sovellukseen. Saatan toki olla väärässäkin.

Ja kyllä jokaisesta tuotteesta voidaan löytää niitä puutteita jotka eivät sovi omaan käyttöön. Olkoot se sitten Bitwardenin Auto-Type, 1Passwordin suljettu lähdekoodi, tai KeePassin kömpelyys kun käytetään useampaa laitetta eikä haluta pyöritellä kantoja siellä sun täällä jne, jne. Onneksi on vaihtoehtoja mistä valita.

 

[Humanoid]

Eipä kukaan väittänytkään etteikö se olisi Bitwardenin puute. Itse en näe tuossa asiassa suurta ongelmaa, koska salasanojen kopiointi leikepöydän kautta on yhä äärimmäisen yleistä johtuen eri softien yhteensopivuusrajoituksista. Tietoturvan kannalta tässä on joitakin riskejä, mutta ottaen huomioon menetelmän suosion uskoisin että tästä uutisoitaisiin päivittäin jos ongelma olisi riesaksi asti. Jossitelulla voidaan toki maalailla vaikka minkälaisia tarinoita.

Leikepöydän käyttö on valitettavan yleistä, ja tietoturvan kannalta se on iso riski, sillä mikä tahansa ohjelma voi ilman käyttäjän suostumusta lukea tuota leikepöytää tai tallentaa sen historiaa, täysin käyttäjän tietämättä. Tuota aukkoa on siis varsin helppo hyväksikäyttää, etenkin suljetun koodin ohjelmissa. Vuodot voivat jäädä täysin huomaamatta.

Steam, Discord yms sovellukset ovat sellaisia joihin ainakin itse kirjaudun kenties muutaman kerran vuodessa. Oletan että suurin osa käyttäjistä ei kirjaudu näihin päivittäin, vaan tallentaa kirjautumistiedot itse sovellukseen. Saatan toki olla väärässäkin.

Tapoja on monia. Tiedän monia (itseni mukaanlukien) joka kirjautuu esim. Steamiin joka kerta, kun sovelluksen käynnistää. Osa ihmisistä ei luota selainlaajennuksiin lainkaan, joten Auto-Type on silloin lähes ainoa turvallinen vaihtoehto.

 

[pulatunnus]

Eipä kukaan väittänytkään etteikö se olisi Bitwardenin puute. Itse en näe tuossa asiassa suurta ongelmaa,...

Tuossa samaa mieltä että yksilölliset tarpeet voivat poiketa muiden tarpeista suuresti, jos jollekkin iCloud Keychain on erinomainen, niin voi silti mainita että toimii vain Applen tuotteissa/palveluissa.

Lukijaa, palvelua/ohjelmaa harkitsevaa kiinnostaa erityisesti ne haasteet, mainokset huutaa hyväpuolia, mutta ne puutteet, ongelmat, rajoitukset on se piilosta kaivettava hyvään valintaan vaikuttava juttu.

Jos itsesstäänselvyydet puuttuu niin ei niitä monikaan muista kysyä tai jos muistaa, niin ei kehtoo.

- Integrointi selaimiin, käyttöjärjestelmään, se on tärkeä kahdesta syystä, yksi niiden salasanojen tallentamisen ja luomisen takia, toinen, niin tunnusten käyttämisen takia. Jos se toimii, niin tietokanta ajantasalla, ja ei sorru käyttään muista minut jne. Tallentaminen on oikeasti tärkeä juttu. "Autotype" on tietoturvajuttu. dissataan laiskureita, mutta skipataan perusjuttuja.


- Ohjelma/palvelu tukee yleisempiä alustoja, osa vetää ensisijaisesti mobiililla, osa työpöydällä, Apple, Android, MS Apple. Googlella on näppärä (peruskäyttää), mutta vain jos vetelee ainoastaan Googlen tuotteilla, Applella on näppärä, mutta vain jos vetelee ainoastaan Applen tuotteilla.

- Asenna ja käytä (unohda), se on se juttu, jos joutuu välillä jumppaa, säätään, niin se vähän rikkoo koko ideaa. Vertaa virus/nettiturva ohjelmat.

 

[user9999]

Itse en käytä helpolla palveluja, jotka lisäävät selaimeen laajennuksia.

On käyttöjärjestelmän tehtävä tarjota noin "yksinkertainen" juttu.
Lastpassilla taisi olla aikoinaan tietoturvaongelmia niin päivityksiä tuli juuri selain pluginiin kun sitä käytin.

Edit: macOS ja Safari kyseessä.

 

[kntkvtknt]

LastPass tapahtui tietovuoto:

Lisätietoa Notice of Recent Security Incident - The LastPass Blog

Tietovuoto ei paljastanut asiakkaiden salasanoja vaan kohdistui muualle LastPassissa.

 

[juuhokei]

Jäipä paska maku Keeperistä. Kokeilin vuoden verran jollain -70% koodilla ja nyt tuli sähköpostiin sitten ilmoitus:

Oletin että tätä jos ei uusi tuolla Renew Now -napilla, niin tilaus loppuu ja that's it. No eikä mitä, kortilta lähtenyt 43,39€ mikä on mielestäni aika sikahinta muutenkin vuoden tilauksesta salasananhallintasoftaan. Asiakaspalvelu tuon nyt lupasi kuitenkin hyvittää, ei ole vielä tapahtunut mutta uskotaan näin kun vasta eilen tuli ilmoitus. Sanoivat että heillä on aina automaattinen uusiminen mutta aika jännä ettei edes hallintasivulla ole mahdollisuutta tuota automaattiveloitusta ottaa pois tai poistaa kortin tietoja ja siellä on vain renew-nappi millä pitäisi tilaus uusia.

Noh siirryin ilmaiseen Bitwardeniin minne näppärästi sai salasanat vietyä eikä mielestäni häviä mitenkään tälle maksulliselle Keeperille.

 

[Neo Cortex]

Bitwarden edelleen käytössä ja maksan tukimielessä 10€/vuodessa tyytyväisenä, vaikka ilmaisellakin pärjäisin ihan hyvin. Sen verran mahtava softa kyseessä omasta mielestä.

 

[Obi-Lan]

Bitwarden on nostanut $100M sijoittajilta: Open source password manager Bitwarden raises $100M

Sanoisin, että 10 vuoden sisällä menee LastPassin tielle kun sijoittajat alkavat vaatia tuottoja. Toki tässä casessa on erilaista koodin avoimuus mistä todennäköisesti spinnaa uusia forkkeja.

 

[Jote]

Bitwarden on nostanut $100M sijoittajilta: Open source password manager Bitwarden raises $100M

Sanoisin, että 10 vuoden sisällä menee LastPassin tielle kun sijoittajat alkavat vaatia tuottoja. Toki tässä casessa on erilaista koodin avoimuus mistä todennäköisesti spinnaa uusia forkkeja.

Tulee etäisesti tai vähemmän etäisesti mieleen Owncloud ja Nextcloud.

 

[pilipalipuu]

Koetin selata ketjua hetken, mutta ei löytynyt ensisilmäyksellä täältä eikä hausta: Onko joku ilman sidonnaisuuksia vaivautunut koostamaan asiaa aloittelijoille suomeksi? Olisin kiitollinen jos joku asiaa tunteva saisi alkeet jopa ketjun aloitusviestiin (tai jos aloitusviestin kirjoittaja ei enää katsele ketjua, niin koostaja tekisi sitten uuden ja lukitsisi tämän vanhan). Saisi ainakin nykyhetken koosteen laajempaan jakoon, vaikka koostaja ei sitä lupautuisikaan päivittämään. Miksei olisi jopa artikkelin arvoinen asia, on ainakin ajankohtainen nyt kun turvallisuudesta puhutaan paljon.

Onko bitwarden nyt se mihin ohjata oletuksena, jos niin miksi tarkalleen, ja mitä odottaa?

 

[=JP=]

Koetin selata ketjua hetken, mutta ei löytynyt ensisilmäyksellä täältä eikä hausta: Onko joku ilman sidonnaisuuksia vaivautunut koostamaan asiaa aloittelijoille suomeksi? Olisin kiitollinen jos joku asiaa tunteva saisi alkeet jopa ketjun aloitusviestiin (tai jos aloitusviestin kirjoittaja ei enää katsele ketjua, niin koostaja tekisi sitten uuden ja lukitsisi tämän vanhan). Saisi ainakin nykyhetken koosteen laajempaan jakoon, vaikka koostaja ei sitä lupautuisikaan päivittämään. Miksei olisi jopa artikkelin arvoinen asia, on ainakin ajankohtainen nyt kun turvallisuudesta puhutaan paljon.

Onko bitwarden nyt se mihin ohjata oletuksena, jos niin miksi tarkalleen, ja mitä odottaa?

Eiköhän periaatteet ole edelleen samat, joten tuolla varmaan pääsee alkuun...


Escalibur täältä IO-techistä on tehnyt muitakin videoita erinäisistä asioista, joten kannattanee vilasta kanavaa laajemminkin.

Bitwarden on aikas laajalti suositeltu ja tällä hetkellä hyvin suosittu palvelu salasanojen tallentamiseen.

 

[Moilaps]

Hommasin tuon bitwardenin vuositilauksen. Minulla on käytössä MS Authenticator bitwardenille, mutta mietin kannattaako tuo email 2FA laittaa ollenkaan päälle? Toinen kysymys asian vierestä on että mitä jos puhelin hajoaa/häviää niin miten tuon MS authenticatorin saa takaisin käyttöön?

 

[Humanoid]

Hommasin tuon bitwardenin vuositilauksen. Minulla on käytössä MS Authenticator bitwardenille, mutta mietin kannattaako tuo email 2FA laittaa ollenkaan päälle? Toinen kysymys asian vierestä on että mitä jos puhelin hajoaa/häviää niin miten tuon MS authenticatorin saa takaisin käyttöön?

Aina kun tallennat uuden 2FA-koodin, ota siitä varmuuskopio johonkin talteen (+ ne backup-koodit). Näin et jää riippuvaiseksi yhdestä sovelluksesta, ja voit vaikka helposti vaihtaa autentikaattoria johonkin toiseen myöhemmin.

 

[Tigiiz]

Hommasin tuon bitwardenin vuositilauksen. Minulla on käytössä MS Authenticator bitwardenille, mutta mietin kannattaako tuo email 2FA laittaa ollenkaan päälle? Toinen kysymys asian vierestä on että mitä jos puhelin hajoaa/häviää niin miten tuon MS authenticatorin saa takaisin käyttöön?

Jos kyseessä Premium -> siinä olis mahollisuus myös FIDO2, jolle vahva suositus. Esim Yubikey Usb turva-avain, jota käyttäisi apin sijaan ja on turvallisempi. Toki hyvä olla toinen avain backuppina esim jos joutuupi hukkaan tms.

 

[Paapaa]

Kaikkien 2FA-menetelmien kanssa kandee olla backup mietittynä, oli se sitten Yubikey, joku Authenticator-ohjelma tms. Aina voi käydä niin että se 2FA-laite hajoaa tai katoaa. Esim. BitWarden tarjoaa palautuskoodeja, joilla 2FA:n voi hoitaa jos muu ei toimi. Ne pitää tietty säilyttää turvallisesti.

 

[Hans Niskatuki]

Minulla on käytössä MS Authenticator bitwardenille, mutta mietin kannattaako tuo email 2FA laittaa ollenkaan päälle? Toinen kysymys asian vierestä on että mitä jos puhelin hajoaa/häviää niin miten tuon MS authenticatorin saa takaisin käyttöön?

MS Authenticatorista löytyy nykyään asetuksista varmuuskopiointimahdollisuus (Asetukset - Varmuuskopio - Pilvipalveluvarmuuskopio). Joskus vuonna miekka ja kilpi kun ainakin tietyissa kilpailevissa tuotteissa (Googlen autentikaattori tietenkin poislukien...) varmuuskopiointi pilveen oli arkipäivää niin MS Authenticatorissa varmuuskopiointimahdollisuutta ei tietenkään ollut. Pikkuputiikeilla ei tuolloin ollut aikaa koodailla turhanpäiväisyyksiä tuotteisiinsa.

 

[Kautium]

MS Authenticatorista löytyy nykyään asetuksista varmuuskopiointimahdollisuus (Asetukset - Varmuuskopio - Pilvipalveluvarmuuskopio). Joskus vuonna miekka ja kilpi kun ainakin tietyissa kilpailevissa tuotteissa (Googlen autentikaattori tietenkin poislukien...) varmuuskopiointi pilveen oli arkipäivää niin MS Authenticatorissa varmuuskopiointimahdollisuutta ei tietenkään ollut. Pikkuputiikeilla ei tuolloin ollut aikaa koodailla turhanpäiväisyyksiä tuotteisiinsa.

Tuo MS Authenticatorin pilvivarmistuskuvio voi tuottaa siinä mielessä hankalan muna-kana-ongelman, että ainakin minulla on se Microsoft-tili sen saman Authenticatorin itsensä takana. En ole koskaan tuota kokeillut, mutta olisi aika huolestuttavaa, jos varmistuksen palautus onnistuisi uuteen laitteeseen ilman vahvaa tunnistusta. Eli jos Authenticatorin sisältävä laite hajoaa, niin eipä taida ihan helpolla päästä sitä backuppia hyödyntämään, kun ei pääse kirjautumaan sinne tilille, jossa se backup on.

MFA on tärkeä osa nykypäivän verkkopalveluiden turvallisuutta, mutta samalla se aiheuttaa melkoisesti ylimääräistä päänvaivaa mm. juuri näiden varmennuksessa käytettävien laitteiden kadotessa/rikkoutuessa.

 

[escalibur]

MS Authenticatorista löytyy nykyään asetuksista varmuuskopiointimahdollisuus (Asetukset - Varmuuskopio - Pilvipalveluvarmuuskopio). Joskus vuonna miekka ja kilpi kun ainakin tietyissa kilpailevissa tuotteissa (Googlen autentikaattori tietenkin poislukien...) varmuuskopiointi pilveen oli arkipäivää niin MS Authenticatorissa varmuuskopiointimahdollisuutta ei tietenkään ollut. Pikkuputiikeilla ei tuolloin ollut aikaa koodailla turhanpäiväisyyksiä tuotteisiinsa.

Vaihtoehtoisesti voi käyttää ilmaista Authyä vähintään kahdessa eri laitteessa ja riski menettää MFA:n pienenee merkittävästi.

 

[user9999]

Niin Authy synkkaa koodit laitteiden välillä niin ei haittaa vaikka menettää yhden laitteen. Applella on sisäänrakennettuna käyttikseen vastaava. Tuo tuli vuosi sitten iOS 15, iPadOS 15 ja macOS Monterey käyttöjärjestelmiin.

 

[Kaalip]

Leikepöydän käyttö on valitettavan yleistä, ja tietoturvan kannalta se on iso riski, sillä mikä tahansa ohjelma voi ilman käyttäjän suostumusta lukea tuota leikepöytää tai tallentaa sen historiaa, täysin käyttäjän tietämättä. Tuota aukkoa on siis varsin helppo hyväksikäyttää, etenkin suljetun koodin ohjelmissa. Vuodot voivat jäädä täysin huomaamatta.

Applen laitteilla ei enää onneksi iOS 16 jälkeen ole mahdollista.

iOS 16 asks user permission to copy and paste between apps - 9to5Mac

Back in 2020, iOS 14 introduced a new banner to alert users when an app is pasting from the clipboard....

9to5mac.com

 

[Humanoid]

Applen laitteilla ei enää onneksi iOS 16 jälkeen ole mahdollista.

iOS 16 asks user permission to copy and paste between apps - 9to5Mac

Back in 2020, iOS 14 introduced a new banner to alert users when an app is pasting from the clipboard....

9to5mac.com

Mobiililaitteilla tämä on ihan hyvä muutos, ja siellä leikepöytää ei tarvitse edes niin usein. Alkuperäinen viestini liittyikin lähinnä desktop-juttuihin

 

[Hans Niskatuki]

Vaihtoehtoisesti voi käyttää ilmaista Authyä vähintään kahdessa eri laitteessa ja riski menettää MFA:n pienenee merkittävästi.

Seitsemässä laitteessa on itselläni tällä hetkellä.

 

[Hans Niskatuki]

Niin Authy synkkaa koodit laitteiden välillä niin ei haittaa vaikka menettää yhden laitteen. Applella on sisäänrakennettuna käyttikseen vastaava. Tuo tuli vuosi sitten iOS 15, iPadOS 15 ja macOS Monterey käyttöjärjestelmiin.

Ja Authyn asetuksista (Settings - Devices) kannattaa ottaa Allow multi-device pois päältä (Android) sen jälkeen kun on lisännyt omat laitteet.

Vastaavasti desktop-ympäristön sovelluksessa pitää kohdassa Settings - Devices näkyä Multi-device (Enable), jossa siis tuo Enable on nappula josta enabloidaan Multi-device. Eli kun siinä näkyy Enable niin Multi-device on disabled.

Ainoa tilanne jossa Allow multi-device kannattaa pitää päällä on se jos käytössäsi on vain yksi laite. Mikäli nyt Allow multi-device olisi pois päältä ja tämä yksi luuri esim. katoaisi niin uuden puhelimen kanssa tulee probleema koska uutta laitetta ei siinä tilanteessa voi kätevästi liittää Authyyn. Tai jotain ja jotain.

Understanding Authy 2FA’s Multi-Device Feature - Authy

How Many Devices Do You Use? We don’t need to tell you that the world no longer connects to the internet through just a laptop or desktop. In fact, 80% of internet users today own a smartphone. On an average day, smartphone users look at their device 46 times and, collectively, Americans check...

authy.com

 

[Obi-Lan]

MS Authenticatorin voi käsittääkseni aktivoida kahteen mobiililaitteeseen yhtäaikaa. Sitten sille vaihtoehtoina toimii SMS, Recovery Code, Win10/11 kone mihin kirjaudutaan MS Tilillä ja missä on tarvittavat turvapiirit Hello kirjautumiselle tai joku Yubi avaimistakin kävi.

 

[user9999]

Seitsemässä laitteessa on itselläni tällä hetkellä.

Itsellä neljässä laitteessa Authy. Pari maccia, iPhone ja iPad. Ajan noissa maceissä (apple silicon) myös mobiiliversio Authya, koska saa sormenjäljellä avattua ja Mac desktop Authy versio on intel roska ja vaatii Rosetta kikkareen. Ei ole enää Rosettaa mun maceissä.

Spoileri: Macin Authy kirjautuminen

Pääasiassa käytän Applen omaa ja Authy on vielä varalla.

 

[qazserNOS]

Minä olen säilyttänyt kuvakaappaukset 2FA QR-koodeista vahvasti salatuissa paketeissa pilvipalvelussa. Hiljattain otin käyttöön myös avoimen lähdekoodin Aegis:in Google Authenticatorin tilalle, sillä siitä saa kätevästi kaikki koodit kerralla varmuuskopioitua salattuna.

 

[Humanoid]

KeePassXC 2.7.3 on julkaistu:

KeePassXC 2.7.3 released – KeePassXC

KeePassXC Password Manager

keepassxc.org

 

[Kautium]

Huh, olipas homma, kun kävin vihdoinkin läpi Bitwardenissa kaikki vuosien varrella kertyneet tunnukset, vaihdoin perhetilaukseen ja lisäsin sinne omaan organisaatioon/collectioneihin perheenjäsenet ja opastin kaikille miten systeemi toimii. Siivosin samalla kaikki ylimääräiset tunnukset ja muokkasin jäljelle jääneiden nimiä ja matching-sääntöjä vähän järkevämmiksi. Noin 300 tunnus/salasanaparia jäi jäljelle, kun lähtötilanne oli noin 400.

Saakohan tuossa perhetilauksessa mitenkään rajoitettua asetuksia niin, että käyttöliittymässä olisi edelleen manuaalisesti valittavissa myös organisaation eri collectioneissa olevat tunnukset, mutta että niitä ei sieltä oletuksena kuitenkaan ehdoteltaisi eri palveluissa? Oletuksena se tarjoaa nyt minulle koko roskan ownerina myös kaikkia lasten tunnuksia kirjauduttaessa, eikä se olisi välttämättä tarpeen.

 

[escalibur]

Saakohan tuossa perhetilauksessa mitenkään rajoitettua asetuksia niin, että käyttöliittymässä olisi edelleen manuaalisesti valittavissa myös organisaation eri collectioneissa olevat tunnukset, mutta että niitä ei sieltä oletuksena kuitenkaan ehdoteltaisi eri palveluissa? Oletuksena se tarjoaa nyt minulle koko roskan ownerina myös kaikkia lasten tunnuksia kirjauduttaessa, eikä se olisi välttämättä tarpeen.

Luot itsellesi ei-admin tunnuksen ja käytät sitä päivittäisessä käytössä. Admin sitten lähinnä säätöihin ja muuhun. Olettaen siis että sulla on vapaita lisenssislotteja jäljellä. Jos ei ole, kannattaa kysästä katsoisiko heidän support asiaa sormien läpi ja sallisi sulle +1 slotin.

 

[Kautium]

Luot itsellesi ei-admin tunnuksen ja käytät sitä päivittäisessä käytössä. Admin sitten lähinnä säätöihin ja muuhun. Olettaen siis että sulla on vapaita lisenssislotteja jäljellä. Jos ei ole, kannattaa kysästä katsoisiko heidän support asiaa sormien läpi ja sallisi sulle +1 slotin.

Tuo on toki vaihtoehto, mutta ei toisaalta viitsi tehdä päivittäistä käyttöäkään tarpeettoman monimutkaiseksi. Haen siis vähän samaa mallia kuin miten Bitwarden toimii mm. silloin kun joku tunnus siirtyy roskakoriin. Se tunnus löytyy sieltä edelleen 30 päivää, mutta sitä ei tarjota kirjautumisiin. Ei taida onnistua nykyisellään ilman juuri tuollaista erillisen tunnuksen kanssa kikkailemista. Pitää varmaan laittaa siitä kehitysehdotusta edelleen.

Lisäksi olisi kiva, jos käyttöliittymä tarjoaisi helpomman tavan lisätä tunnistuksia eri alustojen sovelluksille. Nyt mm. Android-sovellusten kanssa pitää ensin kaivella ohjeista että mitä siihen alkuun pitikään laittaa (Androidapp://) ja sitten erikseen perään Storesta sovelluksen id.

 

[Humanoid]

LastPassissa jälleen vuoto. Ilmeisesti käyttäjien dataan on päästy käsiksi aiemmasta vuodosta saatuja tietoja tai lähdekoodia hyväksikäyttäen:

Security Incident December 2022 Update - LastPass

We are working diligently to understand the scope of the incident and identify what specific information has been accessed.

blog.lastpass.com

 

[pulatunnus]

LastPassissa jälleen vuoto. Ilmeisesti käyttäjien dataan on päästy käsiksi aiemmasta vuodosta saatuja tietoja tai lähdekoodia hyväksikäyttäen:
https://blog.lastpass.com/2022/11/notice-of-recent-security-incident/

Epänormaalia liikennettä kolmannen osapuolen pilvitallennustilassa havaittau

Olemme todenneet, että valtuuttamaton osapuoli on elokuun 2022 tapauksesta saatujen tietojen perusteella päässyt käsiksi tiettyihin asiakkaidemme tietojen osiin. Asiakkaidemme salasanat pysyvät turvallisesti salattuina LastPassin Zero Knowledge -arkkitehtuurin ansiosta.

Ilmoitimme sinulle 25. elokuuta 2022 tietoturvahäiriöstä, joka rajoittui LastPass-kehitysympäristöön ja jossa osa lähdekoodistamme ja teknisistä tiedoistamme otettiin. Halusin kertoa sinulle tutkimuksemme lopputuloksesta, jotta voimme tarjota avoimuutta ja mielenrauhaa kuluttaja- ja yritysyhteisöillemme.
Olemme saaneet tutkinnan ja rikosteknisen prosessin päätökseen yhteistyössä Mandiantin kanssa. Tutkimuksemme paljasti, että uhkatekijän toiminta rajoittui neljään päivään elokuussa 2022. Tänä aikana LastPass-turvatiimi havaitsi uhkatekijän toiminnan ja rajoitti tapauksen.
Ei ole näyttöä mistään uhkatekijöiden toiminnasta vahvistetun aikajanan jälkeen. Voimme myös vahvistaa, että ei ole näyttöä siitä, että tähän tapaukseen liittyisi pääsyä asiakastietoihin tai salattuihin salasanavarastoihin.
Tutkimuksemme havaitsi, että uhkatekijä pääsi kehitysympäristöön kehittäjän vaarantuneen päätepisteen avulla. Vaikka alkuperäisessä päätepisteen kompromississa käytetty menetelmä ei ole vakuuttava,
uhkatekijä käytti jatkuvaa pääsyään esiintyäkseen kehittäjänä, kun kehittäjä oli onnistunut todentamaan monitekijätodennusta käyttämällä.

Vaikka uhkatoimija pääsi kehitysympäristöön,
järjestelmäsuunnittelumme ja hallintamme estivät uhkatoimijaa pääsemästä asiakastietoihin tai salattuihin salasanavarastoihin.

 

[ravallo]

Epänormaalia liikennettä kolmannen osapuolen pilvitallennustilassa havaittau

Joopa joo. Saa nähdä pysyykö firma pinnalla. Ainakin siellä on ollut jotain yritystä, rahamies-CEO vaihdettiin securityinssi-CEO:hon ja poltetaan huolella paalua ulkopuolisiin turvafirmoihin.

Itse ainakin äänestin jo jaloillani, ja ihmettelen jos muut asiakkaat eivät tee samoin.

 

[ztec]

Laitetaan tähänkin lankaan linkkivinkki, kun liittyy hyvin läheisesti autentikointtii ja salasanoihin. Päästään vihdoinkin kaikkien rakastamista ja vihaamista salasanoista eroon.

Chromeen tuli juuri passkeys autentikointi, palveluihin voi jatkossa rekisteröityä ja kirjautua vaan klikkaamalla, että jees kirjaudu, tai vaikka sormenjäljellä tai PIN koodilla, kasvoilla tms.

Introducing passkeys in Chrome

We announced in October that passkey support was available in Chrome Canary. Today, we are pleased to announce that passkey support is now ...

blog.chromium.org

Tästä aiheesta onkin jo pyörinyt kolmisen vuotta lanka, mutta nyt se tulee jälleen entistä ajankohtaisemmaksi:

FIDO2, WebAuthn, Passwordless ja Passkeys

Tetasin tässä päivänä eräänä uusia FIDO2 tokeneita, sekä SoloKeyssiltä, että eWBM:ltä ja nuo parantavat kyllä käyttäjätunnusten hallintaa ja tietoturvaa merkittävästi. Kirjautuminen palveluihin helpottuu olennaisesti ja tietoturva paranee. Jos suinkin mahdollista unohdan vanhentuneet tekniikat...

bbs.io-tech.fi

Over and out tässä langassa. Kunhan esittelin hieman modernimman ja huomatavasti turvallisemman vaihtoehdon salasanoille.

 

[Kautium]

Laitetaan tähänkin lankaan linkkivinkki, kun liittyy hyvin läheisesti autentikointtii ja salasanoihin. Päästään vihdoinkin kaikkien rakastamista ja vihaamista salasanoista eroon.

Chromeen tuli juuri passkeys autentikointi, palveluihin voi jatkossa rekisteröityä ja kirjautua vaan klikkaamalla, että jees kirjaudu, tai vaikka sormenjäljellä tai PIN koodilla, kasvoilla tms.

Introducing passkeys in Chrome

We announced in October that passkey support was available in Chrome Canary. Today, we are pleased to announce that passkey support is now ...

blog.chromium.org

Tästä aiheesta onkin jo pyörinyt kolmisen vuotta lanka, mutta nyt se tulee jälleen entistä ajankohtaisemmaksi:

FIDO2, WebAuthn, Passwordless ja Passkeys

Tetasin tässä päivänä eräänä uusia FIDO2 tokeneita, sekä SoloKeyssiltä, että eWBM:ltä ja nuo parantavat kyllä käyttäjätunnusten hallintaa ja tietoturvaa merkittävästi. Kirjautuminen palveluihin helpottuu olennaisesti ja tietoturva paranee. Jos suinkin mahdollista unohdan vanhentuneet tekniikat...

bbs.io-tech.fi

Over and out tässä langassa. Kunhan esittelin hieman modernimman ja huomatavasti turvallisemman vaihtoehdon salasanoille.

"Päästään eroon salasanoista" on aika leveällä pensselillä maalattu kuva, kun ei ominaisuus toimi kuin yhdessä selaimessa ja jokaisen sovelluksen/palvelun pitää lisäksi erikseen tukea sitä.

Salasanaton maailma on tuon myötä kuitenkin askeleen lähempänä, mutta ei sekään ongelmaton ole.

Itse käyttelen salasanatonta kirjautumista jo nyt mm. Microsoftin ja Googlen palveluihin kirjauduttaessa. Muuten kätevää, mutta kyllähän siinä menee sormi suuhun, jos se autentikoinnissa käytetty laite hajoaa tai varastetaan. Backuppiakaan ei kaikista sovelluksista saa otettua.

 

[Paapaa]

Muuten kätevää, mutta kyllähän siinä menee sormi suuhun, jos se autentikoinnissa käytetty laite hajoaa tai varastetaan. Backuppiakaan ei kaikista sovelluksista saa otettua.

Tollasta tilannetta ei koskaan saisi syntyä, että ollaan yhden laitteen varassa jonkun kirjautumisen suhteen. Eli aina pitää olla B-suunnitelma. Onneksi 2FA:n tapauksessa sivustot lähes aina "pakottavat" ottamaan recovery codet talteen. Tiedä sitten ottavatko kaikki...

 

[Humanoid]

"Päästään eroon salasanoista" on aika leveällä pensselillä maalattu kuva, kun ei ominaisuus toimi kuin yhdessä selaimessa ja jokaisen sovelluksen/palvelun pitää lisäksi erikseen tukea sitä.

Salasanaton maailma on tuon myötä kuitenkin askeleen lähempänä, mutta ei sekään ongelmaton ole.

Itse käyttelen salasanatonta kirjautumista jo nyt mm. Microsoftin ja Googlen palveluihin kirjauduttaessa. Muuten kätevää, mutta kyllähän siinä menee sormi suuhun, jos se autentikoinnissa käytetty laite hajoaa tai varastetaan. Backuppiakaan ei kaikista sovelluksista saa otettua.

..tai jostain syystä esim. Google estää pääsyn tilillesi, tai poistaa koko tilin. Näitäkin on kuitenkin tapahtunut