Parhaat ohjelmat salasanojen säilytykseen

[zer0bitz]

KeePassXC tuli ladattua ja otettua käyttöön noin kuukausi sitten. Hyvin on toiminut ja saanut integroitua eri selaimiin.

 

[TenderBeef]

Käyttää kannan avaamiseen jotain muuta kuin laitteen avaamiseen, tarkoitan ettei suojaa kantaa biometrisellä, jos itse laitteen sillä suojaa.

Öö, miksi? Mitä hyötyä?

 

[pulatunnus]

Öö, miksi? Mitä hyötyä?

Jos perus tahtotila on se että tunnistamiseen tarvitaan kaksilaitetta, siis se millä kirjaudutaan ja se millä vahvistetaan. Ideana se että jos jompikumpi kaapataan, joutuu vihamielisen haltuun niin se ei riitä.

Jos tuosta tinkii niin että käyttöpuhelimessa sekä tunnukset ja kaksivaiheinen osuus, eli yhdellä laiteella onnistuu kirjautuminen, niin ajatus siinä että jos sen jotenkin kaapataan, vihamielinen saa haltuun, niin puhelimen suojaus, esim biometrinen on siinä etu molarina ja sitten itse ohjelmassa sitten joku muu menetelmä, tai toisin päin.

Tietenkin jos se puhelin saadaan haltuun sähköisesti, etänä, niin voi sitten miettiä kummassa mikäkin parempi.


Ne joilla villapipo, niin vetää ihan kaikki yhdellä kannalla ja biometrisellä kaiken, ja "salasanat" sitten sitä varten kun biometriset tilttaa.

 

[TenderBeef]

ajatus siinä että jos sen jotenkin kaapataan, vihamielinen saa haltuun, niin puhelimen suojaus, esim biometrinen on siinä etu molarina ja sitten itse ohjelmassa sitten joku muu menetelmä, tai toisin päin.

Umm, mutta jos se puhelin menee "väärälle hepulle" niin että se ei pääse henkilöön käsiksi, niin silloinhan riittää ihan hyvin yksi tapa. Ja jos "väärä heppu" tulee kadulla sulta sen puhelimen ottamaan ja vaatimaan avausta (esim 5€ jakarin suostuttelulla) niin eipä siinä auta vaikka sulla olisi 5:llä eri metodilla puhelin/appsit/jne. lukittuna.

vetää ihan kaikki yhdellä kannalla ja biometrisellä kaiken, ja "salasanat" sitten sitä varten kun biometriset tilttaa

Saako mitään biometristä tunnistusta kännyyn ilman salasanaa? En itse sellaista ole vielä nähnyt. Omassa kännyssä (käytän tosi vähän) appsit esim. pankki, mega, aegis (totp) ja tietenkin itse kännykkä, kaikkiin pitää olla salasana ennen biometrisen tunnistuksen laittamista päälle. EDIT: googlella vielä tapana usein vaatia se salasana/pin eikä suostu avaamaan sillä sormenjäljellä puhelinta, tavallaan ihan hyvä mutta aiheuttaa sen, että salasanaksi ei voi mitään pitkää ja oikeasti turvallista laittaa koska sen naputtelu tietyin väliajoin aiheuttaa aikaista hiustenlähtöä.

 

[Taneli-]

Umm, mutta jos se puhelin menee "väärälle hepulle" niin että se ei pääse henkilöön käsiksi, niin silloinhan riittää ihan hyvin yksi tapa. Ja jos "väärä heppu" tulee kadulla sulta sen puhelimen ottamaan ja vaatimaan avausta (esim 5€ jakarin suostuttelulla) niin eipä siinä auta vaikka sulla olisi 5:llä eri metodilla puhelin/appsit/jne. lukittuna.

Toisaalta siihen auttaa se jos ei ole sosiaalista mediaa puhelimessa vaan esim. PC:llä kotona. Joo, tiedän, nykyään suurin osa ihmisistä käyttää kaikkea nettiä puhelimella eikä välttämättä edes omista mitään tietokonetta. Lisäksi niihin facebook, sähköposti, foorumi, tinder, tik-tok, youtube, instagram, WeChat,, Pinterest, Reddit, Telegram, Snapchat, Kuaishou, Qzone, Sina Weibo, QQ, X jne. juttuihin on ihan pakko samantien kommentoida eikä kaverit muuten edes noteeraa jos et heti laita kuvaa siitä mitä syöt mutta näin hieman vanhemman henkilön näkökulmasta...

Elijos se kännykkä otetaan väkisin ja pakotetaan auki ja se pakottaja ei pääse sun tilitietoihin (eli et puhelimella käytä pankkia), ei pääse sosiaaliseen mediaan (vaikka ehkä olisikin se salasana generaattori esim. IO-Techiä varten) ei siitä nyt hirmuisesti ole apua. Eli vaikka hän nyt ehkä iskee sinut tajuttomaksi jakoavaimella ja käyttää kasvojasi / sormenjälkeäsi päästäkseen kännykkääsi.

Ellei hän sitten jakoavaimella hakkaamisen jälkeen kanna sinun tajutonta ruumistasi ehkä kymmeniä kilometrejä kotiisi, hakkaa perhettäsi ja pakota sinua kirjautumaan kotikoneellesi että pääsee peuhaamaan sosiaalisessa mediassa sinun tunnuksillasi ja tekemään pankkisiirtoja jne...

 

[TenderBeef]

Toisaalta siihen auttaa se jos ei ole sosiaalista mediaa puhelimessa vaan esim. PC:llä kotona.

Minä en käytä mitään sosiaalista mediaa, jos näitä foorumeita ei lasketa sellaisiksi, niin on mulla silti pankkiappsi, salasanamanageri, jne. sellaista minkä pois jättäminen kännykästä ei ole ihan mielekästä. Melkein jos sellaiseen joutuu oikeasti varautumaan, niin ehkä parempi ettei lähde kotoa ollenkaan (ei huono idea kun katsoo tätä meidän ihmisten maailmaa, myös täällä suomessa).

 

[Taneli-]

Minä en käytä mitään sosiaalista mediaa, jos näitä foorumeita ei lasketa sellaisiksi, niin on mulla silti pankkiappsi, salasanamanageri, jne. sellaista minkä pois jättäminen kännykästä ei ole ihan mielekästä.

On toki muutama salasana generaattori, mutta jos katsoo kaikkein suosituimpia sosiaalisia medioita niin juu.

On WhatsApp eli kolmanneksi suurin ja kait väkisin Androidissa on myös Youtube (toiseksi suurin) vaikka sitä ei käyttäisikään. Tosin en ole katsonut millä tunnuksilla se on kirjautunut vai onko edes? Koska ainakin itselläni on erllinen (jo aikaa sitten luotu) tili youtubelle ja erillinen sitten taas g-mailiin.

Lisäksi kun hankkii älypuhelimen esim. vanhemmilleni luodaan aina uusi gmail tunnus sitä varten (koska heillä ei ole sähköpostia edes) joten siten teoriassa sähköpostisi ja muut sosiaaliset jutut eivät suoraan vaarannu vaikka joku veisi puhelimesi.

EDIT: kaikki muut sosiaalinen media on ihan kotikoneella. Eli sähköposti, discord (myös WhatsUp vaikka on myös kännykässä), facebook, tämä ja moni muukin foorumi, youtube, Linkedin jne. Nykyisin on vaan käytännössä lähes mahdoton olla ilman mitään sosiaalista mediaa. Edes sitä sähköpostia tai whatsuppia. Kun kuitenkin netistä esim. selaimen avustuksella tulee amazonista, zooplussasta jne. tilattua tavaraa on pakko olla sähköposti, myös postin seuranta on hyödyllinen sähköinen sovellus jne jne... vaikka ne olisivatkin vain tietokoneella.

 

[=JP=]

Aikas monella taitaa sähköpostit luurissa synkkaa, eli automaattisesti hakee postit ja voi lukea kuka vaan jos pääsee luuriin käsiksi. Tällöin jos sattuu joku saamaan luurisi ja auki sen, niin pääsee tileihin käsiksi resetöimällä vaikka salasanat (jos on se 2FA myöskin siinä luurissa ilman tunnistautumista).

Tilanteita on monenlaisia ja kaikkien tietoturvaan liittyvien asioiden hoitaminen on monimutkaista, jos käyttää 2FA sun muita salasana managerin lisäksi. Kätevää, kun kaikki löytyy yhdestä laitteesta, mutta sitten tietoturva heikkenee, mutta jos pitää alkaa useita laitteita kaivamaan, että pystyy kirjautumaan palveluun, niin se on monelle sitten liian hankalaa taikka liikaa vaivaa.

Laiskuus on yksi pahimpia tietoturvauhkia ja erittäin yleistä...

 

[Humanoid]

KeePassXC toi Passkeysit testattavaksi snapshot-buildiin:

Team KeePassXC (@keepassxc@fosstodon.org)

Help us test PassKeys! We just merged our PassKey support to our next release branch. You can grab a snapshot build and test it out now. We already released support in our browser extension. Test now: https://snapshot.keepassxc.org/latest/ Development work...

fosstodon.org

 

[Paapaa]

Bitwardenin selainlaajennoksiin julkaistiin Passkey-tuki versiossa 2023.10.0. Ilmeisesti ei tukea vielä esim. mobiiliapeissa.

• Save passkeys to your vault: Passkeys can now be stored in your Bitwarden vault! Store and log in with passkeys using the Bitwarden browser extension (see here).

Release Notes | Bitwarden Help Center

Bitwarden frequently updates its leading password manager to improve the user experience and fulfill feature requests from customers.

bitwarden.com

 

[Kautium]

Bitwardenin selainlaajennoksiin julkaistiin Passkey-tuki versiossa 2023.10.0. Ilmeisesti ei tukea vielä esim. mobiiliapeissa.

Tähän liittyen Bitwardenin mobiiliversiot/selainplugarit ovat melkoista kakkelia muutenkin edelleen. Sama koskee tosin muitakin vaihtoehtoja.

En tiedä mitkä kaikki seikat siellä rajoittavat, mutta melkoista raastimen runkkausta on kirjautuminen esim. Android-tabletin Firexoxilla tännekin, jos ja kuin foorumin kun max. 30 päivää voimassa oleva sessio vanhenee ja pitää kirjautua uudestaan. Ensin toteat, että jaahans, enpäs olekaan enää kirjautuneena, joten painat kirjaudu-painiketta. Seuraavaksi täppäät tunnus-kenttää, mutta mitään ei tapahdu. Täppäät sitten varmuuden vuoksi toiveikkaana salasana-kenttää, jolloin tabletti/Bitwarden ehkä tajuaa, että hei, täällähän on tälle sivulle sopiva tunnus, haluatko käyttää sitä. Todennäköisemmin tosin joudut kuitenkin kaivamaan tunnuksen ja salasanan jostakin ihan erillisen valikon takaa ja ehkä jopa kirjautumaan sinnekin erikseen vahvistamalla kirjautumisen toisella laitteella. Lopulta pääset seuraavaan vaiheeseen, jossa foorumi kysyy autentikaattorin koodia, joka tarkoittaa että vaihdat taas toiseen sovellukseen, tai jopa kokonaan toiseen laitteeseen, josta tarkistat sen koodin ja näpyttelet sen aikarajan sisällä kirjautumissivulle.

Ei ole ihmekään, että suuret massat eivät oikein tykkää näistä tietoturvajutuista.

 

[Humanoid]

Bitwardenin selainlaajennoksiin julkaistiin Passkey-tuki versiossa 2023.10.0. Ilmeisesti ei tukea vielä esim. mobiiliapeissa.

Mielenkiintoista, että heidän sivuillaan luki julkaisun jälkeen selvästi "Q: Are stored passkeys included in Bitwarden imports and exports? A: Passkeys are not included in imports and exports.", mutta nyt se on päivitetty siihen muotoon, että tuki olisi tulossa myöhemmin: "Passkeys imports and exports will be included in a future release". Taisivat taipua paineen alla?

Erikoista myös, että rummuttivat kuukausia tuosta featuresta, mutta sitten sitä ei tullutkaan kuin työpöytäympäristöön.

 

[Paapaa]

Taisivat taipua paineen alla?

Eiköhän tuki ole koko ajan ollut roadmapillä mutta ei vaan ehtinyt tähän versioon. Sen verran odotetusta fiitsusta kuitenkin kyse, että en usko hetkeäkään etteikö aikomus ole täydelle tuelle.

Redditissä totesivat: "Imports and exports, as well are mobile support are planned for future releases.".

 

[pulatunnus]

Umm, mutta jos se puhelin menee "väärälle hepulle" niin että se ei pääse henkilöön käsiksi, niin silloinhan riittää ihan hyvin yksi tapa. Ja jos "väärä heppu" tulee kadulla sulta sen puhelimen ottamaan ja vaatimaan avausta (esim 5€ jakarin suostuttelulla) niin eipä siinä auta vaikka sulla olisi 5:llä eri metodilla puhelin/appsit/jne. lukittuna.

En rajannut miten, mutta en ajatellut väkivalla uhkaamista. Vaan enemmän niitä tilanteita missä se ohitetaan ilman käyttäjä aktiivista avustusta.

Kasvot, sormenjälki. Laite eroja kuinka paljon se vaatii ja voidaanko ohittaa ilman henkilön läsnäoloa. ja tosiaan myös se pakottaminen, mukaanlukien laillinen pakottaminen.

Siis tässä keskustelu välillä sivusi tilanteita missä haetaan varsin vahaa turvaa, mm kahdella erillisella laitteella ja nyt oltiin osaa pääsy hoitamassa yhdellä, jolloin ehkä halu tehdä sen minkä voi.


Eli jos heikennät kaksivaiheista tunnistusta sillä että lättäset kaikki yhteen laitteeseen, niin saat jotain kaksiveihesta kun vaadit kuitekin kaksi erilaista tapaa tunnistautua. Jos se salasana hankitaan, niin tarvitaan lisäksi se biometrinen, tai toisinäpäin, jos ne biometriset käytössä, niin tarvitaan lisäksi salasana.

Saako mitään biometristä tunnistusta kännyyn ilman salasanaa? En itse sellaista ole vielä nähnyt.

Se riippuu sovelluskehittäjästä, koska se tunnistus ei aina toimi, niin tyypillisesti on vaihtoehto, onko se sitten salasana vai mikä.

Ja huomiona sen biometrisen tunnistuksen laatu vaihtelee, eli kaikkia ei ole kovin vahvoja, joten kaikki ei sitä välttämättä kelpuuta, mutta on myös varsin vahvoja, ja jos halutaan vahvaa, niin pelkkä salasana olisi ehkä huono valinta.

 

[Humanoid]

Eiköhän tuki ole koko ajan ollut roadmapillä mutta ei vaan ehtinyt tähän versioon. Sen verran odotetusta fiitsusta kuitenkin kyse, että en usko hetkeäkään etteikö aikomus ole täydelle tuelle.

Redditissä totesivat: "Imports and exports, as well are mobile support are planned for future releases.".

1Passwordissakin taisi olla tuki mobiilille samantien, joten vähän hätäinen julkaisu.

 

[Paapaa]

1Passwordissakin taisi olla tuki mobiilille samantien, joten vähän hätäinen julkaisu.

En mä julkaisua kritisoisi. Tuosta voi olla paljonkin hyötyä joillekin käyttäjlle. Ehkä olisi vaan voinut paremmin kommunikoida, että tuki tulee osissa. Voi olla, ettei tässä montaa viikkoa tarvitse odottaa mobiilipuolen tukeakaan. Saas nähdä.

 

[Obi-Lan]

Mietin meneeköhän toi Passkey tallentaminen salasana manageriin kuitenkin turhan monimutkaiseksi räpeltämiseksi, jos se salasana manageri säilöis vaan salasanan tai muun recovery tiedon ja passkeyt olisi itse laitteessa niin eihän sitä manageria tarvitse avata niin usein.

Ja huomiona sen biometrisen tunnistuksen laatu vaihtelee, eli kaikkia ei ole kovin vahvoja, joten kaikki ei sitä välttämättä kelpuuta, mutta on myös varsin vahvoja, ja jos halutaan vahvaa, niin pelkkä salasana olisi ehkä huono valinta.

Useimmat taitavat kysyä sitä tunnistusta käyttöjärjestelmän kautta eli Windowsissa Hello kautta ja Androidissa on oma vastaava. Eli laatu riippuu millaisen toteutuksen laitevalmistaja on tehnyt. KeepassDX voi liittää kantaan device unlockin jolloin se kysyy avausta laitteelta ja laite kysyy sitten mitä sen laitteen avaamiseksi on itse määrittänyt (pin, sormenjälki, naama jne)

 

[Paapaa]

eihän sitä manageria tarvitse avata niin usein.

Ei kai tämä ole mikään ongelma? Tai siis eikö salasanamageri ole koko ajan päällä ja osaa ehdottaa oikeaa kirjautumista tarvittaessa? Mä en ole vielä Passkey:tä kokeillut, niin en tiedä miten se prosessi oikeasti menee.

Tai yritin luoda Githubiin Passkeyn, mutta eipä se näyttänyt tarjoavan Bitwardenia, joten joko en osaa tai sitten joku muu mättää.

Eikun eihän tuo selainlaajennos ole vielä päivittynyt. Joten ei tietenkään toiminut.

 

[pulatunnus]

Useimmat taitavat kysyä sitä tunnistusta käyttöjärjestelmän kautta eli Windowsissa Hello kautta ja Androidissa on oma vastaava. Eli laatu riippuu millaisen toteutuksen laitevalmistaja on tehnyt. KeepassDX voi liittää kantaan device unlockin jolloin se kysyy avausta laitteelta ja laite kysyy sitten mitä sen laitteen avaamiseksi on itse määrittänyt (pin, sormenjälki, naama jne)

Sormenjälken osalta suht vahvakin on heikko, jos se sormi on käytössä, kasvotunnistukset kirjavia, iris lasketaan aika vahvaksi, ehkä vahvemmaksi kuin sormi, tilanteissa joissa kasvot ja sormi on käytettävissä.

Jos laitteessa useita biometrisiä käytettävissä, niin ainakin osassa alustoja voidaan raja mikä kelpuutetaan. ja kehittäjä voi ronklata valmistajakin mukaan.

Mutta kommentti oli yleisellä tasolla. kattaen tunnistukset heikkoudet, että sen että se biometrinen sormi/kasvo/iris käytettävissä. ja toki jälkimmäisestäkin vahvuus eroja. varsinkin kasvotunnistuksen osalta (*, ja osassa voi olla ihan käyttäjä valittavissa.


(*
Kuinka herkästi, laitteita jotka tunnistaa jos vilaseekin sensoriin päin, ja tiettävästi eroja tunnistamisen lisäksi siinä mitä muuta vaatii, esim kohteen virkeyttä.

Esim, viranomaiset/pahikset pakottaa, jolloin ei tarvi tehdä uhrin tietämättä, vs se että uhri "lepää" ja yritetään käyttää salaa uhrilta. Heikkoudet taasen tunnistuksen heikkouksiin, jossa uhri ei ole läsnä. mutta hänestä esim kuvia tarvittava määrä ja laatu. Teippi sormenjälki menee jo vähän tuurinpuolelle tai pitkälentoiseen ison resurssin hyökkäykseen.

 

[Humanoid]

En mä julkaisua kritisoisi. Tuosta voi olla paljonkin hyötyä joillekin käyttäjlle. Ehkä olisi vaan voinut paremmin kommunikoida, että tuki tulee osissa. Voi olla, ettei tässä montaa viikkoa tarvitse odottaa mobiilipuolen tukeakaan. Saas nähdä.

Kuulemma mobiilituki on tulossa vasta ensi vuoden puolella. Sen tarkempaa aikataulua tuolle ei ole.

 

[ztec]

Sormenjälki logini on oikein kiva, ja käytössä useimppiin palveluihin. Mä olen käyttänyt FIDO2 WebAuthn tunnistautumista pitkään ja on se vaan pakko sanoa että se ja Passkeys on ihan mahtavat. Turvalliset loginit on helppoja ja nopeita. Kaikki muut tähän astiset tekniikat kyllä kalpenee noille. Pois lukien tietysti soveluskohtaiset sertifikaatit / tallennetut avaimet, mutta yleensä noiden hallintaan on sitten tarvittu kuitenkin toiset tunnukset.

Joskin toimivuus on ollut viimeaikoina kovan muutostadin vuoksi vähän koetuksella. Aikaisemmin toimi hienosti vuosikausia, ennen kuin uudistussäätö alkoi kovaan tahtii monellakin osa-alueella.

 

[Paapaa]

Sormenjälki logini on oikein kiva, ja käytössä useimppiin palveluihin. Mä olen käyttänyt FIDO2 WebAuthn tunnistautumista pitkään ja on se vaan pakko sanoa että se ja Passkeys on ihan mahtavat.

Mua ehkä vähän hämää että kun loin Passkeyn GitHubiin, niin sepä ei enää kysele Yubikeytä Passkeyn kanssa. Vaan pelkällä Passkeyllä mennään sisään. Ja tämä tarkoittaa, että jos salasanamanagerini ei olisi 2FA:n takana, niin GitHubiin pääsee pelkällä managerin salasanalla eikä siihen edes saisi kylkeen fyysistä 2FA:ta. Jotenkin luulin, että Passkey tulee aina pakottamaan 2FA:n tavalla tai toisella (joko niin että Passkey on naitettu laitteeseen tai että sen kera vaaditaan joku muu 2FA). Mutta olen tajunnut jotain oleellisesti väärin.

 

[ztec]

GitHubiin pääsee pelkällä managerin salasanalla eikä siihen edes saisi kylkeen fyysistä 2FA:ta.

Ei pääse, vaan tarvitaan se Passkey avain. Silloin tarvitaan siis avain + salasana. Pelkällä salasanalla ei pääse. Mutta täähän on määrittely-kysymys, mitä 2FA:lla tarkoitetaan. Tuossa tarvitaan kaksi asiaa. 1) Avain 2) Salasana avaimen avaamiseksi = 2FA. Pelkällä salasanalla siis ei pääse mihinkään.

 

[Paapaa]

Ei pääse, vaan tarvitaan se Passkey avain. Silloin tarvitaan siis avain + salasana. Pelkällä salasanalla ei pääse. Mutta täähän on määrittely-kysymys, mitä 2FA:lla tarkoitetaan. Tuossa tarvitaan kaksi asiaa. 1) Avain 2) Salasana avaimen avaamiseksi = 2FA.

Josa salasanalla saa sen Passkeyn, niin ei tuossa kyllä mitenkään ole mielestäni käytössä 2FA. Faktisesti palveluun pääsee sisällä master passwordillä ja en edes voi tälle mitään vaikka haluaisin. 2FA olisi käytössä jos saisin pakotettua GitHubin kysymään Passkeyn lisäksi Yubikeytä.

Jos Passkey todella toimii näin, niin en kyllä innostunut.

 

[ztec]

Jos Passkey todella toimii näin, niin en kyllä innostunut.

Kuten sanottu, jo monta kertaa. Passkeyssin on tarkoitus olla mahdollisimman helppoa käyttäjille, ettei sitä vastustettaisi kuten FIDO2:sta, jota monet halusivat vastustaa useistakin syistä. Sen ei ole tarkoitus olla turvallisempi. Monettakohan kertaa tääkin todetaan. Sen on tarkoitus olla käyttäjille mahdollisimman helppo. Kirjaudu sisään turvallisesti, done. Jotenkin voisin kuvitella, että jatkossa ~99%+ käyttäjistä käyttää pilvipalvelu-loginia ja loput hikiset nörtit (joo, me) ollaan sitten siellä marginaalissa.

 

[Paapaa]

Kuten sanottu, jo monta kertaa. Passkeyssin on tarkoitus olla mahdollisimman helppoa käyttäjille, ettei sitä vastustettaisi kuten FIDO2:sta, jota monet halusivat vastustaa useistakin syistä. Sen ei ole tarkoitus olla turvallisempi

Teknisestihän Passkey on FIDO2, mutta siitä on vaan joissain toteutuksissa jostain ihmeen syystä kadotettu 2FA-mahdollisuus. Ei mua haittaa tippaakaan se, että Passkeytä voi käyttä ilman 2FA:ta. Olisi typerää jos ei voisi.

Mutta se haittaa, jos ei ole mahdollisuutta käyttää Passkeytä 2FA:n kanssa (kun käytössä salasanamanageri). Mutta ehkä tähän tulee muutos. Esim. PIN tai sormenjälki, jota manageri vaatii aina kun loggaa sisään Passkeyllä. Ja sen voisi pakottaa vaatimaan sitä. Tai niin että sivuston voi pakottaa.

Ja ei tuo jälkimmäinen asia ole kyllä mitenkään selvästi ollut esillä.

 

[ztec]

Teknisestihän Passkey on FIDO2, mutta siitä on vaan joissain toteutuksissa jostain ihmeen syystä kadotettu 2FA-mahdollisuus. Ei mua haittaa tippaakaan se, että Passkeytä voi käyttä ilman 2FA:ta. Olisi typerää jos ei voisi.

Voihan niitä lisävarmistuksia pyytää vaikka kuinka monta ja kummassa tahansa päässä. mm. Keepass tukee avaintiedostoja lisävahvistuksiin. Sekä vastapäässä voitaisiin pyytää myös kirjautuminen vielä vaikka pankkitunnuksilla, tai erillisellä autentikointilaitteella, jos halutaan lisäturvaa. Mutta noi on tietenkin implementaatio kohtaisia asioita, eikä liity sinänsä käytettävään tekniikkaan mitenkään.

Olen myös monta kertaa painottanut sitä, että pelkkä kirjautumisen vahvistaminen on surkea tapa varmistaa mitään. Jokainen kriittinen toimenpide pitäisi vahvistaa erikseen digitaalisella allekirjoituksella joka on sisältöön sidottu. Mut nääkin on niin itsestäänselviä perusteita, ettei näissä oo mitään lisättävää.

Tosin täähän on täysin out of scope niinku password managerin osalta. Joten ei tästä enempää. Kuten myös tietysti passkeyssit on, kun nekään ei ole salasanoja.

 

[Paapaa]

Mut nääkin on niin itsestäänselviä perusteita, ettei näissä oo mitään lisättävää.

Hyvä jos sulle kaikki on 100% itsestäänselvää. Musta nämä on kaikkea muuta kuin itsestäänselvyyksiä. Jokaisessa artikkelissa jonka olen Passkeystä lukenut, todetaan että ne ovat sisäänrakennetusti 2FA ja vaativat aina 2 faktoria. No, eivät vaadi. Noista on liikkeellä niin paljon kirjavaa informaatiota jotka pätevät vain johonkin tiettyyn implementaatioon.

Tosin täähän on täysin out of scope niinku password managerin osalta. Joten ei tästä enempää. Kuten myös tietysti passkeyssit on, kun nekään ei ole salasanoja.

No Passkey-tunnusten tallennus salasanamanageriin ovat ihan varmasti on-topic tässä ketjussa. Otsikkoa voi päivittää jos se jotain häiritsee.

 

[iixx82]

Bitwarden osoittautui kaiken tutkimisen jälkeen parhaaksi vaihtoehdoksi. helposti edellä muita. (Sivuilla tukevat perustelut turvallisuuteen yms liittyen)

 

[TeknoR]

Viikko tuli aikaa kokeilla jotain LastPassin korvaajaa.

Laiskana kysyn täältä että mikä on mahdollisimman samanlainen? (ilman tietovuotoja) Käyttö siis windows+android.

 

[TenderBeef]

Bitwarden. Aivan ehdottomasti paras.

 

[Leo_Greta]

Bitwardeniin näköjään ilmestynyt Passkey-tuki. Huomasin just nyt kun kirjauduin Google-tilille, niin se halus luoda ja tallentaa Passkeyn Bitwardeniin .

[edit] Tuki siis on nyt myös selain laajennoksessa ja sillä voi myös kirjautua sisään, eli ns. täys tuki.

[edit] Onkin ollu jo hyvän aikaa ilmeisesti Bitwardenissa Passkeytuki selainlaajennosta myöden. En vain ole olltu huomannut sitä.

 

[JuRo]

Mitä arvon väki suosittelee iOS puhelin & tabletti + windows-koneet -kombinaatiolle? Onko Bitwarden tähän käyttötarkoitukseen paras?
Pisteitä vaivattomasta synkkayksesta.

 

[juhaa]

Mitä arvon väki suosittelee iOS puhelin & tabletti + windows-koneet -kombinaatiolle? Onko Bitwarden tähän käyttötarkoitukseen paras?
Pisteitä vaivattomasta synkkayksesta.

Paras ja paras, mutta Bitwarden

 

[Markok]

Paras ja paras, mutta Bitwarden

Bitwardenista kannattaa aloittaa, kokeile että maistuuko. Voit kokeilla muita "rinnalla" mikä omaan käteen sattuu. Itse testasin aikanaa bitwardenia, enkä ole vaihtanut (android, linux ja random windows)

 

[Humanoid]

KeePassXC:n uusin julkaisu tukee Passkeytä, ja avainten tuonti sekä vienti onnistuu vapaasti:

KeePassXC 2.7.7 released – KeePassXC

KeePassXC Password Manager

keepassxc.org

 

[elmu01]

Onks porukalla kokemusta tosta Bitwardenin 2-vaiheisten koodien hallinnasta? Onko hintansa väärti maksaa Bitwardenista se muutama kolikko? Tällä hetkellä käytössä authy, mutta mua vähä häiritsee et ne lakkauttaa sen työpöytäsovelluksen ja pitää puhelimen kautta alkaa kaivelee niit joka kerta. Pieni lisävaiva mutta silti.

Toki ois varmaa hyvä pitää edellee hajautettuna 2-vaiheiset ja salasanat, jos jompikumpi pääseeki murtumaan.

 

[Paapaa]

Onks porukalla kokemusta tosta Bitwardenin 2-vaiheisten koodien hallinnasta? Onko hintansa väärti maksaa Bitwardenista se muutama kolikko?

Mä käytän ja toimii oikein hyvin. Se $10/v + alv on naurettava hinta koko softasta, että maksaisin vaikka käyttäisin ilmaista. Mutta tuo 2FA-koodien tallennus on tosi näppärää. Toimii niin että kun kirjaudut Shift-Cmd/Ctrl-L, niin sen jälkeen kun sivusto kysyy 2FA-koodia, voit vain pastettaa sen Cmd/Ctrl-V. Eli tosi nopeaa.

Toki tuo on tietoturvan osalta piirun verran turvattomampi, joten jos tuota käytät, niin ehdottomasti laita itse Bitwarden 2FA:n taakse. Mieluiten Yubikey tai vastaava superturvallinen tapa. Sen miinus taas on se, että Desktop.softa ainakin macillä ei tue FIDO:a, eli on pakko olla Bitwardenin 2FA-koodi vielä kännykkäappiksessa.

 

[elmu01]

Mä käytän ja toimii oikein hyvin. Se $10/v + alv on naurettava hinta koko softasta, että maksaisin vaikka käyttäisin ilmaista. Mutta tuo 2FA-koodien tallennus on tosi näppärää. Toimii niin että kun kirjaudut Shift-Cmd/Ctrl-L, niin sen jälkeen kun sivusto kysyy 2FA-koodia, voit vain pastettaa sen Cmd/Ctrl-V. Eli tosi nopeaa.

Toki tuo on tietoturvan osalta piirun verran turvattomampi, joten jos tuota käytät, niin ehdottomasti laita itse Bitwarden 2FA:n taakse. Mieluiten Yubikey tai vastaava superturvallinen tapa. Sen miinus taas on se, että Desktop.softa ainakin macillä ei tue FIDO:a, eli on pakko olla Bitwardenin 2FA-koodi vielä kännykkäappiksessa.

Hmm okei. Joo Bitwarden 2-vaiheisen takana ollu jo pitkään. Ainoo mikä arveluttaa on just tuo kaikki munat yhessä korissa. Ois ratkasuna vaa iha älyttömän helppo.

 

[escalibur]

Hmm okei. Joo Bitwarden 2-vaiheisen takana ollu jo pitkään. Ainoo mikä arveluttaa on just tuo kaikki munat yhessä korissa. Ois ratkasuna vaa iha älyttömän helppo.

Itse suosittelen 2FAS:ia MFA-koodien hallintaa. On ilmainen, helposti exportattavissa, toimii Android ja iOS-laitteissa yms. En käyttäisi Bitwardenin MFA:ta kuin korkeintaan ei-niin-tärkeissä tunnuksissa, koska teoreettinen murtautuminen Bitwardeniin ja sieltä löytyvien tunnusten hyväksikäyttö vaatisi vielä MFA koodienkin tietämistä.

 

[Desgorr]

En itsekään käyttäisi Bitwardenia MFA-koodeihin. Silloin on tosiaan kaikki munat samassa korissa jos mahdollinen hyökkääjä pääsee tuon Bitwardenin holvin korkkaamaan. Tukimielessä kyllä olen sitten itse tuota kympin vuosimaksua maksanut kun kyseessä on kuitenkin aika mitätön summa ja palvelu itsessään erinomainen.

 

[Paapaa]

Hmm okei. Joo Bitwarden 2-vaiheisen takana ollu jo pitkään. Ainoo mikä arveluttaa on just tuo kaikki munat yhessä korissa. Ois ratkasuna vaa iha älyttömän helppo.

Musta ton murehtiminen on aika teoreettista jos se BW:n tunnari on uniikki ja vahva, ja jos on 2FA käytössä. Mutta yksittäisten tärkeiden palveluiden kohdalla voi tietty tehdä poikkeuksen ja käyttää just esim. Yubikeytä tai sulloa näiden palveluiden koodit BW:n ulkopuolelle ja jättää "tusinasaitit" sinne. Näin voi vähän kontrolloida riskiä ja silti suurin osa hoituu helposti BW:n kautta.

Kannattaa muistaa, että tietoturva on aina kompromissi ja jos siitä tekee liian vaikea, se jää tekemättä. Eli jos vaihtoehdot ovat 1. Ei 2FA:ta, tai 2. 2FA, ja kaikki koodit BW:n sisällä, niin jäkimmäinen on valovuosia turvallisempi kuin ensimmäinen.

Itsellä juuri näin. Ennen BW:tä en niitä 2FA-koodeja jaksanut palveluihin aktivoida kuin muutamaan. Enkä ikinä tunkisi satoja koodeja johonkin Authenticatoriin ja sieltä kaivelisi niitä kirjautumisten yhteydessä.

 

[elmu01]

Joo otin ton 2FAS:n testii. En nyt oikei ehkä ymmärrä tota "automaattista" täyttöö. Redditin kohalla ei esim toiminu, mutta Techbbs:n kohalla toimi. Täytyy ihmetellä lisää.

Edit: X toimi taas vaihteeks kivasti.

 

[Datsyuk13]

Bitwardenin hankkiminen on harkinnassa. Tilejäni on yritetty varastaa, joten nyt olisi aika laittaa tietoturvaa paremmaksi kuin tähän asti käytetyt helpot salasanat.

Onko Bitwardenin käytöstä mitään täysin aloittelijalle suunnattua opasta? Miten siis aloitan koko touhun? Käytän tietokoneella Chromea ja Androidilla Samsung Internettiä. Siinä toimii mainostenesto erittäin hyvin, joten mieluusti pitäisin sen käytössä. Toki jos tämän takia on "pakko" niin kaippa senkin voi vaihtaa Chromeen.

Ilmeisesti Bitwardenin käyttöönoton jälkeen ei kannata tallennella salasanoja Google- tilille? Tuossa saa olla tarkkana kun aina tottunut painelemaan vaan kyllä kyllä, että helpottaa kirjautumista. Pitänee siis tyhjentää Google- tilin muistissa olevat salasanat tässä alussa?

Joiltakin tileiltäni on tullut Gmailiin salasanan palauttamisen yrityksiä. Onko porukalla tapana vaihtaa myös sähköpostiosoitetta joskus? Sekin olisi melkoinen urakka yrittää vaihdella joka paikkaan ja ehkä turhaa, koska pelkällä sähköpostilla tuskin kukaan pääsee mihinkään sisään. Silti hieman tympäsee, kun tulee ainakin Facebookista ja Twitteristä vahvistuskoodeja salasanan vaihtoa varten.

 

[Lista]

Bitwardenin hankkiminen on harkinnassa. Tilejäni on yritetty varastaa, joten nyt olisi aika laittaa tietoturvaa paremmaksi kuin tähän asti käytetyt helpot salasanat.

Onko Bitwardenin käytöstä mitään täysin aloittelijalle suunnattua opasta? Miten siis aloitan koko touhun? Käytän tietokoneella Chromea ja Androidilla Samsung Internettiä. Siinä toimii mainostenesto erittäin hyvin, joten mieluusti pitäisin sen käytössä. Toki jos tämän takia on "pakko" niin kaippa senkin voi vaihtaa Chromeen.

Ilmeisesti Bitwardenin käyttöönoton jälkeen ei kannata tallennella salasanoja Google- tilille? Tuossa saa olla tarkkana kun aina tottunut painelemaan vaan kyllä kyllä, että helpottaa kirjautumista. Pitänee siis tyhjentää Google- tilin muistissa olevat salasanat tässä alussa?

Joiltakin tileiltäni on tullut Gmailiin salasanan palauttamisen yrityksiä. Onko porukalla tapana vaihtaa myös sähköpostiosoitetta joskus? Sekin olisi melkoinen urakka yrittää vaihdella joka paikkaan ja ehkä turhaa, koska pelkällä sähköpostilla tuskin kukaan pääsee mihinkään sisään. Silti hieman tympäsee, kun tulee ainakin Facebookista ja Twitteristä vahvistuskoodeja salasanan vaihtoa varten.

Bitwarden Bitwarden Eu

 

[Paapaa]

Miten siis aloitan koko touhun?

Aluksi vain luot ilmaisen tilin, asennat softat ja vähän testailet. Ei tarvitse heti mennä all-in, vaan pistä pari tunnaria sinne ja kokeile käyttää.

Hyvin tärkeää on käyttää vahvaa salasanaa Bitwardeniin. Sellaista jota et muualla käytä, mutta jonka muistat. Salasanalause on järkevä valinta.

Ilmeisesti Bitwardenin käyttöönoton jälkeen ei kannata tallennella salasanoja Google- tilille? Tuossa saa olla tarkkana kun aina tottunut painelemaan vaan kyllä kyllä, että helpottaa kirjautumista. Pitänee siis tyhjentää Google- tilin muistissa olevat salasanat tässä alussa?

Ei kannata. Pidä ne yhdessä paikassa ja katso ettei niitä tallenneta muualle. Menee muutoin pakka sekaisin. Jos olet tallettanut Googleen hyviä uniikkeja ja vahvoja tunnuksia, niin ne voinee siirtää Bitwardeniin. Tai sitten luot jokaiseen palveluun uudet.

Joiltakin tileiltäni on tullut Gmailiin salasanan palauttamisen yrityksiä. Onko porukalla tapana vaihtaa myös sähköpostiosoitetta joskus? Sekin olisi melkoinen urakka yrittää vaihdella joka paikkaan ja ehkä turhaa, koska pelkällä sähköpostilla tuskin kukaan pääsee mihinkään sisään. Silti hieman tympäsee, kun tulee ainakin Facebookista ja Twitteristä vahvistuskoodeja salasanan vaihtoa varten.

Noilta ei voi välttyä. 2FA kannattaa ottaa joka paikassa käyttöön. Itse käytän Bitwardenia normisivuihin (eli Bitwarden tarjoaa 2FA-koodin kun kirjaudun) ja sitten erityistärkeisiin käytän Yubikeytä. Mutta sähköposti itse kannattaa laittaa 2FA:n taakse. Se on kuitenkin avain moneen palveluun.

 

[qazserNOS]

Bitwardenin hankkiminen on harkinnassa. Tilejäni on yritetty varastaa, joten nyt olisi aika laittaa tietoturvaa paremmaksi kuin tähän asti käytetyt helpot salasanat.

Onko Bitwardenin käytöstä mitään täysin aloittelijalle suunnattua opasta? Miten siis aloitan koko touhun? Käytän tietokoneella Chromea ja Androidilla Samsung Internettiä. Siinä toimii mainostenesto erittäin hyvin, joten mieluusti pitäisin sen käytössä. Toki jos tämän takia on "pakko" niin kaippa senkin voi vaihtaa Chromeen.

Ilmeisesti Bitwardenin käyttöönoton jälkeen ei kannata tallennella salasanoja Google- tilille? Tuossa saa olla tarkkana kun aina tottunut painelemaan vaan kyllä kyllä, että helpottaa kirjautumista. Pitänee siis tyhjentää Google- tilin muistissa olevat salasanat tässä alussa?

Joiltakin tileiltäni on tullut Gmailiin salasanan palauttamisen yrityksiä. Onko porukalla tapana vaihtaa myös sähköpostiosoitetta joskus? Sekin olisi melkoinen urakka yrittää vaihdella joka paikkaan ja ehkä turhaa, koska pelkällä sähköpostilla tuskin kukaan pääsee mihinkään sisään. Silti hieman tympäsee, kun tulee ainakin Facebookista ja Twitteristä vahvistuskoodeja salasanan vaihtoa varten.

Kun tekee Bitwarden-tilin, pitää ensin valita alue. .com ja .eu ovat täysin erillisiä!

Androidiin asennettu Bitwarden pitää laittaa oletukseksi Googlen oman palvelun sijaan. Ainakin Vivaldi-selaimessa ja Googlen näppäimistön kanssa Bitwarden toimii hyvin (ehdottaa kirjautumista näppäimistön yllä) ja siinä on mainoksenestokin. Uusien salasanojen lisääminen ei välttämättä ole yhtä helppoa kuin tietokoneella.

Tietokoneella sitten käyttöön selaimen lisäosa, jolla salasanojen tallennus yleensä onnistuu napin painalluksella. Työpöytäsovelluskin löytyy, mutta sitä tarvitsee vain jos haluaa käyttää sormenjälkilukijaa.

Kaksivaiheiseen tunnistautumiseen suosittelen Androidille Aegisia, josta saa salatut varmuuskopiot helposti vaikka Dropboxiin. Paras olisi ottaa käyttöön 2FA myös Bitwardenille. Kertakäyttökoodia sille ei tarvitse halutessaan syöttää kuin uusille laitteille/selaimille eli ei hidasta käyttöä. 2FA-ratkaisu olisi sitten syytä olla hyvin varmuuskopioitu, tai voi menettää pääsyn Bitwarden-tiliinsä ikuisesti. SMS-koodimahdollisuutta ei ole.

Bitwardenilla kannattaa generoida vahvoja salasanoja. Itse en tiedä edes Google-salasanaani ulkoa.

 

[Datsyuk13]

Kiitokset kaikille vinkeistä. Käyttöönotto on nyt menossa. Windowsin Chromessa laajennus ei anna kirjautua sisään. Onko tosiaan niin, että EU- versiossa ei ole selainlaajennusta ollenkaan?

 

[TenderBeef]

Windowsin Chromessa laajennus ei anna kirjautua sisään. Onko tosiaan niin, että EU- versiossa ei ole selainlaajennusta ollenkaan?

 

[Biin]

Oliko nyt mitään helppoa keinoa siirtää bitwarden.com > bitwarden.eu? Vai onko tällä nyt jotain merkitystä edes?