Parhaat ohjelmat salasanojen säilytykseen

[Humanoid]

LastPass-lisäosa hidastaa huomattavasti selain-benchmarkia Bravessa, ehkä kaikissa Chromium-pohjaisissa selaimissa. Eri asia huomaako tavallisessa käytössä mitään eroa, en tiedä kun en ole käyttänyt koskaan.

LastPass hidastaa selailua joka selaimella. Syynä tässä idioottimainen ratkaisu tunkea joka sivulle ja iframeen content scriptejä, joista yksi on jopa 25 000 riviä pitkä. Content scripteissä ei todellakaan pitäisi olla yhtään mitään ylimääräistä, tai varsinkaan mitään lisäkirjastoja. Kaiken lisäksi nämä scriptat ladataan tabin/ikkunan latausvaiheessa eikä vasta sitten, kun sivu on jo ladattu.

Huonoja ratkaisuja kaikin puolin. Jokainen voi kuvitella kuinka paljon haavoittuvuuksia tuollaiseen koodimäärään mahtuu. Etenkin kun kyseessä on vielä suljettua tavaraa.

 

[druidi]

Tuota ihan vain kysyn että onko näissä selaimien sisäänrakennetuissa muistamisissa jotain huonoa. Miksi pitäisi käyttää jotain kikkaretta erikseen?

 

[=JP=]

Tuota ihan vain kysyn että onko näissä selaimien sisäänrakennetuissa muistamisissa jotain huonoa. Miksi pitäisi käyttää jotain kikkaretta erikseen?

Kokeiles vaikka:
WebBrowserPassView - Recover lost passwords stored in your Web browser

Niin näet miksi...

 

[druidi]

Kokeiles vaikka:
WebBrowserPassView - Recover lost passwords stored in your Web browser

Niin näet miksi...

Et vastannut kysymykseen, mutta toisekseen tuossa ei ole tuettuna Vivaldi.

 

[kaakau<"'\\/>]

Tuota ihan vain kysyn että onko näissä selaimien sisäänrakennetuissa muistamisissa jotain huonoa. Miksi pitäisi käyttää jotain kikkaretta erikseen?

Salasanoja tarvitaan muitakin ohjelmia käytettäessä kuin vain selainta. Selaimen ohjelmalla ei taida onnistua oikean tunnuksen ja salasanan syöttäminen näppäinyhdistelmällä muihin ohjelmiin, niin on vähän hankalampaa.

 

[druidi]

Salasanoja tarvitaan muitakin ohjelmia käytettäessä kuin vain selainta. Selaimen ohjelmalla ei taida onnistua oikean tunnuksen ja salasanan syöttäminen näppäinyhdistelmällä muihin ohjelmiin, niin on vähän hankalampaa.

Ahhaa. Eli eipä kyllä tule mieleen yhtäkään, jos ei siis koneelle kirjatumista lasketa että olisi tarvetta.

 

[=JP=]

Et vastannut kysymykseen, mutta toisekseen tuossa ei ole tuettuna Vivaldi.

Jos nyt ei tuosta tajua sitä, että ne tunnukset on selväkielellä siellä selaimissa näkyvissä, ja jokaiselle kyllä löytyy koodinpätkät jolla ne sieltä näkee kuka vaan...

 

[druidi]

Jos nyt ei tuosta tajua sitä, että ne tunnukset on selväkielellä siellä selaimissa näkyvissä, ja jokaiselle kyllä löytyy koodinpätkät jolla ne sieltä näkee kuka vaan...

Jaa siis. Jokin ohjelma kannattaisi olla. Mikä on paras ja ennenkaikkea helpoin?

 

[Eli4s]

Jaa siis. Jokin ohjelma kannattaisi olla. Mikä on paras ja ennenkaikkea helpoin?

Parhaasta voi olla montaa mieltä mutta pidän itse henkilökohtaisesti Keepassia turvallisimpana. Helppokäyttöinen ja ilmainen on esim. Lastpass.

 

[Taneli-]

Itselle valikoitui Dashline johtuen ihan siitä että se tuli ns. "puoli-ilmaiseksi" Humble Bundlesta vastaan ja jäi käyttöön.

Kannattaa lukaista muutama artikkeli aiheesta (oma suosikki lähestymistapani) ja tehdä vasta sitten päätös.
Suomalaiset tosin monesti joko mainoksia (kertovat vain yhdestä) tai lähes maksun takana
Esim: Kuluttaja testasi salasanojen suojaajat: Suomalainen vaihtoehto sai kylmää kyytiä – ilmaisetkin olivat parempia
+
Kuluttaja: F-Secure hävisi auttamatta muille ohjelmille – tässä vertailun parhaimmat ilmaiset ja maksulliset salasanaohjelmat

Kertovat samasta artikkelista (mikä on maksumuurin takana)

Spoileri

Kuluttajan testivoittajaksi pärjäsikin Lastpass Premium -salasananhallintaohjelma, joka kustantaa 22 euroa. Toiseksi ylsi Dashlane Premium [40 euroa] ja kolmanneksi Keeper Individual [30 euroa].

Maksuttomista ohjelmista paras oli Lastpass Free sekä Dashlane Free. F-Secure Key (Premium), joka kustantaa 30 euroa, sekä yrityksen ilmainen versio olivat molempien vertailujen huonoimmat.

 

[Nigel]

Mulla on ollut Lastpassin Premium-versio 3 vuotta käytössä. PC:llä Chromen yhteydessä ei ole koskaan ollut mitään ongelmia, mutta Androidissa usein palaa pinna. Toimimattomuus taitaa kyllä johtua enemmän Androidista kuin Lastpassista. Lähes joka käyttökerralla joutuu rukkaamaan sitä "Screen Overlay Detection" hyväksyntää päälle ja pois, koska vaikka se olisi jo hyväksyttynä Lastpassille, niin jostain syystä puhelin kyselee sitä jatkuvasti uudestaan. Todella ärsyttävää.

 

[Humanoid]

Itselle valikoitui Dashline johtuen ihan siitä että se tuli ns. "puoli-ilmaiseksi" Humble Bundlesta vastaan ja jäi käyttöön.

Kannattaa lukaista muutama artikkeli aiheesta (oma suosikki lähestymistapani) ja tehdä vasta sitten päätös.
Suomalaiset tosin monesti joko mainoksia (kertovat vain yhdestä) tai lähes maksun takana
Esim: Kuluttaja testasi salasanojen suojaajat: Suomalainen vaihtoehto sai kylmää kyytiä – ilmaisetkin olivat parempia
+
Kuluttaja: F-Secure hävisi auttamatta muille ohjelmille – tässä vertailun parhaimmat ilmaiset ja maksulliset salasanaohjelmat

Erikoinen testi, sillä tuon ulkopuolelle jäivät mm. todella suositut Bitwarden ja KeePassXC sekä pass. Jokainen näistä on lisäksi vieläpä avointa koodia. Kun testin painoarvoja katsoo, käytettävyys on vaikuttanut 60%:sti tuloksen syntymiseen. Tietoturva 20% ja yksityisyys 0%, vaikka kaksi viimeistä täytyisi olla painoarvoltaan pääosassa. On totta, että esim. LastPass saa monesti kiitosta käytettävyydestään, mutta tietoturvan ja yksityisyyden osalta se on kaukana erinomaisesta.

Dashlanen osalta epäilyksiä herättää sen Password Changer -ominaisuus, jossa salasanan vaihto tapahtuu itse asiassa heidän palvelimellaan. Vaikka uusi ja vanha salasana lähetetään kryptattuna, vaihdon aikana ne ovat hetken ajan palvelimella täysin avoinna. Joten jossain vaiheessa heillä on tieto salasanoistasi, huolimatta siitä miten vahva pääsalasanasi on. Tuossa on potentiaalinen riski, että salasanat joutuvat johonkin logiin talteen.

 

[taikamuki]

Ahhaa. Eli eipä kyllä tule mieleen yhtäkään, jos ei siis koneelle kirjatumista lasketa että olisi tarvetta.

Puhelimessa? 1passwordilla pystyn täyttämään salasanat iosilla selaimessa sekä suurimmassa osassa appeja.

Toisekseen erillisellä ohjelmalla ei ole riippuvainen tietystä selaimesta.

 

[druidi]

Puhelimessa?

Play-kaupan salasana ja/tai samsung-salasana tarvii oikeastaan vain puhelimen vaihdon yhteydessä ja löytyy jo lapulta kirjattuna ylös sekä itse osoite että salasana. Selaimessa sitten taas se oma muistaminen päällä joka ilmeisesti on se huono juttu.

 

[Freeze]

Itse tulee käytettyä KeePassia, joka on ilmainen, julmetun monipuolinen haluttaessa mutta peruskäyttäjälle riittävän simppeli (IMO). Täydellistä integrointia siinä ei ole, mutta enpä ole tuota tarvinnutkaan.

 

[Freeze]

Play-kaupan salasana ja/tai samsung-salasana tarvii oikeastaan vain puhelimen vaihdon yhteydessä ja löytyy jo lapulta kirjattuna ylös sekä itse osoite että salasana. Selaimessa sitten taas se oma muistaminen päällä joka ilmeisesti on se huono juttu.

Selaimesta salasanat on paljon helpompi varastaa, mukaanlukien esim. sinne mahdollisesti tallennetut pankkikorttitiedot, jos ne on tallennettu ja automaattitäyttö on päällä:

Browser autofill used to steal personal details in new phishing attack

 

[druidi]

Selaimesta salasanat on paljon helpompi varastaa, mukaanlukien esim. sinne mahdollisesti tallennetut pankkikorttitiedot, jos ne on tallennettu ja automaattitäyttö on päällä:

Browser autofill used to steal personal details in new phishing attack

Pyrin kyllä käyttämään korttiostokset selaimella jossa ei ole päällä autofillit. Mutta varmaan pitäis tsekata että ei ole tallentunut vahingossa.

 

[tsikakoon]

Kuinka tuota Keepassin Android-versiota oikein käytetään. Kätevästi pääsee kyllä kirjautumaan sisään sormenjäljellä mutta entäs sitten. Mikä ensinnäkin versio tuosta kannattaa ladata, niitä näytti olevan useampia. Otin sen SAFEn.

Aluksi kirjautumisissa tuli ilmoitus Keepass sitä ja tätä mutta nyt ei enää tule mitään.

 

[Humanoid]

Kuinka tuota Keepassin Android-versiota oikein käytetään. Kätevästi pääsee kyllä kirjautumaan sisään sormenjäljellä mutta entäs sitten. Mikä ensinnäkin versio tuosta kannattaa ladata, niitä näytti olevan useampia. Otin sen SAFEn.

Aluksi kirjautumisissa tuli ilmoitus Keepass sitä ja tätä mutta nyt ei enää tule mitään.

Tarkennatko mikä KeePass-sovellus sinulla on Androidille? Niitä kun on useampia.

 

[tsikakoon]

Tarkennatko mikä KeePass-sovellus sinulla on Androidille? Niitä kun on useampia.

Keepass2Android

Ja poistin kyseisen paskan, koska ei toiminut.

 

[Freeze]

Täällä taas toimii kuin Shinkansenin vessa. Kokemuksia on monenlaisia.

 

[tsikakoon]

Täällä taas toimii kuin Shinkansenin vessa. Kokemuksia on monenlaisia.

Siis kuinka tuo ilmoittelee kirjautumisista. Pitäiskö kokeilla asentaa uudelleen. Koska jostain syystä aluksi toimi, mutta sitten ei ollenkaan. Tai siis en tiedä kuuluuko noita näpytellä erikseen joka kerta tai siis kopioida ja vai toimiiko automaattisesti yhdellä klikillä sekä salasana että tunnus?

 

[neko]

Keepass2Android

Ja poistin kyseisen paskan, koska ei toiminut.

Kyllä se toimii, tai jos tarkoitat automaattista tunnusten syöttämistä, niin se on vähän hankalaa, kieltämättä (siksi itselläni pääasiallinen appi on LastPass, joka sekin on hankalahko kun sille päälle sattuu). Tai tiedä saisiko tuon automaagiseksi, jos jaksaisi paneutua enemmän.

Mutta jos nyt ajatellaan ihan IRL käyttöä, niin KeePass2:ssa on oma näppis, jolla tunnusten syöttäminen käy kohtuu helposti. Jos ajatellaan, että käyttää valintaa (jos on), että kirjautuminen muistetaan, niin aika harvoin tuota näppistä joutuu vaihtamaan. Eli ihan toimiva KeePass2 siinä mielessä on.

Ao. kuvassa KeePass2:n oma näppis valittu (toimiakseen, vaatii luonnollisesti, että KeePass2 on avattu.

 

[tatulpin]

Vaikuttaa tosi helpolta ja kivalta vrt esim Bitwardeniin joka tukee autofillia suoraan.

 

[tsikakoon]

Vaikuttaa tosi helpolta ja kivalta vrt esim Bitwardeniin joka tukee autofillia suoraan.

Eikö tuo ollut maksullinen?

 

[=JP=]

Eikö tuo ollut maksullinen?

Eihän tuo nyt kauhean vaikea ole käydä katsomassa:
Open Source Password Management Solutions | Bitwarden
Bitwarden is 100% open source software. The source code for Bitwarden is hosted on GitHub and everyone is free to review, audit, and contribute to the Bitwarden codebase.

Ilmainen näyttäisi olevan, sitten tarjoavat Premium versiota pientä korvausta vastaan, jossa lisäominaisuuksia (esim. 1Gb kryptattua tilaa tiedostoille), jos niille tarvetta.

 

[tsikakoon]

Keepass Android uudelleen asennuksen jälkeen alkoi toimia. Toimii itse asiassa paremmin kuin kömpelössä PC-käytössä. Mutta tuo aukeava valikko että käytä tässä tai elä käytä ollenkaan voi aiheuttaa harhaklikkauksen ja sitten menee uusiksi asennus. Typerästi toteutettu.

 

[neko]

Vaikuttaa tosi helpolta ja kivalta vrt esim Bitwardeniin joka tukee autofillia suoraan.

No en minäkään käytä tätä (KeePass2Android), vaan LastPassia. Mutta demosin, että onnistuu sillä se kirjautuminen ilman esim. erikseen ilman leikkaa&liitä tms. hässäkkää

Niin ja kirjautumisista, itse olen kai leväperäinen, mutta annan sivustojen muistaa kirjaumiseni, esim. tänne ei tarvitse kirjautua kuin jos vaihtaa selainta tms. Eli hemmetin harvoin kirjautuminen on 'ongelma'. Kaksivaiheisen kirjautumisen tunnusta tosin kyselee väliajoin, mutta se onkin eri asia.

Mitä tulee vaikkapa Android-sovelluksissa kirjautumiseen, niihinkään ei onneksi tarvitse kovin usein kirjautua, kun hyvin tuntuu muistavan nykyään noi sovellukset tunnukset.

 

[Humanoid]

KeePassXC 2.5.0 on julkaistu: KeePassXC 2.5.0 released - KeePassXC

Uusina featureina mm. tuki 1Passwordin OpVault -tiedostoille, "Paperivarmuuskopion" tulostus, tuki OnlyKey:lle ja useiden URL:ien tuki selainlaajennusta varten. Myös komentorivityökalu on saanut lukuisia parannuksia. Linkin takaa löytyy koko listaus.

 

[Kaapula]

Otin käyttöön LastPassin ja generoin satunnaiset salasanat kaikkiin olennaisiin paikkoihin ja ne on nyt tallessa tuolla yhden pääsalasanan takana. Lisäksi useimmissa paikoissa käytössä kaksiosainen varmennus joko puhelinnumeron tai authenticator-sovelluksen kautta. Tulipa jotenkin ahdistunut olo. Varsinkin Google-tilin salasana on sellainen että siitä haluan olla varma, ettei pääty vääriin käsiin. Mutta jotenkin se, että se on nyt täysin generoitu ja jota en voi muistaa muuten kuin paperille kirjoitettuna, tekee tuosta ahdistavan. Mitä jos tuo lastpass vain lakkaa olemasta ja paperilappu katoaa..?

 

[apek]

Mitä jos tuo lastpass vain lakkaa olemasta ja paperilappu katoaa..?

Lähes jokaisessa palvelussa, myös Google tilissä, on mahdollisuus salasanan palautukseen, jos salasanan on unohtanut. Eli ei hätää. Vähän tietysti teettää työtä.

 

[Freeze]

Mutta jotenkin se, että se on nyt täysin generoitu ja jota en voi muistaa muuten kuin paperille kirjoitettuna, tekee tuosta ahdistavan. Mitä jos tuo lastpass vain lakkaa olemasta ja paperilappu katoaa..?

Tee kuten eliitti: Laitat KeePassin, käytät paikallista tietokantaa pilvikopiolla ja opettelet riimi- rai lausemuotoisen pääsalasanan ulkoa.

 

[Eli4s]

Tee kuten eliitti: Laitat KeePassin, käytät paikallista tietokantaa pilvikopiolla ja opettelet riimi- rai lausemuotoisen pääsalasanan ulkoa.

Kyllä tätä pidän kaikista varmimpana ja turvallisimpana keinona että se database on itsellä tallessa. Sen voi sitten halutessaan heittää johonkin omaan pilveen.

Edit: Ja Keepass2Android:lla voi myös avata sen databasen suoraan pilvestä. Joku fiksumpi voi kertoa että liittyykö tällaseen sit jotain riskejä?

 

[leripe]

Kyllä tätä pidän kaikista varmimpana ja turvallisimpana keinona että se database on itsellä tallessa. Sen voi sitten halutessaan heittää johonkin omaan pilveen.

Edit: Ja Keepass2Android:lla voi myös avata sen databasen suoraan pilvestä. Joku fiksumpi voi kertoa että liittyykö tällaseen sit jotain riskejä?

No kai sen joku voi aina auki saada ja kaiken voi aina kiertää. Ihmisten tekemiä nämä kaikki on. Kyse on vain rahasta ja resursseista.

 

[=JP=]

No kai sen joku voi aina auki saada ja kaiken voi aina kiertää. Ihmisten tekemiä nämä kaikki on. Kyse on vain rahasta ja resursseista.

Kun miettii, mikä työ on avata tämänpäivän kryptaukset, joita tuossakin käytetään, niin en usko että kukaan jaksaa jonkun tuntemattoman henkilön tietokantaa alkaa murtamaan.
Tietenkin on sitten ehkä mahdollista, että löydetään kryptauksesta jokin reikä, niin sen avulla saadaan helposti auki, jolloin pilvessä pitämisessä on pieni riskinsä. Mutta tämä sitten hajottaa samantein nuo pilvipohjaistenkin turvan.
Toisaalta, kun avaat sen tietokannan salasanalla, niin taustalla voipi olla keylogger joka sen paljastaa pahikselle, niin sitten ei auta mikään kryptaus

Eli, aina kaikki on mahdollista, miten tiukalla pitää foliopipoa on jokaisen oma asiansa. Helppous kun ei aina kulje käsikädessä tietoturvan kanssa, eli joutuu tekemään valintoja sen suhteen.

 

[Obi-Lan]

Olennaisiin sähköpostilaatikoihin olen jättänyt muistettavat salasanat, mfa ja gsm numero salasanan palautusta varten vaikka sim swappingilla pelotellaankin. 99% muista salasanoista on palautettavissa sähköpostin kautta tai eivät ole niin tärkeitä etteikö voisi uutta tiliä luoda.

 

[Humanoid]

Kyllä tätä pidän kaikista varmimpana ja turvallisimpana keinona että se database on itsellä tallessa. Sen voi sitten halutessaan heittää johonkin omaan pilveen.

Edit: Ja Keepass2Android:lla voi myös avata sen databasen suoraan pilvestä. Joku fiksumpi voi kertoa että liittyykö tällaseen sit jotain riskejä?

Jos on huolissaan siitä, että onko tietokanta varmasti turvassa edes pilvessä, siihen voi aina liittää avaintiedoston, joka voi olla vaikkapa kuvatiedosto. Kunhan sitä ei vaan jaa samassa pilvessä. Vaikka salasanasi vuotaisikin jotain kautta, tietokantaa ei silti saa auki ilman avaintiedostoa.

 

[neko]

Ei ehkä sama asia, mutta esim. LastPassissa kannattaa luonnollisesti asettaa monivaiheinen tunnistautuminen. LastPass on tukenut erilaisia tapoja jo vuodesta 1 ja 2, kauan aikaisemmin kuin muita on asia (onneksi) alkanut kiinnostamaan. Eli vaikka joku saisi tavalla tai toisella sinun LastPassin pääsalanan, niin ilman varmennusta se ei aukea.

Itse tiedot sisältävän säiliön murtaminen väkisin on yhtä hankalaa kuin muissakin vahvaa suojausta käyttävissä LastPassissa Wikipedian mukaan: "The content is synchronized to any device the user uses the LastPass software or app extensions on. Information is encrypted with AES-256 encryption with PBKDF2 SHA-256, salted hashes, and the ability to increase password iterations value. Encryption and decryption takes place at the device level.", eli vienee aikaa. Ei luultavasti aukea.

Ja kyllä, LastPassilla on ollut turvaongelmia, mutta lopulta ei mitään kovin pahaa, enemmän levitetään huhuja/liioitteluja viitsimättä tarkistaa niiden todenperäisyyttä. Mutta juuri tästäkin syystä, että tietoja paljastuisi, suosin käyttää ihan joka paikassa monivaiheista kirjautumista, jolloin jos jonkun heikkouden vuoksi salasanani palveluun A paljastuisikin, niin siitä ei ole hyötyä koska kirjautuminen katkeaa monivaiheisen tunnistuksen epäonnistumiseen. Esim. jopa tämä foorumi tukee kaksivaiheista kirjautumista. Hyvä kehitys, kun vertaa aikaan kun aikoinaan innoissani voihkasin kaksivaiheisesta kirjautumisen autuudesta, sitä tukevia palveluita oli vähän. Nyt niitä on paljon enemmän, mutta saisi toki laajentua aina vaan.

 

[drealz]

Otin käyttöön LastPassin ja generoin satunnaiset salasanat kaikkiin olennaisiin paikkoihin ja ne on nyt tallessa tuolla yhden pääsalasanan takana. Lisäksi useimmissa paikoissa käytössä kaksiosainen varmennus joko puhelinnumeron tai authenticator-sovelluksen kautta. Tulipa jotenkin ahdistunut olo. Varsinkin Google-tilin salasana on sellainen että siitä haluan olla varma, ettei pääty vääriin käsiin. Mutta jotenkin se, että se on nyt täysin generoitu ja jota en voi muistaa muuten kuin paperille kirjoitettuna, tekee tuosta ahdistavan. Mitä jos tuo lastpass vain lakkaa olemasta ja paperilappu katoaa..?

Itsellä on kanssa LastPass ollut useamman vuoden käytössä. Sähköpostitileille on itsetehdyt salasanat (muunnelmat LastPassin salasanasta) ja muihin sitten ohjelman tekemät. Lisävarmistuksena on KeePass pilvessä. 2-osainen varmennus käytössä kaikissa tärkeimmissä palveluissa ja tietysti myös LastPassissa.

 

[=JP=]

Kiinnostaisi tietää, ne jotka käyttää 2-vaihe authentikaatio appsei, niin onko niissä teillä käytössä salasana myöskin? Lisää tietoturvaa, mutta myöskin lisätöitä...

Tajusin, että koska nyt tuli myöskin hankittua tuo pankin authentikaatio laite, niin siinäkin koodin saa vaan nappia painamalla. Tietenkin vanhakin tyyli, koodikortti oli sama juttu.

Mietin vaan, että kuinka tärkeää on noiden 2-vaihe koodien piilottelu oman salasanan taakse. On tää tietoturva-asioiden miettiminen aina niin vaikeaa
Osa noista 2-vaihe appseista ei näytä tukevan erillistä salasanan taakse piilotusta, vaan koodit näkyy ruudulla samantein ku appsin avaa...

 

[apek]

Kiinnostaisi tietää, ne jotka käyttää 2-vaihe authentikaatio appsei, niin onko niissä teillä käytössä salasana myöskin? Lisää tietoturvaa, mutta myöskin lisätöitä...

Itsellä kun on puhelimessa authenticator, niin se on tietysti lukossa jos näyttölukitus on päällä, tai siis ei sitä sovellusta saa auki, koska näyttölukko. En käytä erillistä salasanaa enää itse sovelluksessa, toki sen saa päälle halutessaan. Sormenjäljellä lukitus auki.

 

[neko]

Minulla on ulkona liikkuessa ohjelma, johon voi määritellä ne ohjelmat, jotka vaativat salasanaa tämän lukon ollessa käytössä. Olen aika laajalla skaalalla laittanut selaimiakin salasanan taakse. Jos joku löytää (en ole koskan hukannut puhelinta) tai varastaa kännyn, niin se on lukossa. Uudelleen käynnistys vaatii puhelimen salasanan, joten sekään ei auta tämän lukon kanssa (tietenkään asetuksiin eikä Google Playhin ei pääse jne. yms.).

Eri asia on sitten se, että kyllähän se, joka haluaa, pääsee lopulta sisään. Sillä aikaa tosin olen ottanut käyttöön Google Authenticatorin uudessa laitteessa ja se nollaa sen puhelimessani olevan toimimattomaksi (uudessa laitteessa pääsen sisään joko varakoodeilla tai fyysisellä Yubico Fido avaimella, ennen kuin GA on nollattu ja vaihdettu).

Edit. Luonnollisesti puhelinkin on siis omassa lukossaan, sen päälle on sitten tuo erillinen lukko-ohjelma, eri passulla tietenkin kuin itse laite.

 

[Humanoid]

2-vaiheista kirjautumista tulee käytettyä kaikkialla missä se on mahdollista. Tätä varten onkin sitten oma KeePass-tietokanta joka sisältää kaikki mahdolliset varmuuskoodit palauttamista varten, jos nyt jotain pääsee sattumaan. Näin saa pysymään varmuuskoodit tallessa normaalin tietokannan ulkopuolella.

 

[Humanoid]

Ja kyllä, LastPassilla on ollut turvaongelmia, mutta lopulta ei mitään kovin pahaa, enemmän levitetään huhuja/liioitteluja viitsimättä tarkistaa niiden todenperäisyyttä.

Mitä nyt heidän selainlaajennuksensa on aivan uskomatonta bloatia, enkä yhtään ihmettele, jos sieltä paljastuu tulevaisuudessa vielä lisää ongelmia. Tuossa onkin suurin riski jota kautta tunnukset voivat vuotaa eteenpäin, ihan sama miten hyvin ja miten vahvalla salauksella ne on siellä pilvessä.

 

[neko]

Mitä nyt heidän selainlaajennuksensa on aivan uskomatonta bloatia, enkä yhtään ihmettele, jos sieltä paljastuu tulevaisuudessa vielä lisää ongelmia. Tuossa onkin suurin riski jota kautta tunnukset voivat vuotaa eteenpäin, ihan sama miten hyvin ja miten vahvalla salauksella ne on siellä pilvessä.

Itsellä on käytössä tuo vain kun tarvitsen. Eli aika harvoin, selain kun muistaa kirjautumiset.

PS. Nämä on näitä "jos kaikista pahin tapahtuisi, tädillä olisikin munat" jne. No kun ei ole.

 

[Neo Cortex]

Itse siirryin kesällä LastPassista Bitwardeniin, osin vähän kököksi koetun käyttöliittymän, tietoturvaongelmien ja käyttökelpoisen Windows-ohjelman puuttumisen vuoksi. Bitwardeniin olen ollut varsin tyytyväinen: siirtyminen oli helppoa (.csv ulos LastPassilta ja importtaus Bitwardeniin, ei muuta), ilmaisversion ominaisuudet LastPassin veroisia ellei parempia, käyttöliittymä sujuvampi ja Windows-ohjelma toimiva

Lisäksi Bitwardenissa miellyttää open source, mahdollisuus hostata omalla palvelimella myös ilmaisversiolla sekä Password Managers | privacytools.io sivuston suositus salasananhallinta softaksi. Itsellä yksi syistä siirtymiseen oli myös näkökulma siitä miksi en tekisi asioita yksityisyyden kannalta paremmin varsinkin silloin kun se ei hankaloita jo käytössä olevia tottumuksia/tapoja. Bitwardenin käyttö ei itsellä ainakaan hankaloittanut mitään tämän suhteen joten oli turha pysyä LastPass käyttäjänä

 

[TenderBeef]

Jos on huolissaan siitä, että onko tietokanta varmasti turvassa edes pilvessä, siihen voi aina liittää avaintiedoston, joka voi olla vaikkapa kuvatiedosto. Kunhan sitä ei vaan jaa samassa pilvessä. Vaikka salasanasi vuotaisikin jotain kautta, tietokantaa ei silti saa auki ilman avaintiedostoa.

Kannattaa sitten muistaa tuollaisen avaintiedoston kanssa, että sen hallinnoiminen on aika ikävä homma. Se pitää varmuuskopioida todella huolellisesti. Eli vähintään 2-3 kopiota eri medioilla, osa on-site ja osa off-site. Pilveen jos laittaa talteen, niin tietenkin sitten sellais(t)en taakse johon tietää salasanan ulkoa. Lisäksi pitää varmistaa kopioiden eheys tietyin välein. Itse en tuollaista avaintiedostoa käytä riskin ja hallinnoinnin takia.

 

[Humanoid]

Kannattaa sitten muistaa tuollaisen avaintiedoston kanssa, että sen hallinnoiminen on aika ikävä homma. Se pitää varmuuskopioida todella huolellisesti. Eli vähintään 2-3 kopiota eri medioilla, osa on-site ja osa off-site. Pilveen jos laittaa talteen, niin tietenkin sitten sellais(t)en taakse johon tietää salasanan ulkoa. Lisäksi pitää varmistaa kopioiden eheys tietyin välein. Itse en tuollaista avaintiedostoa käytä riskin ja hallinnoinnin takia.

Totta. Toki se voi olla myös mikä tahansa pilvessä oleva valokuvatiedosto muiden seassa. Tiedoston hallinnoinnissa on aina riskinsä, oli se manuaalista tai salasanamanagerin tarjoajan oma pilvipalvelu.

 

[kaakau<"'\\/>]

Olen myös ottanut 2-vaiheisen tunnistuksen käyttöön melkein kaikkialla missä saa. andOTP:ta olen käyttänyt ja se on PIN-koodin suojaama, eli ei varmaan kovin hyvin. andOTP:ssa taisi olla käytetty huonoa salausta, mutta se taisi olla nyt korjattu. Samoin puhelimen saa auki PIN-koodilla. Ja minullakin KeePassXC:ssä tallessa palautuskoodit. Eihän 2-vaiheisen tunnistuksen aktivointi silti ainakaan heikennä tietoturvaa mitenkään, vaikka 2fa-ohjelmaa ei olisi salattu lainkaan.

Bitwardenia en ole käyttänyt, se on näköjään auditoitu 2018, joka voi tuoda varmuutta, että siellä osataan asiat ja on korjattu ne mitä ei osattu.

 

[apek]

Itse siirryin kesällä LastPassista Bitwardeniin, osin vähän kököksi koetun käyttöliittymän, tietoturvaongelmien ja käyttökelpoisen Windows-ohjelman puuttumisen vuoksi. Bitwardeniin olen ollut varsin tyytyväinen: siirtyminen oli helppoa (.csv ulos LastPassilta ja importtaus Bitwardeniin, ei muuta), ilmaisversion ominaisuudet LastPassin veroisia ellei parempia, käyttöliittymä sujuvampi ja Windows-ohjelma toimiva

Lisäksi Bitwardenissa miellyttää open source, mahdollisuus hostata omalla palvelimella myös ilmaisversiolla sekä Password Managers | privacytools.io sivuston suositus salasananhallinta softaksi. Itsellä yksi syistä siirtymiseen oli myös näkökulma siitä miksi en tekisi asioita yksityisyyden kannalta paremmin varsinkin silloin kun se ei hankaloita jo käytössä olevia tottumuksia/tapoja. Bitwardenin käyttö ei itsellä ainakaan hankaloittanut mitään tämän suhteen joten oli turha pysyä LastPass käyttäjänä

Otin testiin Bitwaren, mutta ei voi käyttää, koska ei tue Androidilla Samsung Browserin täyttöä, niin aika turha. Ilmeisesti joillakin muilla selaimmilla toimisi.