Aký password manažér používate?
Ahoj,
dlhé roky používam KeePass, avšak aktuálne som dosť sklamaný z neochoty autora zablokovať mimoriadne ľahko zneužiteľný export databázy bez vedomia užívateľa. viď. diskusia tu a146e5cf6b
1. aký password manažér sa vám osvedčil? Kde si ukladáte heslá?
2. ukladáte si aj kompletné info o citlivých veciach, napr. platobných kartách, vrátane CVV? Alebo si tieto údaje ukladáte ešte nejako zakódované vlastným spôsobom, napr. prehodené číslice podľa vlastného systému, aby ani pri prípadnom úniku neboli ľahko zneužiteľné?
3. Používate na zabezpečenie len heslo alebo aj niečo navyše, napr. časť hesla na usb kľúči a pod.?
1. KeePassXC na PC, KeePassDX na mobilu
2. platební karty tam neukládám
3. používám jen master heslo
On někdo ukládá i hesla? To jsem rád že jsi to pamatuji.
Pamatuješ si třeba 50 hesel a uživatelských jmen? Každé jiné, minimálně 8 znaků dlouhé, obsahující malá a velká písmena, čísla a speciální znaky? Jsi borec!
Jestli máš 2-3 hesla, tak to si asi zvládneš zapamatovat.
Mám jich asi 10 a když se zeptáš tak ti je neřeknu. Až když sednu ke klávesnici tak to podle klavesnice vždy dám. Asi 22 znaků a je tam ?! a další tyhle věci. Doufám že tohle by dlouho trvalo. A hlavně ne anglické mám české.
Tak 10 hesel na vše by mi asi nestačilo.
Pravda jestli má někdo sociální sítě a další aplikace.
I bez sociálních sítí mám podstatně více než 10 hesel. Jenom banky a pojišťovny se blíží 10 heslům.
Jestli jich máš víc.
Evidentně.
Mít v dnešní době jen deset hesel?
Tak to na jednu stranu závidím a na druhou stranu si to neumím představit.
Banky, pojišťovny, e-shopy, maily, sociální sítě, služby (ČEZ, O2, TV poplatky, atd...), spousta různých hesel do práce, FTP hesla, atd....
Jednoduché sociální **** nemám banka 1 kde je i pojištovna a hypoteka a další věci. Pak máš 3x email, wot heslo a pak ještě eon heslo + iptv.
Tak do práce já hesla nepotřebuji. Tak možná na výplatnici.
I těch tvých 10 hesel, kdyby měly splňovat všechna kritéria pro bezpečnost včetně obměny např. jednou za 6 měsíců, docela rád bych viděl, jak si je pamatuješ. Ale to je každého věc, jak se o svá hesla stará.
22 znaků +?: a další znaky + velké a malé písmena je dost ne?
Určitě.
to je nezmysel, kritérium pre bezpečnosť je heslá si nemeniť. https://www.mesec.cz/clanky/hesla-neopakujte-nemente-si-je-a-hlavne-si-je-nepamatujte/ teda ale ak používaš password manager, tak to už je jedno...
Mam otazku, ako synchronizujes databazu s heslami medzi PC a mobilom? Obe aplikacie pouzivaju rovnaku zdielanu databazu?
Alebo pouzivas nejake funkcie priamo z KeePassXC, KeePassDX na zlucenie zmien v databazach?
Pripadne robis zapis zmien len jednom zariadeni a druhe sluzi len na citanie?
Používám sdílenou databázi na Google disku. (+ samozřejmě mám lokální kopii, kdyby nebyl přístup k internetu)
Skusam KeepassDx na androide a nejak mi to s google drive nesynchronizuje. Vytvoril som si databazu s par polozkami, rucne ju nokopiroval na google drive. V keepassdx zvolim otvorit novu db, ponukne mi otvorit cim (na vyber mam nainstalovany Cx File Explorer alebo File Manager+). Zvolim ktorym manazerom otvorit, najdem na google drive ulozenu databazu a otvori sa. Zapisem novu polozku, dam ulozit a zmena sa neprenesie na google drive, ostava to v nejakej lokalnej cache v mobile, skusane aj s druhym manazerom.
Ako presne to robis ty?
Zadny. Pouzivam heslo ve tvaru, nazev sluzby + neco sloziteho, co si pamatuju. To slozite bude u vsech sluzeb stejne.
Priklad hesla:
To moc bezpečné nie je,... stačí aby jedna služba nemala heslo zahashované a zasolené, a stačí že jednému ujde, a už k tvojim účtom bude pattern "názov služby" čo je verejne známa informácia a neco složitého, čo sa práve únikom stalo verejne známa informácia... takže v podstate stačí jedna služba, ktorej unikne databáza, a ľahko máš po všetkých účtoch.
Číslo jedné platební karty mám v hlavě a CVV taky. CVV bych určitě nikam společně s číslem karty neukládal. Dalšími kartami na webu neplatím. Na kartách mám CVV přelepený malou samolepkou proti zneužití. V případě potřeby se dá odloupnout a podívat se.
Ja to mám uložené, a nebojím sa...
i tak je väčšia šanca že ti to ukradne bezpečák, keď bude sledovať skrz kamery ako v obchode prikladáš kartu, a ukazuješ čísla na nej napísané...
a ak máš tie čísla karty zašifrované a počítač korektne zabezpečený, tak je tam výrazne nižšia šanca na krádež než že ti to ukradne e-shop, keď zadávaš to číslo pri nákupe.
Bezpečák k tomu nemůže, kamery v obchodech nesmí snímat přímo platební terminály. Ale u nějakého vietnamce nebo číňana nikdy nevíš, jestli tam nemá někde kamerku a nevidí obě strany platební karty. Proto mám ty CVV přelepené. A na eshopech používám jen jednu kartu, kde nuluji limit pro platby a povoluji jen při nákupu. A na účtu k té kartě je vždy jen minimum peněz a dobíjím ji převodem z jiného mého účtu, jehož číslo nikde neuvádím.
Nějaké domácí šifrování je ti houby platné, když to musíš v platební bráně stejně vyplnit. A na eshopech platím kartou jen přes zabezpečenou platební bránu u těch ověřených, v ostatních případech jen platbou převodem z účtu.
Hovoríme o ukladání... potom je jedno že to neukladáš, keď to následne napíšeš do platobnej brány, že?.... ale ja nemusím sa obávať ani o bezpečnosť, ani pohodlie, že by som tie čísla musel ručne furt prepisovať.
eshop nema k udajum z platebni brany zadny pristup, aspon u nas nebo v civilizovanych zemich.
ale uz jsem videl americky shop s vyplnovanim karetnich udaju primo na jeho strankach: na takove veci mam paypal (a riziko nesou oni), nebo jdu pryc.
Mrkněte na password card!
ten "ľahko" zneužitelný export ale předpokládá kompletní ovládnutí PC. A pak bych se už netrápil s exportováním dat z Keepassu, ale rovnou nainstaloval rootkit, keylogger atd. A vice versa, pokud je PC kompromitován výše uvedenými nástroji, tak je ti Keepass (či jakýkoli jiný password manager) k ničemu. Bazinga!
Ani netreba kompletne ovladnutie, staci ak si odskocis na toaletu a kolega ti zmeni konfig. Potom uz len pocka kym sa prihlasis a cela databaza s heslami sa vyexportuje. Nemusi sa trapit so ziadnym rootkitom ani keylogerom ani kompilovat zo zdrojakov cinknuty Keepass a riskovat, ze to niekto spozoruje.
Pripadne ak mas Keepass na usb kluci, strcis ho do cudzieho PC a nejaka skodna v cudzom PC ti ten konfig prepise. Ani vobec nemusis spustit Keepass na tom cudzom PC. Nasledne doma na bezpecnom PC sa prihlasis do Keypass a databaza sa ti vyexportuje na kluci do nejakeho existujuceho adresara, ktory si bezne nevsimnes. Pri buducom vlozeni do toho cudzieho PC si len skodna skopiruje vysledok.
Nehovoriac o tom, ze v podnikovom prostredi ma admin moznost zmenit ten konfig prakticky nepozorovane (= neriskuje ziadne odhalenie)
Takze v bezpeci si len na vlastnom PC, ktore mas pod plnou kontrolou. Ten utok je tak lahko vykonatelny, ze uz teraz je na tom odkaze, co som daval hore, zverejneny link na hotove skripty zneuzivajuce tuto "feature".
Ano, to je pravda.
Mimochodem, když si odskočíš, máš si PC zamknout a ne ho nechávat volně bez dozoru.
"odskočení na toaletu" při nezamčeném PC je ale typický příklad kompletního ovládnutí PC....
Používám KeePass na počítači, na mobilu používám Keepass2Android.
Za mě ok. Nemyslím, že by útočník měl ovládnout moje PC.
Ukládám tam všechno.
Používám heslo.