Parhaat ohjelmat salasanojen säilytykseen

[Juffex]

Tulipas vaihdettua tänään LastPass lähes 10v käytön jälkeen Bitwardeniin.

Tietokannan exporttaus sujui hyvin. Muutamat notesit ja kaikki liitteet katosivat, mutta muuten ei isompia ongelmia. Tuli ostettua samantien premium oikeastaan pelkästään liitteiden vuoksi.

Ihan tyytyväinen olen, mutta muutama itseäni häiritsevä iso puute:

- PC:llä selainlaajennuksessa ei saa täytön pikanäppäimeksi ctrl+nuoli ylös/alas johon olen LastPassin kanssa tottunut. Itseasiassa itse laajennuksen asetuksissa ei ole laisinkaan pikanäppäimien säätöä vaan ne pitää tehdä suoraan selaimesta ja ainakaan Opera tai Vivaldi ei anna valita tuota edellä mainittua komentoa joten piti muuttaa toiseksi. Tottumiskysymys toki, mutta ctrl+nuoli ollut todella nopea näpäyttää oikealla kädellä (autofill ei toimi kaikilla sivuilla enkä jostain ihme syystä edes tykkää käyttää sitä tietokoneella).

- Androidissa autofill ei toimi yhtä sujuvasti kuin LastPassissa. LastPassin kanssa käytin yläpalkin alasvetovalikkoon laitettua LastPass kuvaketta jota painamalla ruudulle tuli pieni popup-ruutu (alla oleva kuva) josta sai täytettyä tai vaihtoehtoisesti pelkästään kopioitua tunnuksen/salasanan.

Bitwardenin kanssa täyttö tehdään ylävasemmalla näkyvän kuvakkeen kautta jota painamalla hypätään hetkellisesti pois selaimesta eri ohjelmaan. Tottumiskysymys tämäkin, mutta hidastaa käyttöä.

Lisäksi joillakin sivuilla ehdottaa Bitwarden todella useasti automaattitäyttöä com.browser.operalle. Saa useamman kerran poistua täytöstä ja palata, että löytää oikean. Esim. Veikkauksen, Osuuspankin, DNA:n ja muutamien muiden sivujen kirjautumisruuduissa esiintyy tätä.

Sitä en tiedä johtuvatko viat Operasta vai Bitwardenista, mutta LastPassin kanssa toimi aina hyvin. PC:llä ei tätä ongelmaa ole esiintynyt.

Spoileri

Chromen kanssa en edes testaa kun en siihen koske pitkällä tikullakaan. Opera on ja pysyy selaimena (koska syncit) niin kauan kunnes Vivaldi ilmestyy Androidille.

- Android-sovelluksesta puuttuu tumma teema PC:llä löytyy sovelluksesta ja laajennuksesta.

- LastPassissa oli paljon enemmän asetuksia jolla sai säädetty käyttökokemuksen mieleisekseen. Bitwarden on aikalailla pakotettu siihen miten kehittäjät sitä haluavat käyttää. Toki tämä varmasti helpottaa bugien korjaamista, koska ei ole useita eri asetuskomboja jotka voivat mahdollisesti yhdessä ja erikseen aiheuttaa outoja ongelmia.

- Bitwardenin Android-sovellus on hitaampi kuin LastPassin. Ei mitenkään hirvittävästi, mutta kuitenkin niin, että näin käytön alkuvaiheessa pistää silmään joka tilanteessa.

Joka tapauksessa tyytyväinen olen toistaiseksi, jatketaan testaamista...

Lievä ot: tuli samalla vaihdettua LastPass Authenticator -> Microsoft Authenticatoriin kun olin uskossa, että siinä olisi nykyisin backup/restore, mutta pettymykseksi huomasin, että lupauksista huolimatta sitä ei ole vieläkään Androidille tuotu, ainoastaan iOS:lle. Kai se pitää sama rumba tehdä taas ja vaihtaa Authyyn.

 

[Eli4s]

Eikös tolla Bitwardenilla saanut sen databasen ladattua johonki omaanki pilveen? Yritin pc:llä selaimesta etsiä asetuksista jotain siihen liittyvää, mut en löytäny.

 

[Elvis Jagger]

Eikös tolla Bitwardenilla saanut sen databasen ladattua johonki omaanki pilveen? Yritin pc:llä selaimesta etsiä asetuksista jotain siihen liittyvää, mut en löytäny.

csv- tai json-tiedoston voit exportata (https://vault.bitwarden.com/#/tools/export).

Jos tarkotit sen varsinaisen salatun kokonaisen tietokannan itse hostaamista, niin että siihen pääsee käsiksi niin kuin KeePassin kanssa niin se on sitten eri juttu ja tarvit siihen ihan oikean Docker-serverin.

ps. Älä laita tuota csv:tä pilveen ellet salaa sitä ensin jollain (vaikka 7zip-pakkaus (.7z) salasanalla). Itse otan varakopion epäsäännöllisin väliajoin.

 

[Elvis Jagger]

- PC:llä selainlaajennuksessa ei saa täytön pikanäppäimeksi ctrl+nuoli ylös/alas johon olen LastPassin kanssa tottunut. Itseasiassa itse laajennuksen asetuksissa ei ole laisinkaan pikanäppäimien säätöä vaan ne pitää tehdä suoraan selaimesta ja ainakaan Opera tai Vivaldi ei anna valita tuota edellä mainittua komentoa joten piti muuttaa toiseksi. Tottumiskysymys toki, mutta ctrl+nuoli ollut todella nopea näpäyttää oikealla kädellä (autofill ei toimi kaikilla sivuilla enkä jostain ihme syystä edes tykkää käyttää sitä tietokoneella).

Ainakin Chromium (=Chrome) antaa laittaa ctrl+ylös tai ctrl+alas pikanäppäimeksi joten tuo on Operan ja Vivaldin esto.

Lisäksi joillakin sivuilla ehdottaa Bitwarden todella useasti automaattitäyttöä com.browser.operalle. Saa useamman kerran poistua täytöstä ja palata, että löytää oikean. Esim. Veikkauksen, Osuuspankin, DNA:n ja muutamien muiden sivujen kirjautumisruuduissa esiintyy tätä.

Itse taas en yleensä käytä autofillia mobiilissa, koska kuten sanottua hidas ja syö akkuakin liikaa, mutta tuo kuulosti jotenkin tutulta.

Onko tästä jotain apua: Auto-fill logins on Android | Bitwarden Help & Support

- Bitwardenin Android-sovellus on hitaampi kuin LastPassin. Ei mitenkään hirvittävästi, mutta kuitenkin niin, että näin käytön alkuvaiheessa pistää silmään joka tilanteessa.

Jos Bitwardenin heikkokohta on muutenkin mobiilisovellus niin etenkin siksi koska se on hidas. Entryjen määrästä ja laitteesta riippuen käynnistys (sovelluksen käynnistämisestä siihen kun salasana/pin laitettu ja kohteiden listaus on ruudulla) voi kestää useita sekunteja. Ellen muista väärin niin koko mobiilisovellus oltiin kirjoittamassa uudelleen joten se toivottavasti nopeuttaa.

 

[Eli4s]

csv- tai json-tiedoston voit exportata (https://vault.bitwarden.com/#/tools/export).

Jos tarkotit sen varsinaisen salatun kokonaisen tietokannan itse hostaamista, niin että siihen pääsee käsiksi niin kuin KeePassin kanssa niin se on sitten eri juttu ja tarvit siihen ihan oikean Docker-serverin.

ps. Älä laita tuota csv:tä pilveen ellet salaa sitä ensin jollain (vaikka 7zip-pakkaus (.7z) salasanalla). Itse otan varakopion epäsäännöllisin väliajoin.

Todennäköisesti tyhmä kysymys, mutta mitä noihn csv ja json filuista sitten löytyy? Saako niillä vietyä kaikki salasanat toiseen palveluun tjsp?

 

[Elvis Jagger]

Todennäköisesti tyhmä kysymys, mutta mitä noihn csv ja json filuista sitten löytyy? Saako niillä vietyä kaikki salasanat toiseen palveluun tjsp?

Saa. Voit avata tekstieditoriin (mieluummin muu kuin Windowsin Notepad joka todennäköisesti näyttää sen päin helvettiä) tai formatoidummassa muodossa näkee jos avaa Exceliin tai Libreoffice Calciin niin näet mitä siellä on eli kaikki paitsi Bitwardenin omat tyypit "identity" ja "cards". Eli siis ne jotka siirtyy on Logins ja Secure Notes ja niiden kansiot. Miten importtaus tapahtuu ja mitä siirtyy riippuu sitten täysin siitä toisesta palvelusta.

csv on se tavallinen import/export formaatti, json on muuta varten.

 

[Eli4s]

Saa. Voit avata tekstieditoriin (mieluummin muu kuin Windowsin Notepad joka todennäköisesti näyttää sen päin helvettiä) tai formatoidummassa muodossa näkee jos avaa Exceliin tai Libreoffice Calciin niin näet mitä siellä on eli kaikki paitsi Bitwardenin omat tyypit "identity" ja "cards". Eli siis ne jotka siirtyy on Logins ja Secure Notes ja niiden kansiot.

csv on se tavallinen import/export formaatti, json on muuta varten.

Jees. Taitaapa olla itelläki siirtyminen Lastpassista Bitwardeniin edessä.

 

[Inehmo|]

Itsellä ainoa ongelma tuon mobiilisoftan kanssa on ollut että usein se ei tarjoa vaihtoehtoa käydä hakemassa salasana vaan pitää manuaalisesti käydä avaamassa appi, etsiä oikea salasana ja copy-paste. En ole vielä löytänyt mitään yhdistävää tekijää, että millon toimii, ei toimi.

 

[Juffex]

Itsellä ainoa ongelma tuon mobiilisoftan kanssa on ollut että usein se ei tarjoa vaihtoehtoa käydä hakemassa salasana vaan pitää manuaalisesti käydä avaamassa appi, etsiä oikea salasana ja copy-paste. En ole vielä löytänyt mitään yhdistävää tekijää, että millon toimii, ei toimi.

Onko sovelluksen akun optimointi päällä tai sovellus rajoitettujen listalla?

Jos on niin ota molemmat virransäästöt pois päältä.

 

[Juffex]

Eikös tolla Bitwardenilla saanut sen databasen ladattua johonki omaanki pilveen? Yritin pc:llä selaimesta etsiä asetuksista jotain siihen liittyvää, mut en löytäny.

Installing and deploying | Bitwarden Help & Support

 

[tatulpin]

Otin kanssa Bitwardenin testiin, jos tuo desktop-appi ei menis yhtä usein rikki kuin LastPassin selainplugari verkon vaihtuessa tms, jaksaisi joka sekunti kaivaa yubikeyta esille.

 

[Infy]

Mozilla on kyhännyt Firefox Syncin kautta toimivan password managerin

Firefox Lockbox

 

[Kautium]

Olen jo ties kuinka pitkään käyttänyt joka sivustolla eri salasanaa puhtaasti muistiin perustuvalla salasanalogiikalla, mutta nyt ajattelin vihdoinkin valjastaa käyttöön jonkin salasanamanagerin ja päivittää vähitellen kaikki salasanat uudelle aikakaudelle. Muutamia eri salasanamanagereita olen joskus pikaisesti testannut, mutta pidempää käyttökokemusta ei ole mistään. Lastpassiin päädyin nyt googletuksen perusteella, mutta ei tämä kyllä jaksa vakuuttaa.

Miinusta Lastpassin kohdalla mm. näistä:

- Käyttöliittymä on jotenkin sekava ja Windows-clienttikin on joku Storesta ladattava raakile-appi
- Ainakaan Firefoxilla sovellus ei täytä salasanoja aina automaattisesti sivuille, eli monta kertaa pitää kirjauduttaessa valita mitä tunnusta käyttää, vaikka niitä ei olisi ko. sivulle kuin yksi vaihtoehto. Toisinaan se taas kirjoittaa suoraan tunnuksen ja klikkaa myös ok-painiketta. Mikähän tämän logiikka oikein on?
- Yksittäisiltä sivustoilta ei ilmeisesti saa ohitettua salasanatallennusta edes halutessaan, eli vaikka en jonkin sivuston osalta haluaisi tallettaa tietoja Lastpassiin, niin joka saakelin kerta se silti kinuaa, että haluatko tallentaa tunnuksen ja siitä ei voi klikata edes ohi samalla tavalla huolettomasti kuin esim. Firefoxin vastaavaa dialogia missä tahansa kohdassa ruutua, vaan pitää oikeasti klikata sitä "ei nyt" -painiketta joka kerta.
- Kaikilla sivuilla salasanojen täyttö ei toimi lainkaan. Mm. cdon.comissa Lastpass kyllä tunnisti kirjautumisen ja antoi tallettaa tunnustiedot, mutta seuraavalla kerralla se kuitenkin sanoo ettei ko. sivulle ole yhtään tunnusta talletettuna. HBO Nordicin kohdalla kirjautuminen toimi kerran ja nyt se osaa täyttää sinne vain tunnuksen, mutta ei salasanaa. Pari muutakin sivustoa on tehnyt samaa ja välistä sinne ei tarjota mitään tunnusta muuten kuin manuaalisesti.
- Automaattisen täytön puuttumisen lisäksi välillä kestää yllättävän pitkään ennen kuin tulee edes sitä painiketta login-kenttään, josta voisi valita tunnuksen manuaalisesti.

Joihinkin noista saattaa löytyä korjaus jostakin sieltä valikoiden syövereistä, mutta lähtökohtaisesti on sellainen fiilis, että on tähän tarpeeseen oltava olemassa parempiakin sovelluksia. Saa suositella.

Bitwarden voisi olla ainakin esittelyvideon perusteella testaamisen arvoinen.

 

[Elvis Jagger]

- Kaikilla sivuilla salasanojen täyttö ei toimi lainkaan. Mm. cdon.comissa Lastpass kyllä tunnisti kirjautumisen ja antoi tallettaa tunnustiedot, mutta seuraavalla kerralla se kuitenkin sanoo ettei ko. sivulle ole yhtään tunnusta talletettuna. HBO Nordicin kohdalla kirjautuminen toimi kerran ja nyt se osaa täyttää sinne vain tunnuksen, mutta ei salasanaa. Pari muutakin sivustoa on tehnyt samaa ja välistä sinne ei tarjota mitään tunnusta muuten kuin manuaalisesti.

Tämä ainakin toimii Bitwardenissa huomattavasti paremmin. Syynä on varmaan Lastpassin ainakin Bitwardeniin verrattuna typerä tapa tallentaa joka sivulta lomakenttien nimet ja niihin erilliset arvot. Jos menet sinne "edit form/login fields" tms. niin näkee mitä on tallennettu. Pahimmassa tapauksessa siellä on tuplana niitä jos on muokannut tai sivu muuttunut, eikä ne rekisteröintisivun kentät aina olekaan samat kuin itse kirjautumissivulla.

Bitwarden taas käyttää URI matching schemeä, esim.
https://community.bitwarden.com/upl.../bf32629f4f34981c1c18e110669b081defb81b5b.png

Tuohon voi myös lisätä useita eri osoitteita eri matching tavalla. Yksinkertaisempi ja toimii paremmin, Bitwardeniin vaihdon jälkeen ei ole tullut usein vastaan sivuja joihin tallennus ei onnistuisi.

Autofill ei kyllä toimi aina (oletuksena pois päältä koska edelleen "experimental feature"), mutta pikanäppäimen painaminen ei ole itselle ongelma.

 

[Taneli-]

Itse käytän Dashlane sovellusta, lähinnä siksi että oli paras hinta/laatusuhde (kun humble bundle myi) aikoinaan.

Tässä vielä yksi viimevuotinen arvostelu neljästä softasta:
Testissä 4 salasananhallintasovellusta: kärkikaksikon softat ovat ”suorastaan häkellyttävän hyviä”

 

[Juha Uotila]

Itsellä ollut viimeiset 4vjotta.käytössä 1Password. Hieman hinnakas, mutta eipä jaksa vaihtaa kun toimii kaikilla alustoilla sen verran hyvin.

 

[Karaya1]

Bitwarden on ilmainen ja hyvä softa, kannattaa ainakin koittaa.
Ei noista salasanahallinta softista milelestäni kannata alkaa maksamaan.

 

[neko]

En tiedä onko vain tottumusta, ja että tunnen aika hyvin LastPassin kotkotukset (lisätessä uutta tietoa käyn korjaamassa millä sivuilla ko. tunnukset pitäisi olla käytössä, korjaan tarvittaessa väärät kentät), niin ei jaksa kokeilla uusia. Varsinkin kun LastPass toimii em. juttujen jälkeen luotettavasti. En ehkä suosittelisi LastPassia enää. Mutta jos tulet sen kanssa toimeen, niin en tiedä paraneeko vaihtamalla. Siis jos ei ole ongelmia. Työpöytäkäytössä Vivaldi (ja Edge joskus).

 

[Kautium]

En tiedä onko vain tottumusta, ja että tunnen aika hyvin LastPassin kotkotukset (lisätessä uutta tietoa käyn korjaamassa millä sivuilla ko. tunnukset pitäisi olla käytössä, korjaan tarvittaessa väärät kentät), niin ei jaksa kokeilla uusia. Varsinkin kun LastPass toimii em. juttujen jälkeen luotettavasti. En ehkä suosittelisi LastPassia enää. Mutta jos tulet sen kanssa toimeen, niin en tiedä paraneeko vaihtamalla. Siis jos ei ole ongelmia. Työpöytäkäytössä Vivaldi (ja Edge joskus).

Toki sen kanssa toimeen tulee, mutta onhan se aika vanhanaikainen ja hidas bugikasa verrattuna vaikka nyt sitten edes Firefoxin omaan salasanahallintaan. Jotenkin hassua, jos nämä kaikki ovat tällaisia paskoja. Bitwardenissakin näyttäisi olevan omat omituisuutensa/puutteensa.

 

[neko]

En kyllä hitautta ole huomannut. Ettei selaimella olisi osuutta asiaan?

 

[Kautium]

En kyllä hitautta ole huomannut. Ettei selaimella olisi osuutta asiaan?

En ole testannut kuin uusimmalla Firefoxilla, mutta sillä ainakin tuntuu välillä kestävän ihmeen kauan niiden painikkeiden ilmaantuminen tunnuskenttiin. Ei aina, mutta kuitenkin.

 

[Karaya1]

Toki sen kanssa toimeen tulee, mutta onhan se aika vanhanaikainen ja hidas bugikasa verrattuna vaikka nyt sitten edes Firefoxin omaan salasanahallintaan. Jotenkin hassua, jos nämä kaikki ovat tällaisia paskoja. Bitwardenissakin näyttäisi olevan omat omituisuutensa/puutteensa.

Kannattaa sitten jättää nämä softat käyttämättä, et tule löytämään yhtään mistä et löytäisi mitää kitisemistä.

 

[Kautium]

Kannattaa sitten jättää nämä softat käyttämättä, et tule löytämään yhtään mistä et löytäisi mitää kitisemistä.

Jaa että nämä listatut ongelmat ovatkin "kitisemistä".

Siltähän se tosiaan vähän näyttää että kaikki salasanahallintatuotteet ovat enemmän tai vähemmän kompromissitoteutuksia ja se on kovin erikoista, kun huomioi millaisessa maailmassa eletään ja kuinka paljon hyvälle tuotteelle olisi kysyntää.

Ei minua sinäänsä haittaisi maksaa hyvästä tuotteesta, mutta vielä ei ole sellaista kohdalle osunut. Lastpassista on nyt käytössä maksullisen premiumin trial ja sen perusteella en siitä ainakaan maksaisi mitään ja se on kuitenkin voittaja tai ainakin kärkijoukossa aina kun tämän kategorian sovelluksia jossakin testaillaan. Se laittaa väkisinkin pohtimaan, että kuinkahan huonoja ne loppupään sovellukset oikeasti ovatkaan.

 

[Eli4s]

Kannattaa sitten jättää nämä softat käyttämättä, et tule löytämään yhtään mistä et löytäisi mitää kitisemistä.

Tämä ketju on tarkoitettu nimenomaan keskustelulle password managereista enkä kutsuis tuota kitisemiseksi. Olen itsekkin käynyt läpi näitä softia (mm. Lastpass ja Bitwarden) ja todennut monen olevan paskaa tai itselle tärkeitä ominaisuuksia puuttuu. En olis pannu pahakseni jos olisin lukenut niistä puutteista esim. täältä ennen ku tarvii lähteä säätämään koko softan kanssa.

Itsellä atm käytössä KeePass ja olen ollut tyytyväinen. Ei yksinkertaisimmasta päästä, mutta pidän turvallisena.

 

[escalibur]

Kannattaa sitten jättää nämä softat käyttämättä, et tule löytämään yhtään mistä et löytäisi mitää kitisemistä.

Jätetäänpäs tälläiset turhat provoilut väliin. Jätä postamatta jos sinulla ei ole mitään annettavaa ketjun aiheelle.

 

[user9999]

Tuo macOS, iOS salasana juttu (iCloud) pelaa ihan kohtuullisen hyvin. Vaatii sitten Safarin. Ainoat mitkä itsellä bugittaa niin
https://trueimage.acronis.com/login
Gigantti
cdon (ei täytä kenttiä vaan se on haettava erikseen)
QNAP Nas (ei täytä salasana kenttää jos käytössä Touch ID (Safari AutoFill) ja macOS

Mutta joo menee vähän ohi aiheen kun ei toimi kuin macOS ja iOS käyttöjärjestelmissä joissa Safari

 

[Puoskari]

1Password käytössä täälläkin muistaakseni kolmatta vuotta. On vastannut hyvin omia tarpeita, eli en ole edes kokeillut muita vaihtoehtoja.

 

[Inehmo|]

Itse en ole Bitwardeniin siirtymisen jälkeen pitänyt päällä tuota automaattistä täyttöä päällä ollenkaan vaan jos johonkin kirjaudun niin klikkaan tuolta selaimen ylälaidasta lisärin ikonia ja sen jälkeen sitä vaihtoehtoa, jolla haluan kirjautua. Toki myös jokaisen selaimen sulkemisen jälkeen joudun kirjaamaan master passwordin erikseen joten jos on ekaa kertaa sen päivän aikana tarvetta niin annan salasanan. En ole erityisesti edes kaivannut automaattista täyttöä varsinkin kun Chromen oma salasananhallinta oli paisunut monilla sivuilla käyttöökelvottomaksi ja antoi vääriä salasanoja johtuen juuri noista tupla-entryistä ja muusta tauhkasta.

Eniten juuri tuo selkeä hallittavuus tuossa Bitwardenissa miellytti Chromesta siirtyessä. Ja jos ei halua tallentaa salasanaa niin voi valita "Never" niin ei kysele enää samalle sivustolle uudestaan.

Ainoat ongelmat Bitwardenin kanssa ovat lähinnä Androidin puolella ja sielläkin vain se, että ei aina ehdota automaattisesti, että haetaanko tähän kirjautumiseen vaultista tunnukset vaan pitää erikseen availla. Joskus toimii, joskus ei. En tiedä miksi.

 

[TenderBeef]

Lukaisin tämän ketjun läpi, olen tähän mennessä ollut vähän laiska ja käyttänyt Keepassia (v1) vain läppärillä ja ajatus oli nyt jumpata sen verran, että saisi sen muihinkin laitteisiin.

Aika paljon on viestejä Bitwardenista joten piti vähän sitä vilkaista. Vaikuttaa ihan hyvältä, client-side-encryption palvelu, tosin "yhden-miehen-paja" epäilyttää ja maksullisuus tulevaisuudessa. Muutama kysymys:

1) Ilmeisesti on lokaalisti (joka laitteella) myös aina vault tallessa, ainakin vaikuttaa siltä tämän perusteella? Olisi hyvä saada, kaiken varalta, versioiva backup johonkin toiseen pilvipalveluun.

2) Ilmeisesti ilmaisversiolla ei saa esim. pankin tunnuslukutaulukosta tai passista kuvaa liitettyä vaulttiin?

Itsellenikin voisin tuota miettiä, luulisin että olisi helpompi esim. androidilla auto-fill systeemit kuin keepassin kanssa.

Onko kukaan laittanut Bitwardenia "vanhemmalle väelle" jotka eivät tajua mistään puhelimista/tableteista/tietokoneista oikein mitään? Ainakin suomenkieli näyttäisi löytyvän joten ainakin olisi kunnossa se puoli.

Vai olisiko se applen (kaikki vehkeet sitä ekosysteemiä, ainakin nyt) oma "avainnippu"-systeemi parempi/helpompi vanhemmalle väelle? Luulisin, että siinäkin tietoturva-asiat on kunnossa.

 

[Elvis Jagger]

1) Ilmeisesti on lokaalisti (joka laitteella) myös aina vault tallessa, ainakin vaikuttaa siltä tämän perusteella? Olisi hyvä saada, kaiken varalta, versioiva backup johonkin toiseen pilvipalveluun.

2) Ilmeisesti ilmaisversiolla ei saa esim. pankin tunnuslukutaulukosta tai passista kuvaa liitettyä vaulttiin?

1. Kuten tolla sivulla viitataan niin tarkoitus on vaan pelastaa data kaatumistilanteissa. Muualle siirrettynä et taida saada sitä salattua dataa auki. Bitwardenin voi myös hostata itse, mutta siihen tarvit serverin ja säädöt. Nettisivun kautta voi tietenkin exportata .csv ja muissa muodoissa.

2. On rajoitettu vain maksulliseen.

Itsellenikin voisin tuota miettiä, luulisin että olisi helpompi esim. androidilla auto-fill systeemit kuin keepassin kanssa.

Voi olla että luin väärin mutta Keepass-clientteja löytyy myös Androidille. Esim. https://play.google.com/store/apps/details?id=keepass2android.keepass2android (tosin v2) Autofillista en kyllä muista miten toimi.

 

[Karaya1]

Bitawarden taitaa maksaa 10€ vuosi ei mitenkään paha hinta jos esim vertaa vaikka 1Password lähemmäs 40 hintaa. Mitä parempaa 1Password tarjoaa tuon korkeamman hinana kateeksi?

 

[TenderBeef]

Kuten tolla sivulla viitataan niin tarkoitus on vaan pelastaa data kaatumistilanteissa. Muualle siirrettynä et taida saada sitä salattua dataa auki.

Joo ei saakaan, tarkoitus oli kuitenkin vain saada versioitu varmuuskopio vaultista sillä lailla että sen voi hätätilanteessa kopioida takaisin ja avata ohjelmalla taas. En luota synkkauksiin yhtään, tai "web-vault:iin".

Voi olla että luin väärin mutta Keepass-clientteja löytyy myös Androidille. Esim. https://play.google.com/store/apps/details?id=keepass2android.keepass2android (tosin v2) Autofillista en kyllä muista miten toimi.

Joo tällainen on mutta ei selvästi ole niin kätevä käyttää, esim. vaatii "Integrated Soft-Keyboard: Switch to this keyboard for entering user credentials. This shields you from clipboard based password sniffers (see below)" käyttöä. Videolla näkee kuinka hidasta ja vaivalloista sen käyttö on, pitää vaihtaa keyboardia eestaas ja vielä lopuksi lukita keepass tietokanta.

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

Onko tietoa miten Bitwarden hoitaa auto-fillit? Ettei vaan clipboardin kautta?


EDIT: Joutuu varmaan sitten laittamaan testit molemmista tulille että näkee ja kokee itse miten hommat toimii.

 

[TenderBeef]

Tällainen löytyi mutta on pari vuotta vanha: Password Managers using Android Oreo's Autofill API are Potentially Vulnerable to Data Leakage

Olisi kyllä kiva tietää Bitwardenin autofill toteutuksista, help centeristä ei löydy tätä tietoa.

 

[Eli4s]

Joo ei saakaan, tarkoitus oli kuitenkin vain saada versioitu varmuuskopio vaultista sillä lailla että sen voi hätätilanteessa kopioida takaisin ja avata ohjelmalla taas. En luota synkkauksiin yhtään, tai "web-vault:iin".


Joo tällainen on mutta ei selvästi ole niin kätevä käyttää, esim. vaatii "Integrated Soft-Keyboard: Switch to this keyboard for entering user credentials. This shields you from clipboard based password sniffers (see below)" käyttöä. Videolla näkee kuinka hidasta ja vaivalloista sen käyttö on, pitää vaihtaa keyboardia eestaas ja vielä lopuksi lukita keepass tietokanta.

Tämän sisällön näkemiseksi tarvitsemme suostumuksesi kolmannen osapuolen evästeiden hyväksymiseen.
Lisätietoja löydät evästesivultamme.

Hyväksy kolmannen osapuolen evästeet

Onko tietoa miten Bitwarden hoitaa auto-fillit? Ettei vaan clipboardin kautta?


EDIT: Joutuu varmaan sitten laittamaan testit molemmista tulille että näkee ja kokee itse miten hommat toimii.

Kyllä pitäs toimia autofill ilman tuota näppäimistöäkin. Lisäksi jos vault on auki niin se antaa ilmoituspalkkiin ilmoitukset joita klikkaamalla voi kopioida hetkeksi clipboardille tunnukset.

 

[Elvis Jagger]

Joo ei saakaan, tarkoitus oli kuitenkin vain saada versioitu varmuuskopio vaultista sillä lailla että sen voi hätätilanteessa kopioida takaisin ja avata ohjelmalla taas. En luota synkkauksiin yhtään, tai "web-vault:iin".

Webvaultissa on siis .csv import/export. Otan silä itsekin silloin tällöin varakopion muualle talteen, mutta se on tietenkin salaamatonta plain textia.

En nyt tajunnut mitä "En luota synkkauksiin yhtään, tai "web-vault:iin"" tarkoitti. Bitwardenia et voi käyttää ilman nettiä ja web-palvelimelle synkkaamista, oli se palvelin sitten Bitwardenin tai oma.

 

[TenderBeef]

Kyllä pitäs toimia autofill ilman tuota näppäimistöäkin. Lisäksi jos vault on auki niin se antaa ilmoituspalkkiin ilmoitukset joita klikkaamalla voi kopioida hetkeksi clipboardille tunnukset.

Se erillinen keyboard on juuri siksi, että clipboardin kautta ei ole turvallista tehdä auto-filliä.

EDIT: Ja aikaisemman linkkaamani artikkelin perusteella Oreossa tullut uusi auto-fill-systeemikään ei ole ihan turvallinen ja vaatii appsin tekijältä erilaisia toimenpiteitä, että saa turvallisemmaksi.

En nyt tajunnut mitä "En luota synkkauksiin yhtään, tai "web-vault:iin"" tarkoitti. Bitwardenia et voi käyttää ilman nettiä ja web-palvelimelle synkkaamista, oli se palvelin sitten Bitwardenin tai oma.

Synkkaus ei ole varmuuskopiointia. Jos jotain ilkeää tapahtuu se tapahtuu kaikille synkkauskohteille. Sama juttu kuin RAID:in kanssa. En luottaisi supertärkeitä user/pw-tietoja pelkästään synkkauksen taakse.

Sen help center artikkelin perusteella Bitwarden kyllä tallentaa aina lokaalisti tiedot. Oli desktop/mobile/browser/cli.

Where is my data stored on my computer/device?
You data is also automatically synced to our cloud servers.

Laitoin devaajalle kysymyksiä, postaan tänne jos vastaa jotain (järkevää).

 

[TenderBeef]

Synkkaus ei ole varmuuskopiointia. Jos jotain ilkeää tapahtuu se tapahtuu kaikille synkkauskohteille.

Ja sellaista ilkeää voi jopa käyttäjä itse tehdä Bitwardenin kanssa!

Rotating your account’s encryption key
...
Because your account’s encryption key changes, any old sessions with a Bitwarden application that you may be logged into with your account will still have the old, incorrect encryption key. If you make any changes to your account’s vault data with an old encryption key, that data will become corrupted and unrecoverable.

 

[Elvis Jagger]

Sen help center artikkelin perusteella Bitwarden kyllä tallentaa aina lokaalisti tiedot. Oli desktop/mobile/browser/cli.



Laitoin devaajalle kysymyksiä, postaan tänne jos vastaa jotain (järkevää).

Tietenkin tallentaa, mutta periaatteessa väliaikaisesti. Desktop-sovelluksen saa auki ilman nettiäkin, mutta muutoksia ei voi tallentaa.

Katsoin tuonne hakemistoon ja siellä on useita tiedostoja, ei mitään yhtä tietokantatiedosta tyyliin KeePass. Varmaan onnistuu hätätapauksessa siirto (kaatuu tms.), mutta tuskin kannattaa sitä hakemistoa kopioida talteen vaan exportata se .csv tiedosto (sen voi myös tehdä tolla sovelluksella = pari klikkausta).

 

[TenderBeef]

mutta tuskin kannattaa sitä hakemistoa kopioida talteen vaan exportata se .csv tiedosto (sen voi myös tehdä tolla sovelluksella = pari klikkausta)

Jos varmuuskopiointi pitää tehdä manuaalisesti, se ei varmaan lähes kaikkien kohdalla tule toimimaan, se pitää tapahtua automaattisesti. Lisäksi tuollaisen salaamattoman tiedoston kanssa on omat ongelmat, pitää salata ja sitten vasta saada siitä versioiva varmuuskopio (kun kyseessä supertärkeää tietoa, sitä ei voi varmuuskopioida vain lokaalisti vaan se periaatteessa täytyy saada myös johonkin pilveen (versioivaan)). Eikä tuo exportti ainakaan saa talteen liitteitä, lisäksi taisi olla niin, että .csv on suppeampi kuin .json export.

Pistän tulille testiä Keepassista ja Bitwardenista (kun aikaa löytyy), testaan myös Bitwardenin lokaalin kopion varmuuskopiointia ja palauttamista.

 

[TenderBeef]

Developer vastaili autofill kysymyksiin:

We do not use the clipboard when performing autofill operations. We use
native functions provided by the OS to handle this. For example, on
Android we use accessibility services and Oreo's autofill services.
These do not use the clipboard.

The article that you linked in quite old, and Android's documentation
implementing autofill services covers the best practices concerning
these issues. We follow Android's documented best practices with regards
to Oreo autofill services. Specifically, we do partition data and check
package ids on all autofill operations.

Ja lokaalin kryptatun kansion backuppauksesta:

You likely can do that, however, we have note tested this. You can give it a try if you like.

Mukavan nopeasti ainakin dev vastailee.

 

[Infy]

Android 10 ehkä korjaa tuon taustalla tapahtuvan leikepöydän luvun vaatimalle erillisen oikeuden sille.



Android Q Will Better Protect Your Privacy With New Features

Samsungin luureissa on pitkään ollut hieno toiminto joka tallentaa leikepöydälle kopioidut tekstit. Vaikka joku salasanaohjelma kopioi salasanan leipöydölle vain vaikka minuutin ajaksi ja sitten pyyhkii sen, löytyy salasana silti vielä tuon hienon toiminnon ylläpitämästä leikepöytähistoriasta. Jos haluaa ne sieltä pois pitää ne itse poistaa. Kaiken lisäksi koko leikepöytähistoria tallentuu selväkielisenä tiedostojärjestelmään. Sen lukeminen tosin vaatii root-oikeiden. Ja toisaalta sen poistaminen vaatii tehdasasetusten palauttumisen tai root-oikeudet.

 

[TenderBeef]

Vaikka joku salasanaohjelma kopioi salasanan leipöydölle vain vaikka minuutin ajaksi ja sitten pyyhkii sen

Tämä ei nyt suoraan liity tuohon Samsungin juttuusi, olen ymmärtänyt, että android appsit voivat "rekisteröityä" androidin systeemiin sillä lailla että android aina ilmoittaa kyseisille appseille että nyt muuttui leikepöytä ja tällä tiedolla. Eli toisin sanoen tuollaisella "tyhjää leikepöytä x sekunnin päästä" toiminnolla ei käytännössä ole mitään merkitystä. Hankalia juttuja nämä erittäin salaisten tietojen pitäminen salaisina.

Bitwardenin web-vaulttiin jos kirjautuu niin silloinhan master passwordhan "vuotaa" heidän serverille. Todennäköisesti he pitävät sen vain muistissa loggautumisen ajan ja sitä ei tallenneta mihinkään. Tosin olet jo luottanut softan tekijään jos olet käyttänyt sen appseja. Ja samahan on esim. Keepassin kanssa, luotat softan tekijään. Tietokoneella sitten taas varmaan softa/selainlisäke kopioi tietoja leikepöydän kautta joten siinä on vuotamisen mahdollisuus, mutta jos koneellasi on jo joku vakoilijasofta (Windows?) niin pelihän on jo muutenkin menetetty. Hankalia kyllä nämä salassa pidettävät asiat kun rupeaa miettimään kaikkia vuotomahdollisuuksia.

 

[Xiyng]

Bitwardenin web-vaulttiin jos kirjautuu niin silloinhan master passwordhan "vuotaa" heidän serverille.

Sinänsä ei ole pakko, ks. Challenge–response authentication - Wikipedia. Tosin tuossakin on heikkoutensa, ja joka tapauksessa Bitwardenin tarjoamassa client-päässä tuokin pitää käsitellä - mutta palvelimelle asti ei tarvitse mennä salasanaa. Vielä olennaisempaa on, etten tiedä, miten Bitwarden tuossa suhteessa toimii, mutta veikkaan joka tapauksessa, että salasanaa käytetään.

 

[TenderBeef]

Menee ehkä mun ymmärryksen yli, mutta eikös sen serverin ole pakko tietää se master pw, millä se muuten decryptaa auki sen "vaultin"?

 

[jjs]

Menee ehkä mun ymmärryksen yli, mutta eikös sen serverin ole pakko tietää se master pw, millä se muuten decryptaa auki sen "vaultin"?

En tiedä miten juuri tässä ohjelmassa, mutta yleensä salasanaa ei tallennetta palvelimelle, vaan siellä on vain salasanasta laskettu tarkastussumma. Muuten noita kaikennäköisiä salasanavuotoja olisi vielä enemmän kuin nyt.

 

[TenderBeef]

Olen kyllä tietoinen tuosta, mutta silti epäilen miten jos pelkkä hash lähetetään serverille niin miten sillä voisi avata sen kryptatun tiedon joka siellä Bitwardenin serverillä on kun kerran se on väitetysti kryptattu client-side. Onko se tieto sitten kryptattu hashilla eikä suoraan sillä pw:lla? Ääh, nyt menee jo överiksi, joka tapauksessa se pw minusta "vuotaa" ainakin siksi ajaksi kun olet kirjautunut nettipalveluun. Mutta se on kuitenkin siitä kiinni että luotatko palveluntarjoajaan (EDIT: ja heidän mahdollisiin kolmannenosapuolen käyttämiin server-palveluihin.. tässä tapauksessa Microsoft Azure?).

Esim. SpiderOak joka on minulla käytössä, se on myös client-side-encrypted tyylinen palvelu, mutta jos kirjautuu omalle tilille nettiselaimen kautta, se master pw menee serverille, mutta se on (kuulemma) vain serverin muistissa sen aikaa kun on kirjautuneena sisään, sitä ei tallenneta mihinkään.

 

[TenderBeef]

Juuri näin. Mutta kuitenkin siinäkin joudut luottamaan sen softan tekijään ettei se vuoda mitään siinä tapauksessa jos sallii ulosmenevän liikenteen esim. suoraa pilvisynkkausta varten. Toki voi järjestää synkkauksen passusoftasta erikseen niin sen vuotomahdollisuuden saa estettyä. Deep down se on kuitenkin aika paljon luottamusta softaan näiden kanssa.

 

[Kautium]

Pitäisikö Bitwardenin osata jotenkin täyttää tunnustiedot eri palveluihin ilman käyttäjän toimenpiteitä ("autofill")? Pikaisella testauksella näin ei ainakaan oletuksena tapahdu Firefoxilla, eli käyttäjän pitää käydä sieltä Bitwarden addonin valikosta klikkaamassa haluttua tunnusta.

Edit.
Näköjään asetuksissa on tämän tarpeen toteuttava "experimental feature":
Auto-fill logins using the browser extension | Bitwarden Help & Support

Bitwarden includes an experimental feature to auto-fill logins immediately after a webpage containing a login form loads in your browser. This feature requires you to opt-in to use it. You can enable “Auto-fill On Page Load” under Settings → Options.

In the case of multiple logins matching the current website, the last used login will be used for the auto-fill operation. If the wrong login is auto-filled, you can auto-fill again using the popup window and reset the last used login.

 

[TenderBeef]

Pitäisikö Bitwardenin osata jotenkin täyttää tunnustiedot eri palveluihin ilman käyttäjän toimenpiteitä ("autofill")? Pikaisella testauksella näin ei ainakaan oletuksena tapahdu Firefoxilla, eli käyttäjän pitää käydä sieltä Bitwarden addonin valikosta klikkaamassa haluttua tunnusta.

Edit.
Näköjään asetuksissa on tämän tarpeen toteuttava "experimental feature":
Auto-fill logins using the browser extension | Bitwarden Help & Support

Ei ole suositeltavaa käyttää tuollaista toimintoa. Tietosi voivat vuotaa. Tässä yksi esimerkki, on tosin pari vuotta vanha artikkeli mutta silti pätevä: Ad targeters are pulling data from your browser’s password manager

The scripts work by injecting invisible login forms in the background of the webpage and scooping up whatever the browsers autofill into the available slots.

 

[user9999]

Tiedä sitten kuinka turvallinen tuo Applen Safari AutoFill ratkaisu on Tulee käytettyä.