Přidat otázku mezi oblíbenéZasílat nové odpovědi e-mailem Aký password manažér používate?

Ahoj,

dlhé roky používam KeePass, avšak aktuálne som dosť sklamaný z neochoty autora zablokovať mimoriadne ľahko zneužiteľný export databázy bez vedomia užívateľa. viď. diskusia tu a146e5cf6b

1. aký password manažér sa vám osvedčil? Kde si ukladáte heslá?

2. ukladáte si aj kompletné info o citlivých veciach, napr. platobných kartách, vrátane CVV? Alebo si tieto údaje ukladáte ešte nejako zakódované vlastným spôsobom, napr. prehodené číslice podľa vlastného systému, aby ani pri prípadnom úniku neboli ľahko zneužiteľné?

3. Používate na zabezpečenie len heslo alebo aj niečo navyše, napr. časť hesla na usb kľúči a pod.?

Předmět Autor Datum
1. KeePassXC na PC, KeePassDX na mobilu 2. platební karty tam neukládám 3. používám jen master hes…
host 06.02.2023 11:34
host
On někdo ukládá i hesla? To jsem rád že jsi to pamatuji.
lopater150 06.02.2023 11:39
lopater150
Pamatuješ si třeba 50 hesel a uživatelských jmen? Každé jiné, minimálně 8 znaků dlouhé, obsahující m…
host 06.02.2023 11:46
host
Mám jich asi 10 a když se zeptáš tak ti je neřeknu. Až když sednu ke klávesnici tak to podle klavesn…
lopater150 06.02.2023 11:49
lopater150
Tak 10 hesel na vše by mi asi nestačilo.
Wikan 06.02.2023 12:09
Wikan
Pravda jestli má někdo sociální sítě a další aplikace.
lopater150 06.02.2023 12:11
lopater150
I bez sociálních sítí mám podstatně více než 10 hesel. Jenom banky a pojišťovny se blíží 10 heslům.
Wikan 06.02.2023 12:15
Wikan
Jestli jich máš víc.
lopater150 06.02.2023 12:16
lopater150
Evidentně.
Wikan 06.02.2023 12:22
Wikan
Mít v dnešní době jen deset hesel? :-? Tak to na jednu stranu závidím a na druhou stranu si to neumí…
host 06.02.2023 12:56
host
Jednoduché sociální **** nemám banka 1 kde je i pojištovna a hypoteka a další věci. Pak máš 3x email…
lopater150 06.02.2023 13:03
lopater150
I těch tvých 10 hesel, kdyby měly splňovat všechna kritéria pro bezpečnost včetně obměny např. jedno…
host 06.02.2023 13:12
host
22 znaků +?: a další znaky + velké a malé písmena je dost ne?
lopater150 06.02.2023 13:15
lopater150
Určitě. :-)
host 06.02.2023 13:17
host
všechna kritéria pro bezpečnost včetně obměny např. jednou za 6 měsíců to je nezmysel, kritérium pr…
Ale 06.02.2023 16:18
Ale
Mam otazku, ako synchronizujes databazu s heslami medzi PC a mobilom? Obe aplikacie pouzivaju rovnak…
Palos2 06.02.2023 18:57
Palos2
Používám sdílenou databázi na Google disku. (+ samozřejmě mám lokální kopii, kdyby nebyl přístup k i…
host 06.02.2023 19:00
host
Skusam KeepassDx na androide a nejak mi to s google drive nesynchronizuje. Vytvoril som si databazu…
Palos2 06.02.2023 20:19
Palos2
Zadny. Pouzivam heslo ve tvaru, nazev sluzby + neco sloziteho, co si pamatuju. To slozite bude u vse…
MaSo 06.02.2023 11:42
MaSo
To moc bezpečné nie je,... stačí aby jedna služba nemala heslo zahashované a zasolené, a stačí že je…
Ale 06.02.2023 16:22
Ale
Číslo jedné platební karty mám v hlavě a CVV taky. CVV bych určitě nikam společně s číslem karty neu…
Karel04 06.02.2023 11:42
Karel04
Ja to mám uložené, a nebojím sa... i tak je väčšia šanca že ti to ukradne bezpečák, keď bude sledov…
Ale 06.02.2023 16:24
Ale
Bezpečák k tomu nemůže, kamery v obchodech nesmí snímat přímo platební terminály. Ale u nějakého vie…
Karel04 06.02.2023 17:49
Karel04
Nějaké domácí šifrování je ti houby platné, když to musíš v platební bráně stejně vyplnit. Hovoríme…
Ale 06.02.2023 18:09
Ale
eshop nema k udajum z platebni brany zadny pristup, aspon u nas nebo v civilizovanych zemich. ale uz… poslední
brum brum 08.02.2023 17:59
brum brum
Mrkněte na password card!
Kyncl 06.02.2023 15:40
Kyncl
ten "ľahko" zneužitelný export ale předpokládá kompletní ovládnutí PC. A pak bych se už netrápil s e…
touchwood 06.02.2023 20:26
touchwood
...ale předpokládá kompletní ovládnutí PC. Ani netreba kompletne ovladnutie, staci ak si odskocis n…
palos2 07.02.2023 11:37
palos2
Takze v bezpeci si len na vlastnom PC, ktore mas pod plnou kontrolou. Ano, to je pravda. Mimochode…
RedMaX 07.02.2023 12:51
RedMaX
"odskočení na toaletu" při nezamčeném PC je ale typický příklad kompletního ovládnutí PC....
touchwood 08.02.2023 16:25
touchwood
Používám KeePass na počítači, na mobilu používám Keepass2Android. Za mě ok. Nemyslím, že by útočník…
RedMaX 07.02.2023 10:15
RedMaX

Mám jich asi 10 a když se zeptáš tak ti je neřeknu. Až když sednu ke klávesnici tak to podle klavesnice vždy dám. Asi 22 znaků a je tam ?! a další tyhle věci. Doufám že tohle by dlouho trvalo. A hlavně ne anglické mám české.

Mam otazku, ako synchronizujes databazu s heslami medzi PC a mobilom? Obe aplikacie pouzivaju rovnaku zdielanu databazu?

Alebo pouzivas nejake funkcie priamo z KeePassXC, KeePassDX na zlucenie zmien v databazach?

Pripadne robis zapis zmien len jednom zariadeni a druhe sluzi len na citanie?

Skusam KeepassDx na androide a nejak mi to s google drive nesynchronizuje. Vytvoril som si databazu s par polozkami, rucne ju nokopiroval na google drive. V keepassdx zvolim otvorit novu db, ponukne mi otvorit cim (na vyber mam nainstalovany Cx File Explorer alebo File Manager+). Zvolim ktorym manazerom otvorit, najdem na google drive ulozenu databazu a otvori sa. Zapisem novu polozku, dam ulozit a zmena sa neprenesie na google drive, ostava to v nejakej lokalnej cache v mobile, skusane aj s druhym manazerom.

Ako presne to robis ty?

To moc bezpečné nie je,... stačí aby jedna služba nemala heslo zahashované a zasolené, a stačí že jednému ujde, a už k tvojim účtom bude pattern "názov služby" čo je verejne známa informácia a neco složitého, čo sa práve únikom stalo verejne známa informácia... takže v podstate stačí jedna služba, ktorej unikne databáza, a ľahko máš po všetkých účtoch.

Číslo jedné platební karty mám v hlavě a CVV taky. CVV bych určitě nikam společně s číslem karty neukládal. Dalšími kartami na webu neplatím. Na kartách mám CVV přelepený malou samolepkou proti zneužití. V případě potřeby se dá odloupnout a podívat se.

Ja to mám uložené, a nebojím sa...

i tak je väčšia šanca že ti to ukradne bezpečák, keď bude sledovať skrz kamery ako v obchode prikladáš kartu, a ukazuješ čísla na nej napísané...
a ak máš tie čísla karty zašifrované a počítač korektne zabezpečený, tak je tam výrazne nižšia šanca na krádež než že ti to ukradne e-shop, keď zadávaš to číslo pri nákupe.

Bezpečák k tomu nemůže, kamery v obchodech nesmí snímat přímo platební terminály. Ale u nějakého vietnamce nebo číňana nikdy nevíš, jestli tam nemá někde kamerku a nevidí obě strany platební karty. Proto mám ty CVV přelepené. A na eshopech používám jen jednu kartu, kde nuluji limit pro platby a povoluji jen při nákupu. A na účtu k té kartě je vždy jen minimum peněz a dobíjím ji převodem z jiného mého účtu, jehož číslo nikde neuvádím.

ak máš tie čísla karty zašifrované a počítač korektne zabezpečený, tak je tam výrazne nižšia šanca na krádež než že ti to ukradne e-shop, keď zadávaš to číslo pri nákupe.

Nějaké domácí šifrování je ti houby platné, když to musíš v platební bráně stejně vyplnit. A na eshopech platím kartou jen přes zabezpečenou platební bránu u těch ověřených, v ostatních případech jen platbou převodem z účtu.

Nějaké domácí šifrování je ti houby platné, když to musíš v platební bráně stejně vyplnit.

Hovoríme o ukladání... potom je jedno že to neukladáš, keď to následne napíšeš do platobnej brány, že?.... ale ja nemusím sa obávať ani o bezpečnosť, ani pohodlie, že by som tie čísla musel ručne furt prepisovať.

eshop nema k udajum z platebni brany zadny pristup, aspon u nas nebo v civilizovanych zemich.
ale uz jsem videl americky shop s vyplnovanim karetnich udaju primo na jeho strankach: na takove veci mam paypal (a riziko nesou oni), nebo jdu pryc.

ten "ľahko" zneužitelný export ale předpokládá kompletní ovládnutí PC. A pak bych se už netrápil s exportováním dat z Keepassu, ale rovnou nainstaloval rootkit, keylogger atd. A vice versa, pokud je PC kompromitován výše uvedenými nástroji, tak je ti Keepass (či jakýkoli jiný password manager) k ničemu. Bazinga!

...ale předpokládá kompletní ovládnutí PC.

Ani netreba kompletne ovladnutie, staci ak si odskocis na toaletu a kolega ti zmeni konfig. Potom uz len pocka kym sa prihlasis a cela databaza s heslami sa vyexportuje. Nemusi sa trapit so ziadnym rootkitom ani keylogerom ani kompilovat zo zdrojakov cinknuty Keepass a riskovat, ze to niekto spozoruje.

Pripadne ak mas Keepass na usb kluci, strcis ho do cudzieho PC a nejaka skodna v cudzom PC ti ten konfig prepise. Ani vobec nemusis spustit Keepass na tom cudzom PC. Nasledne doma na bezpecnom PC sa prihlasis do Keypass a databaza sa ti vyexportuje na kluci do nejakeho existujuceho adresara, ktory si bezne nevsimnes. Pri buducom vlozeni do toho cudzieho PC si len skodna skopiruje vysledok.

Nehovoriac o tom, ze v podnikovom prostredi ma admin moznost zmenit ten konfig prakticky nepozorovane (= neriskuje ziadne odhalenie)

Takze v bezpeci si len na vlastnom PC, ktore mas pod plnou kontrolou. Ten utok je tak lahko vykonatelny, ze uz teraz je na tom odkaze, co som daval hore, zverejneny link na hotove skripty zneuzivajuce tuto "feature".

Zpět do poradny Odpovědět na původní otázku Nahoru