Parhaat ohjelmat salasanojen säilytykseen

  • Keskustelun aloittaja Keskustelun aloittaja IDDQD
  • Aloitettu Aloitettu
Jaahas, kyllä se nyt kovasti vaikuttaa siltä, että pitää lastpass vaihtaa…hemmetti mikä projekti.. Ilmeisesti konsensus on, että Bitwarden taitaa olla se ”de facto”?

iOS ja Windows käytännössä ainoina alustoina, missä sitä oikeasti tarvitsen.

En ole vielä perehtynyt eroihin maksullisten ja ilmaisten versioiden välillä. Lastpass on ollut sen $12 vuodessa ja ilmeisesti samaa luokkaa on myös BW:llä, joka on ihan Ok. LP:n tilaus on katkolla kuun lopussa.

En tarvitse salasanojen jakoa, vain täyttöä ja muut pankkitilien numerot sun muut datat tarvittaessa helposti haettavissa ja löydettävissä. Saattaa olla, että LP:n ilmainenkin olisi riittänyt. En myöskään halua ”pelleillä” lokaalien tietojen kanssa, koska liian vaivalloista.
 
Lastpass to Bitwarden projekti ei ole paha. Tein itsekkin ja ei siinä mennyt kuin puolituntia, mutta salasanojen muutossteppi vie aikaa, mutta se on riippumaton tästä muutosta. Jokatapauksessa pitäisi tehdä.
- Export lastpass salasanat
- Tee bitwarden tunnukset, et tarvii, mutta suosittelen premiumia. 10 $ vuosi.
- Import lastpass kanta bitwardeniin
- Poista lastpass plugarit ja bitwardenit tilalle selaimiin ja kännykkään.
- Käytä hetken ja kun tuntuu hyvältä, niin lastpass account kiinni.
- Periaatteessa: vaihda kaikki salasanat. Ainakin kriiittiset eli kaikki mitä voi käyttää autentikointiin eli google, microsoft, facebook jne ja kaikki joissa on rahaa eli steam, playstation jne, samalla kaikkiin näihin MFA:ta peliin jos vielä ei ole.
- Muista hävittää lastpass export tai tallentaa johonkin turvaan.
 
Bitwarden taitaa olla se ”de facto”?

Ei ehkä de facto, mutta halpa/ilmainen se on ja hyvä. Ilmaisella pääsee pitkälle ja Premiumilla vielä vähän pidemmälle. Premiumilla saa 2FA:ksi esim. Yubikeyn (tai läppärin TouchID:n) ja lisäksi Premiumilla voi Bitwardenista ottaa TOTP-koodit eri sivustojen 2FA:ta varten. Nopeuttaa - jos tosin ei ehkä ole ihan yhtä turvallinen kuin jos ne koodit ovat erillisessä TOTP-appiksessa.

Mutta kannattaa ainakin kokeilla ilmaisversiota. Mä olen pitänyt Bitwardenista.
 
Tietoturva-auditoinnille ei taidaa mitään golden standardia olla, perustuu lähinnä tekijöiden maineeseen ja kuinka uskottavasti joku ostaa kryptojargonia puhua?
Ei taida olla. On ne minusta silti tyhjää parempia. Uskottava palvelu kuitenkin keskittää auditoinnin, tai auditoinnit sinne jossa niistä on eniten hyötyä. Pelkkä SQL-injektioiden pikatestaus ei välttämättä kerro koko palvelun tietoturvasta hirveästi. Kyse on kun tilaustyöstä niin tilaajakin saa olla hereillä mitä koko asialla ollaan saavuttamassa, vai ollaanko. :)

- Periaatteessa: vaihda kaikki salasanat. Ainakin kriiittiset eli kaikki mitä voi käyttää autentikointiin eli google, microsoft, facebook jne ja kaikki joissa on rahaa eli steam, playstation jne, samalla kaikkiin näihin MFA:ta peliin jos vielä ei ole.
Ei olisi huono juttu uusia jo käytössä olleet MFA:tkin samalla, jos salasanoja saanut alkaa potkimaan renkaita eri palvelujen salasanaresetointien kanssa.
 
Jaahas, kyllä se nyt kovasti vaikuttaa siltä, että pitää lastpass vaihtaa…hemmetti mikä projekti.. Ilmeisesti konsensus on, että Bitwarden taitaa olla se ”de facto”?

iOS ja Windows käytännössä ainoina alustoina, missä sitä oikeasti tarvitsen.

En ole vielä perehtynyt eroihin maksullisten ja ilmaisten versioiden välillä. Lastpass on ollut sen $12 vuodessa ja ilmeisesti samaa luokkaa on myös BW:llä, joka on ihan Ok. LP:n tilaus on katkolla kuun lopussa.

En tarvitse salasanojen jakoa, vain täyttöä ja muut pankkitilien numerot sun muut datat tarvittaessa helposti haettavissa ja löydettävissä. Saattaa olla, että LP:n ilmainenkin olisi riittänyt. En myöskään halua ”pelleillä” lokaalien tietojen kanssa, koska liian vaivalloista.

Juu, hommaa oli, vaihdoin Lastpassista BW:n, 186 salasanaa tuli vaihdettua ja Lastpass tili tuhottu.
 
Juu, hommaa oli, vaihdoin Lastpassista BW:n, 186 salasanaa tuli vaihdettua ja Lastpass tili tuhottu.

Samaa luokkaa taitaa olla, mutta varmasti siellä on paljon palveluita, joita ei enää edes ole tai ole enää mitään tarvetta käyttää.

Samalla jos ajatuksella menisi listaa läpi ja koittaisi tuhota tilit myös täysin turhista palveluista.
 
LastPass päätti käyttää AES-avaimiakin omalla tavalla.


Heidän tietoturva-audioijalla voi olla jännät paikat. Jos sellaista on ikinä edes tehty. :)
Eli todellisuus on vielä pahempi, kuin kukaan (experit) osasivat olettaa. Wladirim Palanti osasi jo tota hyvin avata, mutta tietoturvasta vähemmän ymmärtäville löytyy rautalangasta väännetyt versiot.( Lyhykäisyydessään kaikki on ollut paskaa ja tietoturva ei ole kiinnostanut vuodesta 2019 lähtien.)
 
Samaa luokkaa taitaa olla, mutta varmasti siellä on paljon palveluita, joita ei enää edes ole tai ole enää mitään tarvetta käyttää.

Samalla jos ajatuksella menisi listaa läpi ja koittaisi tuhota tilit myös täysin turhista palveluista.

Tein näin myös eli turhat pois.
 
Sama, onnistui näemmä vain web vaultista eikä sovelluksesta.

Kyllä. Olin tosin jo oman Bitwardenin käyttöönoton yhteydessä joku vuosi sitten muuttanut arvon lukemaan 500000.

Bitwardenin työpöytäsovelluksesta Help - Go to web vault.
Selainlaajennuksessa: Settings - Bitwarden Web vault

Web vaultissa oikean ylänurkan Logged in -pallukan popup-menusta Account settings.

Sieltä Security ja laitimmaiselta Keys-välilehdeltä Master passwordin syöttämisen alta löytyy kohta KDF iteration johon haluttu lukema (600000). Tai jotain.

Sitten Change KDF.
 
LastPassista tuttu iteraatio-ongelma vaivaa myös Bitwardenia, ja siitä on raportoitu vuosia sitten:

Argon2 on ollut jo pitkään käytössä muissa salasanamanagereissa, joten toivottavasti nämä loputkin vaihtavat pian siihen.

Tuota on ehkä vähän liioiteltu. Iteraatioiden nosto 100k:sta 600k:hon kasvattaa entropiaa 2.6 bittiä. Salasanan pituun lisäys 12 merkistä 13:een nostaa sitä 4.7 bittiä.

Joka tapauksessa Bitwarden nosti defaultin jo tuonne 600k:hon suositusten mukaisesti.
 
Jos joku saa salatun tiedon haltuunsa ja yrittää murtaa sen salausta bruteforcella, korkeampi iteraatioiden määrä lisää yhden murtamisyrityksen työmäärää. Koska LastPass ja Bitwarden käyttävät PBKDF2-algoritmia, jonka bruteforcetusta voi tehdä GPU ja ASIC kiihdytettynä tehokkaasti, on iteraatioiden määrä oltava sadoissa tuhansissa.

Sen sijaan esimerkiksi nykyään suositeltu Argon2 KDF-algoritmi on suunniteltu vaikeuttamaan laitteistopohjaista bruteforcetusta vaatimalla raa'an laskentatehon lisäksi myös muistia.
 
Viimeksi muokattu:
Jep, jos vaikka holvin salauksen purkamiseen menee kymmenen millisekuntia, niin yhdessä sekunnissa samalla laitteistolla yhdellä prosessoriytimellä voit tehdä vain sata murtamisyritystä sekunnissa.
 
Tuota on ehkä vähän liioiteltu. Iteraatioiden nosto 100k:sta 600k:hon kasvattaa entropiaa 2.6 bittiä. Salasanan pituun lisäys 12 merkistä 13:een nostaa sitä 4.7 bittiä.
Se on suhteellista se, mikä on paljon tai mikä vähän. Tokin on vielä aika vähän. mm. Keepassi käyttää yli kahdeksaa miljoonaa. Toisaalta jos salasana on hyvä, niin yksikin pitäisi riittää. Koska vaihtoehtoja on vaan aivan liikaa silti läpikäytäävksi.
 
Se on suhteellista se, mikä on paljon tai mikä vähän. Tokin on vielä aika vähän. mm. Keepassi käyttää yli kahdeksaa miljoonaa. Toisaalta jos salasana on hyvä, niin yksikin pitäisi riittää. Koska vaihtoehtoja on vaan aivan liikaa silti läpikäytäävksi.

Missä mittakaavassa asiaan vaikuttaa se jos käytössä on kaksivaiheinen tunnistautuminen?
 
Missä mittakaavassa asiaan vaikuttaa se jos käytössä on kaksivaiheinen tunnistautuminen?

2FA suojaa vain ja ainoastaan kirjautumista. Se ei auta mitään siinä kohtaa kun serveri on korkattu ja hyökkääjä voi koettaa purkaa dataa brute forcella rauhassa omalla koneillaan. 2FA ei siis liity kryptaukseen lainkaan.
 
Hommat tuli hoidettua BE:n siirtoon Laspassista, mutta eihän se tilin tuhoaminen nyt sitten onnistukkaan sitten millään… PayPallin maksut tuli otettua pois, ettei sieltä LP:n maksu yllätä.

Tämä on tulos, kun koitan tiliä poistaa :)
Uskoisin, että joku nappi pitäisi tuossa olla, mutta kun ei ole.
570C1894-A864-4727-8D2F-3CB0E8163BB4.png

Edit: Reset Your Account toimi, eli vaultti tyhjeni, mutta ei se nyt lohduta.
 
Viimeksi muokattu:
Hommat tuli hoidettua BE:n siirtoon Laspassista, mutta eihän se tilin tuhoaminen nyt sitten onnistukkaan sitten millään… PayPallin maksut tuli otettua pois, ettei sieltä LP:n maksu yllätä.

Tämä on tulos, kun koitan tiliä poistaa :)
Uskoisin, että joku nappi pitäisi tuossa olla, mutta kun ei ole.
570C1894-A864-4727-8D2F-3CB0E8163BB4.png

Edit: Reset Your Account toimi, eli vaultti tyhjeni, mutta ei se nyt lohduta.

Eikö se tuosta Delete your Account painikkeesta onnistu? Toki tuota voisi testata myös tietokoneen puolelta.
 
Ei ole helppoa ei :)

PC:llä ja puhelimella jää nyt tähän. Kokeiltu puhelimen ja normi netin kautta ja incognitoa.DCD8E93F-DFC8-4783-BC08-FEB1712276ED.png
97D89F54-80C4-470C-88AE-C1EC2F3782E8.jpeg

Tyhjää dialoogia pukkaa.
 
Bitwarden sai Argon2 KDF-tuen. Argon2 on turvallisempi vaihtoehto mm. GPU-hyökkäyksissä. Tämän käyttöönottoa kannattaa kuitenkin viivyttää vielä hetken, kunnes Bitwarden on saanut päivitettyä mm. selainlaajennukset, palvelinsoftan, mobiiliapit yms. Sillä oletuksella että teillä on jokin niistä käytössä.
 
Bitwarden sai Argon2 KDF-tuen. Argon2 on turvallisempi vaihtoehto mm. GPU-hyökkäyksissä. Tämän käyttöönottoa kannattaa kuitenkin viivyttää vielä hetken, kunnes Bitwarden on saanut päivitettyä mm. selainlaajennukset, palvelinsoftan, mobiiliapit yms. Sillä oletuksella että teillä on jokin niistä käytössä.
Päivitetyt clientit, selainlisärit, palvelinsofta yms ovat nyt ladattavissa. Itse ehkä antaisin asialle päivän-pari aikaa kypsyä jos tästä vielä paljastuu joitakin ylläreitä. Tuskin paljastuu, mutta kuitenkin.
 
Päivitetyt clientit, selainlisärit, palvelinsofta yms ovat nyt ladattavissa. Itse ehkä antaisin asialle päivän-pari aikaa kypsyä jos tästä vielä paljastuu joitakin ylläreitä. Tuskin paljastuu, mutta kuitenkin.

macOS:n desktop (App Storen kautta) ja Chromen selainlaajennos päivittyivät, mutta Android-appis ei ole vielä päivittynyt versioon 2023.2.0, eikä Play sitä vielä tarjoa. Eli kannattaa tosiaan varmistaa jokaisen clientin versio erikseen, ettei tule ikäviä ylläreitä.
 
Päivitetyt clientit, selainlisärit, palvelinsofta yms ovat nyt ladattavissa. Itse ehkä antaisin asialle päivän-pari aikaa kypsyä jos tästä vielä paljastuu joitakin ylläreitä. Tuskin paljastuu, mutta kuitenkin.

Ohjelma ei siis päivity automaattisesti vai miten tuon saa aktiiviseksi?
 
Mikä ohjelma? BW-clientejä on lukuisia ja ne päivittyvät/päivitetään eri tavalla. Mistä siis puhut?
Otaksuttavasti hän tarkoittaa F-Securea koska se on itselläni.. muuten vaikea arvata. Mutta ainakin itselläni tuo päivittyy automaattisesti. Ellei sitten tarkoita Dashlinea? Mikä myös päivittyy automaattisesti.
 
Otaksuttavasti hän tarkoittaa F-Securea koska se on itselläni.. muuten vaikea arvata. Mutta ainakin itselläni tuo päivittyy automaattisesti. Ellei sitten tarkoita Dashlinea? Mikä myös päivittyy automaattisesti.

Ei ollut F-Securesta kyse, vaan Bitwardenista ja sen uudesta KDF-algoritmista, joka tekee brute forcettamisen paljon vaikeammaksi. Mutta kun Bitwarden-clientejä on useita eri alustoille ja ne päivittyvät eri tahdissa. Eli ei selvinnyt, mitä clientiä kirjoittaja tarkoittaa.

Paitsi ehkä hän itseasiassa tarkoitti, että mitä pitää tehdä, jos haluaa vaihtaa algoritmin Argon2:een. Se pitää itse käydä muuttamassa Web Vaultista. Ja tosiaan vasta kun on varma että kaikki käyttämänsä clientit on päivitetty uutta algoritmia tukemaan.

Täällä tietoa:

 
Pari pikkujuttua ahdistaa muuten loistavassa Bitwardenissa -->

1.) Android-sovellusten lisääminen on tarpeettoman kömpelöä. Ensin pitää Googlettaa, että mikä se syntaksi siellä nyt taas olikaan (androidapp://id) ja toisekseen pitää käydä Play-storesta kaivelemassa kunkin sovelluksen id. Tämän voisi varmaan toteuttaa vähän käyttäjäystävällisemmin, vaikka edes niin, että voisi pudotusvalikosta valita minkä alustan sovellusta ollaan lisäämässä ja sitten vaan lisäisi sen id:n perään.
2.) Tämä ei ole suoraan Bitwardenin vika, vaan pikemminkin Androidin toimintalogiikan aiheuttamaa, mutta Bitwarden ei aina ole käytettävissä sovelluksen tunnuskentässä, eli ei tule lainkaan sitä Bitwarden-valintaa. Silloin ei auta kuin erikseen käydä käynnistämässä Bitwarden ja sieltä sitten copy/pastella siirtää tunnus sovellukseen.
3.) Toisessa laitteessa lisätty tunnus ei välttämättä ala näkymään muissa laitteissa ilman että käy manuaalisesti asetuksista painamassa "Sync vault now".

Pikkujuttuja, mutta nämä tulevat vastaan melko usein.
 
Pari pikkujuttua ahdistaa muuten loistavassa Bitwardenissa -->

1.) Android-sovellusten lisääminen on tarpeettoman kömpelöä. Ensin pitää Googlettaa, että mikä se syntaksi siellä nyt taas olikaan (androidapp://id) ja toisekseen pitää käydä Play-storesta kaivelemassa kunkin sovelluksen id. Tämän voisi varmaan toteuttaa vähän käyttäjäystävällisemmin, vaikka edes niin, että voisi pudotusvalikosta valita minkä alustan sovellusta ollaan lisäämässä ja sitten vaan lisäisi sen id:n perään.
2.) Tämä ei ole suoraan Bitwardenin vika, vaan pikemminkin Androidin toimintalogiikan aiheuttamaa, mutta Bitwarden ei aina ole käytettävissä sovelluksen tunnuskentässä, eli ei tule lainkaan sitä Bitwarden-valintaa. Silloin ei auta kuin erikseen käydä käynnistämässä Bitwarden ja sieltä sitten copy/pastella siirtää tunnus sovellukseen.
3.) Toisessa laitteessa lisätty tunnus ei välttämättä ala näkymään muissa laitteissa ilman että käy manuaalisesti asetuksista painamassa "Sync vault now".

Pikkujuttuja, mutta nämä tulevat vastaan melko usein.
Eikö toi kohta yksi hoidu sillä, että ekan kerran kun kirjautuu sovellukseen niin se Bitwarden kysyy, että tallennetaanko?

Eli jos "käy tuuri" ja se sovelluksen tunnuskenttä antaa sen Bitwarden-vaihtoehdon niin painaa sitä ja jos Bitwarden ei ehdota mitään niin hakee itse sieltä vaultista sen tunnuksen ja kun valitsee sen niin Bitwarden ehdottaa, että "Save and fill" tai "Fill"
 
Eikö toi kohta yksi hoidu sillä, että ekan kerran kun kirjautuu sovellukseen niin se Bitwarden kysyy, että tallennetaanko?

Eli jos "käy tuuri" ja se sovelluksen tunnuskenttä antaa sen Bitwarden-vaihtoehdon niin painaa sitä ja jos Bitwarden ei ehdota mitään niin hakee itse sieltä vaultista sen tunnuksen ja kun valitsee sen niin Bitwarden ehdottaa, että "Save and fill" tai "Fill"
Hoituu toki, mutta ei se tarjoa sitä vaihtoehtoa kuin hyvin harvoin.
 
Eipä sillä, ei toi tosiaan ihan täydellinen ole toi Android-integraatio mutta sentään nykyään todella paljon paremmin tarjoaa sitä Bitwarden-vaihtoehtoa nettisivuilla. Vuosi pari sitten piti käydä melkein joka kerta manuaalisesti kopioimassa vaultista.
 
Eipä sillä, ei toi tosiaan ihan täydellinen ole toi Android-integraatio mutta sentään nykyään todella paljon paremmin tarjoaa sitä Bitwarden-vaihtoehtoa nettisivuilla. Vuosi pari sitten piti käydä melkein joka kerta manuaalisesti kopioimassa vaultista.

Joo, tuo on mennyt onneksi paljon eteenpäin. Lähes aina tarjoaa BW:tä, tai jos ei, niin kentän focusointi uudestaan jeesaa usein. Hyvin harvoin ei lainkaan tarjoa mitään. Ja aiemmin tuo oli ymmärtääkseni selaimen tai virtuaalinäppäimistön syytä. Vanhoilla selaimilla ei toiminut.
 
Olisiko vinkkejä Keepassin turvalliseen käyttöön? Eli lähinnä kumpaa kannattaa nykyään käyttää Argon2 vai AES-KDE sekä siihen liittyvät lisähommat.
 
Olisiko vinkkejä Keepassin turvalliseen käyttöön? Eli lähinnä kumpaa kannattaa nykyään käyttää Argon2 vai AES-KDE sekä siihen liittyvät lisähommat.

Argon2 antaa selvästi paremman suojan GPU-hyökkäyksiä vastaan AES-KDF:ään verrattuna verrattuna. Argon2 on tällä hetkellä varmaan se järkevin valinta. Mutta jos on vahva salasana, ei asialla ole niin suurta merkitystä. Muutoinkin sillä on merkitystä lähinnä kun vaultia voidaan yrittää murtaa lokaalisti, eli vaatinee ensin onnistuneen murtautumisen (kuten Lastpassilla kävi).
 
Argon2 antaa selvästi paremman suojan GPU-hyökkäyksiä vastaan AES-KDF:ään verrattuna verrattuna. Argon2 on tällä hetkellä varmaan se järkevin valinta. Mutta jos on vahva salasana, ei asialla ole niin suurta merkitystä. Muutoinkin sillä on merkitystä lähinnä kun vaultia voidaan yrittää murtaa lokaalisti, eli vaatinee ensin onnistuneen murtautumisen (kuten Lastpassilla kävi).

Näilläkin kohdilla on varmaan jotain merkitystä suojaukseen. Koitin etsiä tietoa mutta monimutkaiselta vaikuttaa.
kuva.jpg
 
Bitwarden sai Argon2 KDF-tuen. Argon2 on turvallisempi vaihtoehto mm. GPU-hyökkäyksissä. Tämän käyttöönottoa kannattaa kuitenkin viivyttää vielä hetken, kunnes Bitwarden on saanut päivitettyä mm. selainlaajennukset, palvelinsoftan, mobiiliapit yms. Sillä oletuksella että teillä on jokin niistä käytössä.

Firefoxin laajennuksen takia homma kusee omalta kohdaltani:

Version 2023.1.0
Size 7.93 MB
Last updateda month ago (Jan 11, 2023)

Ilmeisesti pienellä kikkailulla voisi manuaalisesti saada päivitettyä, kuten oheisessa reddit-ketjussa mainitaan. Mutta en viitsi lähteä säätämään.



TenderBeefin postaamasta linkistä lainatut huomautukset:

Warning: We advise you not to enable Argon2 for your account right away, because older versions of the app do not support the encryption method. Wait until you have received the 2023.2 update on all your Bitwarden apps, i.e. the desktop program, the mobile app on your Android or iPhone, and the browser extensions for Firefox, Chrome, etc. Once you have verified that you have the new version on all your devices, you can switch to Argon2. If you have an old version of the app on one device, you won't be able to access your Bitwarden vault on that machine, until you revert the change via the web vault.


You should backup your vault before changing the KDF key, so please export your database before proceeding. Changing the key will log you out of your account on all of your devices, so you'll need to enter your master password again to access the vault/allow biometric authentication.

edit: senverran vielä että Wintoosan osalta Bitwardenin sovelluksen päivittäminen riippuu hieman siitä onko sovellus pudotettu Microsoft Storesta vai asennettu .exestä.
 
Viimeksi muokattu:
Täällä Bitwardenin Agron2 on toiminut moitteetta muutaman päivän. Käytössä Chromen selainlaajennus, Android-appi ja macOS-client. Varmuuskopio kannattaa ottaa ennen päällekytkemistä, mutta muutoin tätä kyllä uskaltaa jo suositella.
 

Statistiikka

Viestiketjuista
301 430
Viestejä
5 131 263
Jäsenet
81 987
Uusin jäsen
Kristiann

Hinta.fi

Back
Ylös Bottom