Parhaat ohjelmat salasanojen säilytykseen

[Infy]

Android 10 ehkä korjaa tuon taustalla tapahtuvan leikepöydän luvun vaatimalle erillisen oikeuden sille.



Android Q Will Better Protect Your Privacy With New Features

Samsungin luureissa on pitkään ollut hieno toiminto joka tallentaa leikepöydälle kopioidut tekstit. Vaikka joku salasanaohjelma kopioi salasanan leipöydölle vain vaikka minuutin ajaksi ja sitten pyyhkii sen, löytyy salasana silti vielä tuon hienon toiminnon ylläpitämästä leikepöytähistoriasta. Jos haluaa ne sieltä pois pitää ne itse poistaa. Kaiken lisäksi koko leikepöytähistoria tallentuu selväkielisenä tiedostojärjestelmään. Sen lukeminen tosin vaatii root-oikeiden. Ja toisaalta sen poistaminen vaatii tehdasasetusten palauttumisen tai root-oikeudet.

 

[TenderBeef]

Vaikka joku salasanaohjelma kopioi salasanan leipöydölle vain vaikka minuutin ajaksi ja sitten pyyhkii sen

Tämä ei nyt suoraan liity tuohon Samsungin juttuusi, olen ymmärtänyt, että android appsit voivat "rekisteröityä" androidin systeemiin sillä lailla että android aina ilmoittaa kyseisille appseille että nyt muuttui leikepöytä ja tällä tiedolla. Eli toisin sanoen tuollaisella "tyhjää leikepöytä x sekunnin päästä" toiminnolla ei käytännössä ole mitään merkitystä. Hankalia juttuja nämä erittäin salaisten tietojen pitäminen salaisina.

Bitwardenin web-vaulttiin jos kirjautuu niin silloinhan master passwordhan "vuotaa" heidän serverille. Todennäköisesti he pitävät sen vain muistissa loggautumisen ajan ja sitä ei tallenneta mihinkään. Tosin olet jo luottanut softan tekijään jos olet käyttänyt sen appseja. Ja samahan on esim. Keepassin kanssa, luotat softan tekijään. Tietokoneella sitten taas varmaan softa/selainlisäke kopioi tietoja leikepöydän kautta joten siinä on vuotamisen mahdollisuus, mutta jos koneellasi on jo joku vakoilijasofta (Windows?) niin pelihän on jo muutenkin menetetty. Hankalia kyllä nämä salassa pidettävät asiat kun rupeaa miettimään kaikkia vuotomahdollisuuksia.

 

[Xiyng]

Bitwardenin web-vaulttiin jos kirjautuu niin silloinhan master passwordhan "vuotaa" heidän serverille.

Sinänsä ei ole pakko, ks. Challenge–response authentication - Wikipedia. Tosin tuossakin on heikkoutensa, ja joka tapauksessa Bitwardenin tarjoamassa client-päässä tuokin pitää käsitellä - mutta palvelimelle asti ei tarvitse mennä salasanaa. Vielä olennaisempaa on, etten tiedä, miten Bitwarden tuossa suhteessa toimii, mutta veikkaan joka tapauksessa, että salasanaa käytetään.

 

[TenderBeef]

Menee ehkä mun ymmärryksen yli, mutta eikös sen serverin ole pakko tietää se master pw, millä se muuten decryptaa auki sen "vaultin"?

 

[jjs]

Menee ehkä mun ymmärryksen yli, mutta eikös sen serverin ole pakko tietää se master pw, millä se muuten decryptaa auki sen "vaultin"?

En tiedä miten juuri tässä ohjelmassa, mutta yleensä salasanaa ei tallennetta palvelimelle, vaan siellä on vain salasanasta laskettu tarkastussumma. Muuten noita kaikennäköisiä salasanavuotoja olisi vielä enemmän kuin nyt.

 

[TenderBeef]

Olen kyllä tietoinen tuosta, mutta silti epäilen miten jos pelkkä hash lähetetään serverille niin miten sillä voisi avata sen kryptatun tiedon joka siellä Bitwardenin serverillä on kun kerran se on väitetysti kryptattu client-side. Onko se tieto sitten kryptattu hashilla eikä suoraan sillä pw:lla? Ääh, nyt menee jo överiksi, joka tapauksessa se pw minusta "vuotaa" ainakin siksi ajaksi kun olet kirjautunut nettipalveluun. Mutta se on kuitenkin siitä kiinni että luotatko palveluntarjoajaan (EDIT: ja heidän mahdollisiin kolmannenosapuolen käyttämiin server-palveluihin.. tässä tapauksessa Microsoft Azure?).

Esim. SpiderOak joka on minulla käytössä, se on myös client-side-encrypted tyylinen palvelu, mutta jos kirjautuu omalle tilille nettiselaimen kautta, se master pw menee serverille, mutta se on (kuulemma) vain serverin muistissa sen aikaa kun on kirjautuneena sisään, sitä ei tallenneta mihinkään.

 

[Humanoid]

Offline-pohjaisissa ratkaisuissa (esim. KeePassXC/KeePass) on aina se etu, että voit itse valita cloud-ratkaisun johon luotat, mikäli edes haluat ottaa sellaisen käyttöön.

 

[TenderBeef]

Juuri näin. Mutta kuitenkin siinäkin joudut luottamaan sen softan tekijään ettei se vuoda mitään siinä tapauksessa jos sallii ulosmenevän liikenteen esim. suoraa pilvisynkkausta varten. Toki voi järjestää synkkauksen passusoftasta erikseen niin sen vuotomahdollisuuden saa estettyä. Deep down se on kuitenkin aika paljon luottamusta softaan näiden kanssa.

 

[Kautium]

Pitäisikö Bitwardenin osata jotenkin täyttää tunnustiedot eri palveluihin ilman käyttäjän toimenpiteitä ("autofill")? Pikaisella testauksella näin ei ainakaan oletuksena tapahdu Firefoxilla, eli käyttäjän pitää käydä sieltä Bitwarden addonin valikosta klikkaamassa haluttua tunnusta.

Edit.
Näköjään asetuksissa on tämän tarpeen toteuttava "experimental feature":
Auto-fill logins using the browser extension | Bitwarden Help & Support

Bitwarden includes an experimental feature to auto-fill logins immediately after a webpage containing a login form loads in your browser. This feature requires you to opt-in to use it. You can enable “Auto-fill On Page Load” under Settings → Options.

In the case of multiple logins matching the current website, the last used login will be used for the auto-fill operation. If the wrong login is auto-filled, you can auto-fill again using the popup window and reset the last used login.

 

[Humanoid]

Juuri näin. Mutta kuitenkin siinäkin joudut luottamaan sen softan tekijään ettei se vuoda mitään siinä tapauksessa jos sallii ulosmenevän liikenteen esim. suoraa pilvisynkkausta varten. Toki voi järjestää synkkauksen passusoftasta erikseen niin sen vuotomahdollisuuden saa estettyä. Deep down se on kuitenkin aika paljon luottamusta softaan näiden kanssa.

Toki joudun. KeePass-pohjaisissa edes ulosmenevää liikennettä ei ole oletuksena lainkaan, poislukien päivitysten tarkistus ja faviconien lataus (jotka eivät edes tapahdu automaattisesti). Jos foliohattua alkaa kiristää, voin aina tarkistaa asian lähdekoodista.

 

[TenderBeef]

Pitäisikö Bitwardenin osata jotenkin täyttää tunnustiedot eri palveluihin ilman käyttäjän toimenpiteitä ("autofill")? Pikaisella testauksella näin ei ainakaan oletuksena tapahdu Firefoxilla, eli käyttäjän pitää käydä sieltä Bitwarden addonin valikosta klikkaamassa haluttua tunnusta.

Edit.
Näköjään asetuksissa on tämän tarpeen toteuttava "experimental feature":
Auto-fill logins using the browser extension | Bitwarden Help & Support

Ei ole suositeltavaa käyttää tuollaista toimintoa. Tietosi voivat vuotaa. Tässä yksi esimerkki, on tosin pari vuotta vanha artikkeli mutta silti pätevä: Ad targeters are pulling data from your browser’s password manager

The scripts work by injecting invisible login forms in the background of the webpage and scooping up whatever the browsers autofill into the available slots.

 

[user9999]

Tiedä sitten kuinka turvallinen tuo Applen Safari AutoFill ratkaisu on Tulee käytettyä.

 

[TenderBeef]

Ihan sama ongelma siinäkin, jos jotain dataa lisätään automaagisesti nettisivun form-kenttiin niin ne voivat vuotaa. Suosittelen laittamaan pois päältä. Se on aika pieni juttu IMO klikata sitä kenttää sivulla ja valita login.

 

[user9999]

Ihan sama ongelma siinäkin, jos jotain dataa lisätään automaagisesti nettisivun form-kenttiin niin ne voivat vuotaa. Suosittelen laittamaan pois päältä. Se on aika pieni juttu IMO klikata sitä kenttää sivulla ja valita login.

Juu noin se toimii. Eli toimii vain jos klikkaa alla olevan kuvan oikealla olevaa avaimen/nuolen kuvaa, joka tuossa username kohdassa. Sitten sormella vahvistus.

 

[TenderBeef]

Eli oliko "Safari AutoFill" asetus pois päältä tuossa kuvassa? Tuo on harmillinen tuo "autofill" termi kun se jossain softassa tarkoittaa ihan sitä mihin se mielestäni viittaa eli automaattisesti täytetään se tieto, mutta jossain softissa kuten esim. Bitwardenissa se ei sitä tarkoita vaan pitää erikseen valita se tieto jonka softa sitten täyttää siihen kenttään/tiin.

 

[TenderBeef]

Jos joku käyttää Firefoxin salasanamanageria niin kannattaa pistää tämä asetus falseksi about:config kautta: Signon.autofillForms - MozillaZine Knowledge Base

Chromessa se asetus taitaa olla Settings-> Autofill-> Passwords-> Auto Sign-in

 

[user9999]

Eli oliko "Safari AutoFill" asetus pois päältä tuossa kuvassa? Tuo on harmillinen tuo "autofill" termi kun se jossain softassa tarkoittaa ihan sitä mihin se mielestäni viittaa eli automaattisesti täytetään se tieto, mutta jossain softissa kuten esim. Bitwardenissa se ei sitä tarkoita vaan pitää erikseen valita se tieto jonka softa sitten täyttää siihen kenttään/tiin.

Tuo kuva on netistä niin tuossa on Touch ID Safari AutoFill käytössä. Tuossa ehdotetussa tunnuksessa tuo sormenjäljen kuva. Toimii myös hiirellä valitsemalla tuota tunnusta.
Oon nyt pöytäkoneella (ei Touch ID:ta) niin toimenpide pitää tehdä hiirellä valitsemalla tunnus.

Sekava on. Tuo Touch ID (Safari AutoFill) tuli muutama kuukausi sitten Mojave käyttöjärjestelmään ja laitteisiin joissa Touch ID.
Apple to simplify Safari AutoFill with Touch ID support in macOS 10.14.4

 

[user9999]

Tuo kuva on netistä niin tuossa on Touch ID Safari AutoFill käytössä. Tuossa ehdotetussa tunnuksessa tuo sormenjäljen kuva. Toimii myös hiirellä valitsemalla tuota tunnusta.
Oon nyt pöytäkoneella (ei Touch ID:ta) niin toimenpide pitää tehdä hiirellä valitsemalla tunnus.

Sekava on. Tuo Touch ID (Safari AutoFill) tuli muutama kuukausi sitten Mojave käyttöjärjestelmään ja laitteisiin joissa Touch ID.
Apple to simplify Safari AutoFill with Touch ID support in macOS 10.14.4

Tuossa vielä tilanne MacBook Pro 2017 koneella jossa Touch ID.

Spoileri: Kuva

 

[Kautium]

Eli oliko "Safari AutoFill" asetus pois päältä tuossa kuvassa? Tuo on harmillinen tuo "autofill" termi kun se jossain softassa tarkoittaa ihan sitä mihin se mielestäni viittaa eli automaattisesti täytetään se tieto, mutta jossain softissa kuten esim. Bitwardenissa se ei sitä tarkoita vaan pitää erikseen valita se tieto jonka softa sitten täyttää siihen kenttään/tiin.

Bitwardenissa autofill tarkoittaa samaa kuin useimmissa muissakin, eli että login-tiedot täytetään niille varattuihin kenttiin käyttäjän tekemän valinnan jälkeen ja "autofill on page load" on sitten Bitwardenin oma termi sille täysin automaattiselle täytölle.

 

[Humanoid]

Ihan sama ongelma siinäkin, jos jotain dataa lisätään automaagisesti nettisivun form-kenttiin niin ne voivat vuotaa. Suosittelen laittamaan pois päältä. Se on aika pieni juttu IMO klikata sitä kenttää sivulla ja valita login.

Juurikin näin. On aina turvallisempaa odottaa käyttäjältä jotain toimenpidettä joka täydentää kentät, kuin että se tapahtuisi automaattisesti.

En tiedä Bitwardenin Auto-Fillistä, mutta ainakin KeePassXC:n selainlaajennuksen puolella kaikki kentät jotka ovat piilossa, eivät näy kyseisellä sivulla, ovat liian pieniä tms. ignorataan täysin. Lisäksi sivuston tai muiden laajennusten scriptat eivät pysty suorittamaan toimintoja joilla saisi täydennyksen tehtyä ilman käyttäjän toimenpiteitä. Tämän lisäksi login-kentät toimivat aina ns. kombinaatioina, eli tietoja ei vahingossakaan kirjoiteta mihinkään yksittäiseen kenttään.

Ja jos Auto-Filliä haluaa välttämättä käyttää, voi sivulle asettaa manuaalisesti käyttöön vain tietyt kentät joihin täyttö tapahtuu.

 

[TenderBeef]

Bitwardenissa autofill tarkoittaa samaa kuin useimmissa muissakin

Harmi vaan että ei tarkoita kaikissa softissa, helposti tulee väärinkäsityksiä kun mainitaan autofill.

 

[Kautium]

Harmi vaan että ei tarkoita kaikissa softissa, helposti tulee väärinkäsityksiä kun mainitaan autofill.

Näinhän se on joo. Minäkin olin alunperin siinä uskossa, että autofill juuri tarkoittaisi sitä että tiedot täytetään automaattisesti ilman mitään käyttäjän toimia sopiviin kenttiin.

 

[Hans Niskatuki]

https://blog.bitwarden.com/bitwarden-mobile-app-v2-0-now-available-a39829b42fc5

Jun 14

We’re excited to announce v2.0 of the Bitwarden mobile app. This release is a complete re-write of a Bitwarden mobile app from the ground up. This particular release is for Android only, however, iOS will soon follow. The goal of this re-write was to bring the mobile app in-line with all of the other Bitwarden client applications in terms of quality and feature parity. This will also allow us to iterate new versions more quickly and in line with other Bitwarden applications as we continue to add new features.

edit:

2.0.x-version uusien ominaisuuksien osalta on mainittu mm. :

New Features
.
.
.

• PIN + Fingerprint unlocking can be used together at the same time

Jostain syystä itse en aluksi saanut version 2.0.4 ( 1921) asennettuani asetuksista kohdasta "Lukitseminen - Avaa sormenjäljellä" sormenjälkitunnistusta toimimaan lainkaan vaan se pysyi sinnikkäästi harmaana ja "Ei käytössä". Tähän auttoi kuitenkin Androidin kielen vaihtaminen tilapäisesti suomesta englanniksi (itse appsihan noudattaa käyttiksen kieltä ja kielelle ei käsittääkseni ole erillistä asetusta). Tämän jälkeen sormenjälkitunnistuksen pystyi enabloimaan ja käyttiksen kielen palautuksen jälkeenkin valinta pysyi vihreänä "Käytössä".

Appsiin saa asetuksista valittua nyt myös Dark Themen. Sormella scrollaamalla löytyy eri vaihtoehtoja defaultin lightin lisäksi.

 

[Inehmo|]

https://blog.bitwarden.com/bitwarden-mobile-app-v2-0-now-available-a39829b42fc5



edit:

2.0.x-version uusien ominaisuuksien osalta on mainittu mm. :

Jostain syystä itse en aluksi saanut version 2.0.4 ( 1921) asennettuani asetuksista kohdasta "Lukitseminen - Avaa sormenjäljellä" sormenjälkitunnistusta toimimaan lainkaan vaan se pysyi sinnikkäästi harmaana ja "Ei käytössä". Tähän auttoi kuitenkin Androidin kielen vaihtaminen tilapäisesti suomesta englanniksi (itse appsihan noudattaa käyttiksen kieltä ja kielelle ei käsittääkseni ole erillistä asetusta). Tämän jälkeen sormenjälkitunnistuksen pystyi enabloimaan ja käyttiksen kielen palautuksen jälkeenkin valinta pysyi vihreänä "Käytössä".

Appsiin saa asetuksista valittua nyt myös Dark Themen. Sormella scrollaamalla löytyy eri vaihtoehtoja defaultin lightin lisäksi.

Olikin näköjään automaagisesti päivittinyt. Black theme OLED-näytöllä kyllä priimaa.

 

[Joonikko]

Itselläni on nykyään KeePass käytössä, koska jokaiselle alustalle löytyy toimiva versio ohjelmasta ja tiedot tallentuvat yhteen kdbx-tiedostoon, joka on helppo siirtää ja varmuuskopioda, sekä voi itse valita käyttämänsä pilipalvelun tai olla käyttämättä.

Ohjelmat eri alustoille:

• Windows: KeePass
• macOS: MacPass
• Android: Keepass2Android & Keepass2Android Offline
• iOS: MiniKeePass

Spoileri

Lisäksi lista mitä on ennen ollut käytössä ja miksi vaihdoin muuhun sovellukseen:

• 1Password: siirtyivät kuukausittaisiin maksuihin ja omaan pilvipalveluun.
• Locko: kehitys lopetettiin
• Enpass: versio 5.x oli hyvä ja toimiva selainlisäosineen, mutta julkaisivat v6.0:n automaattisena päivityksenä ilman kunnollista testausta ja se sisälsi paljon bugeja, joista osa aiheutti datan menettämistä joillekin käyttäjille. Samalla poistivat kaikki 5.x version lataukset sivuiltaan (näyttävät olevan lisänneen takaisin). Datan ulosvienti CSV:nä teki epämääräisesti järjestellyn taulukon, jota sai järjestellä pari tuntia Excelissä ennen kuin sen pystyi tuomaan toiseen ohjelmaan.

 

[Humanoid]

Itselläni on nykyään KeePass käytössä, koska jokaiselle alustalle löytyy toimiva versio ohjelmasta ja tiedot tallentuvat yhteen kdbx-tiedostoon, joka on helppo siirtää ja varmuuskopioda, sekä voi itse valita käyttämänsä pilipalvelun tai olla käyttämättä.

Ohjelmat eri alustoille:

• Windows: KeePass
• macOS: MacPass
• Android: Keepass2Android & Keepass2Android Offline
• iOS: MiniKeePass

Tai sitten voit käyttää KeePassXC:tä joka toimii joka desktop-alustalla (Win/Mac/Linux).

 

[Xiyng]

Tai sitten voit käyttää KeePassXC:tä joka toimii joka desktop-alustalla (Win/Mac/Linux).

Ja näitähän voi toki käyttää ristiinkin, koska samaa tiedostoformaattia ne kuitenkin käyttävät. Itse käytän Windows-puolella alkuperäistä KeePassia ja Linux-puolella KeePassXC:tä, jossa on Linuxissa huomattavasti parempi käytettävyys kuin alkuperäisessä KeePassissa.

 

[escalibur]

Tulipa otettua Bitwarden Premium henkilökohtaiseen ja perhekäyttöön. Toistaiseksi vaikuttaa pätevältä, vaikkakin en ehtinyt testata ihan kaikkia ominaisuuksia 2FA:n ohella.


ps. LastPassin käyttäjille:



Issue 1930 - project-zero - Project Zero - Monorail

https://blog.lastpass.com/2019/09/lastpass-bug-reported-resolved.html

Hyvä että saivat tämän hoidettua miltei välittömästi.

 

[ontelo]

Olin pitkään käyttäny LastPassia, mutta kavereiden ehdotuksesta vaihdoin 1Passwordiin ja oon ollu tyytyväinen. Tässä isoimmat syyt:

• 1Password sisältää 2-way-auth koneiston sisäänrakennettuna. Eli jos kirjaudut vaikka paypaliin tjsp ja salasanan jälkeen kysyy koodia niin 1password osaa täyttää sen autom. Ei tarvii enää kaivaa sitä kännykkää esille.
  • Kännykkä toki esille silloin kun itse 1passwordiin kirjaudutaan uudelta laitteelta.
• 1Password tukee subdomaineja, mitä lastpass ei tee.
• Extensioni toimii kaikkialla. Lastpassilla oli paikoitellen ongelmia tiettyjen sivustojen kanssa.

Muuttaminen oli aika simppeliä. Piti vaan exportata jutut Lastpassista ja importoida 1Passwordiin.

 

[Eli4s]

Olin pitkään käyttäny LastPassia, mutta kavereiden ehdotuksesta vaihdoin 1Passwordiin ja oon ollu tyytyväinen. Tässä isoimmat syyt:

• 1Password sisältää 2-way-auth koneiston sisäänrakennettuna. Eli jos kirjaudut vaikka paypaliin tjsp ja salasanan jälkeen kysyy koodia niin 1password osaa täyttää sen autom. Ei tarvii enää kaivaa sitä kännykkää esille.
  • Kännykkä toki esille silloin kun itse 1passwordiin kirjaudutaan uudelta laitteelta.
• 1Password tukee subdomaineja, mitä lastpass ei tee.
• Extensioni toimii kaikkialla. Lastpassilla oli paikoitellen ongelmia tiettyjen sivustojen kanssa.

Muuttaminen oli aika simppeliä. Piti vaan exportata jutut Lastpassista ja importoida 1Passwordiin.

Lastpass on vaan ilmaiseksi palveluksi oikein fiksu, mutta eipä tuo 1passwordikaan kovin paljoa vuodessakaan kustanna.

 

[ontelo]

Lastpass on vaan ilmaiseksi palveluksi oikein fiksu, mutta eipä tuo 1passwordikaan kovin paljoa vuodessakaan kustanna.

Joo tuohan se syy oli alunperin. Helpottanu vaan omaa arkea niin paljon, että tuo muutama euro ei paljon hetkauta.

 

[escalibur]

Olin pitkään käyttäny LastPassia, mutta kavereiden ehdotuksesta vaihdoin 1Passwordiin ja oon ollu tyytyväinen. Tässä isoimmat syyt:

• 1Password sisältää 2-way-auth koneiston sisäänrakennettuna. Eli jos kirjaudut vaikka paypaliin tjsp ja salasanan jälkeen kysyy koodia niin 1password osaa täyttää sen autom. Ei tarvii enää kaivaa sitä kännykkää esille.

Tuo on aika kaksipiippuinen asia. Itse esimerkiksi en missään nimessä pitäisi "kaikkia munia samassa korissa". Jos käy perinteinen, on mitä todennäköisemmin vaikeampaa arvata mitä ulkopuolinen appi generoisi sisärakennetun sijasta.

 

[ontelo]

Tuo on aika kaksipiippuinen asia. Itse esimerkiksi en missään nimessä pitäisi "kaikkia munia samassa korissa". Jos käy perinteinen, on mitä todennäköisemmin vaikeampaa arvata mitä ulkopuolinen appi generoisi sisärakennetun sijasta.

Näinhän se on. Tosin, että joku ulkopuolinen pääsee käsiksi tiliin, tarvitsee secret keyn, mun salasanan sekä vielä luurista 2way authin.

Se on eriasia sit jos itse tietokanta borkataan.

 

[Jurputin]

Salasanan säilyttäminen esimerkiksi muistilapulla povitaskussa on huomattavasti turvallisempaa kuin sen säilyttäminen pilvessä. Tämä nyt on vain tällaisen alalla olleen mielipide.

 

[ontelo]

Salasanan säilyttäminen esimerkiksi muistilapulla povitaskussa on huomattavasti turvallisempaa kuin sen säilyttäminen pilvessä. Tämä nyt on vain tällaisen alalla olleen mielipide.

Ja sama salasana kaikkeen? Vai onko sulla nippu papereita taskussa?

 

[Jurputin]

Tämä on se ongelma. Pahimmassa tapauksessa olet itse (dna) pääsy kaikkeen, tai sitten säilytät salasanat erillisinä itsestäsi. Toisaalta pilvessä salasanat ovat ovat saatavissa ilman sinun fyysistä läsnäoloasi.

 

[Eli4s]

Salasanan säilyttäminen esimerkiksi muistilapulla povitaskussa on huomattavasti turvallisempaa kuin sen säilyttäminen pilvessä. Tämä nyt on vain tällaisen alalla olleen mielipide.

Perustelisitko miten tämä on turvallisempaa?

 

[Taneli-]

Perustelisitko miten tämä on turvallisempaa?

Sanotaan nyt esimerkkinä että jos käytetään pahinta mahdollista skenaariota eli käyttäjällä on (olen oikeasti nähnyt) se alkuperäinen lappu missä koneen tiedot ja salasana taitettuna koneen kannen ja näppäimistön välissä (läppäri) niin vielä täytyi päästä sotilaspoliisien ja koirien vartioimalle aidatulle alueelle + kantahenkilökunnan lävitse useista ovista jotka aukeavat ainoastaan kulkukortilla ja sinulla pitäisi olla myös tunnistekortti roikkumassa näkyvillä.

Eli ainakin armeijan tiloissa tuo on oikeasti turvallisempi vaihtoehto.

Tietysti jos miettii vaikka yleistä koulutilaa missä takki jätettäisiin ulos käytävään ilman mitään valvontaa se tuskin olisi ns. "turvallisempi" vaihtoehto.

Toki myös älyä voi käyttää, jos se salasana on rypistetty paperi missä lukee:

- Munia
- uunilenkki
- nakkeja
- 1 L maitoa
- Paahtoleipä
- conan sarjis

Ei siitä ehkä arvata ensimmäisenä salasanan olevan "Mun1Pc" (mikä salasanana on täysin surkea, älkää siis käyttäkö).

 

[a85]

Itse vaihdoin keepassin bitwardeniin, pelkästään helpomman käytettävyyden takia. Toki jos foliohattu kiristäisi niin saattaisi tuo ahdistaa kun tietokanta on nyt "kaikkien saatavilla". Pilvipalvelin on kuitenkin omassa hallinnassa niin ei pitäisi olla huolissaan, että joku muu pääsisi tietoja näpelöimään.

 

[ravallo]

Lappu läppärin välissä ei ole lähelläkään huonointa salasanakäytäntöä, mutta ehkä nykypäivänä ei ihan kaikkein kätevin, salasanoja kuitenkin tarvitsee jonkun 10-20 lähes päivittäiseen käyttöön ja 50+ satunnaisemmin.

Tietoturvan kanssa joutuu aina tekemään kompromisseja käytettävyyden kanssa, ja jos käytettävyys tippuu liian huonoksi, alkaa oikominen turvallisuudesta. Meillä firmassa esimerkiksi selvästi huonoja käytäntöjä ovat salasanojen lyhyet vanhenemisajat ja virallisen salasanamanagerin puute.

 

[neko]

Koskien tuota, että tietokanta on "muiden saatavilla", niin tietokanta lienee salatussa muodossa, joten saahan sitä käpistellä. Laitoin muistaakseni testi LastPassin tietokannani nettiin murossa, ja sitä sai murtaa halutessaan. Ei kuulunut ikinä mitään, tosin olisi kannattanut laittaa jonnekin kansainväliselle foorumille niin olisi saanut ehkä enemmän huomiota.

Mutta siis mä se vaan pysyn LastPassissa, vaikka tosin olen mieltynyt laittamaan asioita talteen KeePass2:een (niin Wintendossa/Androidissa, sync autom. pilven kautta), kun LastPassin GUI/käytettävyys (muussa kuin tunnusten autom syötössä) on itse asiassa aika persiistä välillä, varsinkin toimivuus Androidissa vähän sinne päin. KeePass2:ssa saan saman tien tarvittaessa käyttööni sen perhanan tarvitsemani salasanan, ilman että jo tehdyn kirjautumisen jälkeen saan LastPassissa vielä kerran kirjoittaa salasanan (joka on tosiaan vahva, ja joo ymmärrän kysymyksen tarpeen). Työpöytä selailussa LastPass kuitenkin hoitaa hommat edelleen hyvin, joten vielä ei ole riittävästi tullut intoa kokeilla esim. tuota monen hokemaa Bitwardenia. Pitää joskus jos LastPassin kanssa tulee todellisia ongelmia. Onneksi usea paikka tarjoaa 2FA:n, olen ottanut aina käyttöön, jos on vähänkään tärkeämpi paikka.

Ja joo, tiedän LastPassin juuri korjatusta haavoittuvuudesta tms. Ei jaksa kiistellä.

 

[Kautium]

Koskien tuota, että tietokanta on "muiden saatavilla", niin tietokanta lienee salatussa muodossa, joten saahan sitä käpistellä. Laitoin muistaakseni testi LastPassin tietokannani nettiin murossa, ja sitä sai murtaa halutessaan. Ei kuulunut ikinä mitään, tosin olisi kannattanut laittaa jonnekin kansainväliselle foorumille niin olisi saanut ehkä enemmän huomiota.

Mutta siis mä se vaan pysyn LastPassissa, vaikka tosin olen mieltynyt laittamaan asioita talteen KeePass2:een (niin Wintendossa/Androidissa, sync autom. pilven kautta), kun LastPassin GUI/käytettävyys (muussa kuin tunnusten autom syötössä) on itse asiassa aika persiistä välillä, varsinkin toimivuus Androidissa vähän sinne päin. KeePass2:ssa saan saman tien tarvittaessa käyttööni sen perhanan tarvitsemani salasanan, ilman että jo tehdyn kirjautumisen jälkeen saan LastPassissa vielä kerran kirjoittaa salasanan (joka on tosiaan vahva, ja joo ymmärrän kysymyksen tarpeen). Työpöytä selailussa LastPass kuitenkin hoitaa hommat edelleen hyvin, joten vielä ei ole riittävästi tullut intoa kokeilla esim. tuota monen hokemaa Bitwardenia. Pitää joskus jos LastPassin kanssa tulee todellisia ongelmia. Onneksi usea paikka tarjoaa 2FA:n, olen ottanut aina käyttöön, jos on vähänkään tärkeämpi paikka.

Ja joo, tiedän LastPassin juuri korjatusta haavoittuvuudesta tms. Ei jaksa kiistellä.

Osa porukasta kokee ongelmaksi sen, että siihen tallennuskohteen omistajan osaamiseen pitää vain luottaa. Salauksia on monentasoisia ja toteutuksia samaten. Oikeaoppisesti toteutettua salausta ei varmasti avata yksityishenkilöiden resursseilla järkevässä ajassa mitenkään, mutta jos liikenne jossakin vaiheessa sinne salattavaan kantaan kulkeekin vaikka reikäisen palvelimen kautta, niin siinäpä onkin sitten se ketjun heikoin lenkki, jonka jälkeen kaikki muu on turhaa. Nämä ovat kaukaa haettuja skenaarioita, mutta onhan se kuitenkin ihan ymmärrettävää, että näitä pohditaan.

Bitwardenin olen itse kokenut omissa tarpeissa riittävän toimivaksi näistä ilmaisista vaihtoehdoista, mutta mobiiliclient on vähän kökkö, eikä se tunnu aina ymmärtävän kirjautumisdialogeja muutenkaan. Ongelmat ovat kuitenkin olleet kohtuullisen harvinaisia. Lastpassiakin testasin, mutta Bitwarden vei voiton pienellä marginaalilla.

Paikallisiin tallennuksiin en jaksa enää alkaa lainkaan ja nuo "salasanamuistio taskussa on paras" -kommentit nyt voi sivuuttaa muutenkin kokonaan.

 

[neko]

mutta jos liikenne jossakin vaiheessa sinne salattavaan kantaan kulkeekin vaikka reikäisen palvelimen kautta

LastPassin tapauksessa käsittääkseni salaus/purku tapahtuu paikallisesti, liikenteessä liikkuu ainoastaan salattua tietoa. Ja niin myös KeePassin kanssa kaiketi?

No voihan omalla konella olla jotain. Silloin on tosin muitakin onglemia, eikä varmaan salasanaohjelmalla niin väliä...

 

[Eli4s]

Sanotaan nyt esimerkkinä että jos käytetään pahinta mahdollista skenaariota eli käyttäjällä on (olen oikeasti nähnyt) se alkuperäinen lappu missä koneen tiedot ja salasana taitettuna koneen kannen ja näppäimistön välissä (läppäri) niin vielä täytyi päästä sotilaspoliisien ja koirien vartioimalle aidatulle alueelle + kantahenkilökunnan lävitse useista ovista jotka aukeavat ainoastaan kulkukortilla ja sinulla pitäisi olla myös tunnistekortti roikkumassa näkyvillä.

Eli ainakin armeijan tiloissa tuo on oikeasti turvallisempi vaihtoehto.

Tietysti jos miettii vaikka yleistä koulutilaa missä takki jätettäisiin ulos käytävään ilman mitään valvontaa se tuskin olisi ns. "turvallisempi" vaihtoehto.

Toki myös älyä voi käyttää, jos se salasana on rypistetty paperi missä lukee:

- Munia
- uunilenkki
- nakkeja
- 1 L maitoa
- Paahtoleipä
- conan sarjis

Ei siitä ehkä arvata ensimmäisenä salasanan olevan "Mun1Pc" (mikä salasanana on täysin surkea, älkää siis käyttäkö).

No tämä on sitten tilanne jos käytät kaikkialla samaa salasanaa. Väittäisin siis että ei järin turvallista.

 

[Kautium]

Sanotaan nyt esimerkkinä että jos käytetään pahinta mahdollista skenaariota eli käyttäjällä on (olen oikeasti nähnyt) se alkuperäinen lappu missä koneen tiedot ja salasana taitettuna koneen kannen ja näppäimistön välissä (läppäri) niin vielä täytyi päästä sotilaspoliisien ja koirien vartioimalle aidatulle alueelle + kantahenkilökunnan lävitse useista ovista jotka aukeavat ainoastaan kulkukortilla ja sinulla pitäisi olla myös tunnistekortti roikkumassa näkyvillä.

Eli ainakin armeijan tiloissa tuo on oikeasti turvallisempi vaihtoehto.

Tietysti jos miettii vaikka yleistä koulutilaa missä takki jätettäisiin ulos käytävään ilman mitään valvontaa se tuskin olisi

On niissä vartioiduissakin tiloissa myös muita ihmisiä. Sisäinen uhka on tietoturvamielessä muutenkin monesti jopa suurempi kuin ulkoinen.

/Offtopic

 

[Villelj]

Mikä olisi paras ohjelma joka toimii Android/Windows ympyröissä?

Muutama vuosi sitten kokeilin eri ilmais äppsejä ja jotenkin ei vain tuntunut toimivan Android/Chrome combolla...

Nyt varmaan jo asiat paremmin?
Edit: Ei siis tarvitse olla ilmainen
Edit 2: Tuota 1Password kokeilin niin ilmeisesti ei toimi chromessa kaikilla sivuilla? iotech foorumilla antaa 1passwordin kirjautumisvaihtoehdon mutta esim matkapuhelinfoorumilla ei ainakaan kysynyt mitään kun foorumin kirjautumista testasi..

 

[escalibur]

Bitwarden?

 

[Eli4s]

Mikä olisi paras ohjelma joka toimii Android/Windows ympyröissä?

Muutama vuosi sitten kokeilin eri ilmais äppsejä ja jotenkin ei vain tuntunut toimivan Android/Chrome combolla...

Nyt varmaan jo asiat paremmin?
Edit: Ei siis tarvitse olla ilmainen
Edit 2: Tuota 1Password kokeilin niin ilmeisesti ei toimi chromessa kaikilla sivuilla? iotech foorumilla antaa 1passwordin kirjautumisvaihtoehdon mutta esim matkapuhelinfoorumilla ei ainakaan kysynyt mitään kun foorumin kirjautumista testasi..

Lastpass toimi itellä joskus Chromessa ihan ok mut autofillistä Androidilla en tiedä ku en koskaan käyttäny sitä ominaisuutta.

 

[ontelo]

Mikä olisi paras ohjelma joka toimii Android/Windows ympyröissä?

Muutama vuosi sitten kokeilin eri ilmais äppsejä ja jotenkin ei vain tuntunut toimivan Android/Chrome combolla...

Nyt varmaan jo asiat paremmin?
Edit: Ei siis tarvitse olla ilmainen
Edit 2: Tuota 1Password kokeilin niin ilmeisesti ei toimi chromessa kaikilla sivuilla? iotech foorumilla antaa 1passwordin kirjautumisvaihtoehdon mutta esim matkapuhelinfoorumilla ei ainakaan kysynyt mitään kun foorumin kirjautumista testasi..

Support foorumilla on noi 1password ongelmat korjattu todella nopeasti. Matkapuhelinfoorumin mobiilinäkymän formissa on jotain ei standardia niin ei tykkää automaattisesti täyttää. Sinne kun laittaa viestiä niin ainakin saa tarkemman selvityksen miksi ei toimi nyt, ja koska korjataan.

 

[kaakau<"'\\/>]

LastPass-lisäosa hidastaa huomattavasti selain-benchmarkia Bravessa, ehkä kaikissa Chromium-pohjaisissa selaimissa. Eri asia huomaako tavallisessa käytössä mitään eroa, en tiedä kun en ole käyttänyt koskaan.