11:21
14/2/2019

Wyobraź sobie sytuację w której Twoje hasło do pewnego rozrywkowego portalu — do którego nie przywiązujesz większej wagi — nagle dostaje się w ręce cyberprzestępców. Zdarza się — wycieki danych to dziś codzienność. Pech, że identyczne hasło ustawiłeś także do swojej skrzynki e-mail. Cyberprzestępca z wykradzionej bazy serwisu rozrywkowego odczytuje twój adres e-mail i postanawia sprawdzić, czy do e-maila masz takie samo hasło jak to do serwisu rozrywkowego. W ten sposób przestępca uzyskuje dostęp do Twojego konta mailowego, a to oznacza przejęcie całego Twojego wirtualnego życia. Bo wystarczy że przestępca kliknie ‘zapomniałem hasła’ we wszystkich serwisach jakie wpadną mu do głowy, poda twój adres e-mail, a linki do ustanowienia nowych haseł w serwisach w których posiadasz konta zostaną podesłane jeden za drugim, na Twoją skrzynkę do której on ma już dostęp.

3 rady, które pomogą w takiej sytuacji

Na naszych szkoleniach, zawsze doradzamy po pierwsze uruchomienie uwierzytelniania dwuskładnikowego w każdej usłudze, która je obsługuje. Po drugie stosowanie dobrej i bezpiecznej skrzynki pocztowej. A po trzecie, używanie unikalnego hasła dla każdego konta w internecie.

O ile dwie pierwsze rady są całkiem dobrze przyjmowane, o tyle trzecia budzi niemałe poruszenie, zwłaszcza u mniej technicznej części naszych kursantów. I nie ma się co temu dziwić. Wymyślenie i zapamiętanie dziesiątek różnych haseł, to nie lada wyczyn…

Niektórzy próbują więc wymyślić jedno silne hasło, np. ‘B4n4n00w3L00dy’, a później na jego podstawie generują hasła do kolejnych usług, np. ‘B4n4n00w3L00dyFacebook’, ‘B4n4n00w3L00dyGmail’, ‘B4n4n00w3L00dyWykop’ itd. To nie jest dobry pomysł. Przejęcie jednego z takich haseł ujawni “wzór” na stworzenie hasła do pozostałych serwisów.

Tylko używanie haseł unikatowych, czyli naprawdę różnych od siebie, jest poprawną metodą ochrony. Ale jak je wszystkie zapamiętać? Otóż wcale nie musisz ich pamiętać…

Używaj managera haseł

Można powiedzieć nawet więcej: czasami bezpieczniej jest nie znać niektórych swoich haseł — uodpornisz się w ten sposób na kryptograficzny atak za pomocą gumowej pałki ;)

Do generowania, bezpiecznego przechowywania i automatycznego wprowadzania haseł na stronach WWW warto wykorzystać managera haseł, czy to w formie osobnej aplikacji czy jako moduł wbudowany w każdą przeglądarkę internetową.

Manager haseł to nic innego jak aplikacja przechowująca hasła, która wpisuje je w panel logowania do serwisu na Twoje żądanie. Hasła są przechowywane w szyfrowanej bazie, więc korzystanie z menedżera haseł nie jest tym samym co trzymanie haseł w pliku *.txt na komputerze. 

Nie wiesz który manager haseł wybrać? Zdecyduj się na Keepass.

Korzystanie z managera haseł to tylko jedna z rad, która zwiększa Twoje bezpieczeństwo. Gdybyś chciał poznać kilkadziesiąt innych, praktycznych porad odnośnie tego jak pozostać bezpiecznym w internecie, to wpadnij na nasz wykład “Jak nie dać się zhackować?“. Przez ponad 3 godziny przystępnym językiem pokazujemy jak za darmo możesz ochronić Twoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wykład przeplatamy widowiskowymi demonstracjami ataków na żywo; wykradamy dane z sieci Wi-Fi, łamiemy hasła, podglądamy przez kamerkę, inwigilujemy i włamujemy się na telefony komórkowe. Niebawem będziemy w tych miastach (alfabetycznie):

Wejściówki szybko znikają, więc już teraz zarezerwuj miejsce dla siebie.

Dlaczego Keepass?

Staraliśmy się znaleźć jedno rozwiązanie, które dogodzi wszystkim, a jednocześnie spełni kilka naszych warunków:

  • działa na Windowsie, Linuksie i Macu
  • współpracuje z Androidem oraz iOS
  • potrafi synchronizować swoje dane pomiędzy urządzeniami
  • daje możliwość integracji z dowolną (współczesną) przeglądarką internetową
  • oferuje mocne algorytmy szyfrowania
  • jest aplikacją otwartoźródłową (unikniemy podejrzeń o ingerencje służb w kod)
  • najlepiej gdyby rozwiązanie było darmowe

Nasz wybór padł na Keepassa z którego korzystają wszyscy pracownicy naszej redakcji. Najpopularniejszą instalowaną przez nas na komputerach (głównie ze względu na swoją wieloplatformowość) wersją Keepassa jest KeepassXC.

Gdy uruchomisz KeePassa, zobaczysz taki oto ekran logowania. To jedno z trzech haseł, jakie od tej pory będziesz musiał pamiętać — hasło logowania do KeePassa. Dwa pozostałe które warto “wykuć” na pamięć, to hasło do skrzynki e-mail i hasło logowania do systemu operacyjnego.

Podstawy używania Keepassa

Podstawową rzeczą jakiej się musisz nauczyć jest rezygnacja z wymyślania nowych haseł. Za każdym razem gdy zakładasz konto w nowym serwisie, powinieneś użyć opcji “generuj nowe hasło” w Keepass (ikona czarnego sześcianu).

Tworzenie nowego wpisu w KeePassie

Kiedy już stworzysz wpis dla danego serwisu, to za każdym razem gdy będziesz chciał się do niego zalogować, umieść kursor w polu loginu na stronie i wciśnij CTRL+ALT+V. Keepass pokaże Ci parę login i hasło, które pasują do adresu serwisu do którego się logujesz. Kliknięcie na nie spowoduje automatyczne ich wpisanie.

Możesz też, będąc w polu login, przejść do aplikacji Keepass (ALT+TAB) i podświetlić ręcznie wybrane dane logowania których chcesz użyć, a następnie nacisnąć kombinację “CTRL+V” (CMD+V na MacOS). Spowoduje to wklejenie loginu do wybranego pola tekstowego, przejście do kolejnego pola w formularzu, wklejenie hasła i zatwierdzenie enterem.

Zintegruj go z przeglądarką!

Keepassa można też wywoływać z poziomu rozszerzenia do przeglądarki, które samo wyciągnie z bazy Keepassa odpowiednie hasło. Zaleta tego rozwiązania jest taka, że rozszerzenie po prostu nie zadziała na stronie phishingowej, stosującej np. literówki w nazwie domeny.

Rozszerzenie które sugerujemy to KeepassHelper – polecamy je ze względu na to, że działa na Chrome, Firefoxie, Operze i Safari, czyli obsługuje wszystkie znaczące przeglądarki. Możesz oczywiście stosować inną wtyczkę na każdej platformie, ale dość szybko przyzwyczaisz się do jednego interfejsu zarządzania hasłami i prawdopodobnie wszędzie będziesz chciał aby wszędzie działało to podobnie.

Po zainstalowaniu wspomnianego rozszerzenia, musisz jedynie wykonać dwie czynności:

  1. Uruchomić integrację KeePassXC z przeglądarką (patrz screen niżej)
  2. Skonfigurować rozszerzenie, aby korzystało z połączenia z Twoją bazą (jeśli nie zmieniałeś domyślnych numerów portów, to powinno się to wykonać samodzielnie)

Gdy wszystko będzie już skonfigurowane poprawnie, za każdym razem gdy będziesz chciał użyć bazy Keepassa, klikniesz po prostu na ikonę KeePassHelper na pasku przeglądarki, a rozszerzenie samo podpowie Ci jakiego loginu/hasła powinieneś użyć. Jeśli któregoś dnia zobaczysz, że to okno jest puste (na stronie na której na 100% miałeś konto), to znaczy, że powinieneś zacząć się martwić, ponieważ prawdopodobnie trafiłeś na stronę phishingową.


Pamiętaj, że aby rozszerzenie do przeglądarki działało, Twój KeePass musi być odblokowany, a blokuje się on automatycznie np. po każdorazowym wylogowaniu się, czy zamknięciu klapy laptopa (możesz to zmienić w ustawieniach KeePassa).

Wymieniaj dane między urządzeniami

Doszedłeś już do etapu w którym nie znasz ani jednego swojego hasła z wyjątkiem danych dostępowych do swojego komputera oraz do samego Keepassa. Ale co jeśli jesteś poza domem (bez komputera) i musisz gdzieś zalogować się do jakiegoś serwisu z komórki? Nie pamiętasz hasła, bo jest ono losowe i przechowywane w Keepasie na komputerze.

Ten problem rozwiązuje synchronizacja bazy Keepassa pomiędzy urządzeniami (np. laptopem i smartfonem). Zacznij od instalacji wersji mobilnej Keepassa. Polecane przez nas rozwiązania mobilne:

  • Keepass Touch (iOS)
  • KeePass2Android (Android)

Aplikację już masz, to teraz czas zadbać o to, aby baza danych z której korzysta mobilna i desktopowa wersja KeePassa była wspólna. Masz w zasadzie trzy wyjścia (z czego dwa działają z Keepassem):

  1. każdorazowe wrzucanie bazy Keepassa na urządzenie mobilne gdy coś w niej modyfikujesz (mało wygodne),
  2. synchronizacja przez chmurę iCloud, Google Drive czy Dropbox,
  3. korzystanie z usług synchronizacji dostarczonych przez producenta (tylko płatne rozwiązania. Keepass tego nie obsługuje, ale jego konkurencja np. 1Password czy LastPass tak).

Jeśli chcesz pielęgnować swoją paranoję kosztem wygody obsługi komputera/smartfona, to koniecznie wybierz pierwszą z możliwości.

Dla reszty polecamy skorzystanie z usługi dowolnej chmury. Może to budzić Twoje obawy, bo jakby nie patrzeć, powierzasz komuś WSZYSTKIE swoje hasła do WSZYSTKICH usług. Pamiętaj jednak, że baza danych którą hostujesz w chmurze jest szyfrowana naprawdę mocnym algorytmem i jeśli tylko ustawiłeś jej dostatecznie mocne hasło dostępowe, to ani dostawca chmury ani ktoś, kto “włamie” się na Twoje chmurowe konto nie pozna zawartości Twojej bazy KeePassa.

Aby korzystać z tej samej bazy na komputerze i smartfonie, bazę na komputerze zapisuj w katalogu, który synchronizujesz z chmurą. A na telefonie, podczas uruchomienia KeePassa wybierz “Import” i wskaż plik z katalogu danej chmury:


Używanie aplikacji mobilnej Keepassa jest stosunkowo proste, ale różni się to od tego, do czego przywykłeś na desktopie. Rozwiązanie mobilne nie wypełni za Ciebie pól login/hasło. Skopiuje za to do schowka dane logowania których masz użyć. Twoim zadaniem będzie tylko wybranie opcji ‘wklej’ w odpowiednim polu (np. hasło). Pamiętaj, aby się pospieszyć z wklejaniem, bo ze względów bezpieczeństwa, zawartość schowka jest czyszczona przeważnie po 15-30 sekundach od skopiowania danych logowania (zależnie od użytej aplikacji).

A co, jeśli stracę bazę lub zapomnę hasła do KeePassa?

“Co się stanie jeśli stracę bazę danych Keepassa?” albo “co kiedy zapomnę hasło do mojego menedżera?”. To najczęstsze czarne myśli towarzyszące początkującym użytkownikom rozwiązań tego typu.

Po pierwsze dbaj o to, aby uwzględnić swoją bazę danych w regularnych backupach. Uchroni Cię to przed jej utratą. Po drugie, hasło do menedżera oraz hasło do Twojej skrzynki pocztowej to dwa hasła, które OBOWIĄZKOWO muszą znajdować się w Twojej głowie. Nawet jeśli utraciłbyś dostęp do wszystkich haseł z bazy Keepassa, a nadal pamiętałbyś jak dostać się na własnego maila, to będziesz w stanie odzyskać hasła dostępowe do większości usług.

Jak wygenerować i zapamiętać hasło do poczty/keepassa? Posłuż się mnemotechniką i wymyśl coś, czego nigdy nie zapomnisz, a co będzie mocne pod względem kryptograficznym. Hasło “TRuDn3!%_” wyglada na skomplikowane i prawdopodobnie je zapomnisz. W praktyce jest ono wielokrotnie prostsze do złamania od hasła “BardzoLubięArtykułyNiebezpiecznikaOrazIchSzkolenia“. To drugie jest złożone, łatwe do zapamiętania i wyraża Twoje prawdziwe przekonania, więc raczej go nie zapomnisz – prawda? ;)

Korzystanie z managera haseł to tylko jedna z rad, która zwiększa Twoje bezpieczeństwo. Gdybyś chciał poznać kilkadziesiąt innych, praktycznych porad odnośnie tego jak pozostać bezpiecznym w internecie, to wpadnij na nasz wykład “Jak nie dać się zhackować?“. Przez ponad 3 godziny przystępnym językiem pokazujemy jak za darmo możesz ochronić Twoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wykład przeplatamy widowiskowymi demonstracjami ataków na żywo; wykradamy dane z sieci Wi-Fi, łamiemy hasła, podglądamy przez kamerkę, inwigilujemy i włamujemy się na telefony komórkowe. Niebawem będziemy w tych miastach (alfabetycznie):

Wejściówki szybko znikają, więc już teraz zarezerwuj miejsce dla siebie.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

300 komentarzy

Dodaj komentarz
  1. Czy aby na pewno chcę uodpornić się na kryptoanalizę metodą gumowej pałki?
    https://niebezpiecznik.pl/wp-content/uploads/2010/06/xkcd-on-crypto.gif

    • Każde super zabezpieczenie w końcu trafia na słaby punkt w postaci użytkownika. Co z tego, że uodparniam się na shackowanie poprzez nieznajomość pojedynczych haseł, jeżeli znam hasło do keepasa? Jeżeli ktoś chciałby wyciągać ze mnie hasło przy użyciu gumowej pałki, to znaczy że ma wystarczającą determinację i marne to pocieszenie, że prędzej mi czaszka pęknie niż ktoś wyciągnie ode mnie hasło – wszystko jedno czy je znam, czy nie.

      Prawdziwy problem jest w tym, do czego to hasło broni dostępu. Jak do pieniędzy w banku – odpowiedzialność za zabezpieczenia jest przynajmniej dzielona z bankiem (także w rozumieniu dopuszczenia do użytku przez Bank słabych haseł). Cała reszta to już kwestia tego, jak dalece uzależniliśmy swoje życie od elektroniki.

      Cały czas prawdziwe jest stwierdzenie, że komputer pomaga rozwiązywać problemy, których bez jego posiadania w ogóle byś nie miał.

    • Tutaj dużo zależy od zapotrzebowania. Większość ludzi bardziej boi się utraty komputera czy telefonu i tortur niż złamania hasła, nawet tego do banku (z resztą to inna sytuacja pod względem prawnym, jak włamią ci się na konto, bo masz słabe hasło lub zdublowane pomiędzy serwisami, a jak ktoś przystawi ci pistolet do głowy i karze zrobić przelew na wskazany rachunek).
      Co innego jak jesteś szpiegiem i przechowujesz tajemnice wagi państwowej, ale wtedy nie radzę robić co piszą w komentarzach na Niebiezpieczniku

    • > Co innego jak jesteś szpiegiem i przechowujesz tajemnice
      > wagi państwowej, ale wtedy nie radzę robić co piszą w
      > komentarzach na Niebiezpieczniku

      \
      Ostrożności nigdy nie za mało ale jakie komentarze masz na myśli do których nie warto się stossować?

  2. Dodacie info na temat uwierzytelniania dwuskładnikowego w KeePass? O ile jest to możliwe? Fajnie byłoby też gdybyście wspomnieli o menadżerach haseł w popularnych przeglądarkach – plusach i minusach.

    • KeePass oferuje uwierzytelnianie za pomocą pliku, jako metodę wyłączną lub drugi składnik. Może to być cokolwiek, np jakieś zdjęcie, ale musisz ten plik trzymać na każdym ze swoich urządzeń. Nie używałem tego nigdy, więc bliższych szczegółów nie podam, ale w pomocy programu na pewno znajdziesz wyczerpujące informacje.

    • do keepassa można też podpiąć klucz fizyczny

    • Oryginalny keepass bez pluginów pozwala na kombinację 3 składników:
      – Hasło (zawsze lepiej używać)
      – plik klucza
      – klucz szyfrujący usera na Windows (działa tylko na Windowsie i to na jednym kompie, chyba że w AD jakoś to się ogarnia)

      Do swojej prywatnej bazy ja proponuję użyć dwóch pierwszych. Hasło to wiadomo. Jako klucz najlepiej wygenerować nowy plik (keepass ma opcję do tego) i taki klucz można umieścić na każdym urządzeniu – wgrywa się to raz i warto to zrobić bez użycia sieci (przez pendrive/kabel/bluetooth itp.). Dzięki temu poza dostaniem się do bazy (która jest w chmurze) i zgadnięciem/podejrzeniem hasła będzie jeszcze potrzebny dostęp do któregoś z urządzeń – jednorazowo poświęcone 5 min, a wyższe bezpieczeństwo.

      Keepass z pluginami obsługuje inne tryby szyfrowania jak np. HOTP, które można powiązać z kluczem generującym kody jednorazowe – ale jako że baza jest po prostu plikiem to nie rotuje się klucz po złym wpisaniu, więc nie wiem, czy jest to dużo bezpieczniejsze od pendrive z plikiem…

    • Używam Hasła+Key wygenerowany i trzymam go na dedykowanym pendrivie a hasło w głowie. Do bazy z hasłami można się tylko dostać teoretycznie jak podam hasło i podepnę nośnik z kluczem.

    • dopisuje sie do prosby Andy, czy jest mowliwosc zrobienia krotkiego podsumowania zalet i wad mengareow hasel uzywanych w przegladarkach vs Keepas np?

  3. A jak w świetle tego managera wyglada LastPass? Nie chce mi się zmieniać anii analizować plusów i minusów obu rozwiązań. Gdyby był jakiś jeden ważny powód do zmiany?

    • 1. LastPass jest programem komercyjnym i ma zamknięte źródło w przeciwieństwie do Keepass’a, co pozwala zweryfikować czy program rzeczywiście robi to co twierdzi jego twórca, a nawet samodzielnie go skompilować. Daje to ochronę społecznościowa.
      2. Dane trzymane w LastPass sa tylko na ich serwerach, można je eksportować, ale dalej sa one na tych serwerach. Z koleji w KeePass możesz te dane trzymać zarówno na wszystkich swoich urzadzeniach, w chmurze, własnym serwerze itp.
      3. Mimo tego, że komercyjne usługi (np. LastPass) twierdza, że nie znaja twoich haseł, bo sa zaszyfrowane, to jednak za każdym razem kiedy się logujesz (szczególnie na stronie internetowej) możesz zostać poddany targetowanemu atakowi, aby twoje hasła zostały wysłane gdziekolwiek w formie plain text. W przypadku KeePass to nie możliwe.
      4. Lastpass oferuje bogatsze możliwości wieloskładnikowego uwierzytelniania.
      5. Lastpass oferuje możliwość dzielenia się hasłami z innymi użytkownikami, oraz opcję emergency, która w “bezpieczny” sposób przekaże twoje hasła zaufanej osobie, gdy ci się coś stanie (wysyła prośbę, oraz otrzymuje dostęp po określonym czasie). Bezpieczeństwo tych funkcjonalności opiera się na kluczu asymetrycznym, który posiada dana osoba i wysyłamy na serwer dane zaszyfrowane kluczem tej osoby, a usługa sama przekaże dane danej osobie. Co jeśli przekaże je wcześniej? Co jeśli serwer podmieni klucz publiczny tej osoby?
      6. Keepass jest w pełni darmowy, a LastPass ma wersję premium.

    • https://niebezpiecznik.pl/tag/lastpass/

    • Różnica między opisywanym a Lastem jest taka, że Last trzyma bazę w chmurze producenta, a nie na dysku – jest wprawdzie równie silnie szyfrowana i producent nie ma jak podpatrzyć jakiegokolwiek hasła z bazy nie znając hasła broniącego bazę, jednak niektórzy paranoicy często nie ufają jakiemukolwiek hostingowi innemu niż własny :)

    • Różnica jest taka, że Keepass jest dla ludzi którzy kochają dłubać, a lastpass dla normalnych.
      Trzymanie databazy na dropboxie jeśli chcesz mieć hasła na np 2 laptopach i komórce. I nagle dropbox który stwierdza, że za dużo urządzeń. Więc szukasz innej chmury na której trzymasz to. No i drugą chmurę w której trzymasz klucz.

      Lastpass nie jest idealny. Bitwarden jest pod wieloma względami lepszy, chociaż nie ma niektórych funkcjonalności.

      W skrócie, jeśli wczoraj właśnie skompilowałeś jądro systemu swojego Arch Linuxa, to proszę bardzo keepass jest idealny. Jeśli chcesz co nie wygląda jak windows 2000 i nie ma funkcjonalności win2000, to Lastpass albo bitwarden.

    • W tym artykule jest jeden fałsz – tytuł.
      KeePass absolutnie nie nadaje się do “rozpoczynania przygody”. Wymaga wyboru odpowiedniego forka, wersji, pluginu, konfiguracji miejsce gdzie trzymana jest baza danych, walki z synchronizacją… coś dla fanów bezpieczeństwa, którzy wiedzą czego chcą.
      Nie mając wcześniejszego doświadczenia po kilku godzinach przedzierania się przez milion stron z różnymi informacjami i pluginami nadal nie udało mi się doprowadzić do tego by działał tak by spełniać podstawowy wymóg – na tyle wygodnie, by chciało się z niego korzystać, zamiast wrócić do menedżera haseł z Chrome’a.
      Z BitWardenem zajęło to jakiś kwadrans (na kilku urządzeniach), więc uważam, że dla początkujących nadaje sie dużo lepiej.

      Swoją drogą przydał by się artykuł “Menedżer haseł z Chrome/Opery/Firefoxa – dlaczego nie jest to bezpieczne rozwiązanie i warto się postarać bardziej”. Znaczy mam parę pomysłów dlaczego, ale może jest więcej powodów.

  4. Wolę roboforma, bo oprócz haseł obsługuje tez formularze.

  5. Czy KeePass jest dużo bezpieczniejszy od trzymania haseł w icloudzie?

    • … albo w Firefox Lockbox ?

    • Albo w zwykłym Menedżerze poświadczeń Windows ;)

  6. Świetny artykuł! Bardzo przystępny.

    Odnośnie aplikacji mobilnej (Android) polecanej przez Was – mnie jednak trochę mierzi, kiedy muszę ponownie podać wszystkie dane logowania do OneDrive, zatwierdzić logowanie, a następnie dać KeePassowi dostęp do WSZYSTKICH plików w chmurze. Inne aplikacje nie wymagają ponownego logowania.

    Ale może czytam za dużo Niebezpiecznika i jestem – jako nietechniczny – lekkim paranoikiem.:)

  7. A mocno reklamowany Roboform to dobra alternatywa? Czu Keepass to jedyny słuszny wybór.

  8. No właśnie ! promujcie proszę uwierzytelnianie dwuskładnikowe gdzie tylko się da ! a tu (KeePass) się da :o)

  9. A co sądzicie o https://keepass.info/ w połączeniu z chmurą i MiniKeePass w wersji na iOS? To dobre rozwiązania?

    • Strona do której linkujesz to oryginalny KeePass. Przeszedł profesjonalny audyt i jest na nim bug bounty czego nie można powiedzieć o opisywanej wersji XC. Ma też więcej funkcji niż XC.
      Nie wiem niestety jak się sprawdzi z ios.

  10. A czy możliwa jest opcja 4. Umieść bazę KeePass na share w LAN? I wtedy Windows i Linux sobie ją zaciągną ale z telefonem może być gorzej. Ale to teoria :)

    • Możesz na telefonie użyć jakiegoś narzędzia do dwukierunkowej synchronizacji plików – oczywiście na serwerze plików też trzeba ją uruchomić. Popularne NASy mają takie możliwości, ewentualnie inne rozwiązanie typu Resilio (dawny bittorrent sync).

      Warto też wspomnieć o konieczności cyklicznego wykonywania kopii zapasowej takiego pliku z bazą, bo utrata wszystkich haseł może zaboleć :/

    • Polecam do tego zadania użyć oprogramowania typu Syncthing: https://syncthing.net

  11. Fajnym managerem haseł jest tez Bitwarden

    • I co ciekawe, można postawić całość u siebie.

    • Właśnie miałem o niego zapytać – spełnia jakby wszystkie warunki wymagane przez niebezpiecznik.

    • Właśnie miałem wspomnieć Bitwarden. Fajnie gdyby powstało jakieś porównanie. Za i przeciw.
      Biwarden dopiero poznaję. Plus w KeePass to możliwość trzymania bazy offline, lub w jakiejś usłudze hostingowej. Bitwarden trzyma bazę na własnych serwerach, przynajmniej tak to wygląda, ale może nie odkryłem jeszcze wszystkich opcji. Jest też podobno możliwość ustawienia własnego serwera.
      Pobawię się tym i być może zmienię KeepAss na Bitwarden

  12. Haha hasło może i łatwe do zapamiętania ale już widzę jak ktoś to wpisuje za każdym razem żeby odblokować bazę:D:D

    • “Haha hasło może i łatwe do zapamiętania ale już widzę jak ktoś to wpisuje za każdym razem żeby odblokować bazę”

      Moje haslo ma dokladnie 39 znakow (rowniez znaki specjalne) i wpisuje je na komputerze i telefonie z Androidem. Na kompie szybko i bez pomylek, na telefonie zdecydowanie wolniej.

    • Zapraszam do mnie. Zobaczysz, jak to się robi. ;)

    • Hasło wpisujesz raz dziennie i potem już nie męczysz się z innymi serwisami. Wbrew pozorom oszczędza to czas a nie zabiera.

  13. Zawsze się zastanawiam, jakie jest prawdopodobieństwo, że ktoś w jakiś sposób wykradnie dane z takich managerów… Nie wiem, pewnie moja wiedza jest tutaj niepełna, z pewnością, ale takie właśnie myśli zawsze mnie uprzedzają do managerów haseł…
    A te stosuję skomplikowane i inne dla każdego ważnego serwisu. Wypracowałem swoją metodę, aczkolwiek taki manager na pewno jest prostszy i bardziej skuteczny :)

    • Dużo mniejsze niż wyciek z jednego serwisów gdzie masz konto i odhashowanie nielosowego hasła.

    • Zalezy jak czesto usuwasz wirusy z urzadzenia.

  14. Ktoś mi wyjaśni, dlaczego odkąd zacząłem ostatnio oglądać kanał na youtubie o naprawach ciągników (kanał zasubskrybowałem), to zacząłem otrzymywać sms-y ze sklepu (poltechparts.pl) oferującego mi sprzedaż części do ciągników rolniczych? Youtuba oglądam w domu na komputerze jako zarejestrowany użytkownik, ale do rejestracji na google jeszcze wiele lat temu podałem fałszywy numer telefonu. Facebooka nie mam. Telefon mam zwykły, nie smartfon, internet na nim nie chodzi (nokia 3310).

    • Poczytaj o tym jak działają i co sprzedają takie firmy jak np. Palantir:
      https://en.wikipedia.org/wiki/Palantir_Technologies

    • Podales komus nr. telefonu i zgodziles sie na reklamy.
      Posrednika reklam nie interesuje ze udzieliles zgody w sklepie A, jak mozesz dostac reklamy ze sklepu B.

  15. Porada dobra. Korzystam z tego na kompach, baza i aplikacja “portable” leży na OneDrive. Działa super.

    Problem jest z telefonem. Piszecie, żeby kopiować plik ręcznie na telefon i faktycznie jest to bezpieczne tylko mało wygodne.
    Aplikacja, którą polecacie na Android nie potrafi poprosić OneDrive o plik, Sama się loguje i zapamiętuje dostęp. A to niestety otwiera dziurę bo dostęp wtedy jest do całego dysku.
    Użycie dedykowanego konta ewentualnie rozwiązuje sprawę ale na kompie komplikuje.

    Podsumowując dalej używam KeePass ale wciąż tylko na kompach.

    • Lepiej używaj aplikacji syncthing – idealna do synchronizacji tysięcy plików z binarnymi danymi, pełne źródła, self hosted.

  16. Świetny artykuł. Dzięki.

  17. A ufacie temu dodatkowi do przeglądarki? A tym aplikacjom mobilnym? To są punkty, w których widzę tutaj zagrożenie.

    • Apki są akurat chyba open source.

    • @CluelessKiwi źródła są otwarte ale nie przeszły żadnego audytu, nie słyszałem, żeby ktoś zaglądał do tych źródeł.

      Z drugiej strony zastanówmy się nad naszym modelem zagrożeń, co jest bardziej prawdopodobne – że ktoś zrobi Ci wjazd na bazę przez dziurę w dodatku czy że wylądujesz na stronie phishingowej (na której bez dodatku hasło z bazy wpisało by się z automatu)?

  18. “KeePassHTTP został porzucony i zostanie usunięty w przyszłości. Proszę zamiast tego przejść na KeePassXC-browser!” – to w wersji 2.3.4-Win64. To by znaczyło, że część tego artykułu _już_ jest nieaktualna.

  19. przy kopiach zapasowych keepassa, warto zastanowić się gdzie jest wykonywania i gdzie mamy zapisane hasło do odzyskania kopii zapasowej i co się stanie gdy stracimy np jednocześniej telefon i komputer na raz. Sam migrując z lastpass natknąłem się na problem, gdzie hasło do serwisu z kopiami zapasowymi (jak i moje hasło którym szyfrowałem te kopie, miałem zapisane w keepass) i w przypadku utraty kontenera z hasłami – traciłem dostęp do wszystkiego.

    • Nie bój żaby! Ty do tego nie dojdziesz, ale oni też do tego nie dojdą :D

    • Zasada 3-2-1 backup jest jak najbardziej aktualna również w przypadku kopii bazy haseł.

  20. Wszystko fanie, dopóki jakaś mądra głowa nie wpadnie na sposób złamania tego managera, albo zmusi do ujawnienia backdora :)
    Niby wszystko bezpieczne, szyfrowane, ale też synchronizowane, przesyłane i nie wiadomo gdzie jeszcze trzymane. TrueCrypt też miał być superfajny i bezpieczny :)

    • I dalej jest.

    • a dasz jakieś CVE?

    • Jeśli dobrze pamiętam sprawę, to nawet po porzuceniu TrueCrypta przeprowadzono wcześniej zaplanowany audyt i nie znaleziono problemów w szyfrowaniu.
      Znaleziono w tym samym roku podatności w instalowanym przez TrueCrypta sterowniku, ale to znowu nie były problemy z samym szyfrowaniem, a możliwość wykorzystania go do privelage escalation.

      Więc dowody na to, że nie jest bezpieczny są zbyt małe. Raczej lepszą wydaje mi się hipoteza, że zamknęli projekt zmuszeni przez FBI – jeśli nawet nie do samego zamknięcia, to do dodania backdoorów i ta ostatnia aktualizacja była takim “w sumie to nie” wysłanym do służb. W końcu gdyby po niej kontynuowali, to nikt by już temu nie ufał :)

    • dokladnie, bardziej bałbym sie o veracrypt :)

    • I właśnie o to mi chodzi. Możliwych “podatności” jest zbyt dużo, żeby “wrzucać wszystkie jajka do koszyka” :)
      To jakieś FBI czy inny NSA się za bardzo uśmiechnie do twórców, albo ktoś okaże się za bardzo pazerny na pieniążki, albo w kodzie pojawi się jakiś bug… Za dużo niewiadomych.
      To jak oddanie kluczy do domu, samochodu, biura razem z kartami kredytowymi, podpisami cyfrowymi itd., nieznajomemu, tylko dla tego, że mówi, że jest uczciwy, rzetelny i inni już mu oddali ;]

  21. Menedżer haseł ma jedną zasadniczą wadę: wystarczy poznać / złamać jego hasło aby mieć dostęp do wszystkich haseł i kont użytkownika w różnych serwisach. Jedno hasło. Oczywiście, gdy ktoś i tak używa jednego hasła wszędzie to żadna różnica.

    • Przy czym, aby tego dokonać, trzeba mieć dostęp do urządzenia ofiary — a wtedy to już nie ma znaczenia, czy hasła wpisujesz “z głowy”, przepisujesz z żółtej karteczki, itp. — atakujący który ma dostęp do Twojego urządzenia i tak je pozna. KeePass nie powstał po to, aby chronić przed tym zagrożeniem. On powstał po to, aby chronić przed popularniejszym problemem — wyciekami baz danych i reusem haseł.

    • Też mnie to nurtuje od dłuższego czasu. Zdobywając dostęp do pliku keepass atakujący od razu zyskuje dostęp do WSZYSTKICH naszych kont i haseł. Nawet takich gdzie logujemy się raz na kilka miesięcy lub rzadziej. Oczywiście atakujący, który ma dostęp do naszego urządzenia może poznać część haseł, ale nie od razu i nie wszystkie.
      Są takie konta na które nie logowałem się ponad rok. A tu ma wszystkie na tacy.

      Inny przykład:
      Ja np. mam konto z oszczędnościami “na tzw. czarną godzinę” gdzie (po założeniu i przetestowaniu) logowałem się może ze 3 razy. Jak mam wolne środki to przelewam, zasilając konto. Więc nie mam potrzeby, by logować się tam za często.
      Przykładów można podać więcej.

      Żeby nie było: od lat korzystam z keepass, ale zarówno zanim zacząłem z niego korzystać, jak i obecnie, mam te wątpliwości.

    • @Jarek – Dokładnie!!!

      O tym się kompletnie nie mówi! Nikt nie robi tabelki “za i przeciw”. Wiadomo – ciężko przekalkulować co dla kogo jest ważniejsze. Niewątpliwą zaletą jest to, że menedżer generuje _skomplikowane_ i _niepowtarzalne_ hasła. Ale wadą jest potencjalny wyciek _wszystkiego_, w tym haseł do rzadko używanych serwisów*.

      *) oczywistością jest, że nie mam do każdego z 50 serwisów osobnego hasła. Ale mam grupy haseł: hasła do usług: 1. ważnych, 2. średnich, 3. nieistotnych. Więc może mi wyciec tylko jedno z nich. A jeśli złapię parcha na kompie i coś podwędzi mi kontener z hasłami i hasło główne, to mają wszystko.

    • “Wyciek wszystkiego” jest możliwy, jak będziesz mieć malware na komputerze. Jak masz malware na komputerze to i tak masz wyciek wszystkiego. Malware przejmie Twoje hasło do każdego miejsca, do którego się logujesz, niezależnie, czy je wpisujesz z pamięci, czy przepisujesz z kartki pod monitorem. Dlatego lepiej mieć Managera Haseł niż nie mieć, bo mając go chronisz się przed częstszym atakiem — password reuse.

    • @Jarek

      Do ważniejszych rzeczy zawsze możesz pamiętać część hasła albo je posolić. Z loginu możesz usunąć numerek i go pamiętać więc nie koniecznie musisz być na straconej pozycji jak ci cała baza zobaczy światło dzienne.

  22. Używam KeePass od lat. Lepiej działa na firefox niż z chrome, co mi akurat pasuje bo FF używam jako głównej przeglądarki.
    W FF jest np bardzo przydatna opcja, gdzie po zalogowaniu plugin sam stworzy wpis w bazie z loginem, hasłem i adresem strony.
    Na Chromie dodatek biedniejszy w opcje i przez jakiś czas miałem z nim problem w oknach incognoito.

    Wersja na androida już trochę gorzej – przy logowaniu można włączyć klawiaturę KeePass aby nie kopiować haseł do schowka, ale trzema samemu podać, który ma wpis zastosować.

    Nie udało mi się natomiast zrobić haseł maskowanych. Jakieś podpowiedzi?

    • Możesz użyć {PICKCHARS} w Auto-Type.

    • O którym dodatku do FF piszesz?

    • Dodatek to Kee.
      https://www.kee.pm/

  23. Ja jeszcze tylko dodam, że tak jak to widać na pierwszym załączonym slajdzie, można mieć hasło dwuskładnikowe. Pierwszy składnik to hasło które pamiętamy, a drugi składnik, to hasło plik. Generuje się ono losowo poprzez ruszanie kursorem myszko po ekranie. Tego hasła pliku nigdy nie synchronizuję przez chmurę, dzięki czemu baza danych w chmurze jest w zasadzie nie do otworzenia, nawet jeśli ktoś pozna hasło wpisywane, bo i tak nie będzie miał drugiej części hasła czyli pliku z hasłem.

  24. Czwartą możliwością wymiany bazy danych z hasłami pomiędzy urządzeniami może być Syncthing – darmowy, otwartoźródłowy i zdecentralizowany system do automatycznej wymiany plików w tle. Wystarczy odpowiednio skonfigurować aplikacje i dane będą się aktualizować już po połączeniu z na przykład siecią domową. Oczywiście pod warunkiem, że oba urządzenia są włączone.
    To chyba taka alternatywa dla ludzi obawiających się inwigilacji, ale ceniących sobie jednak nieco komfort. Działa na Windowsie, Linuxie i Androidzie. O jabłku nic nie wiem bo nie posiadam.

  25. A jak oceniacie rozwiązanie apple – keychain? Oprócz oczywistej wady, że jest tylko na ekosystemie apple ma jakieś poważne wady?

  26. Podczas zakładania nowej bazy danych w apce mobilnej (Keepass Touch) jest opcja wyboru 1.x 2.x i KDBX 4, którą najlepiej wybrać i dlaczego?

  27. OK, ale na ile bezpieczne są menadżery haseł? LastPass został shackowany kilka lat temu. Skąd wiemy, co można wykraść w takim przypadku. Możecie zrobić o tym artykuł? Czy mając mocne hasło o wysokiej entropii można spać spokojnie? Co, jeżeli ktoś wykradnie naszą bazę danych z takiego Dropboxa? Dadzą radę złamać szyfrowanie? Z kolei 1Password bardzo brzydko potraktował osoby, które kiedyś zakupiły aplikację na zasadach licencji dożywotniej a oni przeszli na abonament. I nagle tracisz budowaną latami bazę i przyzwyczajenia, jeżeli nie zgadzasz się na nową politykę cenową.

    Ja sobie zrobiłem sam szyfrowaną bazę haseł na komputerze. W sieci jej nie udostępniam, więc największym minusem jest jej przywiązanie do jednego urządzenia i ewentualne skorzystanie z jakiegoś mniej uczęszczanego przez mnie serwisu z dala od komputera (np. na komórce). Do podstawowych serwisów hasła pamiętam ;)

    Więc jeżeli taki menadżer zapewni odpowiedni poziom bezpieczeństwa i o wiele większą wygodę, to czemu nie.

    • Jeśli skorzystałeś z dobrego hasła o sensownej długości, to przechwycenie bazy KeePassa niewiele da atakującemu. Jeszcze mniej jeśli skorzystałeś z jakiegoś 2FA.
      Jeśli nie ufasz szyfrowaniu, to zawsze możesz je sprawdzić – KeePass jest open source.
      To jest też zaletą, która eliminuje drugą podaną przez ciebie wadę – tak długo jak jest open source, nagła zmiana modelu finansowego nic nie da, bo może się zwyczajnie znaleźć ktoś kto znowu zbuduje darmową aplikację w oparciu o kod KeePassa.
      Albo w najgorszym wypadku (brak nowego darmowego projektu) możesz korzystać ze starej wersji i nic się nie powinno stać :)

    • “zrobiłem sam szyfrowaną bazę haseł”

      AUĆ!! Robienie takich rzeczy samemu zawsze źle się kończy! Zadbałeś np. o to, żeby przy Odszyfrowywaniu bazy, na dysku nie zapisywały się żadne pliki tymczasowe z plain textem?

    • Przecież 1pass nadal sprzedaje standalone licencję – Ci co mieli ją, a 1pass przeszedł na subskrypcję, mieli 1 miesiąc na przejście w subskypcję lub pozostanie na biurkowej wersji.

    • @Marek – bez prób i błędów nie ma innowacji. A na pewno nie w IT.

  28. 1. Sprawdziliście czy dane logowania do usług KeePass “latają” w sposób szyfrowany czy zwykłym tekstem (jak np. do Facebook?)?
    2. Sprawdzaliście kto ma dostęp do serwerów KeePass? Ja nie wiem, nie znam tych ludzi, nie wiem czy można im zaufać.
    Pytam bo tak sobie myślę, że wystarczy gdzieś na głównym węźle odpalić na jakiś czas jakiegoś sniffera… i wszelkie dane logowania mamy jak na tacy. Jakie by one nie były… Na przykład uruchamiając przeglądarkę z Facebookiem, logując się, nasze hasło sobie leci jawnym tekstem – sprawdziłem sam siebie na swoim prywatnym routerku w domu, logując się na smartfonie jak i na komputerze…
    … czasami lubię sprawdzić samego siebie żeby wychwycić takie “wisienki”…

    • 1. Nie latają
      2. Nikt
      Bowiem KeePass jest hostowaby zupełnie lokalnie, bez żadnych serwerów. To gdzie przechowujesz bazę to twoja sprawa, więc chyba większość osób wrzuca ją na jakiś dysk w chmurze (np. Dropbox).
      Jest szyfrowana, a hasło nigdy do internetu nie trafia, więc nie jest to niebezpieczne.
      Do tego można jeszcze się bawić np. w 2FA z plikiem i tego pliku nie dawać na chmurę, a jedynie przechowywać lokalnie. Wtedy nawet z hasłem i plikiem z chmury nic się nie zrobi.

      Ale z wspomnianymi przez ciebie problemami radzą sobie nawet oparte na chmurze menedżery haseł open source.
      Np. Bitwarden – hasło też nie lata na stronę (odszyfrowywania następuje lokalnie – serwer ma dostęp tylko do zaszyfrowanej bazy), a jeśli nie ufasz twórcy, to możesz się bawić w self-hosting – instrukcje jak postawić oficjalną implementację serwera Bitwarden są nawet na oficjalnym blogu, a do tego istnieją nieoficjalne implementację stworzone przez społeczność.

  29. Jakby co, to zamiast hostować bazę na komercyjnej chmurze, można sobie dość łatwo uruchomić własną chmurę NextCloud lub ownCloud (oprogramowanie open source):
    https://hub.docker.com/_/nextcloud

    Można też postawić w VMie, albo u dowolnego providera VPSów. Instaluje się bardzo łatwo. Jakaś firma daje nawet gotowe obrazy do VirtualBox, VMWare i Hyper-V:
    https://www.hanssonit.se/nextcloud-vm/

    Z tego, co kojarzę, OVH dawało kiedyś gotowe szablony VPS z zainstalowanym ownCloudem, ale chyba już tego nie wspierają.

    Z innych ciekawych rozwiązań: BitWarden, rozwiązanie webowe, też open source. Wspiera współdzielenie haseł (master key system) i, co ciekawe, przeszło audyt bezpieczeństwa, którego wyniki są publicznie dostępne. Sam nie używam, bo nie chcę hostować bazy MS SQL, nawet w Dockerze (nie wiem, jak się tym administruje).

    • Bitwarden_rs (nieoficjalna implementacja serwera napisana w Rust) korzysta z sqlite3, jeśli to preferujesz :)
      Nie ma wszystkich opcji (brakuje np. 2FA z wykorzystaniem Duo lub e-maili. Jest jednak “zwykły” mobilny authenticator, u2f I Yubikey OTP, więc to nie jest duży problem. Ogólnie brakuje naprawdę niewielu rzeczy), ale za to jest lżejsze od oficjalnej wersji.

    • Używam bitwardena i jest idealny dla mnie, dane w chmurze, niestety docker jest zbyt obciążający dla mojej maszyny. Posiada Authy lub Google Authenticator, YubiKey Duo FIDO U2F w wersji premium. Plugin do przeglądarki jedyny tak prosty.

    • Bitwarden ma jedną znaczącą wadę. Brakuje mu Auto-Type poza przeglądarką.

  30. A aplikacji na iOS opcja importu widzi plik z bazą danych na dysku OneDrive jako “szarą” ikonę, której nie da się zaimportować. Jaka może być przyczyna?

  31. Przyznaję – do tej pory nie zdecydowałem się na taki menedżer haseł, gdyż obawiam się tworzenia tak potężnego single point of failure. Złamanie mojego hasła do Keepassa nie byłoby niemożliwe, a to dawałoby dostęp do wieeeeelu kont.

    Pozostaje zdobycie mojej bazy – i niestety, apka mobilna / wtyczka do przeglądarki / usługa synchronizacji między komputerami wyglądają jak zagrożenia dla bezpieczeństwa. A biorąc pod uwagę jak cennym łupem dla różnej maści przestępców (bądź trójliterowych agencji) byłby łup w postaci baz haseł użytkowników takich programów – obawiam się, że poświęcają oni sporo czasu akurat na szukanie podatności menedżerów haseł. A biorąc pod uwagę jak często wyciekają bazy danych różnych “wielkich” – od morele po yahoo – nie ufam na tyle jednemu programowi, by powierzyć mu dostęp do wszystkich moich kont.

    • Zmień pieluchę i jeszcze raz to przeanalizuj

  32. Aha – z jakiś przyczyn skrót podany przez Was Ctrl+Alt+V nie działa…

  33. Keepass czy KeepassXC? I dlaczego?
    Czy ich bazy są w pełni kompatybilne i jak to się ma do użycia tych samych baz na jabłku czy androidzie (czy np baza Keepass będzie widoczna dla wersji Keepass2Android)?

    • Keepass to oryginał.
      KeepassXC i Keepass2Android to klony.
      Wszystkie wymienione klony obsługują takie same pliki.

    • KeepassXC nie obsługiwał haseł maskowanych. A większość polskich banków się w takie bawi. Więc osobiście wybrałem oryginał. Z kolei sam oryginalny Keepass jest napisany w .NET, więc pod Linuxem średnio to działa (tzn. działa bez problemu pod Mono, ale wygląda jak kupa).

  34. Z własnej, długiej przygody z keepassem
    1. Baza jest na dropboxie (samo się synchronizuje), backupy lokalnie
    2. Logowanie do bazy przez hasło i plik klucza, który pomiędzy urządzeniami osobno przenoszę. Pozwala to na dokładną kontrolę dostępu do bazy, jak pliku klucza mi nie zwędzi ktoś to znajomość hasła nie pomoże
    3. @Kansuke: Dodatek do przeglądarki łączy się z bazą keepass przez HTTP. Do keepassa instalujemy wtyczkę, która wystawia endpoint (serwerek) i pozwala lokalnie odpytać o hasło. Jak jest to za dużo dla Ciebie, to nie instalujesz tego i możesz przez skróty klawiszowe triggerować wpisanie loginu/hasła (sam, keepass ma taką funkcję), ewentualnie po prostu 2x klik na login/hasło i paste w przeglądarce (sam tak korzystałem).
    4. Na mobilce (android) najtrudniej korzystać z keepassa, może to moja apka, setup, coś, ale gubi ścieżki (sądzę, że dropbox ma wirtualne ścieżki i to jest problem.
    5. Da się autentykacje do bazy przez windows AD zrobić, jak wszędzie macie to samo konto, ale zmniejsza to imo bezpieczeństwo, ktoś z dostępem do komputera ma całą bazę automatycznie
    6. Da się zrobić autentykacje do bazy przez yubikey, ale to przedemną dopiero.

    • Sam sobie odpowiem, bo nie wyedytuje a źle wkleiłem coś

      Z własnej przygody z keepassem kilka doświadczeń
      1. Bazę trzymam na dropboxie (samo się synchronizuje), i robię backupy lokalnie. Nigdy nie miałem problemów z synchronizacją/stratą czegoś, etc a korzystam od lat na kilku urządzeniach/platformach
      2. Logowanie do bazy przez hasło oraz plik klucza. Sam klucz przenoszę osobno, nigdy nie trzymam tam gdzie bazę, co pozwala na kontrolę dostępu. Praktycznie uspokaja to moje sumienie, że trzymam plik z wszystkimi hasłami w chmurze.
      3. Najwygodniejszy sposób korzystania z keepassa do oficjalna apka. Inne działały różnie dla mnie. Oficjalna działa na Win/Linux (mono jest bodaj) z czego na linuksie zdarza się, że trzeba poczekać aż coś zadziała
      4. Dostęp do haseł przez wtyczkę keepass-http, która wystawia lokalnie serwerek. W przeglądarce jest wtyczka, która może jedynie czytać. Jak ktoś (@Kansuke), nie czuje się z tym pewnie, to hasła można kopiować przez 2klik. Apka sama czyści schowek. Ma też skróty klawiszowe do autofill, ale to mnie jakoś nigdy nie kręciło
      4. Na mobilce (android) najtrudniej korzystać z keepassa, a to chyba przez dropboxa i to, że ścieżkę do bazy którą wystawia do apki keepassa, jest chyba tmp i zmienia się. Nie korzystam na mobilce dużo z keepassa, więc nigdy nie poświęciłem czasu na inwestygacje.
      5. Da się autentykacje do bazy przez windows AD zrobić, jak wszędzie macie to samo konto, ale zmniejsza to imo bezpieczeństwo, ktoś z dostępem do komputera ma całą bazę automatycznie
      6. Da się zrobić autentykacje do bazy przez yubikey, ale to przedemną dopiero.
      7. Ustawienia apki na różnych komputerach mogą być różne i nie są powiązane z bazą. Ma to o tyle znaczenie, że np laptopa którego używam w pracy, traktować mogę jako potencjalny wektor ataku i zbudować inną politykę blokowania bazy, a maszynę która stoi w domu traktuję luźniej (mniej upierdliwie)

  35. Redakcjo droga, co powiecie o BitWardenie, padł już tutaj dwa razy jako ciekawe kompleksowe rozwiązanie dla osób w ogóle nie technicznych.

  36. Keepass a keepassxc jaka różnica?

    • Są w innych językach napisane KeePassXC jest napisane w C++, KeePass w .NET. Później są małe pierdoły w konfiguracji oraz w KeePassXC jest kolumna, w której jest jest widoczna data ostatniego użycia danego hasła.

  37. Jak się ma korzystanie z Keepass + Yubikey (o ile pamiętam, działa z Keepass tylko w trybie challenge) vs korzystanie z Keepass na telefonie? Da się to jakoś pogodzić?

  38. Hasła zapisane w chromie i firefox są bezpieczne? Z tego co pamiętam było takie pytanie tutaj, ale chce się upewnić + czy jest to aktualne?

  39. a co myslicie o Myki?

  40. No to teraz hasło “BardzoLubięArtykułyNiebezpiecznikaOrazIchSzkolenia” trzeba będzie wpisać na listę najczęściej stosowanych haseł :D

  41. A co powiecie o aplikacjach jak np. Master Password lub My1Pass, gdzie hasła nie są zapisane w bazie, ale są generowane na żądanie po wpisaniu hasła głównego i na podstawie nazwy użytkownika oraz nazwy serwisu? Wadą takiego rozwiązania jest to, że trzeba pamiętać nazwy użytkowników oraz nie zawsze te aplikacje są dla wszystkich systemów operacyjnych.

    • Trochę słabo, bo nie ma jak zmienić tylko 1 hasła po wycieku. Rolujesz albo wszystkie, albo żadne.

  42. ale fajnie, że o tym piszecie :)

  43. Czy ktoś mógłby mi powiedzieć jak to wygląda w przypadku gdy kilka osób korzysta z tej bazy danych jednocześnie? Ona się aktualizuje live czy trzeba ją za każdym razem ponownie otwierać?

    • W wypadku otwarcia pliku bazy na kilku urządzeniach, tylko jedna osoba może edytować wpisy, reszta ma bazę tylko do odczytu

  44. Polecam spiąć keepassxc z yubikey i wykorzystać challenge-response, najlepiej z tzw macaniem. Wówczas w miarę bezpiecznie można trzymać plik z hasłami w chmurze.

    • A da się wtedy korzystać z Keepass + Yubikey na Androidzie?

  45. Skonfigurować rozszerzenie, aby korzystało z połączenia z Twoją bazą (jeśli nie zmieniałeś domyślnych numerów portów, to powinno się to wykonać samodzielnie)

    Proszę o pomoc. Jak to zrobić bo rak synchro.

  46. Konieczność ręcznego przeklejania loginów i haseł do odpowiednich inputów to moim zdaniem duża wada dyskwalifikująca Keepassa. Trochę słabo to wygląda w porównaniu do darmowej wersji LastPass, którą można zintegrować z Firefoxem i która od razu wkleja dane do pól, a nawet potrafi za nas kliknąć przycisk logowania.

    Niestety Lastpass na androidzie to porażka – dodatek do FF nie działa, a natywna wersja aplikacji kompletnie nie potrafi się dogadać z Firefoxem i narzuca własną przeglądarkę (ewentualnie pozwala na ręczne przeklejanie loginów i haseł).

    • ależ keepass też to posiada, ale jako wtyczkę. Podstawowa wersja jest mocno dla paranoików (jak ja), ale bez problemu dodajesz tą funkcję do apki i formularze same się wypełnią

    • @Michal G: Na androidzie też potrafi?

    • Tak jak użyjesz ich (Keepass2Android) klawiatury.

  47. Drogi autorze. Najpierw piszesz, iż KeePass “potrafi synchronizować swoje dane pomiędzy urządzeniami”, a dalej:
    > Masz w zasadzie trzy wyjścia (z czego dwa działają z Keepassem):
    > 1. każdorazowe wrzucanie bazy Keepassa na urządzenie mobilne gdy coś w niej modyfikujesz (mało wygodne),
    > 2. synchronizacja przez chmurę iCloud, Google Drive czy Dropbox,
    Czyli tak naprawdę KeePass nie obsługuje synchronizacji, a trzeba go “żenić” z dodatkowymi rozwiązaniami, które są upierdliwe do bólu, a propozycja importowania bazy przy uruchamianiu aplikacji mobilnej prosi się o karnego jeżyka.

    Jak już wielokrotnie pisałem, Bitwarden rozwiązuje powyższe problemy, a paranoik nawet może postawić całość u siebie bez dostawców zewnętrznych (czy to zamkniętego softu, czy sprzętu).
    Co więcej, Firefox mobilny obsługuje dodatki, więc ten potrafi wklejać od razu pola do stron web, więc nie trzeba nic kopiować i się bawić dookoła.

    • ostatnio zacząłem używać Bitwardena i jestem bardzo zadowolony: dwa telefony, kilka stacji roboczych, laptop – aplikacja na linuksa i androida, wtyczka do Firefox – ogarnia cały mój ekosystem bez kombinowania.
      Od dziś przestawiam żonę i nie wygląda na przerażoną.
      Jedną z opcji jest współużytkowanie kolekcji haseł, więc jakieś wspólne serwisy udostępniłem jej od razu – bardzo zadowolona. Ta opcja (współdzielenia) jest darmowa dla dwóch osób.
      Polecam Bitwardena, bardzo dobre narzędzie.

  48. “czasami bezpieczniej jest nie znać niektórych swoich haseł — uodpornisz się w ten sposób na kryptograficzny atak za pomocą gumowej pałki”
    a może właśnie bezpieczniej je znać?

    dla mnie największym problemem jest potencjalna sytuacja, gdy muszę skorzystać z jakiegoś serwisu nie mając dostępu do menedżera

    • Ty to zawsze masz nieistniejące problemy?

    • 1. To uzywaj zaszyfrowanego notesu.
      Notes musi byc tak zaszyfrowany abys ” w locie ” mogl odczytywac hasla.
      Jesli to dla Ciebie zbyt trudne, to uzyj szablonow do dekodowania.
      Bedzie to dzialac jak klucz do menadzera hasel z kluczami, ktorym takze trzeba umiec sie poslugiwac.
      Jak dostaniesz amnezji to zadnego hasla nie odzyskasz, wiec uzywaj pomyslow roztropnie.

  49. Zapisywanie haseł w przeglądarce może nie być najlepszym pomysłem

    freedom-to-tinker.com/2017/12/27/no-boundaries-for-user-identities-web-trackers-exploit-browser-login-managers

    • Korzystanie z inrernetu nigdy nie bylo bezpieczne, ale po to ktos wymyslil szyfrowanie,
      zeby sie troche pomeczyc zanim kiedykolwiek komus uda sie rozszyfrowac , dane, hasla.
      Nawet gdyby niektore szyfry lub programy mialy luki ulatwiajace rozszyfrowanie w ciagu 5 min. To dobre i tyle.

  50. Już od dosyć dawna korzystam z KeePass, wszystko było fajnie aż do momentu kiedy na stronie banku BGŻ wprowadzono nowy sposób logowania, no i nie wiem czy jest jakiś menadżer haseł który by z tym sobie radził. Hasło musi być trudne ale jednocześnie łatwe do zapamiętania, dla tego że za każdym razem wprowadza się losowo wybrane pojedyncze litery z hasła.

    • Nie napiszę, że to idiotyzm, ale… atakujący albo po prostu poprosi o wszystkie znaki, albo sam wejdzie na stronę banku, sprawdzi, które znaki są wymagane i o to samo spyta ofiarę (oczywiście automatyzując cały proces). Ktoś kiedyś wymyślił, że pytanie tylko o niektóre znaki zwiększy bezpieczeństwo, ale nie rozważył typowych modeli ataku. Zazwyczaj atakujący nie potrzebuje być zalogowany przez dłuższy czas, niż ten wymagany do wyczyszczenia konta.

    • Keepass ver 2 bez problemu sobie z tym radzi. Nie wiem jak keepassxc. Poczytaj sobie https://keepass.info/help/base/placeholders.html#pickchars sekcja o poleceniu pickchars

  51. A nie lepiej to:

    https://keepassxc.org/docs/keepassxc-browser-migration/

  52. a jakie sa szyfrowania haslowanych plikow/pliku oraz iloma bitami ?

    • chcialbym to porownac z roboformem i innymi programami

    • Tutaj masz info o algorytmach szyfrowania i funkcjach haszujących
      https://keepass.info/features.html#lnksec

    • dzieki, a czy sa jakies programy do pamietania hasel z wieksza iloscia bitow kryptograficznych niz 256 ? powiedzmy 1024 albo i wiecej ?

  53. Zacząłem ostatnio powoli używać i na desktopue wybrałem wygodnego w synchronizacji klienta KeeWeb. Co wy na to ?

  54. No dobrze, a co z najprostszym rozwiązaniem czyli managerem Google?

    • co w nim niby wygodnego jak na desktopie nie działa?

  55. A co z recaptcha, KePass wpisuje automatycznie i loguje, ale nie może zalogować gdyż pomija zaznaczenie pola recaptcha ( już nie mówiąc o zaznaczeniu trzech podobnych obrazków itp.)
    Pozostaje kopiowanie do schowka i wklejanie, chyba że coś pominąłem.

    • Dla tego typu akcji zmieniasz ustawienia autotype i wpisujesz manualny sposob. Przydaje sie rowniez na niektorych ekranach logowania, gdzie np po polu nazwa uzytkownika tab przenosi do opcji info o polu, etc.
      Wtedy robisz sekwencje z dodaniem odpowiedniej liczby {TAB}

  56. Fajnie, że to opisaliście.
    Czy moglibyście też spróbować opisać jakiś pomysł jak podejść np do dostępności swoich danych/e-mail, przez to też minimalizacji phisingu

    Np czy lepiej mieć kilka skrzynek pocztowych per różne usługi (np socials / shops / …)
    czy lepiej używać aliasów itd.

  57. Fajny artykuł, ostatnio szukałem właśnie takiego niezależnej rekomendacji. Keepass’a za bardzo nie brałem po uwagę bo nie wiedziałem o tych rozszeżeniach.
    A co powiecie do Dashlan

  58. Zanim poznałem keepass’a miałem następującą metodę na hasła:
    echo “Pornhub.com(+sól np. członek na 4 litery)” > hasło
    md5sum hasło
    1e074f5836e21cc66af07c81708c313a i mamy hasło.
    Pewien problem był z serwisami które miały mniej znaków niż suma kontrolna.Ale to miałem zapisane w pliku, znaczy ile liter nie hasło.

  59. Świetny program, sam go bardzo lubię i używam, propsy za ten artykuł :)

  60. W czym Lastpass jest lepszy od zapisywania haseł na koncie google? Jedno hasło mniej do zapamiętania, pare programów mniej do zainstalowania

    • Last przynajmniej oficjalnie nie współpracuje z NSA.

  61. Promujecie takie programy , a skąd macie pewność co ich bezpieczeństwa.A może te aplikacje własnie służą do wypływu haseł w internet?

    • KeePass ma bug bounty od niedawna, jeżeli podejrzewasz, że wysyła hasła do internetów to mam dobrą wiadomość – czekają na ciebie dziesiątki tysięcy euro nagrody, musisz tylko pokazać dowód.

  62. Hej, ja używam LastPass, trzymam tam hasła no cóż mało ważne, ale pomimo wszystko baza haseł zredukowała mi się ze 100 do 3 sztuk. Hasło do lastpass, hasło do banku, hasło do poczty, o reszcie zapomniałem wszystko siedzi tam. Jak tylko wprowadzili włączyłem dwuetapową autoryzację. Dodatek przechodzi w przeglądarkach chrome i firefox jak się zalogujesz. Zapomniałem o instalacji czegokolwiek i myślenie o kopiowaniu bazy. Na iPhone otwarcie aplikacji trzeba przyłożyć paluszek i po sprawie wszystko widać jak na dłoni. Tu obawiam się bardziej uszkodzenia bazy danych, wykonywaniu jej kopii. Masakra w kepass jest z czcionką na różnych urządzeniach nie wiadomo co to jest czy duże O czy 0, małe L czy duże L. W lasspass jest tak czcionka dobrana , że nie ma możliwości się pomylić. Zero jest przekreślone w środku i cyfry są dodatkowo na czerwono oznaczane. Jak dla mnie bomba. Ale to nie zwalnia z myślenia, hasło zmieniam co 5 miesięcy.
    Polecam Lastpass

    • Keepass ma możliwość wyłączenia używania podobnie wyglądających znaków (1l, 0O itd.) przy generowaniu hasła (jest to w opcjach zaawansowanych generatora haseł). Może się komuś przyda ta wiedza.
      PS. Ktoś serio ręcznie przepisuje hasło z Keepassa, że to w ogóle jest problem?

    • Przecież czcionkę zmienia się w opcjach KeePassa. “Wybierz czcionkę hasła”.

  63. a czy ktos uzywa rozszerzenia Blur Abine ?
    tez wydaje sei ebzpeiczne

    • Blur miał wyciek ostatnio, plus coś jest z nimi nie tak pod względem prywatności (nie pamiętam szczegółów)

  64. Z jakiegoś powodu Bank Millenium blokuje wklejanie haseł na stronie logowania, co uniemożliwia sensowne użycie menadżera haseł. Czy moglibyście zapytać ich, dlaczego na to się zdecydowali i czy nie uważają, że obniżają tym samym poziom bezpieczeństwa?

    • No ale KeePass “wpisuje” hasło na stronę, a nie wkleja.

    • Na blokowanie wklejania zapewne zdecydowali się, by wyciąć ruch z sofortu i innych “pośredników” :p

  65. Witam,
    chciałbym zacząć używać tej aplikacji lub czegoś podobnego ale zupełnie tego nie rozumiem. Po co on generuje hasła jeżeli i tak muszę się logować na moje stare hasło?

    • Generuje Ci hasła do nowych stron, które wprowadzasz.
      Wygeneruje Ci też nowe hasła do stron, z których korzystasz obecnie, o ile zechcesz te hasła sobie zmienić (polecam). Samo to się nie zrobi.

  66. Polecę jeszcze program KeeWeb z strony https://keeweb.info. Jeśli mamy bazę udostępnioną w chmurze możemy awaryjnie zalogować się przez przeglądarkę. No i jako jedyny mi znany potrafi synchronizować się z chmurami czołowych dostawców pod Linuxem.

  67. A co sądzicie o managerze wbudowanym w macos/ios? ładnie się synchronizuje, odblokowuje fingerprintem.

  68. KeePass i hasła w chmurze :)
    Dziękuję, postoję

  69. Podpisuje się pod pytaniem Tomka, jeżeli ktoś zdecydował by się z jakiegoś powodu na ogranicznie do ekosystemu apple, czy keychain jest rownie/bardziej/mnie bezpieczny w porownaniu do aplikacji trzecich? w waszej opinii oczywiście.

  70. KeePass odpada. Synchronizacja przez samodzielne męczenie się z plikami i wrzucaniem ich na chmurę jest okropieństwem. LastPass ma synchronizację wbudowaną w aplikację – wystarczy, że cokolwiek gdziekolwiek zmienię i od razu mam to na wszystkich urządzeniach i wcale nie muszę o to dbać, gdyż LastPass synchronizuje wszystko za mnie.
    I o ile to byłoby to przebolenia, o tyle to, że nie mogę się zalogować nigdzie na obcym komputerze, jest absurdem. A w LastPassie? LastPass.com i jedziemy :) Jeśli KeePass zrobi dostęp przez stronę internetową, to może się przeniosę. A póki co… niech się walą.

    • > niech się walą
      KeePass nie będzie miał dostępu przez stronę, bo nie taka jest filozofia działania KeePassa.

      Chcesz mi powiedzieć, że wpisujesz swoje hasło do bazy haseł na obcym komputerze?!
      Nie boisz się keyloggerów?

    • > Synchronizacja przez samodzielne męczenie się z plikami i wrzucaniem ich na chmurę jest okropieństwem.

      Jeżeli nie potrafisz sobie ustawić synchronizacji jednego malutkiego pliczku, to masz wiele większy problem niż zabezpieczenie Twoich haseł…

      > wcale nie muszę o to dbać

      … a i lenistwo połączone z ignorancją szkodzi cyberbezpieczeństwu.

    • >KeePass nie będzie miał dostępu przez stronę, bo nie taka jest filozofia działania KeePassa.
      A to tym bardziej dyskwalifikacja. Nie mam własnego komputera, laptop jest jeden na całą rodzinę i głównie młodsza siostra go okupuje niczym Hitler Polskę, więc dlatego niestety jestem głównie smartfono-centryczny. Niestety, ale moja baza haseł musi być w chmurze. LastPass spełnia te wymagania, KeePass nie. Na całe szczęście baza szyfrowana bardzo mocnym hasłem.

      >Chcesz mi powiedzieć, że wpisujesz swoje hasło do bazy haseł na obcym komputerze?!
      Nie boisz się keyloggerów?
      A mam jakieś inne wyjście, żeby się zalogować? I tak muszę wpisać hasło do usługi, do której muszę się zalogować. A menedżer haseł jest zabezpieczony nie tylko hasłem, ale też kodem TOTP.

      >Jeżeli nie potrafisz sobie ustawić synchronizacji jednego malutkiego pliczku, to masz wiele większy problem niż zabezpieczenie Twoich haseł…
      Wygoda. Chodzi mi o wygodę. Każda zmiana będzie wymagała piep***nia się z synchronizacją manualną i grzebaniem się z plikami.

  71. Czy keePass działa dla haseł maskowanych?

  72. A moja babcia pin do karty ma zapisany na kartce: Dentysta 22 762 1234 :) sam bym na to nie wpadł

  73. U mnie to keepass2 na kompach, Keepass2Android na tel.
    Baza siedzi na w chmurze dostęp https webdav + oba programy wykonują sobie kopie lokalną
    Dostęp hasło + plik

  74. “jest aplikacją otwartoźródłową (unikniemy podejrzeń o ingerencje służb w kod)”

    Oczywiscie, jak wiadomo sluzby bezpieczenstwa maja zakaz modyfikowania kodu FLOSS.

  75. “Jeśli chcesz pielęgnować swoją paranoję kosztem wygody obsługi komputera/smartfona, to koniecznie wybierz pierwszą z możliwości.”
    Przecież to najlepsza opcja. Sugerujecie, że jest ona paranoiczna, że człowiek z niej korzystający jest chory, jest głupia. Skoro tak dbacie o bezpieczeństwo, to przyznajcie co jest najbezpieczniejsze. Nie ma czegoś takiego jak chmura, jest tylko cudzy komputer!

    • Na prawdę nie widzisz tu poczucia humoru?

  76. W Abine był wyciek. Nie dostałeś maila?

  77. To Schneier’owy Password Safe już odszedł w zapomnienie?

  78. Ja używam Enpass, też dostępny na wszystkie platformy

  79. super materiał -proszę częściej o takie poradniki

  80. A co myślicie o używaniu menadżera haseł wbudowanego w Safari i iOS ? Wydaje mi się, że bardzo dobrze działa, a apple raczej dba o bezpieczeństwo. Jedyną wadą jest brak wsparcia dla innych przeglądarek na desktopie.

    Czy wy macie jakąś opinię na ten temat?

    Pozdrawiam

  81. Kilka istotnych informacji o KeePessie:
    1. Jeżeli synchronizujemy naszą bazę haseł z innymi plikami, np. we współdzielonym katalogu, cron’owanym rsync, Dropbox, Synthing itp., starajmy się zawsze zamykać całkowicie KeePass’a po skończeniu z nim pracy. Jeżeli tego nie zrobimy a pamiętamy, że na jakimś komputerze zmienialiśmy bazę, dokonajmy na komputerze z pozostawionym KP synchronizacji otwartej bazy z otwartą bazą. To głupie, ale działa i dzięki temu nowe hasło wskoczy we właściwe miejsce. Najgorsze co możemy zrobić to edytowanie tak otwartej i pozostawionej bazy, bo stracimy nowe hasła.
    2. Integracja z przeglądarką. Tutaj mamy problem, bo albo dodatek, który zaraz stanie się nieaktualny, albo schowek. Autotype na Linuksie w wielu przypadkach po prostu nie działa. Metod, jakie stosowały np. programy Quarterdecka usprawniające schowek w czasach Win95, czyli zapis wartości do kontrolki programu, po prostu jeszcze nie wymyślono, a gdy taką samemu zaimplementować, twórcy programów robią bardzo duże problemy z jej pozostawieniem w następnej wersji (w każdym razie w Firefoksie staje się to coraz trudniejsze). Ja wybieram schowek, bo często zmieniam przeglądarki a nie do każdej jest dodatek. Wskutek tego należy pamiętać, by nie mieć uruchomionych podczas korzystania z KP programów mogących ten schowek przechwycić: Na Linuksie korzystajmy z KP na własnej maszynie z wyłącznie swoją sesją X’ową, na Windowsie unikajmy otwartych połączeń pulpitu zdalnego (w ramach remote desktop schowek można często przechwycić w obie strony).

  82. Używam na lapku [Wndows] oraz telefonie [Android]. Synchronizacja pliku z hasłami na GoogleDrive i wszystko działa. Problem pojawia się na iPadzie [IOS]. Aplikacja Keepass Touch nie potrafi zaimportować bazy *.kdbx z GDrive, pomimo tego że widzi plik (nie można go wybrać). Nie mówiąc o całkowitym braku synchronizacji z GDrive. Dostępna jest tylko opcja LocalSync, FTPSync, DropboxSync.
    Być może czegoś nie widzę, coś źle robię :/

  83. Integracja z przeglądarką za pomocą KeePassHTTP jest już nieaktualna

  84. Artykuł wprowadza w błąd. Trzeba pamiętać jeszcze jedno hasło – do chmury, w której trzyma się bazę haseł keepass’a :P

  85. Jak najprościej wytłumaczyć, że hasło “BardzoLubięArtykułyNiebezpiecznikaOrazIchSzkolenia“ jest cięższe do złamania od “TRuDn3!%_”?
    Czy to znaczy, że jako hasło lepiej ułożyć długie zdanie niż ciąg cyfr, znaków specjalnych i liter ale o połowie albo 1/3 długości tego zdania?

    • Poczytaj o entropii haseł.

  86. Piotr, co z managerem haseł Dashlane, którego w jednym z wpisów sugerowałeś jako lepsza alter alternatywę dla KeePass? Czy z jakiegoś powodu Dashlane nie jest już wart rozważenia?

  87. Od lat korzystam z KeePass przenosząc bazę ręcznie. Po lekturze tego artykułu postanowiłem umieść bazę we własnej chmurze opartej na Nextcloud. Nie mogę jednak synchronizować bazy bo KeePass natywnie nie wspiera Nextcloud czy Owncloud a wtyczki odpowiedniej też nie ma…

  88. Czy trzymanie klucza na poczcie protonmail,tutanota w postaci zaszyfrowanej wiadomości jest do przyjęcia ?

  89. Czy menadżer haseł w Bitdefender to dobre rozwiązanie?

  90. Hej,

    Czy ktoś ma jakiś pomysł, dlaczego po skopiowaniu mojej bazy haseł do aplikacji mobilnej, baza danych staje się pusta i nie mam dostępu do żadnego wpisu?

  91. Jako niedoświadczona osoba mam do Was pytanie :

    Chciałem zacząć używać Bitwardena ze względu na łatwiejszą synchronizacje pomiędzy urządzeniami. Przeczytałem raport z audytu Bitwardena (Cure 53) i m.in znaleziono w nim poniższą lukę. Czy oznacza to że Bitwarden będzie w mniejszym stopniu chronił przed pishingiem i podstawieniem fałszywej strony przez atakującego ?

    To dla mnie ważne bo własnie manadżerem haseł zamierzam chronić swoich rodziców którzy z jednej strony potrzebują łatwej synchronizacji pomiędzy urządzeniami stacjonarnymi i mobilnymi a z drugiej strony są potencjalnie łatwym celem pishingu.

    będę wdzieczny za komentarze :

    Luka :

    BWN-01-001 – Browser extension autofill only checks top-level website address
    When viewing a website, the Bitwarden browser extension provides autofill functions based on the URL
    shown in the browser’s address bar. It is possible for a website to include additional webpages inside of it
    by implementing embedded iframes. Bitwarden does not check the URL of these embedded iframes and
    assumes that they rightfully belong to the “top-level” website.
    Impact
    Since Bitwarden does not check each iframe’s URL, it is possible for a website to have a malicious
    iframe embedded which Bitwarden will autofill with the “top-level” website credentials. Unfortunately,
    there are legitimate cases where websites will include iframe login forms from a separate domain than
    their “parent” website’s domain. One specific example of note is the login form on icloud.com which
    embeds its login form from an iframe sourced to apple.com. While this is definitely not a common
    occurrence across the web, other legitimate examples are also known to exist.

  92. Który dodatek polecacie do zintegrowania Keepassa z najnowszym Firefoxem?

    PassIFox nie obsługuje FF Quantum. Znalazłem coś takiego:

    KeePass Tusk
    https://addons.mozilla.org/en-GB/firefox/addon/keepass-tusk/

    KeePassHttp-Connector
    https://addons.mozilla.org/en-US/firefox/addon/keepasshttp-connector/

    Kee
    https://addons.mozilla.org/pl/firefox/addon/keefox/

    Czy któryś z nich ma możliwość dodawania haseł do bazy Keepassa?

    • Kee ma. Wiem, bo używam.
      Innych nie sprawdzałem.

    • Polecam Kee. Dodatek może zapisywać dane do bazy KeePassa i nie miałem z nim problemów. Pozostałych nigdy nie używałem, więc nie mnie je oceniać.

    • Również korzystam z Kee.
      Za sprawa dodawania do bazy nowo zarejestrowanego użytkownika (nowych wpisów) czy edytowania obecnych (np. zmiana hasła).

  93. A co sądzicie o dodatkach, które generują hasło w taki sposób:
    trim(md5(HASLO_GLOWNE + domena)), 16)

    Mamy zawsze unikalne hasło, a jednocześnie nigdzie nie zapisujemy haseł.

    • Co z serwisami, gdzie hasło musi mieć znak specjalny, albo nie więcej niż 14 znaków?
      Ta regula szybko stanie się nieskuteczna.

  94. Zla szkola dla zlodziei. Tylko w glowie a na palke skojarzenia a tak naprawde to tylko one-time (czyt dobra pamiec przy krotkich wiadomosciach)..

  95. Przyznam, że artykuł pobudził mnie do tego żeby w końcu użyć managera haseł. Od dawna wiedziałem, że są, ale jakoś mi się nie chciało. Więc do dziełą… I… no fatalnie. Nie dość, że w artykule jest mnóstwo skrótów pomijających istotne szczegóły, to jeszcze opisuje nieaktualną wersję oprogramowania. Jestem wielce rozczarowany.
    I pomimo, że jestem dość zaawansowany użytkownikiem komputera, to po zainstalowaniu KeePassXC, skonfigurowaniu połączenia w przeglądarce przez aktualnie rekomendowany KeePass-Browser dalej nie udaje mi się w jakiś sensowny i wygodny sposób zmusić całej tej maszynerii do działania. :(

    • To jak na “dość zaawansowanego użytkownika komputera” wyjątkowo słabo.

  96. tylko keeeepass!!! jest bardzo funkcjonalny! dzięki bogactwu funnkcji można go obudować:

    – biometrią
    – dzięki wyzwalaczom 3mać statycznie bazę w automatycznie (biometria/klucze USB-fizyczne) rozkodowywanym kontenerze TC/VC
    – dzięki wtyczkom obsługiwać wszelkie klucze TOTP (np. google, dropbox etc)

  97. Program został napisany w języku C#. To już powinno dawać do zastanowienia. Kiedy znajduję w pamięci procesu 13-14 kopii hasła, doznaję szoku. Do wymazywania schowka jest używana funkcja API EmptyCliboard… PasswordSafe może nie jest doskonały, ale nie posiada tylu podatności i potrafi wymazać hasło z okienka EDIT… Podatności mało istotne, gdyż nie można czytać pamięci, funkcja malloc została poprawiona w systemach operacyjnych i pamięć przed alokacją jest zerowana… NIE POLECAM!

  98. Ja osobiście używam bitwardena. Co o nim sądzicie? Jest darmowy. Dopiero chęć użycia tokena u2f spowodowałaby konieczność kupienia pełnej wersji. A ta jest super tania.

  99. a jaka jest gwarancja że ten keepass ( w sumie słaba nazwa w tłumaczeniu – kiepas – ale skoromamy super żrówki osram to czemu nie) – wracając do tematu – jaka mamy gwarancję że ten soft skoro tak wymienia dane w lewo i prawo – nie udostępnia tych dancyh komuś ? – szczególnie jak jest openźrodłowy

    • Jak może coś komuś udostępniać ZWŁASZCZA dlatego, że jest otwartoźródłowy?

  100. “Firefox mobilny obsługuje dodatki, więc ten potrafi wklejać od razu pola do stron web, więc nie trzeba nic kopiować i się bawić dookoła”

    Mam nadzieję, że te dodatki nie pobierają pasków logowania i nie idą one w niepowołane ręce jakiegoś hackera czy hashera. Mam na myśli tu np. taki keepass browser.

  101. Dzięki, tym artykułem natchnęliście mnie, by w końcu zacząć korzystać z tej zacnej aplikacji ;-)

  102. a nie lepiej i łatwiej, poprostu napisać sobie hasla na karteczka żółtych i przyczepic do monitora, albo maty korkowej ? Ja tak mam i dla zmyłki np. przy haśle do poczty, napisalam, ze to haslo do fejsa :) proste i skuteczne

    • Jeśli Twoja tablica wisi w wystarczająco bezpiecznym miejscu, nikt tam oprócz Ciebie nie ma wstępu i haseł do zapisania jest pięć, to ok.

      Jeśli haseł jest pięćdziesiąt i potrzebujesz ich używać w różnych sytuacjach, w podróży itp. to jakaś forma elektronicznego i w miarę bezpiecznego repozytorium haseł zaczyna być użyteczna. Tablica za duża, notesik niebezpieczny (ktoś może ukraść lub skopiować/sfotografować).

      Ja mam w swoim zbiorze sto kilkadziesiąt pozycji. Sporo jest już zamkniętych serwisów lub dawno nie używanych (trzymam historię), lecz aktywnych, używanych przynajmniej od czasu do czasu będzie właśnie coś koło pięćdziesięciu lub niewiele mniej.

      W głowie i tak trzeba sporo trzymać:
      1. Hasła do kompów mojego, żony (bo jak zapomni?) i służbowego, zarówno do szyfrowania dysku jak i logowania do systemu (2 * 3 = 6), plus login w pracy (losowy ciąg znaków)
      2. Hasła do kluczy ssh (prywatny, służbowy)
      3. Hasła administratora do systemów w domu (router, serwer) i w pracy (kilka)
      4. Loginy i hasła do banków (dwóch) w kilku kanałach dostępu
      5. Hasło do poczty mojej i żony (znowu…)
      6. Do odblokowania telefonu mojego i żony
      7. PINy do kart (do dziesięciu jeszcze nie dobiłem)
      8. Do domofonu (no dobra, nie muszę, noszę klucz jako backup)
      9. Coś jeszcze zapomniałem?

      A tych sekretów jest ze czterdzieści,
      Sam nie wiem, jak się to we łbie mieści.

      A im człowiek starszy, tym gorzej… Kiedyś pamiętałem także numery kart (jakby trzeba było z marszu zastrzec), rachunków, telefonów do krewnych i znajomych, itd., ale teraz już nie daję rady. Co to będzie za dwadzieścia – trzydzieści lat?

  103. Boję się, że wasze podcasty zawierają moduł czytający w myślach… tydzień temu zastanawiałem się czy można Was prosić o jakiś poradnik do KeePassa, żeby wiedzieć czy na coś trzeba zwrócić uwagę…

  104. Czy to jest ten sam program? I który wybrać?
    https://keepass.info/index.html

  105. A jak w porównaniu z Keepass wypada 1Password? Tylko z punktu widzenia bezpieczeństwa.

  106. A co powiecie na temat managera haseł w chrome? Też potrafi genreować hasła i jest jeszcze bardziej wygodny. Minus taki, że może być problem, żeby zapisywać hasła które są do innych rzeczy niż aplikacje webowe, np. WiFi.
    Jak ktoś się włamie na czyjeś konto google to i tak nie potrzebuje łamać hasła do keepassa, bo może skorzystać z opcji odzyskiwania haseł. W ten sposób może uzyskać dostęp do wielu portali.
    Jakieś przeciwwskazania dla managera haseł, który jest w chrome?

  107. Kiedyś miałem również wzór. Wyglądał on tak.

    1(liczba)2(słowo)3(3 cyfry)4(znaki specjalne)
    -liczba mówiąca o ilości liter w nazwie serwisu
    -słowo nie występujące w słowniku pisane wspak, kilak znaków miało :)
    -3 cyfry nawiązujące do tematyki strony (np. muzyka 178, film 701, itd)
    -dwa znaki specjalne
    /między każdą “kombinacją cyfry 1,2,3,4

    To pozwoliło na niemal zawsze i wszędzie bezbłędne zapamiętanie hasła.

    Od dłuższego czasu jadę własnie na KeePass v2.

  108. A podejście z innej strony …. Co sądzicie o korzystaniu z “wbudowanego” menadżera haseł w telefonach blackberry ?
    Oczywiście nie mówię tu o wygodzie stosowania – żeby się dostać trzeba najpierw odblokować telefon, potem odblokować menadżera haseł. Hasło trzeba przepisać ….
    W teorii 10 prób powoduje wykasowanie bazy.
    Nistety nie ma uwierzytelniania dwuskładnikowego.
    Pytam pod względem bezpieczeństwa tego rozwiązania.

  109. Przyznaję bez bicia, że jeśli chodzi o obeznanie w tych wszystkich komputerowych sprawach, to niewiele lepiej z tym u mnie niż u przeciętnej staruszki/staruszka, więc proszę o wyrozumiałość. Ale np. nie rozumiem, dlaczego po pobraniu rozszerzenia (i na Operze, i na Chrome) wyskoczył mi taki komunikat: “Otrzymałeś żądanie skojarzenia powyższego klucza. Jeżeli chcesz zezwolić na dostęp do twojej bazy danych KeePassXC, nadaj unikatową nazwę do zidentyfikowania i zaakceptuj”, chociaż wy pisaliście: “2. Skonfigurować rozszerzenie, aby korzystało z połączenia z Twoją bazą (jeśli nie zmieniałeś domyślnych numerów portów, to powinno się to wykonać samodzielnie)” – a nie zmieniałam nic. W mojej głowie od razu pojawiły się pytania: “Dlaczego mam wpisać w tym okienku, które wyskoczyło, jakąś nową nazwę? Dlaczego nie nazwę bazy haseł? Czy muszę pamiętać tę nową nazwę? Po co im ona? Do czego to służy? Będę musiała coś jeszcze z tym zrobić?” Wasz artykuł nie odpowiada na żadne z tych pytań. Ostatecznie wpisałam nazwę mojej bazy, zastanawiając się, czy to ma jakiekolwiek znaczenie i dlaczego.

    W innym fragmencie piszecie, jak KeePass działa (i demonstrujecie to na przykładzie logowania do Allegro): “Kiedy już stworzysz wpis dla danego serwisu, to za każdym razem gdy będziesz chciał się do niego zalogować, umieść kursor w polu loginu na stronie i wciśnij CTRL+ALT+V. Keepass pokaże Ci parę login i hasło, które pasują do adresu serwisu do którego się logujesz. Kliknięcie na nie spowoduje automatyczne ich wpisanie.”

    Na próbę weszłam na Allegro, by sprawdzić, czy i jak to będzie działać, no i u mnie stało się trochę inaczej, mianowicie wyskoczył kolejny komunikat (znowu coś, o czym Wasz artykuł nie wspomina): “allegro.pl zażądał dostępu do haseł dla następujących element(ów). Wybierz, czy chcesz zezwolić na dostęp” – i poniżej nazwa serwisu oraz użytkownika oraz opcja zaznaczenia, żeby tę decyzję zapamiętało. Po zastosowaniu tego skrótu, który podajecie (CTRL+ALT+V), nie stało się to, co powinno, tylko po prostu wkleiło tekst ze schowka (cytat z waszego artykułu w tym przypadku ;)). Musiałam kliknąć znowu na ikonę rozszerzenia, żeby tam kliknąć “both”, i dopiero wtedy mnie logowało. Nie jestem pewna, czy to tak powinno być, i jak to naprawić, jeśli nie powinno. Bo w opisie KeePassHelpera piszą z kolei: “Once a credential is selected, press Alt + U to insert username or press Alt + P to insert password or even press Alt + B to perform {USERNAME}{TAB}{PASSWORD} autotype rule.” Czyli idk, chyba ten skrót, który podajecie w artykule, jest błędny…?

    W tym samy opisie KP Helpera piszą też: “When a login is required, you can press the toolbar button (you can also assign a keyboard shortcut for this action)” jak? gdzie? po przejściu do “Keyboard Shortcut Settings” wywala mnie do zakładki Rozszerzenia w ustawieniach przeglądarki, gdzie mogę albo wyłączyć KPH, albo kliknąć “Opcje” (do których idzie się przecież dostać szybciej po kliknięciu PPM na ikonę KPH na pasku), no i tam zauważyłam, że pod “AutoFill (for one credential)” pole przy “Fill login form and close the panel” było odznaczone, a przy poniższym “Then submit the form” – zaznaczone. Więc to pierwsze też powinnam zaznaczyć? Czy może nie, bo skoro tak jest, to tak ma być? Ratunku :”)

    Ostatnia uwaga, jaką mam, to że nie piszecie, czy przy tworzeniu nowego wpisu w bazie haseł należy w polu “URL” podać zwykły adres strony, czy ten prowadzący konkretnie do panelu logowania. Może to dla wielu oczywiste, ale dla Laika Bojącego Się Coś Zepsuć/Zrobić Źle – to oczywiste wcale nie jest.

    Mam nadzieję, że nie uznacie mojego komentarza za “wyjątkowo bzdurny” i że jednak dostanę odpowiedź, jeśli nie od Was, to może przynajmniej od Waszych czytelników. :)

    Z góry dzięki, jeśli ktoś dobrnął do tego miejsca, i jeszcze raz proszę o wyrozumiałość.

    • Najlepiej zrobisz nie sugerując się tytułem artykułu, który mówi o programie KeePass, a w rzeczywistości o jednym z jego forków – czyli o KeePassXC.

      Zainstaluj oryginalnego KeePassa z oryginalnej strony i po prostu sobie poeksperymentuj z przykładową, nową bazą haseł, załóż nic nie znaczące konto na nic nie znaczącej dla Ciebie stronie. Przejrzyj opcje programu, pobaw się. W żaden inny sposób i lepiej nie nauczysz się korzystać z nowego oprogramowania. Tym bardziej, że to nie jest pilotowanie wahadłowca i nic się nie stanie jak sobie najpierw poćwiczysz.

      Korzystam z KeePassa od kilkunastu lat i to naprawdę wartościowy program, prosty w obsłudze. Sążniste artykuły są miłą ciekawostką, ale też u większości ludzi wywołują wrażenie “skoro piszą taki długi artykuł to pewnie sprawa jest skomplikowana”. Nie jest. To bardzo prosty program, który warto poznać, bo zwiększa Twoje bezpieczeństwo jeśli dasz sobie szansę.

  110. Czy natywne rozwiązanie  – pęk kluczy – nie jest wystarczające, przy założeniu, że korzystamy tylko z urządzeń tego producenta?

  111. A jednak nie jest tak różowo z KeePass’em…

    https://antyweb.pl/menadzery-hasel-podatne-na-ataki/

    • “Wystarczy bezposredni dostep do konputera” i tu juz mozna przestac czytac, rozesmiac sie glosno o dalej korzystac ze swojego managera hasel. Jest bezpieczny do celu do jakiego zostal stworzony.

    • Jakiś bzdurny artykuł po łebkach.

  112. Ja używam darmowego i open sourcowego Padlock (padlock.io). Bardzo fajny interfejs, wspiera wszystkie sensowne platformy, możliwa synchronizacja wielu urządzeń. Do tego dostępne są źródła serwera, więc dobra sprawa dla zwolenników private cloud. Oczywiście jest szansa, że nie oferuje żadnego bezpieczeństwa, ale z zaufaniem zawsze jest problem w wypadku tego typu aplikacji.

  113. A jak redakcja odbiera email. Używacie klienta typu thunderbird z zapamiętanymi hasłami czy za każdym razem gdy ktoś chce odebrać pocztę wklepuje ctrl+alt+v, to trochę nierealne.

  114. Droga redakcjo, “od wieków” komentujecie różne metody szyfrowania i przechowywania haseł, ale nigdy nie natknąłem się na opis iclouda i keypassa. Co Wy na to? Keepass jest ok jako manager haseł, a co z Pękiem kluczy i integracją z Safari.

    Rzucam rękawicę, mam nadzieję że podejmiecie; kiedyś przedstawiliście Gmaila jako pocztę “the best” a co z icloudem?

    Może warto zrobić konfrontację?
    Czekam na odpowiedź.
    Tomasz S.

  115. “Eksperci z grupy Independent Security Evaluators (ISE) przeprowadzili audyt czterech popularnych menedżerów haseł dla systemu Windows 10: 1Password, Dashlane, KeePass oraz LastPass. Wyniki badania nie napawają optymizmem.

    Wszystkie audytowane narzędzia przechowują hasło nadrzędne jako czysty tekst w pamięci komputera, co oznacza, że cracker z dostępem do atakowanej maszyny może z łatwością odczytać wszystkie dane przechowywane w menedżerze.

    Hasło nadrzędne jest oczywiście tym hasłem, które menedżer wykorzystuje do zabezpieczenia magazynowanych zasobów (innych haseł).”

  116. […] zamiast przejmować się złośliwymi kablami USB / pendrive’ami, lepiej zacznij korzystać z managera haseł i skonfiguruj sobie klucz U2F gdzie się da. Zrób sobie także ten quiz phishingowy. Te trzy […]

  117. Pytanie trochę w temacie. Jak ustawiacie przeglądarkę www oraz managera haseł na domowym kompie? Chodzi o to czy po jakimś czasie lub np zamknięciu przeglądarki automatycznie wylogowuje Was z managera haseł? I czy po restarcie przeglądarki musicie się ponownie zalogować do każdego serwisu www? Pytam bo zastanawiam się czy to już nie zbytnia paranoja, żeby w domu musieć się co chwila wszędzie logować na wypadek włamania i kradzieży kompa. Bo jak ktoś kompa ukradnie i włączy to ma dostęp do wszystkich aktualnie zalogowanych kont poczty/fb itp. A hasło użytkownika do systemu pewnie da się jakoś obejść… Ktoś coś?

    Ewentualnie czy niebezpiecznik może napisze artykuł z poradami w tym temacie? :D
    Pozdr

  118. Droga Redakcjo,

    treść sugeruje, że używacie jednego maila do wszystkich usług.
    Czy takie rozwiązanie ma jakiś pozytywny wpływ na bezpieczeństwo?
    (W porównaniu do bardziej fine-grained podejścia, gdzie mamy kilka skrzynek, wszystkie potem spięte pod jednego klienta IMAP.)
    Np. wolałem mieć do Allegro całkowicie odrębną skrzynkę, bo swego czasu maile klientów często wyciekały sprzedającym.

    Na pewno w tym drugim “fine-grained” podejściu mamy lepszą prywatność niż w drugim – bo po co sklep internetowy z płytami Comy ma znać naszego bardziej prywatnego* maila;
    ale czy w pierwszym podejściu coś zyskujemy?

    Poza mniejszym bólem głowy związanym z obsługą paru skrzynek. To w miarę rozwiązuje IMAP, no ale teraz modne Protony, Tutanoty, itp. których pod Thunderbirda sobie nie podepniemy.

    ===============================================================
    * Zaznaczam, że to były czasy przed Snowdenem, przed digital literacy, więc na tym “prywatnym” mailu się pisało różne rzeczy.

    • EDIT:
      “mamy lepszą prywatność niż w drugim”

      “mamy lepszą prywatność niż w pierwszym”

  119. “BardzoLubięArtykułyNiebezpiecznikaOrazIchSzkolenia”

    Na prawdę, na szkoleniach polecacie takie właśnie hasła, które są poprawnymi gramatycznie frazami, zamiast czystego diceware’a ?
    Jeśli tak, to trochę lipa, bo przeciętny Kowalski zacznie stosować ulubione motta, cytaty; no bo przecież je bardziej lubi i łatwiej je zapamiętać niż jakieśtam “płatek odnowa komin zawracanie”.
    Nie wiem czy są już crackowania słownikowe z wykorzystaniem mądrości Paulo Coelho rodem z memów, ale najwyżej zaczą takie robić.

  120. Bardzo fajny artykuł. Jakiś czas temu napisałem także rodzaj poradnika dla początkujących, tyle, że do programu LastPass. Zainteresowane osoby mogą go znaleźć na mojej stronie:
    https://pawelszczygielski.pl/2018/06/29/lastpass-podrecznik-uzytkownika/

  121. Słuchajcie, męczę się już od chwili z KeePassXC i integracją z Safari na Macu. Wychodzi mi, że nie można go zintegrować tak jak jest to opisane w artykule. KeePassHTTP nie obsługuje Safari? Ale z drugiej strony zrzuty w artykule są robione na MacOS. Chyba że coś robię nie tak.

    • Jestem w tej samej sytuacji, chyba by wypadało zaktualizować artykuł, bo wszystko wskazuje na to, że nie da się aktualnie zintegrować KeePassa z Safari.

  122. Tak mi sie zdaje ze trzymanie pliku na google drive, czy dropboxie jest mniej bezpiecznie niz lokalnie, na komputerze -.-

  123. Zaistalowałem keepasaXC i mam niestety trochę kłopotów :

    1. nie działa mi funkcja wstawienia danych logowania poprzez kombinacje klawiszy CTRL + Alt +V – muszę wejść do keepasa podświetlić daną linię i wcisnąć CTRL + V
    2. Podczas instalacji konfigurowania Keepass-Helpera dostałem informacje że nalezy przejść na wtyczkę KeepassXC-browser gdyż integracja KeepassHTTP jest przestarzała i zostanie porzucona. Zrobiłem to aleKeepassXC browser działa okrutnie opornie. Raz proponuje login i hasło a raz go nie widzi pomimo że jest połączona z bazą. Ponadto duplikuje wpisy w bazie danych umieszczając je w pod katalogu KeepassXC-browser

    Poproszę o pomoc i wskazówki co ew. mogę poprawić w konfiguracji. Czy może jednak przejść na Keepass-Helper i nie przejmować się że Keepass HTTP “zostanie porzucony w przyszłości”?

  124. Mi to się marzy keepasXC z obsługą czytnika linii papilarnych pod windows 10

  125. Nie wiem czy to było zawsze ale niedawno zauważyłem: po zalogowaniu na stronę, której nie ma w KeePassXC, rozszerzenie KeePassXC-Browser pozwala jednym kliknięciem dodać link, login i hasło do bazy KeePass. Nie trzeba tego wprowadzać ręcznie, po zalogowaniu wystarczy kliknąć na ikonę rozszerzenia i kliknąć “New”.

  126. Z całym szacunkiem, ale artykuł jest do du***. Już na samym początku poległem.

  127. Niestety KeePassXC w najnowszej wersji nie chce działać z KeePassHelper. Inaczej wygląda okno integracji z przeglądarką, mimo to tam włączyłem. Dalej zgodnie z instrukcją do KeePassHelper wgrałem plik KeePassHttp.plgx. Nic to nie daje. Na stronie KeePassHelper wskazano, że jest kompatybilny z KeePass 2.

  128. Witam! Niestety, ale u mnie nic nie działa. Po pierwsze używam KeePass od wielu lat jako program nie do generowania, lecz przechowywania haseł. Zainstalowałem więc najnowszego KeePass’a XC i importowałem dane z poprzedniej wersji (ze starym rozszerzeniem .kdb). Następnie zainstalowałem KeePassHelper Password Manager. Zaznaczyłem integrację programu z przeglądarką Chrome. I co dalej? Jak chcę się zalogować klikam na “kłódkę” i pokazuje się info: “Cannot connect to KeePassHTTP. Either KeePass i not running or communication is …”. Jak to jest z już istniejącymi kontami? Czy muszę zakładać nowe konta? Proszę o pomoc. Dzięki i pozdrawiam.

  129. A co w sytuacji, gdy chcę się zalogować do jakiegoś serwisu na nieswoim komputerze mając przy sobie tylko telefon? Czy jest możliwość zobaczenia jakie jest hasło do danego serwisu?

  130. Cześć,

    program OK, ale

    jak go używac w sytuacji, kiedy daję pracownikowi komputer służbowy, na którym ma się logować (przykładowo) do poczty służbowej przez WWW, lub konta na allegro służbowego bez znajomości hasła? Klika skrót, hasło wskakuje i jest zalogowany, tylko aby to działało, musi mieć uruchomiony cały czas otwarty program Keepas, w którym bez problemu podejrzy sobie hasła…
    Po wyłaczeniu progamu przeglądarka nie pobierze hasła do pola logowania, tak samo przy zablokowaniu bazy. Więc ciągle musi być uruchomiony Keepas.

    Ma ktoś jakieś rozwiązanie, aby pracownik mógł się logować, ale nie miał dostępu do haseł w przeglądarce?

  131. Ktoś wie jak rozwiązać taki problem z KeePassXC? Podczas jakiejkolwiek próby zmiany ustawień aplikacji wyświetla się następujący komunikat: “Błąd dostępu pliku konfiguracyjnego C:/Program Files/KeePassXC/KeePassXC-2.4.0-Win64/keepassxc.ini”.

  132. Wie ktoś jak synchronizowac keepass z przeglądarką opera?

  133. […] Oparłem się na aplikacji KeePass  – która jest uznawana za jedną z najlepszych i najbezpieczniejszych (polecają ja również specjaliści od bezpieczeństwa z portalu Niebezpiecznik.pl). […]

  134. Posiada ktoś instrukcje albo może wyjaśnić w kilku krokach jak skonfigurować keepassXC z kluczem Yubikey 5 NFC ?

  135. Fajne to, trochę nie aktualny ten artykuł ale dałem radę.
    I tylko 2. rzeczy nie umiem skumać na razie,
    1. jak już zmienię hasła do wszechświata i wszystko będzie wiedział tylko KeePass (tylko na hasło bez ubikejów i innych kluczoplików) to jak się zaloguję na maila w kafejce internetowej w Chorwacji albo z telefonu kolegi?
    2. No i jeżeli trzymam bazę KP w chmurze apla ale hasło do chmury apla mam w KeePassie w tej chmurze to jak na nowym komputerze zaloguję się do tej chumury? – bo hasło jest w tej chmurze do której się chcę dopiero zalogować… paragraf 22…

  136. Zastanawia mnie jedna rzecz… Bezpieczeństwa KeePassa nikt nie kwestionuje, bo miał kilka audytów, w tym sponsorowane przez KE.
    A jak jest z bezpieczeństwem Keepass2Android, KeepassXC (macos), KeePass Touch (ios) czy KeePass Helper (browser)? Czy ktoś je prześwietlił, czy po prostu zakładamy, że wszystko co ma w nazwie Keepass jest bezpieczne?

    • Podbijam

  137. Keepassxc ma jak dla mnie jedną wady uniemożliwiające zastąpienie haseł zapisanych w FF. Po pierwsze nie umie rozpoznać/obsłużyć autoryzacji (login/hasło) wystawianych (w formie wyskakującego okienka) przez serwer httpd (AuthType Basic, require valid-user).
    Po drugie to co jest zapisywane przez KeePassXC-Browser ni jak się ma do rzeczywistości jeśli mamy na tym samym serwerze kilka haseł w zależności od ścieżki. Jak sobie zapamięta hasło z Joomla to będzie chciał to samo użyć w Typo3 i innych usługach na tym samym serwerze. KeePassXC-Browser zapisuje jako URL skrócony do protokołu i hosta. :(

    • *dwie wady

  138. Wygląda na to, że KeePass Touch na Iphone nie obsługuje importu DB z google drive (widać tylko wyszarzały plik, którego nie można zaznaczyć). Czy zna ktoś rozwiązanie tego problemu?

    • Strongbox

    • Ochrona zaawansowana nie pozwala na synchronizację z google.

  139. […] na rynku jest sporo świetnych managerów haseł, które każdy z Was może mieć za darmo, np. KeePassa XC, wraz z klientami na iOS (polecamy Strongbox i […]

  140. Zacząłem migracje z 1Password do KeePassXC na OS X i utknąłem na rozszerzeniu KeePass do Safari 13 – nie znalazłem żadnego.
    Czy ktoś ma rozwiązanie problemu z tym rozszerzeniem i chciałby się tym podzielić?

  141. Mam kłopot z uruchomieniem pliku. Po wprowadzeniu hasła wyskakuje komunikat :
    “Nieudane ładowanie wskazanego pliku ! , Podczas dekodowania znaleziono nieprawidłowe dane”. Może ma ktoś jakiś pomysł ;-)

  142. Witam posiadam KeePass 2.43 w wersji portable zainstalowany na pendrive na ktory zgrywam takze baze danych kdbx. Jakosc hasla do bazy to ok 90 bitow. Tu pojawia sie moje pytanie, czy bezpiecznym jest uzywanie i logowanie sie do tej bazy danych przy uzyciu publicznych komputerow PC? (np. biblioteka). Caly proces wyglada nastepujaco: Wyciagam pendrive, podlaczam, otwieram KeePass.exe portable a pozniej baze danych kdbx. Nie zgrywam zadnych plikow na komputer.

  143. Witam, zainstalowałem KeePassXC v. 2.53. Nie działa mi skrót CTRL+ALT+V jak opisane w artykule. Zainstalowałem rozszerzenie do Chrome, KeePassHelper i wystepuje błąd że nie może się połączyć z KeePassHTTP. Robiłem wszystko zgodnie z opisem w artykule.
    Proszę o pomoc.
    Dzięki!

  144. […] z managera haseł (zadba o unikatowość haseł i zmniejszy ryzyko związane z wyciekami […]

  145. Droga Redakcjo,
    myślę, że dwa drobiazgi w artykule warto zaktualizować:
    1. Strongbox zdaje się być lepszym rozwiązaniem dla iOS niż Keepass Touch – druga aplikacja jest dość poważnie okrojona w darmowej wersji (m.in. w kwestii synchronizacji), ponadto Strongbox jest rekomendowany na oficjalnej stronie KeepassXC.
    2. Istnieje obecnie oficjalny dodatek do przeglądarek Firefox i opartych na Chromium – KeepassXC-Browser.

  146. Czekamy na artykuł o Bitwardenie ! :)

  147. Dopiszę sie do pytania Roberta – może ktoś pomóc?
    Robert 2020.01.22 18:49 | # | Reply
    Witam, zainstalowałem KeePassXC v. 2.53. Nie działa mi skrót CTRL+ALT+V jak opisane w artykule. Zainstalowałem rozszerzenie do Chrome, KeePassHelper i wystepuje błąd że nie może się połączyć z KeePassHTTP. Robiłem wszystko zgodnie z opisem w artykule.
    Proszę o pomoc.
    Dzięki!

  148. Czy można ufać wtyczce do FF KeePassXC browser?
    Czy nie wykrada haseł i nie wysyła ich gdzieś na rosyjski serwer? :)

  149. Nie mogę znaleźć rozszerzenia KeePassXC-BROWER na Operę, czy da się to jakoś zastąpić innym rozwiązaniem?

    • Musisz zainstalować sobie do Opery rozszerzenie, które umożliwia instalację rozszerzeń do Chrome.

  150. A co z własnymi regułami generowania haseł??
    Zainstalowałem, Keepassa, skonfigurowałem dostęp do pierwszej witryny – elegancko.
    Zabrałem się za drugą witrynę, wygenerowałem nowe hasło w Keepassie, chciałem je wkleić jako nowe hasło w usłudze, a tam obostrzenia typu:

    “Hasło musi zawierać od 10 do 15 znaków. Znaki nie mogą się powtarzać częściej niż trzy razy. Powinny być użyte co najmniej trzy z czterech elementów: małe litery, duże litery, cyfry, znaki specjalne”

    I co z takim fantem?

  151. Droga redakcjo, wydaje mi się, że ze względu bezpieczeństwa właśnie, w obrębie artykułu, najlepiej w stałym miejscy (coś jak przypisy/źródła) powinien znaleźć się PRAWIDŁOWY odnośnik URL do pobrania programu KeePass.
    Dzisiaj chciałem zaktualizować KeePass, ale zamiast uruchomić odnośnik z komunikatu w programie, wpisałem keepass w przeglądarce.
    Na pierwszym miejscu w wynikach wyszukiwania jest inny menadżer haseł niż powinien. Gdybym nie znał programu, to bym się nabrał.
    Choć niekoniecznie ten inny keepass jest oszustwem, zawsze warto dla pewności rozwiewać wątpliwości osób czytających Wasze artykuły, które zachęcają do pobrania jakiś programów.
    Zachęcam = podaje bezpieczny odnośnik URL do pobrania programu.

    https://keepass.info/download.html

  152. Według tego artykułu KeePass niestety nie jest bezpiecznym programem do przechowywania haseł:
    https://www.zawszeczujni.pl/2015/11/korzystasz-z-keepass-twoje-hasa-i-inne.html

    • Tego typu atak, jak opisany w artykule wymaga fizycznego dostępu i zainstalowania (złośliwego) oprogramowania na komputerze ofiary. Jeśli atakujący może to zrobić, to nawet gdy ofiara nie korzysta z KeePassa, i tak będzie miał hasła ofiary. Innymi słowy: zatrojanowanie komputera to game over. Niezaleznie od tego, z czego do przechowywania haseł korzysta ofiara.

  153. A czy ma sens trzymanie pliku głównego w jednej chmurze np. googledrive, a klucza na innej, np. dropbox’ie? Całkiem dobrze to działa i na PC i androidzie…

  154. Hej,
    Podpowiedzcie jedną rzecz, jeśli na telefonie (androidzie) mam np aplikację OLX, na kompie OLXa przeglądam przez przeglądarkę, to jak zrobić, żeby baza była spójna i nie trzeba było posiadać dwóch haseł do “jednego” konta ?

    • Mam podobny problem, właśnie z OLX – keepass nie umie rozpoznać, że chcę wpisać login i hasło dla apki OLX.
      I rozumie moje działanie, że chcę wpisać hasło dla konta e-mail.

      Jak to zrobić, żeby keepass na telefonie rozpoznawał kiedy adres e-mail jest loginem do konta pocztowego a kiedy jest loginem uzywanym w aplikacji typu olx?

  155. Od wielu lat używam managera haseł (i nie tylko) SafeInCloud. Bazę trzyma na dowolnej chmurze. Ma klienty do wszystkiego – od Windows po Androida o dodatki do wszelakich przeglądarek. Polecam wszystkim.

  156. A ja mam problem z konfiguracją KeePassHelper w przeglądarce – pomoże mi ktomonIKAK?IEWra@gmail.com

  157. A ja mam problem z konfiguracją KeePassHelper w przeglądarce – pomoże mi ktos? W instrukcji jest napisane, ze dziala z opera, ale ja nie widze takiej mozliwosci w keepass

  158. […] Nie jesteśmy w stanie odpowiedzieć na to pytanie. Ale jeśli korzystacie z Ubera/UberEATS, wykorzystajcie ten incydent przede wszystkim do tego, aby zweryfikować, czy hasło jakie macie do Ubera, nie jest takie samo jak do jakiejś inne usługi. Hasła powinny być unikatowe, a wy powinniście je trzymać w managerze haseł. […]

  159. Witam .. Czy jest jakiś sposób aby do bazy keepass na pc można było się logowac za pomocą odcisku palca , jak na androidzie ???

  160. […] adresowym przeglądarki przed każdym wpisaniem hasła albo jeśli ktoś jest bardziej leniwy, korzystanie z managera haseł połączonego z przeglądarką, robiącego to za nas […]

  161. W “zwykłym” KeePass jest wtyczka “Google Sync Plugin”, dzięki niej na PC bazę “odpalam” z Synology Drive i po naciśnięciu przycisku dodatkowo synchronizuje się z Google ;)

  162. […] Po co to komuś? Doskonałe pytanie. Zbiorów danych do credential stuffingu nigdy za wiele. Posłuchajcie więc naszej rady z tego darmowego webinara, którego zobaczyć powinien każdy i zacznijcie korzystać z managera haseł. […]

  163. Naszło mnie takie pytanie.
    A jeśli przy rejestracji nowego konta na jakiejś witrynie oferuje ona możliwość założenia konta na dwa sposoby:
    1. standardowo przez email i hasło,
    2. przez jakiś serwis (Google, Facebook, Github, etc.),
    To co wybrać zakładając, że używa się KeePassa, a głównym kontem mailowym jest właśnie GMail?

  164. […] Jeśli chcesz zabezpieczyć konto, które nie wspiera kluczy U2F, dopilnuj aby miało ono inne hasło niż jakiekolwiek z pozostałych kont, z których korzystasz. Zacznij używać managera haseł, aby nie musieć pamiętać wszystkich swoich haseł i nie wymyślać ich samodzielnie, bo ludzie są w tym beznadziejni. Poradnik znajdziesz tutaj. […]

  165. Pewnie jestem imbecylem, ale nie udaje mi się skutecznie zainstalować na Macbooku KeePass Helper. Czy jakaś dobra istota mogłaby pomóc…?

  166. Ratunku! Wszystko ładnie zainstalowałem, zarówno KeePass’a XC jak i KeePassXC browser. Podziałało ze 2 godziny po czym już nie jestem w stanie skorzystać z funkcji autouzupełniania. To samo dzieje się na dwóch przeglądarkach – firefoxie oraz chrome. Mam czerowną kłódkę i komunikat error, cannot connect to keepass xc. Oczywiście jestem zalogowany do keepassa i w funkcjach mam zaznaczone włącz integrację z przeglądarką oraz oznaczone przeglądarki chrome i firefox. Poddaję się skończyły mi się pomysły…..

  167. Wdrażam się w managera haseł. Jak większość osób używałam 3 hasła na krzyż. Teraz stopniowo zmieniam w serwisach hasła na mocniejsze. No i w serwisie joemonster.org pojawił się taki oto ciekawy komunikat: Twoje hasło nie może zawierać znaczków “, ‘ ani innych psich uszu. Nie zmieniliśmy hasła.

  168. Sam używam Keepassa, po trafieniu do branży IT, sam zacząłem ostro stosować kombinacje haseł na zasadzie bicia głową w klawiaturę… lub jak kto woli gra na fortepianie i mam hasło… minimum 20 znaków, znaki specjalne, duże małe literki, cyfry i nic co kojarzy się z naszym światem, do tego keepass na pendrive hasło w głowie. Fakt nie ma zabezpieczeń nie do przejścia ale ale Panowie i Panie … na pewno lepsze takie zabezpieczenie niż fiołek1234… albo hasło123… -_- także polecam keepassa :) teraz nie muszę walić łbem w klawe… programik sam to robi hehe.

  169. […] do każdego konta musisz mieć inne, znacząco różne od pozostałych hasło — po prostu skorzystaj z managera haseł, a tam gdzie się da, skonfiguruj sobie U2F, bo na najpopularniejsze ataki phishingowe i wycieki […]

  170. Może ktoś wie jak rozwiązać ten problem?
    Mam Firefoxa, zainstalowałam keepass 2 na Windowsie, stworzyłam bazę danych z zaszyfrowanymi hasłami, zainstalowałam plugin do przeglądarki i keepass heleper Password Manager. Mam tą ikonkę kłódki, wchodząc na stronę do której chce pobrać hasło, wyszukuje mi tą stronę w KeePasie , jakby wszystko się zgadza bo program pokazuje że Firefox pobiera mi te dane i … i jak próbuje pobrać te hasła pojawia się komunikat “No login box is detected!”. Nie mam pojęcia z czego może wynikać problem, może ustawienia nakładki w przeglądarce?

  171. Hej. Czy udało się komuś zmusić do pracy z pluginem do Chrome Metamask?

  172. Nie wiem czy ktoś tu jeszcze zagląda ale mam pytanie – czy da się tak skonfigurować keepasa, żeby na jednym komputerze (jednym loginie) – komputer domowy – łączył się z 2 bazami haseł – tak aby każdy z domowników miał swoją i jej używał na codzień?

  173. Może moje pytanie będzie mega głupie, ale czy jak używa się KeePassa, to wolno używać opcji zapisywania haseł w przeglądarce/zapamiętywania danych logowania? Czy to by podważyło sens używania menedżera haseł, bo by jakoś narażało te hasła na wyciek czy coś?

  174. Ja zainstalowalem na starym, zrootowanym smartphonie z wykastrowanymi wszelkimi uslugami KeePass i nakleilem na nim folie prywatyzujaca. I tak oto mam osobne urzadzonka do trzymania hasel :) Polecam kazdemu to rozwiazanie.

  175. Szybka informacja.
    Powinniście zaktualizować artykuł.

    Aplikacja KeePassXC obecnie wymaga własnego dodatku do przeglądarki: KeePassXC-Browser

  176. KeePassXC u mnie nie działa, wszystko skonfigurowane, sprawdzone 3x a nie wpisuje loginu i hasła w przeglądarce mimo wtyczki i zielonego kluczyka

  177. […] Podsumowując: atakujący nie wykorzystał żadnego błędu w serwisie lotto.pl. Wykorzystał to, że internauci korzystają z jednego hasła do wielu miejsc. Dlatego nigdy tego nie róbcie — zainstalujcie w końcu darmowy manager haseł, tutaj znajdziecie instrukcję jak to bezboleśnie zrobić. […]

  178. Na androida polecam KeePassDX – zaleta? sam przynajmniej w chrome uzupełnia loginy i hasła tak jak na komputerze.

  179. […] Tak. Używać. Menedżerów. Haseł. Ta porada jeszcze długo się nie zmieni. Menedżery haseł mają eliminować zagrożenia, które występują o wiele częściej niż ataki na chmurowe menedżery haseł. Inna rzecz, że nikt nie każe używać menedżera chmurowego. My polecamy KeePassa, a o tym jak go używać mówi artykuł pt. KeePass — jak zacząć swoją przygodę z managerem haseł? […]

  180. Proponuję dorzucić akapit o konfliktach które mogą powstać jeśli jednocześnie zedytujemy bazę na dwóch różnych urządzeniach które się synchronizują.

    *Nie wszystkie apki umią into merge, niektóre potrafią bez słowa nadpisać bazę swoją wersją*. AFAIK na iOS tylko Strongbox potrafi rozwiązywać konflikty.

    Inna potencjalnie przydatna rzecz (może też zmniejszyć problematyczność braku mergowania) to upewnienie się że chmura której używamy udostępnia starsze wersje pliku, w tym planie z którego korzystamy. Np. box.com w bezpłatnej wersji nie ma historii.

  181. Jak na jednej stronie mam 2 loginy to jak to zrobić w keepas aby to zapamiętać. Jak robie 2 wpisy dla jednego adresu to oba nie działają.

  182. […] A jak już wspomniałem o Niebezpieczniku, zostawiam ich wpis na temat programu – tutaj. […]

  183. Dzień dobry, to lepszy będzie na tą chwilę Keepass czy kepassXC? Obydwa podobne, darmowe i lokalne. Ale jaki jest lepszą formą?

  184. […] pierwsze warto używać menedżerów haseł. Eliminują one konieczność wprowadzania haseł z klawiatury. Jeśli już musicie wpisywać […]

Odpowiadasz na komentarz Daniel

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: