Jaki menedżer haseł wybrać?

Planuję rozszerzyć tą część.

Współcześnie co chwilę, twoje dane gdzieś 'wyciekają’.
Jeśli używasz tego samego hasła, to przestępcy już je mają!!

Nie wieżysz?
Zobacz artykuł:

Dlaczego warto?

Z jednej strony gdy ktoś dostanie się do twojego menadzera haseł, to może zdobyć wszystkie twoje hasła (single point of failure)

ALE

Plusy z używania menadżerow haseł, przewyższają jego minusy!

Zobacz świetne opracowanie Kacpra Szurka „Czy korzystać z Menadżera Haseł? (wady i zalety)”


Kacper Szurek: Czy korzystać z Menadżera Haseł? (wady i zalety)
Mega! Zobacz, na pewno zrozumiesz!

Ważne funkcje

Generowanie losowych haseł

Autouzupełnianie

Niektóre strony udają np. stronę twojego banku. Nawet domena może wyglądać bardzo podobnie.
Zwroć uwagę, że np. litery „rn” (mała litera „R” oraz mała litera „n”) wygląda podobnie jak „m” (mała litera „M”).
Podobnie litery „i” oraz mała litera „L” również wygląda podobnie.
Skala problemu jest znacznie większa ponieważ domeny mogą zawierać dowolne znaki z dowolnego alfabetu (atak punycode / idn).

Gdy używasz menadzera hasel z autouzupełnianiem, to po prostu nie uzupełni danych na takiej „złej” stronie.

W takiej sytuacji, zamiast uznać „ah menadżer się popsuł”- zweryfikuj czy na pewno odwiedzasz prawidłową stronę.

Uwaga: Aplikacje na telefon (np. Android / iOS) może być bardziej zawodne.

Dla przykładu publikacja naukowa: „Phishing Attacks on Modern Android” (PDF) sugeruje, że popularne menadżery haseł mogą nie rozróżnić prawdziwej aplikacji od tej „oszukanej” na telefonie!

Jaki manager haseł wybrać?

Menadżer „w chmurze”

Warto wiedzieć, że takie menadżery z reguły projektuje się tak, by odzyfrowanie było możliwe tylko z wykorzystaniem twojego hasła głównego.
W takiej sytuacji producent nie wie (zero knowlage) jak odszyfrować twoje dane.
Dzięki temu żaden pracownik nie nadużyje swoich uprawnień, ale również wyciek, czy włamanie na serwer w niczym nie pomoże.


Producenci tego typu oprogramowania często publikują tzw. „white paper” – w tym przypadku publikację opisującą przyjęte rozwiązania, sposoby szyfroania etc. Dzięki temu eksperci bezpieczeństwa dodatkowo mogą sprawdzić, czy rozwiązania są bezpieczne.
Taki whitepaper udostępnia np.

Oczywiście trzeba uwierzyć, że faktycznie jest tak jak opisują 🙂

Gdy zapomnisz głównego hasła – nie odczytasz bazy – przepadną również wszystkie twoje hasła! (nie zawsze)

Niektóre programy umożliwiają odzyskanie hasła (mniej bezpiczne) dzięki temu, że przechowują np. jednorazowe haslo zapsowe na twoim komputerze.

Menadżery

  • Keeper
  • Dashlane
  • LastPass
  • 1Password
  • Google Smart Lock (GSL)

KeePass

Jednak szybko odkryjesz, że naprawdę trudno zapamiętać tak wiele różnych haseł (do banku, do maila, do facebooka, do …).
Dlatego naprawdę warto skorzystać z tzw. managerów haseł.
Osobiście polecam KeePassXC (lub inną odmianę KeePass’a).

Korzystając z takiego programu, będziesz musiał pamiętać jedynie jedno hasło – hasło główne.
Znając hasło główne moższ odszyfrować wszystkie zapisane wcześniej hasła.
Dlatego z łatwością możesz dodawać kolejne hasła, których nie będziesz musiał pamiętać (wystarczy hasło główne).
Jednak każdy kto będzie miał dostęp do twojego pliku i hasła, będzie w stanie odczytać wszystkie hasła.
Jednak jest to nadal lepsza (bezpieczniejsza) opcja niż używanie tych samych haseł!

Działa na: Windows/Linux/Mac.

Przy uruchomieniu aplikacji wystarczy wpisać hasło główne, by uzyskać dostęp do wszystkich swoich haseł.

Opcja automatycznego wpisywania login/hasło (choć mniej wygodnie niż w last pass).

Reklama

LastPass

To bardzo wygodny manager haseł, który integruje się z twoją przeglądarką.
Twoje hasła przechowywane są w 'chmurze’ – na serwerach LastPass.
Jednak nawet producent nie ma dostępu do twoich danych.
To dobrze, w przypadku ewentualnego włamania twoje 'hasła nie wypłyną’.
Jednak gdy zapomnisz hasła głównego – nikt Ci nie pomoże! Nie odzyszkasz zapomnianego hasła, bo nikt go nie ma.

W LastPass istnieje opcja zapamiętania hasła gównego w przeglądarce.
Jednak istnieją sposoby by ukraść takie hasło główne! (mniejsze bezpieczeństwo)

LastPass oferuje bardzo wygodne autouzupełnianie! i to naprawdę wygodne!

 

Po wpisaniu hasło głównego, masz wygodny i szybki dostęp do swoich haseł.
Dzięki czemu nie musisz ich wszystkich pamiętać.

NSA?

Niektórzy twierdzą, że amerykańska agencja NSA, być może jest w stanie odszyfrować taką bazę danych bez twojego hasła.

Może być w stanie, nie oznacza, że będzie to robić!

Łamanie najmocniejszych algorytmów przy długich niesłownikowych hasłach jest praktycznie niewykonalne.
Można teoretyzować, że w ciągu miliona lat, gdyby użyć wszystkich komputerów na świecie, ..  serio?

Każdy szyfr można złamać, tylko zazwyczaj jest nieopłącalne i/lub trwało by to zbyt długo.
Prawdpopodobnie istnieją inne – lepsze, tańsze sposoby osiagnięcia tego samego.

 

Jak w komiksie, zamiast komputera za miliondolarów, który i tak byłby za słaby, lepiej odużyć i torturować 😀

W skrócie: Łamanie zaszyfrowanych twoich haseł się nie opłaca! Śpij spokojnie.

Reklama

Dla chętnych:

Każdy szyfr można złamać.
Różnica między szyframi polega na trudności jego łamania.
Łamanie 'sensownych szyfrów’, to nie kwestia godzin, dni, lecz wielu, sete, tysiecy lat. Gdy komputery będa dwa razy szybsze – niewiele to pomoże. Zamiast 500 lat, zamiast 1000 lat (mega różnica) :D. 
Informacja o złamaniu zazwyczaj oznacza możliwość szybszego rozszyfrowania niż przy ataku siłowym (brute-force), czyli próbowaniu każdej możliwej opcji.

According to the Snowden documents, the NSA is doing research on whether a cryptographic attack based on tau statistic may help to break AES*.

At present, there is no known practical attack that would allow someone without knowledge of the key to read data encrypted by AES when correctly implemented.
http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html

https://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Podstawą jest twoje hasło  i długość klucza (128, 192, 256 bit)!!!

Istnieje wiele pomysłów na szyfrowanie. 
Tak jak mamy np. RSA bazujący na faktoryzacji liczb (potencjalnie zagrożony komputerami kwantowymi), to istnieją również algorytmy oparte np. na krzywych eliptycznych :).

Lecz dalej,… serio?

Jak serwisy przechowują twoje hasło?

Serwisy nie przechowują twojego hasła, w taki sposób w jak je wpisujesz. Każde hasło jest „szyfrowane”. A przynajmniej powinno. Hasło mogą być „szyfrowane” na różne sposoby. Co ciekawsze nawet hasła w ramach tego samego serwisu mogą być „mocno zabezpieczone” a inne prawie nie. Stare zabezpieczenia można dość szybko złamać! Dla przykładu, mając kartę: „Nvidia GTX 1080 Ti” – może obliczać 30 963 500 000 skrótów MD5 na sekundę! 😀

Ciekawe? Newsletter?

Subscribe
Powiadom o
guest
0 komentarzy
Informacje zwrotne w treści
Wyświetl wszystkie komentarze