Kryptografia - zabezpieczenie haseł

[Belianify 0]

Siemka, zastanawiam się od kilku dni jak zabezpieczyć swoje hasła i nurtuje mnie kilka pytań, które sobie postawiłem podczas przemyśleń nad zabezpieczeniem haseł głównie stron internetowych.

Po pierwsze od razu chciałbym zaznaczyć, że nie jestem przekonany do programów typu TrueCrypt, które podobno spowalniają działanie systemu. (mam świra na punkcie czystości i wydajności systemu).

Po drugie uważam, że komputer nie jest dobrym miejscem na trzymanie haseł. Postanowiłem więc zapisać sobie moje hasła w notatniku i wszystko byłoby okej, ale pojawia się problem dostępu do notatnika osób niepożądanych na przykład po włamaniu. Pomyślałem więc nad zapisaniem haseł w jedynie sobie znanej metodzie kryptograficznej i tutaj pierwsze pytanie.

Jaką metodę wybrać ?? Jednocześnie, żeby nie było to banalne do złamania i niezbyt skomplikowane, żeby nie tracić czasu na odkodowanie własnego hasła.

Myślałem nad zakodowaniem haseł przy pomocy aplikacji enigma na smartfonie, ale tu pojawił się problem znaków szczególnych, które coraz częściej wymagane są podczas rejestracji. Enigma odpada.

Jeszcze jedna sprawa. Na nic się zda moje kodowanie, jeżeli na PC będzie keyloger. Jak zatem wpisywać hasła? Wpisywanie haseł przez klawiaturę ekranową również zostanie przechwycone?

 

PS. Nie, nie jestem kleptofobem. : )

[Kłaczkov 137]

Keepass + pendrive

[AndrzejTrg 5752]

Enigma?

[AMiABLE 337]

Używam VeraCrypt od bardzo dawna i może na papierze jest jakaś różnica, ale w codziennym użytkowaniu nie zauważyłem żeby zwalniało. Hasła najlepiej jest pamiętać, zapisywanie w notatniku jest IMO bez sensu. Możesz używać oprócz hasła jeszcze klucza sprzętowego bez którego nie odszyfrujesz danych.

Edytowane 25 Maja 2021 przez AMiABLE

[Belianify 0]

Przejrzałem poradniki i Keepass to swietna sprawa tylko po co ten pendrive?? do kopii zapasowej czy żeby zamieścić tam keepass portable ?

[Kitu 266]

2 godziny temu, Belianify napisał:

Przejrzałem poradniki i Keepass to swietna sprawa tylko po co ten pendrive?? do kopii zapasowej czy żeby zamieścić tam keepass portable ?

Do odszyfrowania bazy kluczem, a raczej plikiem z kluczem. Przy włączaniu apki musisz wpisać hasło i wskazać plik (domyślnie apka pamięta lokalizację, więc nie jest to upierdliwe). Wtedy nawet jeśli hasło jest proste i powszechnie znane, dopóki nie podłączysz pendrive z kluczem, nie uda się otworzyć bazy. Gorzej jeśli zapodziejesz gdzieś pendrive z kluczem i nie masz jego kopii

[Belianify 0]

Plik z kluczem na USB. Jasne, ale czy bazę danych też warto trzymać na innym USB? - mimo że to kłopotliwe.

Mam prośbę. Czy można prosić o jakieś wskazówki jak skonfigurować KeePass, żeby zwiększyć bezpieczeństwo? 

Znalazłem też ciekawe publikacje na temat bezpieczeństwa menadżerów haseł. 

https://www.zawszeczujni.pl/2015/11/korzystasz-z-keepass-twoje-hasa-i-inne.html  - Wiadomo coś czy twórca zabezpieczył program przed takim atakiem? Publikacja jest stara, bo z 2015 r. Twórca odbija piłeczkę, że to wina windowsa.

https://antyweb.pl/menadzery-hasel-podatne-na-ataki/  - Podobna sytuacja. Publikacja 2019 r.

Edytowane 26 Maja 2021 przez Belianify

[Bono[UG] 1920]

W dniu 25.05.2021 o 00:16, Belianify napisał:

PS. Nie, nie jestem kleptofobem. : )

Jesteś

Odnośnie pena, to wypada mieć kopie bezpieczeństwa, bo potrafią zdechnąć bez ostrzeżenia.
Generalnie każda forma elektroniczna, a w sumie papierowa też, może się uszkodzić. Padnie nośnik, rozwali się system plików lub posypie konfiguracja programu, różne przypadki się zdarzają. Np. mi raz wcięło zapamietane hasła w przeglądarce po aktualizacji do nowszej wersji, udało się odkręcić ale trochę się człowiek spocił.

Podstawą dla mnie, to pamiętać hasło do poczty i banku. Druga rzecz, to różne hasła do istotnych rzeczy i w żadnym wypadku wspólne z portalami społecznościowymi.

Oprogramowanie trzymające hasła, to w zasadzie przede wszystkim ochrona przed eskalacją wycieku danych, bo można generować losowo długie hasła, więc jak z jednego miejsca wyciekną, to do innego nie będą pasować, a złamać nie będzie łatwo.
Podstawą i tak jest trzeźwa głowa, bo co da super zabezpieczone hasło jak je podamy na tacy dając nabierać się na przekręt?

[Kłaczkov 137]

3 godziny temu, Belianify napisał:

Plik z kluczem na USB. Jasne, ale czy bazę danych też warto trzymać na innym USB? - mimo że to kłopotliwe.

Mam prośbę. Czy można prosić o jakieś wskazówki jak skonfigurować KeePass, żeby zwiększyć bezpieczeństwo? 

Znalazłem też ciekawe publikacje na temat bezpieczeństwa menadżerów haseł. 

https://www.zawszeczujni.pl/2015/11/korzystasz-z-keepass-twoje-hasa-i-inne.html  - Wiadomo coś czy twórca zabezpieczył program przed takim atakiem? Publikacja jest stara, bo z 2015 r. Twórca odbija piłeczkę, że to wina windowsa.

https://antyweb.pl/menadzery-hasel-podatne-na-ataki/  - Podobna sytuacja. Publikacja 2019 r.

Zawsze jest możliwy jakiś wektor ataku, jak ktoś będzie naprawdę zdesperowany to i tak się włamie. Imo menadżer haseł jest dużo lepszym pomysłem niz trzymanie hasel na kartce. Pamiętasz jedno hasło, a nie 400

[Belianify 0]

Ktoś wie jak skonfigurować KeePass do hasła maskowanego np w ING ??

[iwanme 229]

Od siebie mogę podrzucić BitWarden, można sobie postawić w dockerze self-hosted jak ktoś ma jakiegoś NAS'a, albo domowy serwerek.

[Karister 1595]

Ja z kolei używam LastPass, bo można używać na dowolnym urządzeniu z dostępem do Internetu. W przeglądarce wypełnia hasło automatycznie, a na jabłkofonie od razu loguje po wybraniu logowania z menadżerem haseł poprzez Face ID. Co do Keyloggerów - 2FA albo używanie mózgu. Ewentualnie jedno i drugie.

Edytowane 26 Maja 2021 przez Karister

[Camis 9714]

Przetestowałem większość popularnych menedżerów, teraz używam Bitwarden IMHO najlepszy.