15:00
9/6/2015

* Managery haseł będą je zmieniać online?

Autor: vi.curry | Tagi:  

Ciekawa propozycja.

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.
Niebezpiecznik

15 komentarzy

Dodaj komentarz
  1. Michał 2015.06.09 16:20 | # | Reply

    API z minionej epoki ;)

  2. Komentarz Praktycznie Niezwiązany Ztematem 2015.06.09 16:22 | # | Reply

    Zakładając że moje hasło to:
    erhb56>%gkwkjgj2mg465262mgm12kkgj6m
    raz udało mi się je w życiu zapamiętać.
    Później tylko w kółko po prostu, co miesiąc, zapamiętuję że któryś substring tego hasła się zmienia, np. po pierwszym miesiącu:
    WRhb56>%gkwkjgj2mg465262mgm12kkgj6m
    drugi miesiąc:
    WRhb56!!gkwkjgj2mg465262mgm12kkgj6m itd.
    i tak dalej. Tym sposobem nie jest to trudne. A samego hasła się uczyłem partiami, najpierw pierwsze 16 znaków (za każdym razem wprowadzałem te 16 znaków do menadżera haseł, on mi podawał następne i co kilka dni dodawałem nowe).

    Zastanawiam się czy to bezpieczne, taka praktyka (zachowując ofc bezpieczeństwo fizyczne podczas odczytu hasła) i czy czasem niewskazane jest używać tego samego, w moim przypadku pomiędzy 32 i 40 znaków hasła do menadżera haseł i pełnego szyfrowania dysku (bo te dwa hasła jedynie znam, na reszcie stron (i woluminów TC) mam po prostu losowe znaki, maksymalna dozwolona długość).

    • Ninja 2015.06.10 08:02 | # |

      J3s+eMn4N!ebEzp1ecZn1kUod-wiEluLat. 5 minut i pamiętasz całe.

    • :) 2015.06.10 14:03 | # |

      Pamietasz, ale jedynie w „odszyfrowanej” formie.. ;D

    • wat 2015.06.15 09:47 | # |

      https://xkcd.com/936/

  3. Emsi 2015.06.09 16:34 | # | Reply

    Masakra. Po pierwsze PM są tylko dla mięczaków. Po drugie jak ktoś utraci kontrolę nad swoim PM to, dosłownie, automatycznie utraci wszystkie hasła. Do tej pory intruz zmieniał tylko hasła w tych popularnych serwisach, do mniejszych nie chciało mu się logować :)

    • Morfik 2015.06.10 09:07 | # |

      A o backupie to słyszał?

  4. Emsi 2015.06.09 16:35 | # | Reply

    Signum temporis… XKCD w RFC.

    https://xkcd.com/936/

  5. jstalin 2015.06.09 21:10 | # | Reply

    Password Manager, który automatycznie zmienia hasła? Hmmm no nie wiem czy to dobry pomysł.
    Same Managery to dość ciężki temat – ze względu na przechowywane dane są jakby nie patrzeć łakomym kąskiem dla wirusów/trojanów/spyware/etc. Fakt że taki KeePass ma jakieśtam wyrafinowane zabezpieczenia, ale przecież wszystko jest do złamania.

    Tak więc moim zdaniem PM tylko do “nieistotnych” stron, a naprawdę wrażliwe dane trzymać gdzie indziej (albo chociaż nie w “czystej” postaci – jedynie żeby wystarczyło do “przypomnienia” sobie całego hasła). A skoro tak, to automatyczna zmiana haseł do nieistotnych stron wydaje się być zbędna… Szczególnie że naprawdę ważne strony powinny mieć uwierzytelnienie dwuetapowe, tak więc automat tam za wiele nie zdziała.

    • Ninja 2015.06.10 08:05 | # |

      I to jeszcze server-side. Nie masz kontroli nad własnym hasłem, które ustawia Ci jakiś automat, wedle jakiegoś algorytmu. Ahahahahahahahahaha. Oby ludzie zakopali pomysł, bo to się nie skończy dobrze.

    • Romek 2015.06.10 14:08 | # |

      1/ Zapisywanie haseł to zło.
      2/ Do każdego miejsca trzeba mieć inne hasło.
      To są dwie podstawy i każdy się, zasadniczo, zgodzi. Niebezpieczniki powtarząją to jak mantrę. Ja też. Ale człowiek jest tylko człowiekiem. Oczywiście rozumiem że niebezpiecznika czytają nadludzie którzy pamiętają wszystko ale ja np. niestety nadludziem nie jestem. Więc pamiętając o tych dwóch założeniach “po długim procesie tentegowania w głowie” wymyśliłem coś takiego:
      Patrz punkt dwa. Korzystam z Lastpassa zatem to lastpass generuje mi hasło do strony i je zapamiętuje. Ale patrz punkt jeden. Więc lastpass zapamiętuje to co wygenerował i tyle – natomiast ja w trakcie rejestrowania hasła dopisuję do tego hasła jakieś tam znaki. Dzięki temu lastpass mi pomaga ale jednocześnie nie zna całego hasła. A te kilka znaków generowanych “w pamięci” z nazwy serwisu jestem w stanie zawsze odtworzyć i się zalogować.
      Co o tym sądzicie? Hasła są unikalne (punkt dwa), haseł nie powierzam nikomu (punkt jeden). IMHO dobre rozwiązanie. Dopóki nie przyjdzie nikt z kluczem za 9,99 (promocja na narzędzia w Biedronce!) powinno się sprawdzić.

    • :) 2015.06.10 14:13 | # |

      Akurat sam pomysł na przechowywanie haseł po stronie serwera jest ciekawy, o ile ten serwer stoi w domu. Przydałby się jakiś dodatek do przeglądarek, odpytujący np. serwer stojący na Raspberry Pi o hasła do danej domeny, zawsze zmniejsza to ryzyko wykradnięcia wszystkiego ;)

  6. Morfik 2015.06.10 09:32 | # | Reply

    Wnioskując po podpunktach a i b w paragrafie 1.1 w przytoczonym linku, mniemam, że oni chyba o zwyczajnych keyringach nie słyszeli. Ja kilka tygodni (czy miesięcy) temu zmieniałem swoje hasełka na 128 bitowe automatycznie generowane hashe — 32 znaki. Chyba tylko dwa serwisy z blisko 250 (ale się tych kont nazbierało) miało ograniczenie znaków do 16, a kilka do 30 chyba.

    Także nie mam możliwości zapamiętać żadnych z tych haseł (taki jest cel tego manewru) i jednocześnie jestem w stanie z nich korzystać. Ten krok zabezpiecza też przed nierozważnym wpisywaniem haseł na niezaufanych maszynach, bo jako, że nie jestem w stanie sobie przypomnieć hasła, to nie mam możliwości zalogować się na konto z cudzej maszyny, nawet jeśli ten ktoś by mnie o to prosił — muszę mieć dostęp do jednego ze swoich sprzętów. :]

    Oczywiście pozostają dwie kwestie do rozważenia: bezpieczeństwo przechowywania haseł oraz bezpieczeństwo przesyłu ich przez sieć. Jeśli chodzi o przechowywanie, to zabezpieczenia w formie szyfrowanego keyringa lub/i pełnego szyfrowania dysku raczej powinno załatwić sprawę. Natomiast w przypadku samego przesyłu, to obecnie bardzo wiele stron działa na pełnym httpsie i zamiast ciągle się logować z wykorzystaniem haseł, co pociąga za sobą otwieranie keyringa, to można zwyczajnie zaprzęgnąć do tego celu ciasteczka, byle by tylko jakiś serwis nie wpadł na ustawienie ważności cookiesów na 2 dni. :]

    • grzech 2015.06.10 15:39 | # |

      Ja stosuję coś podobnego, ale zamiast keyringa używam generatora bazującego na master key i domenie serwisu — supergenpass.com — do którego zwykle dodaję jeszcze własny suffix.

  7. SebaK 2015.06.10 09:57 | # | Reply

    Możesz podpowiedzieć jak tego używać? Pod jakim hasłem szukać więcej informacji o tej metodzie?

Odpowiadasz na komentarz Michał

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: