Parhaat ohjelmat salasanojen säilytykseen

  • Keskustelun aloittaja Keskustelun aloittaja IDDQD
  • Aloitettu Aloitettu
The attacker needs to find some vulnerability, such as XSS, subdomain takeover, web cache poisoning or other. The goal is for the attacker to be able to execute their javascript code on a trusted domain. For simplicity, I will use "XSS" beacuse it's the most common type of vulnerability in web applications.

Web-sivusto pitää olla hyökkääjän käsissä, jotta tätä haavoittuvuutta pystyy hyödyntämään. Siinä kohtaa peli on jo menetetty muutenkin, huolimatta miten sinne salasanasi syötät, selainlaajennoksella tai ilman.
 
Eipä kyllä luottaisi muuhun, kuin johonkin Googlen kaltaiseen isoon yritykseen, resursseineen, valtavan yleisän katseen ja odotusten alla. Muuten aika meedio pitäisi olla, että vaan luottaa johonkin tuntemattomaan jolla kivat sivut.

Ehkä paras kun jossain tekstitiedostossa, josta kopio ja liittää.
Ehkä voi joihinkin uhkiin olla alttiimpi, mutta ei varmaan monen tietokoneen käytöllä todennäköisimpiä uhkia tiedostoihin pääsy ja jos ei samalla sit muuhunkin.
Sit taas oma juttunsa, jos joku pääsee välistä fyysisesti koneelle.
 
Viimeksi muokattu:
Sp3 sanoi:
Eipä kyllä luottaisi muuhun, kuin johonkin Googlen kaltaiseen isoon yritykseen, resursseineen, valtavan yleisän katseen ja odotusten alla. Muuten aika meedio pitäisi olla, että vaan luottaa johonkin tuntemattomaan jolla kivat sivut.
Napsauta laajentaaksesi...

Google varmaan tavikselle ihan ok, ja laitaa resursseja mm salasanojen käisttelyyn, ongelma tosin se että siinä sitoutuu Googlen juttuihin , ja menaa vaikeaksi ,riskialttiiksi jos muuissakin ympäristöissä tarvetta.

Sp3 sanoi:
Ehkä paras kun jossain tekstitiedostossa, josta kopio ja liittää.
Ehkä voi joihinkin uhkiin olla alttiimpi, mutta ei varmaan monen tietokoneen käytöllä todennäköisimpiä uhkia tiedostoihin pääsy ja jos ei samalla sit muuhunkin.
Sit taas oma juttunsa, jos joku pääsee välistä fyysisesti koneelle.
Napsauta laajentaaksesi...

Siinä kaksi perus miinaan, salasana kirjasto salaamatta, suojaamatta, käyttäjä ei tiedä onko se vuotanut, koska se on vuotanut, sellaista salasana hallintaa käyttävää ei voi pitää luotettavana henkilönä.
Eli se tiedostosta voi olla laitteilla useita kopioita, kopioita varmuuskopioissa, kopioita pilvessä, muissa laitteissa, ja niissä kanavissa missä sitä siirrelty. Tästä seuraa entistä tiheämpi tarvi vaihdella salasanoja, mistä seuraa entistä tiheämpi tarvi synkata sitä tiedostoa eri laitteisiin ja varmuuskopioida.

Luotettava offline salasana holviohejelmaa nostaa moninkertaiselle tasolle.

Leikepöydän käyttö, vähän parempi, se on myös herkkä vuotamaan, jos käyttäjällä käytössä leikepöydän synkkausta, leikepöydän historiaa, niin se myös voi levitä sinne tänne, siinäkään holviohjelma ja sen leikepöytä tuki ei ainakaan huononna, päinvastoin. Tämä siihen puhtaaseen tekstitiedostoon on jo pienempi riski, ja sitä voi rajata ei niin tärkeiden vs kriittisten juttujen osalta, ja kertakäyttö avaimissa riski ikkuna jää pieneksi.

Jos on salasanoja , salaisuuksia joiden vuotaminen olisi isomp riski, vahinko, niin välttää niiden talentamista kokonaisena, selkokielisena mihinään, teknisesti salattunakaan. luoda omaa kaksivaiheisuutta.

Esim henkilökortin (kansalaisvarmenne) PIN koodin, puhelimen salasana, pankki tunnistuohjelmien vahvistus salasanat jne. Asioita joiden vuotamisesta voisi olla isot vahingot, niin ei tallenna sellaisenaan edes salasana holviin.
 
Sp3 sanoi:
Eipä kyllä luottaisi muuhun, kuin johonkin Googlen kaltaiseen isoon yritykseen, resursseineen, valtavan yleisän katseen ja odotusten alla. Muuten aika meedio pitäisi olla, että vaan luottaa johonkin tuntemattomaan jolla kivat sivut.
Napsauta laajentaaksesi...
En tiedä, kuka täällä luottaa "tuntemattomaan jolla kivat sivut". Tuskin kukaan. Täällä suositellaan vuosia käytössä olleita ja hyviksi todettuja ohjelmia salasanojen säilytykseen, kuten esim. Bitwarden. Sillä se etu Googleen verrattuna, että salasanamanageri on sen pääliiketoimintaa, ei selaimen kylkeen pultattu sivujuonne. Lisäksi Bitwarden on avointa lähdekoodia, joten sen auditointi on mahdollista kelle tahansa. Puhumattakaan siitä, että se toimii kaikissa tunnetuissa selaimissa.

Sp3 sanoi:
Ehkä paras kun jossain tekstitiedostossa, josta kopio ja liittää.
Napsauta laajentaaksesi...

Hyvin epäkäytännöllinen ja turvaton tapa. Salasanat olisivat yhdellä koneella ja niiden siirto muihin laitteisiin vaatii manuaalista työtä. Ne olisi haittaohjelman tai toisen käyttäjän luettavissa selväkielisenä. Niiden muokkausta ei voi perua jos menee jotain mokaamaan editoidessa. Ne eivät tarjoa mitään automaattista syöttöä selaimeen vaan käsin kopioinnin. Vahvan salasanan luominen ei onnistu ilman ulkopuolista työkalua.

Oletan, ettet käytä tai ole koskaan käyttänyt salasanamanageria kun tuollaista aika hölmöä tapaa ehdotat.
 
Bugi (laiton viestin, joka vain latasi, eikä lähtenyt itselle näkyen, sitten laitoin uudestaan. Vasta sivun uudelleen ladatessa huomasi lähteneen silti.)
 
Viimeksi muokattu:
Paapaa sanoi:
En tiedä, kuka täällä luottaa "tuntemattomaan jolla kivat sivut". Tuskin kukaan. Täällä suositellaan vuosia käytössä olleita ja hyviksi todettuja ohjelmia salasanojen säilytykseen, kuten esim. Bitwarden. Sillä se etu Googleen verrattuna, että salasanamanageri on sen pääliiketoimintaa, ei selaimen kylkeen pultattu sivujuonne. Lisäksi Bitwarden on avointa lähdekoodia, joten sen auditointi on mahdollista kelle tahansa. Puhumattakaan siitä, että se toimii kaikissa tunnetuissa selaimissa.



Hyvin epäkäytännöllinen ja turvaton tapa. Salasanat olisivat yhdellä koneella ja niiden siirto muihin laitteisiin vaatii manuaalista työtä. Ne olisi haittaohjelman tai toisen käyttäjän luettavissa selväkielisenä. Niiden muokkausta ei voi perua jos menee jotain mokaamaan editoidessa. Ne eivät tarjoa mitään automaattista syöttöä selaimeen vaan käsin kopioinnin. Vahvan salasanan luominen ei onnistu ilman ulkopuolista työkalua.

Oletan, ettet käytä tai ole koskaan käyttänyt salasanamanageria kun tuollaista aika hölmöä tapaa ehdotat.
Napsauta laajentaaksesi...
Ehkä oli vähän lonkalta heitettyä.

Ainakin sähköpostiasioissa on sitä että mainostetaan millon minkäkin vähemmän tiedetyn tekijän postia, jonka käytännöistä, jatkuvuudesta jne. tietää vain joko meedio tai todella toimijaan perehtynyt.
Kannattaako maalikon valita silloin se suuri, ison yleisön alla oleva firma ennemmin, on sitten jokaisen oma asia.
Jos kukaan ei kokeilisi ja tukisi uusia toimijoita, ei olisi kilpailua ja painetta olla vielä parempi ja turvallisempi.

Mitä tekstitiedoston turvallisuuteen tulee, niin monelle se kaikki tiedostot anastanut haittaohjelma on sitten jo sama tai enemmän kuin sen lajin salasanat, jotka ei kaksivaiheisen tunnistuksen takana. Ja sen verran yleinen kun sellainen haittaohjelma jokaisen käytössä on. Yritysturvallisuus ja erityistarpeet toinen asia.

Olen käyttänyt salasanapalvelua. Heitto liittyi siihen, jos mihinkään sellaiseen ei luottaisi / halua luottaa. Mihinkään kätevyyteen ei liittynyt, tai fyysisen uhan huomiointiin.

Niin ja kyseiseen Bitwardeen en ole perehtynyt mitenkään, enkä kuullut. Enkä tarkotanut johonkin tiettyyn tai edellä keskusteltuun.

Asiasta ennemmän tietävät jatkakoot keskustelua rauhassa. En tiedä miks lähdin heittää loppuenlopuksi aika turhaa hölmöä.
 
Viimeksi muokattu:
Infy sanoi:
The attacker needs to find some vulnerability, such as XSS, subdomain takeover, web cache poisoning or other. The goal is for the attacker to be able to execute their javascript code on a trusted domain. For simplicity, I will use "XSS" beacuse it's the most common type of vulnerability in web applications.

Web-sivusto pitää olla hyökkääjän käsissä, jotta tätä haavoittuvuutta pystyy hyödyntämään. Siinä kohtaa peli on jo menetetty muutenkin, huolimatta miten sinne salasanasi syötät, selainlaajennoksella tai ilman.
Napsauta laajentaaksesi...
Jep. Eikä tarvi edes feikata mitään kirjautumisformia sinne. Tunnukset voi varastaa suoraan siitä aidosta.

Edelleen erikoista, että haavoittuvuuksista kertova sivusta suositteli leikepöydän käyttöä, vaikka siihen on pääsy joka ikisellä ohjelmalla lupia kyselemättä.
 
Humanoid sanoi:
Jep. Eikä tarvi edes feikata mitään kirjautumisformia sinne. Tunnukset voi varastaa suoraan siitä aidosta.
Napsauta laajentaaksesi...
Kyse oli muustakin kuin sivuston ja sen alidomainien tunnuksista. Tuolla tavalla voi kaivella salasanamanagerilta muitakin tietoja ja mahdollisesti myös passkeyn.
Humanoid sanoi:
Edelleen erikoista, että haavoittuvuuksista kertova sivusta suositteli leikepöydän käyttöä, vaikka siihen on pääsy joka ikisellä ohjelmalla lupia kyselemättä.
Napsauta laajentaaksesi...
Leikepöytä ei ole turvallinen paikka säilöä mitään, mutta ei mikään sivusto silti suoraan pääse sen sisältöä lukemaan.
 
Kirjaudu tai rekisteröidy kirjoittaaksesi tänne.

Uutiset

Uutisia lyhyesti

Uusimmat viestit

Statistiikka

Viestiketjuista
285 094
Viestejä
4 899 930
Jäsenet
78 917
Uusin jäsen
Brootaldood

Hinta.fi

Back
Ylös Bottom