Parhaat ohjelmat salasanojen säilytykseen

  • Keskustelun aloittaja Keskustelun aloittaja IDDQD
  • Aloitettu Aloitettu
Saako tota bitwardenia niin että olis vain ja ainoastaan koneella locaalisti eikä pilviominaisuutta ollenkaan? Tai edes että tietoja holvista ei vietäisii pilveen. Entäs jos BW:ia hostaa omalla koneella niin toimiikos se silloin noin?
Juurikin tuo edellä mainitsemani Vaultwarden (entiseltä nimeltään Bitwarden_rs) täyttää tuon tarpeen. Eli lokaalisti asennettava Bitwarden palvelin, joka on yhteensopiva kaikkien BW clienttien kanssa, eikä käytä lainkaan Bitwardenin pilveä. Asennus on sinänsä varsin yksinkertainen, mutta toki vaatii jonkin verran perehtyneisyyttä ja silloin olet tietenkin itse vastuussa tietoturvasta, päivityksistä ja varmistuksista kuten tuossa jo tuli esille. Lokaalihostauksen hyvät ja huonot puolet, as always.
 
Hei ja kiitos hyvistä vastauksista kaikille! Tuli kaikki se mitä toivoin.
Unohdan ja hautaan tuon ajatuksen oman systeemin pyörittämisestä. Ajattelinkin aikaisemmin jo että siinä varmasti tulee liian paljon tietoturvakysymyksiä tai ongelmia vastaan.

Onkohan KeePassXC teettäny minkäänlaisia auditointeja koskaan? Avoin se ainakin näyttää olevan. Mutta ei tuo Bitwardenin synkkaus pilveen haittaa niin paljon että se olis käytön esteenä. Kyllä tuo KeepassXC alkoi kiinnostamaan sen verran että eiköhän se laiteta kokeiluun joskus.

Kiitos kaikille hyvästä keskustelusta !
 
Mutta ei tuo Bitwardenin synkkaus pilveen haittaa niin paljon että se olis käytön esteenä.

Se synkkaus on aika lailla pakollinen ominaisuus jos käyttää intternetsiä yli yhdellä laitteella. Useimmilla meistä on ainkain N tietokonetta ja puhelin. Ja ehkä tabletti sen lisäksi. Salasanat pitää saada synkattua niiden välillä tai käyttö on vaikeaa.
 
Se synkkaus on aika lailla pakollinen ominaisuus jos käyttää intternetsiä yli yhdellä laitteella. Useimmilla meistä on ainkain N tietokonetta ja puhelin. Ja ehkä tabletti sen lisäksi. Salasanat pitää saada synkattua niiden välillä tai käyttö on vaikeaa.

Joo kyllä se on täysin kelvollinen ja hyvä ominaisuus. Toivoin että että olis ollu kuitenkin mahdollisuus jossain asetuksissa sulkea tuo pilveen synkkaus pois päältä jonka olis voinu tarvittaessa kytkeä päälle. Rasti ruutuun tyylisellä ratkaisulla.
 
Se synkkaus on aika lailla pakollinen ominaisuus jos käyttää intternetsiä yli yhdellä laitteella. Useimmilla meistä on ainkain N tietokonetta ja puhelin. Ja ehkä tabletti sen lisäksi. Salasanat pitää saada synkattua niiden välillä tai käyttö on vaikeaa.
Voihan sen päivittää LAN:ssa vaan. Jos ei tule paljon tilanteita, että muualla kuin kotona luo uusia salasanoja palveluille.
 
Onko tästä jotain faktaa? Bitwardenin mukaan:

Mm. seuraavat issuet ovat olleet auki jo tovin:
 
Onkohan KeePassXC teettäny minkäänlaisia auditointeja koskaan? Avoin se ainakin näyttää olevan. Mutta ei tuo Bitwardenin synkkaus pilveen haittaa niin paljon että se olis käytön esteenä. Kyllä tuo KeepassXC alkoi kiinnostamaan sen verran että eiköhän se laiteta kokeiluun joskus.

Tiedän, että loppuvuodesta 2022 joku yksittäinen tietoturvatutkija teki auditin, mutta sitä ei ole kai virallisesti vielä julkaistu.

EDIT: Jokin drafti on näkyvillä täällä: Security audit payed by crowdfunding? · keepassxreboot/keepassxc · Discussion #432
 
Bitwarden ollut nyt itsellä käytössä muutaman kuukauden. Ensimmäinen salasanamanageri itselleni. Softa on hieman epäintuitiivinen kun salasanojen asettamisessa pitää kliksutella sinne tänne ja alkuun kävi niin, että mokasin ja sain pari tiliä lukkoon :facepalm: Mutta nyt kun touchi löytynyt niin olo on kyllä, että miksi en ole aiemmin tätä manageria hankkinut.

Kauhea työ oli kaikki loggaukset tuonne siirtää mutta kyllä kannatti. En ehkä suosittele laittamaan tuonne sellaisia tilejä, joilla salasanoja voidaan resetoida. Niihin omat erilliset hyvät salasanat, 2FA etc.
Bitwardenia ei voi palauttaa mitenkään (paitsi maksullisessa versiossa trusted contact ominaisuudella. Tähän pitää vielä perehtyä)
Bitwardenissakin on 2FA mutta siinä varoiteltiin niin paljon tilin lukittautumisesta jos säheltää jotain, että en uskaltanut sitä lähteä kokeilemaan.
Eli jos tuo Master salasana unohtuu niin lukossa on ikuisesti.

Vaultiin on helppo logata kaikille selaimille sopivilla selainlaajennuksilla, web-sivulla, Androidilla ja työpöytäsovelluksella.
Selainlaajennuksilla käyttäjätunnuksen ja salasanan täyttäminen on kaikista helpointa.
 
Bitwarden ollut nyt itsellä käytössä muutaman kuukauden. Ensimmäinen salasanamanageri itselleni. Softa on hieman epäintuitiivinen kun salasanojen asettamisessa pitää kliksutella sinne tänne ja alkuun kävi niin, että mokasin ja sain pari tiliä lukkoon :facepalm: Mutta nyt kun touchi löytynyt niin olo on kyllä, että miksi en ole aiemmin tätä manageria hankkinut.

Kauhea työ oli kaikki loggaukset tuonne siirtää mutta kyllä kannatti. En ehkä suosittele laittamaan tuonne sellaisia tilejä, joilla salasanoja voidaan resetoida. Niihin omat erilliset hyvät salasanat, 2FA etc.
Bitwardenia ei voi palauttaa mitenkään (paitsi maksullisessa versiossa trusted contact ominaisuudella. Tähän pitää vielä perehtyä)
Bitwardenissakin on 2FA mutta siinä varoiteltiin niin paljon tilin lukittautumisesta jos säheltää jotain, että en uskaltanut sitä lähteä kokeilemaan.
Eli jos tuo Master salasana unohtuu niin lukossa on ikuisesti.

Vaultiin on helppo logata kaikille selaimille sopivilla selainlaajennuksilla, web-sivulla, Androidilla ja työpöytäsovelluksella.
Selainlaajennuksilla käyttäjätunnuksen ja salasanan täyttäminen on kaikista helpointa.

Ei tuossa 2FA:n käyttöönotossa nyt ihan hirveästi tarvitse tilin lukkiintumista pelätä. Tulostaa vain nuo palautuskoodit varmaan talteen, niin tilille pääsee vaikka et enää pääsisi generoimaan vaihtuvaa koodia.
Tuohon 2FA:n saa kuitenkin useammankin autentikointimenetelmän, eli yhden varassa ei siinäkään tarvitse olla.

2FA kuitenkin parantaa huomattavasti tietoturvaa tilanteessa, jossa mahdollinen hyökkääjä saa Bitwardenin salasanan tietoon.
 
Bitwardenissakin on 2FA mutta siinä varoiteltiin niin paljon tilin lukittautumisesta jos säheltää jotain, että en uskaltanut sitä lähteä kokeilemaan.

  1. Laita sinne useampi 2FA-menetelmä, ei vain yhtä.
  2. Ota talkteen recovery codet, kuten ohjeistetaan.
  3. Ota vaultista lokaali backup ennen kuin otat 2FA:n käyttöön, jolloin datasi on tallessa vaikka sähellät.
En ehkä suosittele laittamaan tuonne sellaisia tilejä, joilla salasanoja voidaan resetoida. Niihin omat erilliset hyvät salasanat, 2FA etc.

Mitä tarkoitat? Millaisia tilejä ei kannata laittaa salasanamanageriin? Eikö tuollaiset tilit nimenomaan kannata laittaa jos niillä voi korkata muita tilejä? Ja ihan kaikkiin paveluihin kannattaa laittaa "oma erillinen hyvä salasana ja 2FA". Salasanamanagerin pointti on että joka palveluun tulee uniikki ja hyvin vahva salasana. Lisäksi kannattaa hommata Yubikey ja käyttää sitä 2FA:na aina kuin mahdollista. On paljon turvallisempi kuin TOTP:t.
 
Mitä tarkoitat? Millaisia tilejä ei kannata laittaa salasanamanageriin? Eikö tuollaiset tilit nimenomaan kannata laittaa jos niillä voi korkata muita tilejä? Ja ihan kaikkiin paveluihin kannattaa laittaa "oma erillinen hyvä salasana ja 2FA". Salasanamanagerin pointti on että joka palveluun tulee uniikki ja hyvin vahva salasana. Lisäksi kannattaa hommata Yubikey ja käyttää sitä 2FA:na aina kuin mahdollista. On paljon turvallisempi kuin TOTP:t.

Joo siis kannattaa toki ehdottomasti laittaa kaikki salasanat manageriin mutta vasta sitten kun on nämä pienet oppierheet harjoitellut.
Ja toki omat erilliset ja uniikit salasanat ja 2FA kaikkiin. Ei ole salasanamanagerista paljon iloa, jos salasanojen palautussähköpostit on huonosti suojattuja.
 
Nyt on jo jonkin verran Bitwarden kokemusta, että voin kyllä omasta puolestani suositella.

Muista salasanamanagereista ei ollut itsellä aiempaa kokemusta, joten verrata en voi. Bitwardeniin päädyin pitkältä mm. tämän palstan suosituksien perusteella. En ole tietoturvan enkä salauksen asiantuntija mutta Bitwardenilla vaikuttaisi kaikki olevan kunnossa. Perustan oletukseni omien selvittelyideni lisäksi mm. tämän keskustelun kommentteihin ja linkkehin. Kannattaa lukea koko ketju!

Muutamia huomioita itseltäni:

Ennen kuin luo Bitwarden tiliä niin kannattanee luoda sitä varten oma sähköpostiosoite, joka on ainoastaan ja vain Bitwarden kirjautumiseen ja osoitteesta ei käy oma nimi selville. Master salasanaan kannattaa myös panostaa, koska heikko master salasana vesittää koko managerin idean. Sen pitää olla pitkä mutta helposti itse muistettavissa/opittavissa ja helppo kirjoitettaa jatkuvasti niin näppäimistöllä kuin kännykälläkin. Ei siis kannata olla liian pitkäkään koska käytettävyys kärsii. Master salasana on helppo vaihtaa kyllä myöhemmin.

Bitwardenin Premium on halpa, vain 10 dollaria vuodessa.
Perusversio on ilmainen ja se riitttänee suurimmalle osalle käyttäjistä. Premium versiolla saa tällaiset lisäominaisuudet:
  • Advanced 2FA options, like Yubikey, FIDO2, and Duo
  • 1 GB of encrypted file attachments
  • Bitwarden Authenticator (TOTP)
  • Emergency Access
  • Vault Health Reports
Itse aloitin ilmaisversiolla ja siirryin premiumiin aika pian noiden 2FA optioiden vuoksi.

Alkuun arkailin suuresti siirtää Bitwardeniin oikein mitään tilejä mutta kun harjoitteli vähempiarvoisilla tileillä niin hommaan tuli selkeä rutiini. Bitwardenissa on jokunen hieman epäintuitiivinen juttu joten kannatta oikeasti harjoitella jollain ei niin tärkeillä tileillä ennen kuin siirtää kaikista tärkeimmät tuonne. Bitwardenin omilla sivuilla ja foorumilla on paljon ohjeita ja hyviä vinkkejä.

Kuitenkaan, mitään tiliä, kirjautumista, tunnuslukua, pin koodia tai jotain muuta tärkeää asiaa ei kannata olla siirtämättä Bitwardeniin. Ne ovat siellä paljon paremmassa turvassa kuin jossain unohdetussa mapissa kirjahyllyssä

2FA Bitwardenissa kannattaa ottaa käyttöön niin aikaisin kuin mahdollista. Nämä olivat hyvät ohjeet.
  1. Laita sinne useampi 2FA-menetelmä, ei vain yhtä.
  2. Ota talkteen recovery codet, kuten ohjeistetaan.
  3. Ota vaultista lokaali backup ennen kuin otat 2FA:n käyttöön, jolloin datasi on tallessa vaikka sähellät.

Jos ei omista Yubicon Yubikeytä tai muita turva-avaimia niin 2FA:ksi joku turvallinen Authenticator sovellus ja lisäksi esim sähköposti niin ei ole pulassa jos on authenticator vain yhdessä kännykässä ja se menee rikki. Ja tosiaan noi recovery codet talteen niin bitwardenissa kuin kaikkialla muuallakin.

Nämä recovery codet Bitwardenille on luonnollisesti säilytettävä jossain muualla kuin itse Bitwardenissa.

Bitwardenin vaultista saa lokaalin kopio mutta tuollaisen exporttaamisessa kannattaa olla tarkkana.
Bitwarden antaa exportata avoimen .json filen, jota voi käyttää esim toiseen salasanamanageriin siirtyessä mutta tällainen file ei saa jäädä minnekään lojumaan. Lisäksi voi exportata kryptatun .json filen, jonka saa ainoastaan Bitwardenilla auki. Tämä jälkiommäinen onkin siis varmaan backupiksi tarkoitettu.

Minkälaisia käytäntöjä muilla on ollut noiden recovery koodien säilytyksessä, joita siis saa lähes jokaisesta tilistä, joihin 2FAn laittaa päälle?
Itse olen harkinnut, että siirrän muiden tilieni recovery koodit Bitwardeniin mutta itse Bitwardenin palautuskoodit pitää säilyttää jossain muualla.

Entä mitäs mieltä muut on tuosta vaultin lokaalista kopiosta tai lähinnä siis siitä, että sitä säilyttää erillisenä backuppina?
Jos säilyttää sen avoimen datan .json filen jossain tallessa niin on aina backup omiin tietoihin vaikka koko Bitwarden häviäisi maailmasta. Mutta sitten on se avoimen datan filen säilytys erillisenä omana riesana. Ehkä järkevämpää olisi siis säilyttää krypattu .json backuppina mutta jos unohtaa master salasanan tai bitwardenin servereiltä data katoaisi niin ei sieltä saa sitten tietoja palautettua.

Mielipiteitä?
 
Minkälaisia käytäntöjä muilla on ollut noiden recovery koodien säilytyksessä, joita siis saa lähes jokaisesta tilistä, joihin 2FAn laittaa päälle?
Itse olen harkinnut, että siirrän muiden tilieni recovery koodit Bitwardeniin mutta itse Bitwardenin palautuskoodit pitää säilyttää jossain muualla.

Entä mitäs mieltä muut on tuosta vaultin lokaalista kopiosta tai lähinnä siis siitä, että sitä säilyttää erillisenä backuppina?
Jos säilyttää sen avoimen datan .json filen jossain tallessa niin on aina backup omiin tietoihin vaikka koko Bitwarden häviäisi maailmasta. Mutta sitten on se avoimen datan filen säilytys erillisenä omana riesana. Ehkä järkevämpää olisi siis säilyttää krypattu .json backuppina mutta jos unohtaa master salasanan tai bitwardenin servereiltä data katoaisi niin ei sieltä saa sitten tietoja palautettua.

Mielipiteitä?

En käytä Bitwardenia, joten säilön 2FA:n koodit + backup -koodit erilliseen KeePass-tietokantaan joka on helppo varmuuskopioida talteen. Jos tuo Bitwardenin JSON-tiedosto ei ole kryptattu vaan kaikki tieto on helposti luettavissa, niin sellaista ei kannata pitää lojumassa salaamattomana.
 
Heips,

Minulla on ollut useamman vuoden käytössä F-securen ID Protection F-Secure ID Protection — suojaa identiteettisi netissä | F-Secure (aikaisemmin F-secure Key) mutta palvelun hinta on vuosien varrella noussut ylöspäin milloin milläkin nostolla.

Ilmeisesti Bitwarden olisi melko lähellä ID-protectionia? Onko jotain muuta vaihtoehtoa? Lähinnä kaipaan salasananhallinnalta synkronointia Anroid kännykän ja muutaman Windows tietokoneen välillä. Toki myös turvallisuutta, josta olikin keskustelua pari viimeistä sivua tässä ketjussa.
 
Ilmeisesti Bitwarden olisi melko lähellä ID-protectionia? Onko jotain muuta vaihtoehtoa? Lähinnä kaipaan salasananhallinnalta synkronointia Anroid kännykän ja muutaman Windows tietokoneen välillä. Toki myös turvallisuutta, josta olikin keskustelua pari viimeistä sivua tässä ketjussa.

En ole kokeillut ID Protectionioa, mutta Bitwardenin perusversion on niinkin kallis kuin ilmainen, joten ota ja kokeile. Itse pidän siitä ja synkkaa nätisti Androidin, MavBookin ja Windows-koneen välillä kuten varmaan moni muukin asiallinen passumanageri. BW on ehdottomasti $10/v arvoinen (vaikkei edes haluaisi Premium-fiitsuja).
 
En ole kokeillut ID Protectionioa, mutta Bitwardenin perusversion on niinkin kallis kuin ilmainen, joten ota ja kokeile. Itse pidän siitä ja synkkaa nätisti Androidin, MavBookin ja Windows-koneen välillä kuten varmaan moni muukin asiallinen passumanageri. BW on ehdottomasti $10/v arvoinen (vaikkei edes haluaisi Premium-fiitsuja).

OK, pitääpäs laittaa vaikka tuo Bitwardenin ilmainen versio testiin. Sen ilmaisen varmaan saa halutessaan päivitettyä tuohon Premium versioon. $10/vuosi on vielä ihan inhimillinen hinta. Varmaan joku niksi löytyy millä ID-protection salasanat saa siirrettyä Bitwardeniin. ID-protection näyttää exportoivan salasanat .fsk -tiedostoon.

Sähköpostin syövereistä löysin 2016 vuodelta F-secure Keyn kuitin, oli silloin 14,95€/vuosi. Nyt 5 laitteen sykronoinnilla ID-protection olisi 59,99€/vuosi. Jos olisi tuon 14,95€ en edes jaksaisi miettiä vaihtamista. Onhan tämä vähän sellaista pennin venyttämistä mutta jos kaikista palveluista yms. maksellaan korotuksen mukisematta niin alkaahan niistä vuoden mittaan kertymään.
 
OK, pitääpäs laittaa vaikka tuo Bitwardenin ilmainen versio testiin. Sen ilmaisen varmaan saa halutessaan päivitettyä tuohon Premium versioon. $10/vuosi on vielä ihan inhimillinen hinta. Varmaan joku niksi löytyy millä ID-protection salasanat saa siirrettyä Bitwardeniin. ID-protection näyttää exportoivan salasanat .fsk -tiedostoon.

Sähköpostin syövereistä löysin 2016 vuodelta F-secure Keyn kuitin, oli silloin 14,95€/vuosi. Nyt 5 laitteen sykronoinnilla ID-protection olisi 59,99€/vuosi. Jos olisi tuon 14,95€ en edes jaksaisi miettiä vaihtamista. Onhan tämä vähän sellaista pennin venyttämistä mutta jos kaikista palveluista yms. maksellaan korotuksen mukisematta niin alkaahan niistä vuoden mittaan kertymään.

F-securen .fsk tiedoston saa tuotua Bitwardeniin: Import Data to your Vault | Bitwarden Help Center
Tarkempi lista tuetuista tiedostomudoista: Import & Export FAQs | Bitwarden Help Center
 
@CodeThroll KeePass/KeepassX/jne. on ilmainen ja avoimenkoodin tunnettu projekti. KeePass tallentaa tiedot salattuun tiedostoon, joka voi sijaita vaikka Google Drivessä, Microsoftin OneDrivessä, jne. Ainoa huonopuoli tuossa on, että samaa KeePass-tietokantaa ei voi käyttää kuin yksi laite/asiakas kerrallaan.

Itellä on normi salasana/käyttäjätunnus/jne. parit Bitwardenissa ja palatus passut erikseen offline KeePass-tietokannassa. Itelläkin on käytössä toi Bitwardenin maksullinen kun itellä on tarvetta päästä passuihin Android luurin kautta.

[EDITTIÄ] Pientä korjailua ja yliviivaus Android luurin kohdalta, kun se oli väärin. Oikea vastaus oli/tais olla 2FA tuki, jonka vuoksi päätin ottaa suoraan "Premium" tilauksen. En enään muista mikä se syy oli, mutta kun hinta on todella halpa tuosta "Premium"-versiosta, niin vaikea olla ottamatta ja samalla tukea firmaa omalla pienellä osuudellani.
 
Viimeksi muokattu:
@CodeThroll KeePass/KeepassX/jne. on ilmainen ja avoimenkoodin tunnettu projekti. KeePass tallentaa tiedot salattuun tiedostoon, joka voi sijaita vaikka Google Drivessä, Microsoftin OneDrivessä, jne. Ainoa huonopuoli tuossa on, että samaa KeePass-tietokantaa ei voi käyttää kuin yksi laite/asiakas kerrallaan.

Itellä on normi salasana/käyttäjätunnus/jne. parit Bitwardenissa ja palatus passut erikseen offline KeePass-tietokannassa. Itelläkin on käytössä toi Bitwardenin maksullinen kun itellä on tarvetta päästä passuihin Android luurin kautta.

[EDITTIÄ] Pientä korjailua ja yliviivaus Android luurin kohdalta, kun se oli väärin. Oikea vastaus oli/tais olla 2FA tuki, jonka vuoksi päätin ottaa suoraan "Premium" tilauksen. En enään muista mikä se syy oli, mutta kun hinta on todella halpa tuosta "Premium"-versiosta, niin vaikea olla ottamatta ja samalla tukea firmaa omalla pienellä osuudellani.

Tuota Keepassia olen käyttänyt joskus aikaisemmin yhdellä koneella. Sitten kun tuli tarvetta saada Anroid luuriin en jaksanut alkaa säätämään Google driven tai Dropboxin kanssa ja otin silloin edullisen F-Securen Keyn. En tosin tiedä olisiko siinä Keepass ja OneDrive combossa nyt sitten ollut niin kauheasti sitä säätämistä. Täytyy nyt testailla tuota Bitwardenia.
 
Erikoista ettei mukana ollut montaa melko suosittua salasanamanageria, kuten KeePassXC, Enpass jne.

Niin no, esim. Dashlanesta todettiin ettei ollut tarpeeksi arvosteluja joten sitä ei otettu mukaan.. ..eli ilmeisesti siellä esim. ei ole vaan tarpeeksi käyttäjiä vaikkapa F-Securen tuotteille joten eivät arvostele sitä jne.

Jotenkin on sellainen tunne että jos tuote on USA:sta se helpommin pääsee tuonne arvosteltavaksi (eli saa useamman arvostelun eri tahoilta) jonka jälkeen sitten voidaan äänestää siitä, mutta jos tuotteella ei ole tarpeeksi tunnettavuutta tuolla ei se pääse edes äänestettäväksi kuten Dashlane tai F-Secure:n versio.

Toki siinä on se että tuo on ns. isompi taho, yleensä kun olen linkittänyt jotain testejä tai juttuja on aina joku tullut kertomaan miten kyseessä on liian pieni arvostelija tai testaaja eikä ns. ympäri maailmaa tunnettu isompi toimija. Mutta ongelma on sitten se että niitä äänestykseen päässeitä tuotteita on sitten vaan muutama ja todella monia on jätetty pois.

EDIT: eipä sillä, yleensähän henkilöt tietysti täällä kertovat omista kokemuksistaan ja ovat monesti hieman puolueellisia. Eli se prosessori, emolevy, näytönohjain, virusturva, salasana ohjelma, käyttöjärjestelmä jne jne. saa eniten sitä "rakkautta" ja ainakin siitä osataan kertoa tarkemmin kuin muista joita ei ole ehkä koskaan käyttänyt tai pahimmillaan kuullutkaan (samaa voisi sanoa vaikka tuoleista oli kyse sitten toimisto tai tietokonetuolista). Eli jokaisen yksittäisen käyttäjän viestit ja sanomat kannattaa ottaa aina suolan kanssa ja tehdä se oma päätös pidemmän googlettelun ja mietinnän jälkeen, varsinkin jos päätyy maksulliseen versioon mistä tahansa tuotteesta.
 
Viimeksi muokattu:
Eli jokaisen yksittäisen käyttäjän viestit ja sanomat kannattaa ottaa aina suolan kanssa ja tehdä se oma päätös pidemmän googlettelun ja mietinnän jälkeen, varsinkin jos päätyy maksulliseen versioon mistä tahansa tuotteesta.

Otan suolan kanssa myös kaikki tutkimukset ja tällaiset kilpailut. Eihän siitä taida olla viikkoakaan, kun LastPassikin voitti jonkin turvallisuuspalkinnon :) Joskus raha virtaa oikeaan suuntaan.
 
Lisäksi yksi asia mikä monesti unohtuu on se että käyttäjän itse pitäisi pystyä päättämään mikä on hänelle tärkeää / ominaisuudet. Jos ei ole tarvetta useammalle koneelle / systeemille niin ilmainen versio voi olla riittävä = se kyseinen sovellus on tälle käyttäjälle riittävä. Tai mihin / minkä järjestelmän päälle systeemi on kehitetty tai mitä kaikkia (kaksi, kolmi, nelisysteemi) suojia sekä varmistuksia se käyttää.

Esim. se fakta että joskus käytin MSN messengeriä esti minua käyttämästä (kiitos sen että en ole varmaan vuosikymmeneen tilannut Mikrobittiä = sähköpostia ei ole olemassa) samaa sähköpostia windows tiliin.. kun se Windows 10 aikana tuli mahdolliseksi ja joku sanoisi jopa pakolliseksi.
Eipä tullut mieleen että joku messenger myöhemmin vaatii sitten minua muokkaamaan (lisäämään pisteitä) gmail tiliini kun olin erehtynyt laittamaan myös sen messenger tietoihini...

Eli teoriassa on hyvä mitä monimutkaisempi ja vaikeampi kirjautuminen sekä kryptaus on käytössä. Mutta jos käyttäjältä muuttuu sähköposti ja / tai puhelinnumero voikin olla ongelmissa myöhemmin. Toki myös ne "tiedot mitkä varmasti muistaa" kuten ensimmäisen lemmikin nimi, äidin tyttönimi tai ensimmäinen auto voivat vuosikymmenien aikoina muuttua "tietysti ne muistan aina" luokasta "evvk" kohtaan...
 
Erikoista ettei mukana ollut montaa melko suosittua salasanamanageria, kuten KeePassXC, Enpass jne.
Enpassista en ole kuullutkaan (tai no, olen toki mutta en ole pitänyt juuri minään), kuten en miljoonasta muustakaan niche-porukan opensource-forkista, mutta olihan tuossa kuitenkin kohtuullisen kattava valikoima mukana ja näköjään myös alkuperäinen KeePass, jolla ei tosin taida olla hirveästi tekemistä niiden muiden forkkien kanssa. Osa mukana olleista oli täysin tuntemattomia.

1688144488840.png
 
Enpassista en ole kuullutkaan (tai no, olen toki mutta en ole pitänyt juuri minään), kuten en miljoonasta muustakaan niche-porukan opensource-forkista, mutta olihan tuossa kuitenkin kohtuullisen kattava valikoima mukana ja näköjään myös alkuperäinen KeePass, jolla ei tosin taida olla hirveästi tekemistä niiden muiden forkkien kanssa. Osa mukana olleista oli täysin tuntemattomia.

1688144488840.png

Alkuperäinen KeePass oli mukana kyllä, mutta sivusto ei hirveästi avaa sitä mitä featureita siitä oli käytössä. Oletuksena se kun ei tarjoa läheskään kaikkea, mitä taas esim. KeePassXC:stä löytyy valmiiksi integroituna. Noilta osin kaipaisi siis pientä detaljia.
 
Onhan nämä arvostelut aina vähän mitä pitää katsoa tiettyjen sormien lävitse niin kuin käyttäjä kokemuksetkin, mutta kai näissä jotain itua on.

Itsellä siviilissä käytössä bitwarden ja olen ollut enemmän kuin tyytyväinen jo vuosia.
Vaihdoin jonku huonojen LastPass uutisten aikaan.
Toimii hyvin kaikilla laitteilla mitä käytän. Turvallisuuteen en ota kantaa, mutta käytettävyys on hyvä.

Töissä on käytössä KeePass jonka käyttäminen vaatii erillisiä sovelluksia toimiakseen eri laitteilla (iPhone ja Android) ja jonnekin omaan pilveen sen filun talteen jos haluaa käyttää sitä näillä eri sovelluksilla. Korjatkaa jos olen väärässä.
Pidän kyllä keepassin tavasta suojata asioita, mutta se käyttö on sitten tahkeampaa omien kokemuksien pohjalta.
Tämä käytön tahkeus ajaa ihmisiä pois ainakin keepassista.
Muista en osaa sanoa kun kokeillut vaan 1password ja dashlane kauan aikaa sitten ja ne ei silloin houkutelleet jatkamaan.
 
Onhan nämä arvostelut aina vähän mitä pitää katsoa tiettyjen sormien lävitse niin kuin käyttäjä kokemuksetkin, mutta kai näissä jotain itua on.

Itsellä siviilissä käytössä bitwarden ja olen ollut enemmän kuin tyytyväinen jo vuosia.
Vaihdoin jonku huonojen LastPass uutisten aikaan.
Toimii hyvin kaikilla laitteilla mitä käytän. Turvallisuuteen en ota kantaa, mutta käytettävyys on hyvä.

Töissä on käytössä KeePass jonka käyttäminen vaatii erillisiä sovelluksia toimiakseen eri laitteilla (iPhone ja Android) ja jonnekin omaan pilveen sen filun talteen jos haluaa käyttää sitä näillä eri sovelluksilla. Korjatkaa jos olen väärässä.
Pidän kyllä keepassin tavasta suojata asioita, mutta se käyttö on sitten tahkeampaa omien kokemuksien pohjalta.
Tämä käytön tahkeus ajaa ihmisiä pois ainakin keepassista.
Muista en osaa sanoa kun kokeillut vaan 1password ja dashlane kauan aikaa sitten ja ne ei silloin houkutelleet jatkamaan.
Keepassista tuli mieleen, onko tänäpäivänä kaupallista KeePass ohjalmaa siis palveluna.
Tarkoitain helppokäyttöistä, eri alustoilla toimivaa, siis oikeasti toimivaa, asenna, ota käyttöön ja sen jälkeen vain käytä.

Idea siis se että jos palveluntarjoaja alkaa hinnoitetleen itsensä pitkäksi, tai laittaa hanskat naulaan, niin voisi sitten ilman kikkailuja ottaa KeePassin tai muun vastaavan käyttöön. Tai jos tarve niin käyttää rinnan.
 
Lisäksi yksi asia mikä monesti unohtuu on se että käyttäjän itse pitäisi pystyä päättämään mikä on hänelle tärkeää / ominaisuudet. Jos ei ole tarvetta useammalle koneelle / systeemille niin ilmainen versio voi olla riittävä = se kyseinen sovellus on tälle käyttäjälle riittävä. Tai mihin / minkä järjestelmän päälle systeemi on kehitetty tai mitä kaikkia (kaksi, kolmi, nelisysteemi) suojia sekä varmistuksia se käyttää.

Esim. se fakta että joskus käytin MSN messengeriä esti minua käyttämästä (kiitos sen että en ole varmaan vuosikymmeneen tilannut Mikrobittiä = sähköpostia ei ole olemassa) samaa sähköpostia windows tiliin.. kun se Windows 10 aikana tuli mahdolliseksi ja joku sanoisi jopa pakolliseksi.
Eipä tullut mieleen että joku messenger myöhemmin vaatii sitten minua muokkaamaan (lisäämään pisteitä) gmail tiliini kun olin erehtynyt laittamaan myös sen messenger tietoihini...

Eli teoriassa on hyvä mitä monimutkaisempi ja vaikeampi kirjautuminen sekä kryptaus on käytössä. Mutta jos käyttäjältä muuttuu sähköposti ja / tai puhelinnumero voikin olla ongelmissa myöhemmin. Toki myös ne "tiedot mitkä varmasti muistaa" kuten ensimmäisen lemmikin nimi, äidin tyttönimi tai ensimmäinen auto voivat vuosikymmenien aikoina muuttua "tietysti ne muistan aina" luokasta "evvk" kohtaan...

Toi on totta. Tätäkin palsaa seuraavat eivät ole takuulla tietoruvan ammattilaisia (minä mukaan lukien). Ja siinä ryhmässäkin on valtavaa vaihtelua: toisia kiinnostaa koneen kellottaminen niin nopeaksi kuin vain on mahdollista, toisia kiinnostaa saada kone näyttämään niin upealta kuin vain lompakko ja hermot kestää, toisia taas kiinnostaa vaan tietokoneen/tietoliikenne ihan yleisesti, jne. Kaikkia kuitenkin yhdistää kiinnostus tuohon tietokoneisiin ja/tai tietoliikenteeseen.

Se et jos täällä suositellaan jotain, aiheuttaa joillekkin sen, että he hyppäävät mukaan sen kummemin ihmettelemättä, koska sitä oli täällä suositeltu. Ja ei, en tarkoita et täällä annetut ohjeet on huonoja. Tarkoitan vain, että lukija ei välttättä osaa arvioida onko sen suosituksen seuraaminen millää tasolla järkevää heidän omalla kohdalla.

Olen itsekkin hairahtanut tuohon sokeaan seuraamiseen ja tuloksena on ollut vain pelkkää vitutusta. Nykyisin on kokemusta takana sen verramn, että ymmärrän testaamisen tärkeyden, ennekuin hyppään hypetkseen mukaan.

Tuli mieleen tuosta sokeasta seuraamisesta se kun Ubuntu löi itsensä läpi. Jessus sitä Ubuntu-pentujen päänaukomista silloisella MBnetin palstalla, aina kun Windows-päivitys rikkoi pienen murtoosan toiminnan. Alkoi vituttamaan sen verran ne Ubuntu-pennut, että ärähdin täys laidallisen, että miten ne Ubuntu-pennut kusee omaan pesään huutelemalla "Onneksi mulla on Ubuntu". Myöneetään, että käytin myös hyväkseni silloinen Linux jakelun nimeä , eli Gentoota :D! Mut hei jos se toimii miksi korjata ;). Ja joo sen avautumisen jälkeen Ubuntu-pennut piti turpansa kiinni, tai modet alkoi niittää niitä todella agresiivisesti pios :p.

Perhanna ku tuli pitkä viesti tuosta...
 
Keepassista tuli mieleen, onko tänäpäivänä kaupallista KeePass ohjalmaa siis palveluna.
Tarkoitain helppokäyttöistä, eri alustoilla toimivaa, siis oikeasti toimivaa, asenna, ota käyttöön ja sen jälkeen vain käytä.

Idea siis se että jos palveluntarjoaja alkaa hinnoitetleen itsensä pitkäksi, tai laittaa hanskat naulaan, niin voisi sitten ilman kikkailuja ottaa KeePassin tai muun vastaavan käyttöön. Tai jos tarve niin käyttää rinnan.
Jos toiminnalta vastaavaa kuin bitwarden mietit niin ei ole tullut ainakaan vastaan vielä KeePassin kanssa.
En tosin ole hirveän syvällisesti perehtynyt KeePassiin, mutta sillehän löytyy kyllä vaikka minkälaista ohjelmaa eri alustoille. Näihin kannattanee hieman perehtyä ennen kuin käyttöön ottaa.
KeePass tosiaan vain työ käytössä itsellä Windows koneella ja iphonessa niin on se vähän karskimpi käyttää perus keepass2 koneella ja strongbox iphonessa kun tottunut bitwardeniin, mutta hyvin se on aina toiminut kun tarvetta on ollut.
 
Itsellä käytössä KeepassXC, joka on kiinni Onedriveen tallennetussa salasanatiedostossa. Pääsen kiinni kotikoneella, kännykällä ja tabletilla sekunneissa. Ohjelman käyttöliittymä sopivan moderni, se on testattu ulkopuolisen tahon toimesta ja suojaustasot kunnossa. :thumbsup:
 
Itsellä käytössä KeepassXC, joka on kiinni Onedriveen tallennetussa salasanatiedostossa. Pääsen kiinni kotikoneella, kännykällä ja tabletilla sekunneissa. Ohjelman käyttöliittymä sopivan moderni, se on testattu ulkopuolisen tahon toimesta ja suojaustasot kunnossa. :thumbsup:
Kuinka vakaasti tuo Onedrive kytkös toimii, eli jos ohjelman asentanut vuonna x, niin onko tullut sen jälkeen jotain säätö tarvetta, uudelleen vahvistuksia jne. Keepassin lisukkeilla tämä vähän tahmaa PCllä, tai niin paljon ettei ole kaikille vaihtoehto. orginaali Keepassin haaste myös käsinsäätö.

Integrointi alustaan, varsinkin puhelimilla ja tableteilla on osittain sen alustan varassa, oliko tuossa oma näppisvaihetoehto Androidissa, tosin normi käyttäjälle oleellista että toimii sujuvasti alustan rajapinnan kannautta. ja biometritset tunnistukset toimii, ja offline tuki.

Winkkarilla, WIn Hello, ja hyvä selain tuki. pääselaimissa, Edge, Googlen Chrome, Firefox, Opera ja tapauksen mukaan muissa ohjelmissa, ettei tarvi leikepöydän kautta kierrättää ja jos kierrätää, niin osaa poistaa sen leikepöydältä.
 
Ehkä kerran tai pari vuoteen kytkös katkeaa jostain syystä itsestään, ei ole muita ongelmia ollut.
 
Mulla Enpass. Ollut käytössä siitä lähtien, kun se oli ainoa salasanamanageri jonka sai aikoinaan kaikille alustoille, myös Windows Phonelle. Silloin se maksoi pari kymppiä elinikänen lisuri ja hintaan tietty deskari sovellus ja kannan synkkaus (haluamaasi) pilveen tai offline. Nyt taitaa elinikänen lisuri maksaa vajaan satasen. Silloin oli pienehkö firma, nykytilasta en tiedä. Tähän asti toiminut hyvin kaikilla alustoilla.
 
Bitwardenin tietokantoja on ollut mahdollista vuotaa käyttäen hyväksi Nginxin haavoittuvuutta. Toki tuo on jo korjattu ennen uutisointia.
 
KeePassista korjattiin samanlainen aukko viime kuussa, hibernate-tiedostosta tai Keepass-prosessin memory dumpista sai salasanan selkokielisenä selville, vaikka KeePass olisi lukittuna.

In KeePass 2.x before 2.54, it is possible to recover the cleartext master password from a memory dump, even when a workspace is locked or no longer running. The memory dump can be a KeePass process dump, swap file (pagefile.sys), hibernation file (hiberfil.sys), or RAM dump of the entire system. The first character cannot be recovered. In 2.54, there is different API usage and/or random string insertion for mitigation.

 
Proton tehnyt oman salasana managerinsa: https://proton.me/pass

Ilmeisesti ominaisuuksiltaan aika minimaalinen. Ainoa erikoisuus on, että tuo osaa generoida joka sitelle oman dymmy email forwarder osoitteen käyttäen SimpleLoginia minkä Proton osti. Tosin tuo sama integraatio lienee myös Bitwardenissa?

Ja kuuluu pakettiin noissa Protonin maksullisissa versioissa.
 
Onko täällä vielä muita LastPass sissejä? Ei varmaan montaa enää? :D

Jos on niin toimiiko teillä 2FA SMS? Tuntuu olevan rikki.
 
Onko täällä vielä muita LastPass sissejä? Ei varmaan montaa enää? :D

Jos on niin toimiiko teillä 2FA SMS? Tuntuu olevan rikki.

Kerro yksi hyvä syy käyttää LastPassia yhtään mihinkään? Musta se on tietovuodon ja sen surkean hoidon lisäksi käyttöliittymältään huono, ei tue Yubikeytä ja muutoinkin ominaisuuksiltaan kilpailijoita jäljessä. Kannattaisi kyllä harkita jotain toista tuon tilalle. Täällä on ehdotettu hyviä.
 
Kerro yksi hyvä syy käyttää LastPassia yhtään mihinkään?

Jos ihminen on tottunut siihen, itsekin käytän Dashlanea sekä notepadia (ei ehkä ihan uusinta hightech mutta toimii, tiedän henkilön joka käyttää muistivihkoa sekä kynää).

Eli riippuu omista tottumuksista sekä tarpeista. Tietysti jos tarkoitus on oikeasti laittaa niitä talteen pilveen ja synkronoida useamman laitteen välillä tietoturvan olisi hyvä olla kunnossa mitä se ei taida olla LastPass:n kanssa.
 
Tällaiseen törmäsin: How to migrate your Bitwarden vaults from US to EU storage

Onko kukaan tehnyt vaultin siirtoa US -> EU? Vaultin kun exporttaa niin siinä taitaa hävitä salasanahistoriat?

Bitwarden notes that its server regions are "distinct cloud environments", which means that they are separate entities. The service's zero-knowledge encryption support prevents the organization's support from migrating vaults for customers from one server region to another.

This leaves a manual process for moving vaults. Here is how that is done:
  1. Sign-in to the current Bitwarden account and export all Vaults.
  2. Open the main webpage of the new server region and create a new account, using the same email address as the current account.
  3. Import the vault into the new account.
4. Poista accountti vanhalta serveriltä?
 
F-securen .fsk tiedoston saa tuotua Bitwardeniin: Import Data to your Vault | Bitwarden Help Center
Tarkempi lista tuetuista tiedostomudoista: Import & Export FAQs | Bitwarden Help Center
Nyt on ehtinyt testailemaan Bitwardenia kännykässä ja tietokoneella, vaikuttaa kyllä hyvälle, jopa paremmalle kuin tuo ID protection. Ainoa isompi ongelma on se että tuon .fsk tiedoston vieminen Bitwardeniin ei toimi. Olisko tuo .fsk tiedosto jotenkin muuttunut kun Key päivittyi ID Protectioniksi Import from ID protection

Nyt olen sitten käsin siirtänyt salasanoja, tuleepa ainakin tuhottua tarpeettomat.
 
Mitä tarkalleen siis tarkoittaa, ettei "toimi"? Eli mitä teet ja mitä sitten tapahtuu tai ei tapahdu?

Kirjoittelin jo Bitwardenin foorumille, ainakaan vielä ei siellä ei ole osattu auttaa Import from ID protection

Ongelma tulee kun yritän importoida .fsk tiedostoa, valitsen Bitwardenin importoinnista .fsk tiedostomuodon ja ko. tiedoston sitten painan lataa, selaimen popup ikkunaan tulee ilmoitus "e is undefined." ja importointi ei mene tästä eteenpäin.
 
Nyt on jo jonkin verran Bitwarden kokemusta, että voin kyllä omasta puolestani suositella.

Muista salasanamanagereista ei ollut itsellä aiempaa kokemusta, joten verrata en voi. Bitwardeniin päädyin pitkältä mm. tämän palstan suosituksien perusteella. En ole tietoturvan enkä salauksen asiantuntija mutta Bitwardenilla vaikuttaisi kaikki olevan kunnossa. Perustan oletukseni omien selvittelyideni lisäksi mm. tämän keskustelun kommentteihin ja linkkehin. Kannattaa lukea koko ketju!

Muutamia huomioita itseltäni:

Ennen kuin luo Bitwarden tiliä niin kannattanee luoda sitä varten oma sähköpostiosoite, joka on ainoastaan ja vain Bitwarden kirjautumiseen ja osoitteesta ei käy oma nimi selville. Master salasanaan kannattaa myös panostaa, koska heikko master salasana vesittää koko managerin idean. Sen pitää olla pitkä mutta helposti itse muistettavissa/opittavissa ja helppo kirjoitettaa jatkuvasti niin näppäimistöllä kuin kännykälläkin. Ei siis kannata olla liian pitkäkään koska käytettävyys kärsii. Master salasana on helppo vaihtaa kyllä myöhemmin.

Bitwardenin Premium on halpa, vain 10 dollaria vuodessa.
Perusversio on ilmainen ja se riitttänee suurimmalle osalle käyttäjistä. Premium versiolla saa tällaiset lisäominaisuudet:
  • Advanced 2FA options, like Yubikey, FIDO2, and Duo
  • 1 GB of encrypted file attachments
  • Bitwarden Authenticator (TOTP)
  • Emergency Access
  • Vault Health Reports
Itse aloitin ilmaisversiolla ja siirryin premiumiin aika pian noiden 2FA optioiden vuoksi.

Alkuun arkailin suuresti siirtää Bitwardeniin oikein mitään tilejä mutta kun harjoitteli vähempiarvoisilla tileillä niin hommaan tuli selkeä rutiini. Bitwardenissa on jokunen hieman epäintuitiivinen juttu joten kannatta oikeasti harjoitella jollain ei niin tärkeillä tileillä ennen kuin siirtää kaikista tärkeimmät tuonne. Bitwardenin omilla sivuilla ja foorumilla on paljon ohjeita ja hyviä vinkkejä.

Kuitenkaan, mitään tiliä, kirjautumista, tunnuslukua, pin koodia tai jotain muuta tärkeää asiaa ei kannata olla siirtämättä Bitwardeniin. Ne ovat siellä paljon paremmassa turvassa kuin jossain unohdetussa mapissa kirjahyllyssä

2FA Bitwardenissa kannattaa ottaa käyttöön niin aikaisin kuin mahdollista. Nämä olivat hyvät ohjeet.


Jos ei omista Yubicon Yubikeytä tai muita turva-avaimia niin 2FA:ksi joku turvallinen Authenticator sovellus ja lisäksi esim sähköposti niin ei ole pulassa jos on authenticator vain yhdessä kännykässä ja se menee rikki. Ja tosiaan noi recovery codet talteen niin bitwardenissa kuin kaikkialla muuallakin.

Nämä recovery codet Bitwardenille on luonnollisesti säilytettävä jossain muualla kuin itse Bitwardenissa.

Bitwardenin vaultista saa lokaalin kopio mutta tuollaisen exporttaamisessa kannattaa olla tarkkana.
Bitwarden antaa exportata avoimen .json filen, jota voi käyttää esim toiseen salasanamanageriin siirtyessä mutta tällainen file ei saa jäädä minnekään lojumaan. Lisäksi voi exportata kryptatun .json filen, jonka saa ainoastaan Bitwardenilla auki. Tämä jälkiommäinen onkin siis varmaan backupiksi tarkoitettu.

Minkälaisia käytäntöjä muilla on ollut noiden recovery koodien säilytyksessä, joita siis saa lähes jokaisesta tilistä, joihin 2FAn laittaa päälle?
Itse olen harkinnut, että siirrän muiden tilieni recovery koodit Bitwardeniin mutta itse Bitwardenin palautuskoodit pitää säilyttää jossain muualla.

Entä mitäs mieltä muut on tuosta vaultin lokaalista kopiosta tai lähinnä siis siitä, että sitä säilyttää erillisenä backuppina?
Jos säilyttää sen avoimen datan .json filen jossain tallessa niin on aina backup omiin tietoihin vaikka koko Bitwarden häviäisi maailmasta. Mutta sitten on se avoimen datan filen säilytys erillisenä omana riesana. Ehkä järkevämpää olisi siis säilyttää krypattu .json backuppina mutta jos unohtaa master salasanan tai bitwardenin servereiltä data katoaisi niin ei sieltä saa sitten tietoja palautettua.

Mielipiteitä?
Miksi kannattaa tehdä erillinen sähköposti joka ei omalla nimellä? Itsellä harkinnassa Bitwarden.
 

Statistiikka

Viestiketjuista
259 109
Viestejä
4 502 255
Jäsenet
74 329
Uusin jäsen
Bopperhopper

Hinta.fi

Back
Ylös Bottom