Parhaat ohjelmat salasanojen säilytykseen

  • Keskustelun aloittaja Keskustelun aloittaja IDDQD
  • Aloitettu Aloitettu
LastPassista tuttu iteraatio-ongelma vaivaa myös Bitwardenia, ja siitä on raportoitu vuosia sitten:

Argon2 on ollut jo pitkään käytössä muissa salasanamanagereissa, joten toivottavasti nämä loputkin vaihtavat pian siihen.

Tuota on ehkä vähän liioiteltu. Iteraatioiden nosto 100k:sta 600k:hon kasvattaa entropiaa 2.6 bittiä. Salasanan pituun lisäys 12 merkistä 13:een nostaa sitä 4.7 bittiä.

Joka tapauksessa Bitwarden nosti defaultin jo tuonne 600k:hon suositusten mukaisesti.
 
Tuota on ehkä vähän liioiteltu. Iteraatioiden nosto 100k:sta 600k:hon kasvattaa entropiaa 2.6 bittiä. Salasanan pituun lisäys 12 merkistä 13:een nostaa sitä 4.7 bittiä.

Joka tapauksessa Bitwarden nosti defaultin jo tuonne 600k:hon suositusten mukaisesti.

Nosti ainakin uusien asiakkaiden osalta. Muut joutuvat nostamaan luvun manuaalisesti. Vanhat vakiot ovat liian matalia.
 
Jos joku saa salatun tiedon haltuunsa ja yrittää murtaa sen salausta bruteforcella, korkeampi iteraatioiden määrä lisää yhden murtamisyrityksen työmäärää. Koska LastPass ja Bitwarden käyttävät PBKDF2-algoritmia, jonka bruteforcetusta voi tehdä GPU ja ASIC kiihdytettynä tehokkaasti, on iteraatioiden määrä oltava sadoissa tuhansissa.

Sen sijaan esimerkiksi nykyään suositeltu Argon2 KDF-algoritmi on suunniteltu vaikeuttamaan laitteistopohjaista bruteforcetusta vaatimalla raa'an laskentatehon lisäksi myös muistia.
 
Viimeksi muokattu:
Jep, jos vaikka holvin salauksen purkamiseen menee kymmenen millisekuntia, niin yhdessä sekunnissa samalla laitteistolla yhdellä prosessoriytimellä voit tehdä vain sata murtamisyritystä sekunnissa.
 
Tuota on ehkä vähän liioiteltu. Iteraatioiden nosto 100k:sta 600k:hon kasvattaa entropiaa 2.6 bittiä. Salasanan pituun lisäys 12 merkistä 13:een nostaa sitä 4.7 bittiä.
Se on suhteellista se, mikä on paljon tai mikä vähän. Tokin on vielä aika vähän. mm. Keepassi käyttää yli kahdeksaa miljoonaa. Toisaalta jos salasana on hyvä, niin yksikin pitäisi riittää. Koska vaihtoehtoja on vaan aivan liikaa silti läpikäytäävksi.
 
Se on suhteellista se, mikä on paljon tai mikä vähän. Tokin on vielä aika vähän. mm. Keepassi käyttää yli kahdeksaa miljoonaa. Toisaalta jos salasana on hyvä, niin yksikin pitäisi riittää. Koska vaihtoehtoja on vaan aivan liikaa silti läpikäytäävksi.

Missä mittakaavassa asiaan vaikuttaa se jos käytössä on kaksivaiheinen tunnistautuminen?
 
Missä mittakaavassa asiaan vaikuttaa se jos käytössä on kaksivaiheinen tunnistautuminen?

2FA suojaa vain ja ainoastaan kirjautumista. Se ei auta mitään siinä kohtaa kun serveri on korkattu ja hyökkääjä voi koettaa purkaa dataa brute forcella rauhassa omalla koneillaan. 2FA ei siis liity kryptaukseen lainkaan.
 
Hommat tuli hoidettua BE:n siirtoon Laspassista, mutta eihän se tilin tuhoaminen nyt sitten onnistukkaan sitten millään… PayPallin maksut tuli otettua pois, ettei sieltä LP:n maksu yllätä.

Tämä on tulos, kun koitan tiliä poistaa :)
Uskoisin, että joku nappi pitäisi tuossa olla, mutta kun ei ole.
570C1894-A864-4727-8D2F-3CB0E8163BB4.png

Edit: Reset Your Account toimi, eli vaultti tyhjeni, mutta ei se nyt lohduta.
 
Viimeksi muokattu:
Hommat tuli hoidettua BE:n siirtoon Laspassista, mutta eihän se tilin tuhoaminen nyt sitten onnistukkaan sitten millään… PayPallin maksut tuli otettua pois, ettei sieltä LP:n maksu yllätä.

Tämä on tulos, kun koitan tiliä poistaa :)
Uskoisin, että joku nappi pitäisi tuossa olla, mutta kun ei ole.
570C1894-A864-4727-8D2F-3CB0E8163BB4.png

Edit: Reset Your Account toimi, eli vaultti tyhjeni, mutta ei se nyt lohduta.

Eikö se tuosta Delete your Account painikkeesta onnistu? Toki tuota voisi testata myös tietokoneen puolelta.
 
Ei ole helppoa ei :)

PC:llä ja puhelimella jää nyt tähän. Kokeiltu puhelimen ja normi netin kautta ja incognitoa.DCD8E93F-DFC8-4783-BC08-FEB1712276ED.png
97D89F54-80C4-470C-88AE-C1EC2F3782E8.jpeg

Tyhjää dialoogia pukkaa.
 
Ei ole helppoa ei :)

PC:llä ja puhelimella jää nyt tähän. Kokeiltu puhelimen ja normi netin kautta ja incognitoa.DCD8E93F-DFC8-4783-BC08-FEB1712276ED.png
97D89F54-80C4-470C-88AE-C1EC2F3782E8.jpeg

Tyhjää dialoogia pukkaa.

Jos netin muita foorumeita on uskominen, siellä saattaa olla dialogi tai napit `display: none`:n takana. Eli developer-työkalut käyttöön ja puukottaa lennosta sivun koodia itselle suotuisammaksi :)
 
Bitwarden sai Argon2 KDF-tuen. Argon2 on turvallisempi vaihtoehto mm. GPU-hyökkäyksissä. Tämän käyttöönottoa kannattaa kuitenkin viivyttää vielä hetken, kunnes Bitwarden on saanut päivitettyä mm. selainlaajennukset, palvelinsoftan, mobiiliapit yms. Sillä oletuksella että teillä on jokin niistä käytössä.
 
Bitwarden sai Argon2 KDF-tuen. Argon2 on turvallisempi vaihtoehto mm. GPU-hyökkäyksissä. Tämän käyttöönottoa kannattaa kuitenkin viivyttää vielä hetken, kunnes Bitwarden on saanut päivitettyä mm. selainlaajennukset, palvelinsoftan, mobiiliapit yms. Sillä oletuksella että teillä on jokin niistä käytössä.
Päivitetyt clientit, selainlisärit, palvelinsofta yms ovat nyt ladattavissa. Itse ehkä antaisin asialle päivän-pari aikaa kypsyä jos tästä vielä paljastuu joitakin ylläreitä. Tuskin paljastuu, mutta kuitenkin.
 
Päivitetyt clientit, selainlisärit, palvelinsofta yms ovat nyt ladattavissa. Itse ehkä antaisin asialle päivän-pari aikaa kypsyä jos tästä vielä paljastuu joitakin ylläreitä. Tuskin paljastuu, mutta kuitenkin.

macOS:n desktop (App Storen kautta) ja Chromen selainlaajennos päivittyivät, mutta Android-appis ei ole vielä päivittynyt versioon 2023.2.0, eikä Play sitä vielä tarjoa. Eli kannattaa tosiaan varmistaa jokaisen clientin versio erikseen, ettei tule ikäviä ylläreitä.
 
Päivitetyt clientit, selainlisärit, palvelinsofta yms ovat nyt ladattavissa. Itse ehkä antaisin asialle päivän-pari aikaa kypsyä jos tästä vielä paljastuu joitakin ylläreitä. Tuskin paljastuu, mutta kuitenkin.

Ohjelma ei siis päivity automaattisesti vai miten tuon saa aktiiviseksi?
 
Mikä ohjelma? BW-clientejä on lukuisia ja ne päivittyvät/päivitetään eri tavalla. Mistä siis puhut?
Otaksuttavasti hän tarkoittaa F-Securea koska se on itselläni.. muuten vaikea arvata. Mutta ainakin itselläni tuo päivittyy automaattisesti. Ellei sitten tarkoita Dashlinea? Mikä myös päivittyy automaattisesti.
 
Otaksuttavasti hän tarkoittaa F-Securea koska se on itselläni.. muuten vaikea arvata. Mutta ainakin itselläni tuo päivittyy automaattisesti. Ellei sitten tarkoita Dashlinea? Mikä myös päivittyy automaattisesti.

Ei ollut F-Securesta kyse, vaan Bitwardenista ja sen uudesta KDF-algoritmista, joka tekee brute forcettamisen paljon vaikeammaksi. Mutta kun Bitwarden-clientejä on useita eri alustoille ja ne päivittyvät eri tahdissa. Eli ei selvinnyt, mitä clientiä kirjoittaja tarkoittaa.

Paitsi ehkä hän itseasiassa tarkoitti, että mitä pitää tehdä, jos haluaa vaihtaa algoritmin Argon2:een. Se pitää itse käydä muuttamassa Web Vaultista. Ja tosiaan vasta kun on varma että kaikki käyttämänsä clientit on päivitetty uutta algoritmia tukemaan.

Täällä tietoa:

 
Pari pikkujuttua ahdistaa muuten loistavassa Bitwardenissa -->

1.) Android-sovellusten lisääminen on tarpeettoman kömpelöä. Ensin pitää Googlettaa, että mikä se syntaksi siellä nyt taas olikaan (androidapp://id) ja toisekseen pitää käydä Play-storesta kaivelemassa kunkin sovelluksen id. Tämän voisi varmaan toteuttaa vähän käyttäjäystävällisemmin, vaikka edes niin, että voisi pudotusvalikosta valita minkä alustan sovellusta ollaan lisäämässä ja sitten vaan lisäisi sen id:n perään.
2.) Tämä ei ole suoraan Bitwardenin vika, vaan pikemminkin Androidin toimintalogiikan aiheuttamaa, mutta Bitwarden ei aina ole käytettävissä sovelluksen tunnuskentässä, eli ei tule lainkaan sitä Bitwarden-valintaa. Silloin ei auta kuin erikseen käydä käynnistämässä Bitwarden ja sieltä sitten copy/pastella siirtää tunnus sovellukseen.
3.) Toisessa laitteessa lisätty tunnus ei välttämättä ala näkymään muissa laitteissa ilman että käy manuaalisesti asetuksista painamassa "Sync vault now".

Pikkujuttuja, mutta nämä tulevat vastaan melko usein.
 
Pari pikkujuttua ahdistaa muuten loistavassa Bitwardenissa -->

1.) Android-sovellusten lisääminen on tarpeettoman kömpelöä. Ensin pitää Googlettaa, että mikä se syntaksi siellä nyt taas olikaan (androidapp://id) ja toisekseen pitää käydä Play-storesta kaivelemassa kunkin sovelluksen id. Tämän voisi varmaan toteuttaa vähän käyttäjäystävällisemmin, vaikka edes niin, että voisi pudotusvalikosta valita minkä alustan sovellusta ollaan lisäämässä ja sitten vaan lisäisi sen id:n perään.
2.) Tämä ei ole suoraan Bitwardenin vika, vaan pikemminkin Androidin toimintalogiikan aiheuttamaa, mutta Bitwarden ei aina ole käytettävissä sovelluksen tunnuskentässä, eli ei tule lainkaan sitä Bitwarden-valintaa. Silloin ei auta kuin erikseen käydä käynnistämässä Bitwarden ja sieltä sitten copy/pastella siirtää tunnus sovellukseen.
3.) Toisessa laitteessa lisätty tunnus ei välttämättä ala näkymään muissa laitteissa ilman että käy manuaalisesti asetuksista painamassa "Sync vault now".

Pikkujuttuja, mutta nämä tulevat vastaan melko usein.
Eikö toi kohta yksi hoidu sillä, että ekan kerran kun kirjautuu sovellukseen niin se Bitwarden kysyy, että tallennetaanko?

Eli jos "käy tuuri" ja se sovelluksen tunnuskenttä antaa sen Bitwarden-vaihtoehdon niin painaa sitä ja jos Bitwarden ei ehdota mitään niin hakee itse sieltä vaultista sen tunnuksen ja kun valitsee sen niin Bitwarden ehdottaa, että "Save and fill" tai "Fill"
 
Eikö toi kohta yksi hoidu sillä, että ekan kerran kun kirjautuu sovellukseen niin se Bitwarden kysyy, että tallennetaanko?

Eli jos "käy tuuri" ja se sovelluksen tunnuskenttä antaa sen Bitwarden-vaihtoehdon niin painaa sitä ja jos Bitwarden ei ehdota mitään niin hakee itse sieltä vaultista sen tunnuksen ja kun valitsee sen niin Bitwarden ehdottaa, että "Save and fill" tai "Fill"
Hoituu toki, mutta ei se tarjoa sitä vaihtoehtoa kuin hyvin harvoin.
 
Eipä sillä, ei toi tosiaan ihan täydellinen ole toi Android-integraatio mutta sentään nykyään todella paljon paremmin tarjoaa sitä Bitwarden-vaihtoehtoa nettisivuilla. Vuosi pari sitten piti käydä melkein joka kerta manuaalisesti kopioimassa vaultista.
 
Eipä sillä, ei toi tosiaan ihan täydellinen ole toi Android-integraatio mutta sentään nykyään todella paljon paremmin tarjoaa sitä Bitwarden-vaihtoehtoa nettisivuilla. Vuosi pari sitten piti käydä melkein joka kerta manuaalisesti kopioimassa vaultista.

Joo, tuo on mennyt onneksi paljon eteenpäin. Lähes aina tarjoaa BW:tä, tai jos ei, niin kentän focusointi uudestaan jeesaa usein. Hyvin harvoin ei lainkaan tarjoa mitään. Ja aiemmin tuo oli ymmärtääkseni selaimen tai virtuaalinäppäimistön syytä. Vanhoilla selaimilla ei toiminut.
 
Olisiko vinkkejä Keepassin turvalliseen käyttöön? Eli lähinnä kumpaa kannattaa nykyään käyttää Argon2 vai AES-KDE sekä siihen liittyvät lisähommat.
 
Olisiko vinkkejä Keepassin turvalliseen käyttöön? Eli lähinnä kumpaa kannattaa nykyään käyttää Argon2 vai AES-KDE sekä siihen liittyvät lisähommat.

Argon2 antaa selvästi paremman suojan GPU-hyökkäyksiä vastaan AES-KDF:ään verrattuna verrattuna. Argon2 on tällä hetkellä varmaan se järkevin valinta. Mutta jos on vahva salasana, ei asialla ole niin suurta merkitystä. Muutoinkin sillä on merkitystä lähinnä kun vaultia voidaan yrittää murtaa lokaalisti, eli vaatinee ensin onnistuneen murtautumisen (kuten Lastpassilla kävi).
 
Argon2 antaa selvästi paremman suojan GPU-hyökkäyksiä vastaan AES-KDF:ään verrattuna verrattuna. Argon2 on tällä hetkellä varmaan se järkevin valinta. Mutta jos on vahva salasana, ei asialla ole niin suurta merkitystä. Muutoinkin sillä on merkitystä lähinnä kun vaultia voidaan yrittää murtaa lokaalisti, eli vaatinee ensin onnistuneen murtautumisen (kuten Lastpassilla kävi).

Näilläkin kohdilla on varmaan jotain merkitystä suojaukseen. Koitin etsiä tietoa mutta monimutkaiselta vaikuttaa.
kuva.jpg
 
Bitwarden sai Argon2 KDF-tuen. Argon2 on turvallisempi vaihtoehto mm. GPU-hyökkäyksissä. Tämän käyttöönottoa kannattaa kuitenkin viivyttää vielä hetken, kunnes Bitwarden on saanut päivitettyä mm. selainlaajennukset, palvelinsoftan, mobiiliapit yms. Sillä oletuksella että teillä on jokin niistä käytössä.

Firefoxin laajennuksen takia homma kusee omalta kohdaltani:

Version 2023.1.0
Size 7.93 MB
Last updateda month ago (Jan 11, 2023)

Ilmeisesti pienellä kikkailulla voisi manuaalisesti saada päivitettyä, kuten oheisessa reddit-ketjussa mainitaan. Mutta en viitsi lähteä säätämään.



TenderBeefin postaamasta linkistä lainatut huomautukset:

Warning: We advise you not to enable Argon2 for your account right away, because older versions of the app do not support the encryption method. Wait until you have received the 2023.2 update on all your Bitwarden apps, i.e. the desktop program, the mobile app on your Android or iPhone, and the browser extensions for Firefox, Chrome, etc. Once you have verified that you have the new version on all your devices, you can switch to Argon2. If you have an old version of the app on one device, you won't be able to access your Bitwarden vault on that machine, until you revert the change via the web vault.


You should backup your vault before changing the KDF key, so please export your database before proceeding. Changing the key will log you out of your account on all of your devices, so you'll need to enter your master password again to access the vault/allow biometric authentication.

edit: senverran vielä että Wintoosan osalta Bitwardenin sovelluksen päivittäminen riippuu hieman siitä onko sovellus pudotettu Microsoft Storesta vai asennettu .exestä.
 
Viimeksi muokattu:
Täällä Bitwardenin Agron2 on toiminut moitteetta muutaman päivän. Käytössä Chromen selainlaajennus, Android-appi ja macOS-client. Varmuuskopio kannattaa ottaa ennen päällekytkemistä, mutta muutoin tätä kyllä uskaltaa jo suositella.
 
Samoin täällä.

Käyttönotossa on hyvä muistaa kolme asiaa. Clientit ja applikaatiot ajan tasalle, oman vaultin varmuuskopiointi ja vasta sen jälkeen Argon2id käyttöön. Tein asiasta 2min pituisen opasvideonkin heille joille tämä kaikki kuulostaa liian sekavalta.
 
Tietäisikö joku onko Argon2 jo läytettävissä myös Vaultwarden backendillä? Täällä tuosta puhutaan, mutta ihan aukottomasti en osaa asiaa tulkita.
 
Saako tota bitwardenia niin että olis vain ja ainoastaan koneella locaalisti eikä pilviominaisuutta ollenkaan? Tai edes että tietoja holvista ei vietäisii pilveen. Entäs jos BW:ia hostaa omalla koneella niin toimiikos se silloin noin? Katoin jotain ohjeita että se olis mahdollista, mutta ei selvinny synkkaako se silti kaikki tiedot jonnekkin pilveen. Tarkoitan että BW olis asennettu vähän kuin Pi-hole ja selaimella pääsis holviin käsiksi toiselta koneelta, mutta ei tuokaan taida olla ihan paras ratkaisu jos ei yleensäkkään pidä ajatuksesta että holvi on tietoineen myös pilvessä?

Onko olemassa salasanamanageria joka olis vain omalla koneella eikä pilveen siirrettäis yhtään mitään? Toki pilvessä on varmaan kryptattu parhailla mahdollisilla nykymenetelmillä tiedot, mikäli kävis lastpassit tms. On tuo BW kuitenkin käytössä vaikka synkkaiskin tietoja pilveen kunhan tässä vain mietin.

E: Joo ja kiitokset etukäteen mikäli joku tietää vastailla.
 
Toki pilvessä on varmaan kryptattu parhailla mahdollisilla nykymenetelmillä tiedot, mikäli kävis lastpassit tms. On tuo BW kuitenkin käytössä vaikka synkkaiskin tietoja pilveen kunhan tässä vain mietin.

Aika ankeaa on PWn käyttö ilman pilveä. Noissa kannattaa muistaa että se salaus tapahtuu sun laitteella. Eli vaikka korkataan niin se vaultin avaaminen on mahdotonta. Ja se on jos käytät vahvaa pääsalasanaa (esim. 5 satunnaista sanaa) ja kytket argon2:n päälle. Lisäksi 2FA käyttöön, se suojaa normikirjautumisen.

Oma hostaus aiheuttaa omat ongelmansa ja serverin pitäminen tietoturvallisena vaatii vaivaa ja osaamista. Varmuuskopiointi ei ole kotona lainkaan niin turvallista kuin pilvessä, jossa kaikki replikoidaan eri datakeskuksiin. En suosittelisi kellekään. Mutta sinänsä en näe syytä etteikö onnistuisi.
 
Saako tota bitwardenia niin että olis vain ja ainoastaan koneella locaalisti eikä pilviominaisuutta ollenkaan? Tai edes että tietoja holvista ei vietäisii pilveen. Entäs jos BW:ia hostaa omalla koneella niin toimiikos se silloin noin? Katoin jotain ohjeita että se olis mahdollista, mutta ei selvinny synkkaako se silti kaikki tiedot jonnekkin pilveen. Tarkoitan että BW olis asennettu vähän kuin Pi-hole ja selaimella pääsis holviin käsiksi toiselta koneelta, mutta ei tuokaan taida olla ihan paras ratkaisu jos ei yleensäkkään pidä ajatuksesta että holvi on tietoineen myös pilvessä?

Onko olemassa salasanamanageria joka olis vain omalla koneella eikä pilveen siirrettäis yhtään mitään? Toki pilvessä on varmaan kryptattu parhailla mahdollisilla nykymenetelmillä tiedot, mikäli kävis lastpassit tms. On tuo BW kuitenkin käytössä vaikka synkkaiskin tietoja pilveen kunhan tässä vain mietin.

E: Joo ja kiitokset etukäteen mikäli joku tietää vastailla.

Bitwardenin hostaus onnistuu kyllä täysin omalla raudalla ja silloin ei mene mitään pilveen. Tosin aika virittelyksi menee tuo homma ja tuota sitten pitäisi myös päivittää ja ylläpitää sekä pitää tietoturvasta huoli.

Tästä pääset kuitenkin alkuun jos haluat kokeilla:



Jos haluaa täysin lokaalin ratkaisun, niin suosittelen siihen vaikka tätä: The Project - KeePassXC
 
Onko olemassa salasanamanageria joka olis vain omalla koneella eikä pilveen siirrettäis yhtään mitään? Toki pilvessä on varmaan kryptattu parhailla mahdollisilla nykymenetelmillä tiedot, mikäli kävis lastpassit tms. On tuo BW kuitenkin käytössä vaikka synkkaiskin tietoja pilveen kunhan tässä vain mietin.

Kuten yllä mainittu niin KeePass (vain Windows) tai KeePassXC, turha alkaa virittelemään BW:a sellaiseen käyttöön johon sitä ei ole tarkoitettu.
 
Ja jos ny haluaa synkata tietokantaa tuon KeePass kanssa eri laitteiden kanssa, niin siihen voi käyttää vaikka:
Syncthing is a continuous file synchronization program. It synchronizes files between two or more computers in real time, safely protected from prying eyes. Your data is your data alone and you deserve to choose where it is stored, whether it is shared with some third party, and how it's transmitted over the internet.

Kätevä työkalu muutenkin synkata haluttujen laitteiden välillä tiedostoja...
 
Itsekään en suosittele oman systeemin pyörittämistä, jos ei tuhannesti tiedä mitä on tekemässä. Esim. LastPassinkin tapauksessa murto mahdollisesti tapahtui adminin kotikoneen Plexin kautta tms. KeePassXC olisi minunkin valinta jos pilvi pelottaisi.

Bitwarden julkaisi vuosittaisen tietoturva-auditointiraportinsa: Bitwarden Upholds High Security Standards with Annual Third-Party Audits | Bitwarden Blog

Erikoista ettei nämä auditit ota kantaa esim. koodin tasoon tai sieltä löytyviin mahdollisiin haavoittuvuuksiin. Lisäksi auditeissa ei ole mitään mainintaa mm. siitä, että master-salasanat jäävät koneen ja selaimen muistiin minkä tahansa luettavaksi.
 

Statistiikka

Viestiketjuista
262 395
Viestejä
4 549 810
Jäsenet
74 982
Uusin jäsen
Ramihy

Hinta.fi

Back
Ylös Bottom