Parhaat ohjelmat salasanojen säilytykseen

[Taneli-]

Ehkä ne salasanat vaan ihan oikeasti pitäisi unohtaa, kaikki tietää että ne on äärimmäisen ongelmallisia ja käytännössä toimimattomia tietoturvamielessä

Kuulostaa muuten hyvältä mutta kun yrittää selittää tuota tarpeeksi monta kertaa eri kauppojen kassoille, huoltoasemille ja pankeille kertoen että haluaa sellaisen pankkikortin missä ei ole salasanoja, numeroita tai koodeja koska ne ei vaan käytännössä toimi tietoturvamielessä voi ehkä joutua muuttamaan mielensä.

Samaten monesti kun joutuu asioimaan puhelimen välityksellä eri virastoissa ja jos toteaa hieman tuota mukaillen että "kysyit vain syntymäaikaani, en tietoturvaan perustuen haluaisi edes sitä sanoa mutta en varmasti kerro sosiaaliturvatunnustani" ja hetken vänkäät kuuluukin vain katkenneen puhelun ääntä.. ..vaikka miten kokisit olevasi oikeassa..

Oikeastaan tuohon ongelmaan törmää jo jos yrittää netin kautta kirjautua pankin sivulle nähdäkseen tilitietonsa tai toisen pankin sivuille nähdäkseen asuntolainansa.. ..ne väkisinkin haluavat tunnuksen ja salasanan vaikka mitä venkoilisi.

 

[pulatunnus]

Mm. OPAQUE protokollan ideana on juuri se, että sillä ei ole mitään väliä vaikka käyttäisit samaa salasanaa kaikissa palveuissa, koska palvelut eivät tiedä sitä salasanaa mitä kirjautumiseen käytettiin.

öö, jos käyttäisin samaa salasanaa joka paikkaan ja se vuotaisi, niin öö miten niin ei ole väliä.

Ja jos katsoo holvin listaa niin siellä nyt vain murto osa on yliopisto ja kriminaali palvelimeen liittyviä, jos joku palvelu, laite, on vihamielisen yllpitämä niin ehkä valitsee tuetut protokollat, käytännöt sen mukaan.

Ja kannattaa muistaa että salasana holviin tallennetuista salaisuuksista vain osa liittyy nettipalveluihin ja niistäkin vain osa sellaisia jotka aktiivisesti lisäilee muodissa olevia pääsynhallinta juttuja pysyvällä tuella. Osaan ihan turha panostaa, tunnus salasana pari , tai pelkkä salaisuus, PIN toimii tänäänkin.

 

[ztec]

öö, jos käyttäisin samaa salasanaa joka paikkaan ja se vuotaisi, niin öö miten niin ei ole väliä.

Se salaisuus, joka on palvelun päässä talletetettuna, ei itse salasana, joka on vain sinun tiedossa.

Aivan sama hommahan se on YubiKey:n 2FA:n kanssa. Se nimenomaisesti käyttää samaa salaisuutta (vastaa siis salasanaa (U2F, CTAP1)) kaikkiin palveluihin, johon sen rekisteröit. - Eli vastaa ihan suoraan tuota esimerkkiä jonka kerroin aikaisemmin salasanoista.

 

[pulatunnus]

Se salaisuus, joka on palvelun päässä talletetettuna, ei itse salasana, joka on vain sinun tiedossa.

Jos käyttäisin samaa salasanaa joka paikkaan ja se vuotaisi, niin öö miten niin ei ole väliä ?

Eli toimii vain siihen asti kun se ei ole vuotanut.

Se toki tärkeää että salasanan vuotapaikat vähenee, sen sijaan että samaa salasanaa käyttää satojan paikkojen sijaan vain parissasadassa on toki parempi.

Otsikon alla on ohjelmia, tuotteita, palveluita minkä avulla tarkoitus minimoida, jos ei yhteen per paikka niin sitä kohti. Tietenkin jos ne kaikki salaisuudet tunkee yhden ja saman salasanan taakse johonkin "holviin", niin sitten tavallaan jälleen kerran kaikki on se yhden takana, niin sen vuotaminen avaa hyökkääjälle kaikki.

Onhan se vähän haastavaa, ainakin kaikken riskialtteimpia juttuja vähän pitää erillään niistä mitä tarvii paljon, minkä kanssa voi selvitä jos ne joutuu vihamilisen käsiin.

 

[mylae]

Tuossa tuleekin esiin pilven takana olevien salasanamanagereiden vaara. Jos jokin haittaohjelma vuotaa pääsalasanasi, ja jotkut vielä keplottelevat jollain 2FA:n läpi, niin et voi suojautua tuota vasteen mitenkään. Siksi myös pilvipohjaisiin palveluihin kannattaa laittaa kirjautumisvaihtoehdoksi passkey. Se ei voi vuotaa ihan noin vain. Toinen vaihtoehto on käyttää offline-salasanamanageria jolloin ei tarvitse huolehtia passun vuotamisesta, sillä myös "holvi" täytyisi saada hyökkääjän käsiin. Ja sen voi myös suojata Yubikeyllä, avaintiedostolla tms. vielä pääsalasanan lisäksi.

Vaikuttaa vähän epätodennäköiseltä tilanteelta, että haittaohjelma saisi offline-managerin holvin salasanan muttei itse holvia tai selvätekstiä, ainakin perus Windows setupilla. Ellei sitten joku phishing sivu lukeudu haittaohjelmaksi

 

[asentaja142]

Näitä kun lukee alkaa tuntua että paperivihko voisi olla paras ratkaisu salasanoille mihin sitä vielä tarvitsee. Vaatii hakkerilta jo lekan millä tulla ovesta läpi.

 

[pulatunnus]

Vaikuttaa vähän epätodennäköiseltä tilanteelta, että haittaohjelma saisi offline-managerin holvin salasanan muttei itse holvia tai selvätekstiä, ainakin perus Windows setupilla. Ellei sitten joku phishing sivu lukeudu haittaohjelmaksi

Näitä kun lukee alkaa tuntua että paperivihko voisi olla paras ratkaisu salasanoille mihin sitä vielä tarvitsee. Vaatii hakkerilta jo lekan millä tulla ovesta läpi.

Holvit sun muut on nimenomaan sitä varten ettei ne salasanat pyöri papereilla, ja että voi käyttää jotain muuta kun yhtä ja samaa joka paikkaan.

Vain yksi uhka on verkon uhat, ei pidä unohtaa niitä paikallisia uhkia, vielä tänäpäivänä on paljonhekilöitä joilla on ne salaisuudet on paperilla ja usein lähellä sitä tietokonetta tai muuta jonka kanssa niitä käytetään. tai mukana, jne. Niitä uhreja on jopa sinuissakin , perheellisten lisäksi.

Verkkouhkaa varten voi suojautua paikallisella osalla, paperin lisäksi esim joillain on mobiili laite, "holvina". joka tarjoaa monenlaista vaihtoehto ja biometrisiä tunnistuksia. ja sen kopioiminen voi olla vaikeaa.

Joillain on sitten erilaisia dongleja, jos sen käyttö ei vuoda kuin sen mitä kysytään, niin onko ja jollain NFCllä aika on lyhyt. Vaikeaksi toki menee jos pitää käyttää laitteella joka ei tuo NFC , USBt tai jos tukee, mutta ei kyseistä donglea.

Olis se sitten pari toi joku muu, jos pitää huolen että sen joutuminen vihamielisen käsiin ei yksinään isosti vaaranna mitään.

Ja edelleen muistaa on todella tärkeitä asioita, on tärkeitä asioita ja on asioita jotka ei niin tärkeitä. Jos on joku mokkula mihin pitää naputella joku pin että saa sen auki, niin jos sitä joutuu kyttämään vähemmän tärkeiden kanssa, niin riseeraako se ne tärkeämmät.


Tai toisinäpin, yritän sanoa että johonkin useasti päivässä avattavaan holviin ei tunge jotain vahvan allekirjoituksen salaisuuksia, henkareiden PIN koodeja, mobiilivarmenteen PIN koodia, jotain muita minkä vuotaminen olisi iso vahinko.

 

[avokomposti]

Don't get me wrong: suurimmalla osalla sivustoista tämä toimii ihan ongelmitta ja mukisematta. Kuten esim. tällä foorumilla Lähinnä muutama iso toimija on koittanut tehdä tuosta jotenkin normaalia hankalampaa niiltä osin miten salasanamanagerit toimivat passkeyn kanssa yksiin. Ja joillain sivustoilla kaikki selaimet eivät jostain syystä ole tuettuja, vaikka sille ei ole mitään teknistä estettä.

Juu, vaan kyllähän sen pitäisi toimia varsinkin MS:n ja Googlen kokoisilla puljuilla about täydellisesti että viitsisi edes harkita käyttöä. Vaan eipä tässä kiirettä, salasanat ei taida olla häviämässä ihan helposti mihinkään.

 

[Satanen99]

Olen itse myös vakuuttunut protonista kun olen muutaman kuukauden sitä harjoitellut ja nimenomaan Proton Pass sovellus on käytössä ainoana salasana manager ohjelmana tällä hetkellä. Juurikin tuo salatun backupin luominen omaan haltuun ja se että laajennukseen saa oman pin koodin selaimeen sekä puhelimeen on omasta mielestä aika jees, toki nämä ominaisuudet luulisi löytyvän muiltakin. Proton sattui vain nousemaan esille kun aloin ottaa käyttöön ensimmäistä kertaa salasana manageria.

Kokeilussa ollut täälläkin ja voisin kertoa omat ajatukset:

Plussat:
-Autotype toimii moneen eri web-palveluun.
-Ohjelma toimii offline ilman nettiyhteyttä, voi määrittää vaatiiko salasanan, pin vai biometrian avautumiseen.
-Voi ladata salatun ZIP tiedoston salasanoista offline backuppiin.
-Voi käyttää salattuna muistiona melkein mitä tahansa korttitietoja ja koodeja varten ja voi lisätä liitetiedostoja.
-Accountilla voi synkkaa kännykkään omaan Pass ohjelmaan.
-Protonilla yrityksenä ei ole pääsyä salasanoihin selkokielisenä.
-Jos tietokone varastetaan tai hajoaa, niin miltä tahansa nettiselaimelta pääsee omaan accountiin, joka vaatii accountin pääsalasana+(2FA valinnainen) tai voi ladata ohjelman uusiksi netistä uudelle koneelle
-Voi luoda hide-my-email alias tunnuksia salasanoineen kun kirjautuu random palveluihin eikä halua käyttää niihin omaa sähköpostiosoitetta, hide-my-email alias postit ohjautuu sitten automaattisesti sähköpostiosoitteeseen.

Miinukset:
-Salasanan syöttö tietokoneohjelmaan tms muuta kuin web-kirjautuminen ei toimi autotype:llä vaan salasana pitää liittää itse poimia pass-ohjelmasta ja liittää ctrl+v. Silloin muilla ohjelmilla on pääsy leikepöydälle poimimaan salasana muistista?
-Jos unohtaa accountin pääsalasanan niin Proton ei voi palauttaa salasanoja mitenkään (tämä on oikeastaan tietoturva plussa).

 

[TenderBeef]

-Salasanan syöttö tietokoneohjelmaan tms muuta kuin web-kirjautuminen ei toimi autotype:llä vaan salasana pitää liittää itse poimia pass-ohjelmasta ja liittää ctrl+v. Silloin muilla ohjelmilla on pääsy leikepöydälle poimimaan salasana muistista?

Jos järjestelmässä on pahantahtoista koodia niin miten autotype on turvallisempi kuin leikepöydän käyttö? EDIT: Kysymys ihan yleisluontoisesti kaikille..

 

[asentaja142]

Miinukset:
-Salasanan syöttö tietokoneohjelmaan tms muuta kuin web-kirjautuminen ei toimi autotype:llä vaan salasana pitää liittää itse poimia pass-ohjelmasta ja liittää ctrl+v. Silloin muilla ohjelmilla on pääsy leikepöydälle poimimaan salasana muistista?
-Jos unohtaa accountin pääsalasanan niin Proton ei voi palauttaa salasanoja mitenkään (tämä on oikeastaan tietoturva plussa).

Jos unohtaa pääsalasanan niin ainoa tapa palauttaa tili tietoineen on palautuslauseke joka annetaan sinulle tilin luomisen yhteydessä. Myös laitepohjainen palautus on valinnainen optio.
2FA menetelmällä saa kyllä tilin palautettua mutta tietoja et, tai näin minä sen ymmärrän.

 

[avokomposti]

Googlen kanssa ei ole ollut ongelmaa passkeyn osalta. Koko MS:n kirjautumisysteemi vaan on hidas, kankea ja toimii ainakin minulla ihan miten sattuu salasanankin kanssa. Passkeyt ovat helpottaneet monen saitin kirjautumista. Senhän voi ottaa myös ihan vain 2FA:n korvaajaksi jollain sivustoilla, jos haluaa kuitenkin säilyttää tavallisen salasanan käytössä.

Mulla ei MS:n salasanakirjautumisen kanssa ole ollut ongelmia. Kankeahan se on kuten kaikki kirjautumissysteemit joissa ensin kysytään tunnusta ja sitten pitää painaa enter/ok ennenkuin kysytään salasanaa.

Tästä viestistä päättelin että Googlella on ollut melko pahaakin ongelmaa.

Siinä paha missä mainittiin, nyt on Google Account limbossa kun on PassKeys käytössä, saas nähdä saako sitä ikinä palautettua. Ärsyttävintä tässä on vielä se, että se sotkettiin Googlen päästä, kun ne mutti käytäntöjään. Täydellinen esimerkki siitä, miten haitallisia tietoturvakäytännöt on, varsinkin kun ne toteutetaan väärin.

Palveluun voi kirjautua, mutta hallintaan ei pääse, kun sinne pitäisi kirjautua vaimella. Jota Google ei enää hyväksy. No joo, sattuuhan noita kämmejä amatööreille, mutta jokseenkin raivostuttavaa että Googlen kokoinen putka mokailee tuolla tavalla.

Saas nähdä saako palautusta tehtyä koskaan, arvaukseni on, että ei.

 

[asentaja142]

Mulla ei MS:n salasanakirjautumisen kanssa ole ollut ongelmia. Kankeahan se on kuten kaikki kirjautumissysteemit joissa ensin kysytään tunnusta ja sitten pitää painaa enter/ok ennenkuin kysytään salasanaa.

Tästä viestistä päättelin että Googlella on ollut melko pahaakin ongelmaa.

Itsellä taas päinvastaisia kokemuksia ms kirjautumisessa. Omasta mielestä ainut mikä toimii moiteetta passwordless modessa passkeyn kanssa. Saisi kaikki siirtyä tähän että salasana poistetaan kokonaan.

 

[Satanen99]

Jos unohtaa pääsalasanan niin ainoa tapa palauttaa tili tietoineen on palautuslauseke joka annetaan sinulle tilin luomisen yhteydessä. Myös laitepohjainen palautus on valinnainen optio.
2FA menetelmällä saa kyllä tilin palautettua mutta tietoja et, tai näin minä sen ymmärrän.

Siinä on erilaisia pääsalasanan resetointi ja palautus tapoja, tärkeää huomata millä resetoi ja millä palauttaa tai luo uudet salausavaimet "You can also (optionally) use your recovery phrase to decrypt your emails, contacts, and other encrypted data." Protonin ohjeissa puhutaan vain accountin myötä Mail ja Drive palauttamisesta, mutta Pass ohjelmaa ei jostain syystä mainita erikseen..ehkä se on "other encrypted data" tai en tajua sitä kokonaisuutta vielä. Pitäisi kokeilla miten palauttaminen käytännössä onnistuu, mutta ensin kokonaan uudella tilillä ettei riko nyt toimivaa. Löytyy siitä tällanenkin "With Emergency Access, you can designate up to five trusted contacts who can access your Proton Mail, Proton Drive, Proton Pass, and Proton VPN if the unexpected occurs."

 

[Satanen99]

EDIT: Sekoittaako porukka Auto-Typen ja Auto-Fillin täällä keskenään? Ne ovat kaksi eri asiaa.

Kyllä, näin kävi. Redditissä on puhetta siitä kuinka osa Protonin tuotteista on keskeneräisiä, kuten tuo Pass:in Auto-Fill puute muihin kuin web-pohjaisiin tunnuskenttiin. Se ois tarpeellinen ettei mikään ohjelma pääse lukemaan selkokielisiä tunnuksia välistä.

 

[asentaja142]

Siinä on erilaisia pääsalasanan resetointi ja palautus tapoja, tärkeää huomata millä resetoi ja millä palauttaa tai luo uudet salausavaimet "You can also (optionally) use your recovery phrase to decrypt your emails, contacts, and other encrypted data." Protonin ohjeissa puhutaan vain accountin myötä Mail ja Drive palauttamisesta, mutta Pass ohjelmaa ei jostain syystä mainita erikseen..ehkä se on "other encrypted data" tai en tajua sitä kokonaisuutta vielä. Pitäisi kokeilla miten palauttaminen käytännössä onnistuu, mutta ensin kokonaan uudella tilillä ettei riko nyt toimivaa. Löytyy siitä tällanenkin "With Emergency Access, you can designate up to five trusted contacts who can access your Proton Mail, Proton Drive, Proton Pass, and Proton VPN if the unexpected occurs."

Kokeilin alussa tuota palautusta, mutta silloin ei ollut tosiaan vielä käytössä salasanaholveja vaan pelkästään sähköposteja.

 

[ztec]

Itsellä taas päinvastaisia kokemuksia ms kirjautumisessa. Omasta mielestä ainut mikä toimii moiteetta passwordless modessa passkeyn kanssa. Saisi kaikki siirtyä tähän että salasana poistetaan kokonaan.

Tässähän on myös yksi iso ero tuohon mitä mainittiin aikaisemmin. Tämä tila luo palvelukohtaisen avaimen, kun taas U2F tila, jossa se toimii pelkästään 2FA:na, ei taas luo palvelukohtaista avainta ja käyttää samaa avainta kaikkiin palveluihin. - Kuten aikaisemmin kirjoittelinkin. Mutta en tiedä aukesiko se kaikille.

 

[Paapaa]

Tässähän on myös yksi iso ero tuohon mitä mainittiin aikaisemmin. Tämä tila luo palvelukohtaisen avaimen, kun taas U2F tila, jossa se toimii pelkästään 2FA:na, ei taas luo palvelukohtaista avainta ja käyttää samaa avainta kaikkiin palveluihin. - Kuten aikaisemmin kirjoittelinkin. Mutta en tiedä aukesiko se kaikille.

Eikös se luo originin perusteella uniikin avainparin kyseiselle sivustolle?

The authenticator generates a new ECC key pair (using a standard EC parameter set specified by the FIDO U2F specifications). If the authenticator wants, it can use the information in the origin data as input to the key pair generation process. In fact, the Yubikey performs HMAC on the origin data, using an HMAC key derived from the FIDO U2F master key to generate the key pair. Note that the master key is in the secure element and never leaves the YubiKey.

How FIDO U2F works

docs.yubico.com

Ja siis koska origin on mukana avaimen luonnissa, ei sama avain toimi toisella sivustolla. Mutta ehkä ymmärsin jotain väärin tai puhutaan eri asioista?

 

[ztec]

Eikös se luo originin perusteella uniikin avainparin kyseiselle sivustolle?

Ja siis koska origin on mukana avaimen luonnissa, ei sama avain toimi toisella sivustolla. Mutta ehkä ymmärsin jotain väärin tai puhutaan eri asioista?

Niin siis kaikki (U2F) avaimet perustuvat yhteen (ja samaan) salaisuuteen, juuri kuten sanoin aikaisemmin. - Aivan kuten sanoin salasanoistakin aikaisemmin mm. OPAQUE:n tapauksessa.

Jos se yksi avain vuotaa, se avaa pääsyn kaikkiin palveluihin joissa sitä käytetään. Aika selvä juttu tietenkin.

Puhutaan täsmälleen samasta asiasta ja juuri samasta asiasta siinä on kyse. - Eli siitä, että käytössä on yksi ja sama salaisuus, riippuen sitten siitä mistä kulmasta asiaa katsotaan se on hyvä tai huono asia.

Mielestäni linkittämässäsi artikkelissa ei todettu mitään tästä poikkeavaa. Vaan juuri vahvistettiin tämä fakta. Jo otsikossa lukee master key.

 

[Paapaa]

Niin siis kaikki (U2F) avaimet perustuvat yhteen (ja samaan) salaisuuteen

Perustuvat samaan master-salaisuuteen, mutta ovat eri avaimia/avainpareja. Tämä on todella oleellinen ero. Sain jutuistasi käsityksen, että eri sivustoille annettaisiin sama avain, mutta näin ei siis ole. Ehkä ymmärsin väärin mitä ajoit takaa mutta tämä on hyvä alleviivata.

 

[Infy]

Tutkijat ovat löytäneet erinäisiä haavoittuvuuksia Bitwarden, Dashlane ja LastPass salasanaohjelmista. Jos hyökkääjät saavat niiden palvelimet haltuunsa niin käyttäjien salasanat ovat mahdollisesti vaarassa.

Academics say they found a series of flaws affecting three popular password managers, all of which claim to protect user credentials in the event that their servers are compromised. They examined the "zero-knowledge encryption" promises made by Bitwarden, LastPass, and Dashlane, finding all three could expose passwords if attackers compromised servers.

Bitwarden was most susceptible to attacks, with 12 working against the open-source product. Seven distinct attacks worked against LastPass, and six succeeded in Dashlane.

The researchers said: "The majority of our attacks require simple interactions which users or their clients perform routinely as part of their usage of the product, such as logging in to their account, opening the vault and viewing the items, or performing periodic synchronization of data.

Password managers don’t protect secrets if pwned

: Researchers demo weaknesses affecting some of the most popular options

www.theregister.com

 

[sm81]

Nyt vaan odotetaan noiden firmojen vastinetta.

 

[TenderBeef]

Nyt vaan odotetaan noiden firmojen vastinetta.

Security through transparency: ETH Zurich audits Bitwarden cryptography against malicious server scenarios | Bitwarden

A new in-depth security report is available, continuing the Bitwarden commitment to transparency and trusted open source security. The audit, conducted by the prestigious Applied Cryptography Group at ETH Zurich, proactively tested Bitwarden core cryptography operations against the hypothetical...

bitwarden.com

The analysis tested ten distinct attacks against Bitwarden zero-knowledge encryption architecture, later split to twelve attacks by the researchers in their publication after initial disclosure, in a hypothetical scenario involving a fully malicious server. The issues were identified and categorized as “medium” and “low” impact, largely because they require a highly sophisticated attacker who already has control over Bitwarden server infrastructure.

All issues have been addressed by Bitwarden. Seven of which have been resolved or are in active remediation by the Bitwarden team. The remaining three issues have been accepted as intentional design decisions necessary for product functionality.

To reiterate, Bitwarden has never been breached and believes third-party security assessments like these are critical to continue providing state of the art security to individuals and organizations. Millions of users and thousands of businesses trust Bitwarden everyday to protect their sensitive information and stay secure online.