Är det KeePass som gäller?

Permalänk
Medlem
Skrivet av tumvanten:

Total nyhetstorka på swec

Hur menar du nu? De brukar lyfta fram nya aktiva trådar på startsidan?

Permalänk
Medlem

Har ni alla precis lösenord på samma ställe eller finns det några lösenfraser som ni bara har i huvudet? Tex bank-pin/lösen?

Jag tycker att det känns lite utlämnande att lägga alla ägg i "samma korg".

Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av frong:

Fungerar med Enpass, iaf på Android. Lösenord/Pin(efter lösen) på datorn och lösen/pin/finger på mobil.

Jepp, har använt det på Windows for Phone, Win10 och använder nu på Solus (Linux) och Android-tele m upplås via pekfingeravtryck. Nyckelring i OneDrive. Har uteslutande fungerat väldigt bra.

Visa signatur

| 212965 00 ] == :^D * ==)

Permalänk
Medlem
Skrivet av ronnylov:

Jag använder Enpass eftersom det funkar bra på alla mina enheter (Linux, Android och Windows).

Same here, funkar riktigt bra för mig med.

Visa signatur

/dev/null

Permalänk
Medlem

interagerar inte programmet med sidan där man vill använda programmet?
Man måste alltså sitta och skriva in info manuellt i programmet?

och om man då har konto på flera hundra sidor, blir detta flera veckors jobb...?

och om man använder dator hemma, android och dator på jobbet. vilket är enklast om man vill nå lösen på alla tre?

Permalänk
Medlem
Skrivet av Djhg2000:

Själv använder jag pass.
https://www.passwordstore.org/

Lösenorden lagras i ett träd av mappar och filer på filsystemet och krypteras med GPG, vilket gör att du kan välja nyckellängden själv (eller till och med generera den på en separat enhet om du inte litar på datorns slumptalsgenerator). Synkronisering mellan datorerna sköts genom SSH med hjälp av GIT och ger dig också möjligheten att återställa lösenord om du skriver över fel fil. I och med att nyckeln lagras och hanteras separat (måste manuellt kopieras till dina enheter och importeras i GPG) kan hela filstrukturen relativt riskfritt kopieras till en molntjänst, till exempel ett privat repo på GitLab.

Eftersom den egentligen nästan bara kör en kombination av standardverktyg (ls, mkdir, cat, rm, gpg, ...) har all säkerhetskritisk kod redan granskats av många säkerhetsexperter. Skulle pass gå åt skogen kan man för hand dekryptera filerna med gpg och dekrypteringsnyckeln.

Klienter finns för Android, iOS, *nix (många Linuxdistar har pass i sina repon), Mac OS X och Windows.

Edit: Fördelen med pass över de tidigarenämnda är alltså att du har total kontroll över var dina lösenord sparas och vilka enheter som kan läsa dem. Ingen tredje part är inblandad om du inte aktivt väljer det och all kod är öppen för granskning.

Skickades från m.sweclockers.com

Det är fel att tro att öppen kod skulle vara säkrare. Det är den inte, snarare tvärtom. För hackers kan då leta efter fel och utnyttja dessa. Det är en form av säkerhet att koden är stängd och inte känd, även om den innehåller problem som kan utnyttjas.

När det kommer till Lastpass, så är den data som finns i molnet krypterad, samt så håller inte företaget någon form av nyckel till dina data. Så företaget kan inte se dina lösenord. Så de som tror att deras egna system med privata moln och syncningar skulle vara bättre. Tja så är nog inte fallet.
Man kommer alltid tillbaka till att om din egen dator är hackad så är alla dina data exponerade. Så även dina lösenord om du använder en hanterare.

Permalänk
Medlem

Jag kör Lastpass... Men jag har också ett system som gör att jag skapar lösenord för alla olika saker i mitt liv på ett sätt som är komplext, men som jag ändå kan komma ihåg. På så sätt så behöver jag aldrig sitta och undra vad det var för lösenord jag använde på ett givet ställe, men kör också olika lösenord överallt.

Visa signatur

Huvudriggen är en Gigabyte Aorus Xtreme | 128gb DDR5 6000 | Ryzen 7950X | 3080Ti
Utöver det är det för många datorer, boxar och servar för att lista :P

Permalänk
Medlem

Jag har kört Keepass och Keepass4Android i några år nu, funkar mycket bra.

  • Syncning mellan enheter via Google Drive

  • Kryptering med lösenord och nyckelfil

  • Auto-type på datorn, Ctrl-Alt-A

  • Semi-auto-type på mobilen (Android), via password-API eller "Share with Keepass..."

Skulle aldrig välja en lösning där mina lösenord sparas "säkert i molnet" där någon annan valt säkerheten, se bara på alla läckor av databaser med användarinfo och betalkort. Det finns så många inkompetenta människor där ute som jobbar med systemutveckling så det är f*n skrämmande.
Väljer även öppen källkod framför proprietär för såna här tillämpningar, där algoritmer och implementationer kan granskas så svagheter i algoritmvalet eller implementationen kan upptäckas. I en proprietär molnlösning har man ingen aning om ifall de använder de alrogitmer de säger, eller hur de är implementerade.
Och en lösenordshanterartjänst är ju ett mycket mer lockande mål för hackers då de kommer över data från många om de tar sig in, data som de vet är lösenords-relaterat, medans om man spar sin databas i tex Google Drive så om nån tar sig in på ett konto så har de bara den personens databas (väldigt osannolikt att du är tillräckligt intressant person för en riktad attack), eller om de lyckas med nåt globalt hack för att få tillgång till all data för alla användare på gDrive så har de väldigt många filer att gå igenom för att hitta just lösenords-databaser. Och när de väl hittat en databas så är den ju krypterad.

Databasen är sparad på min Google Drive, så syncning sker automatiskt mellan mina enheter. Keepass2 klienten på Windows använder CloudAnywhere pluginen för att accessa gDrive medans Keepass2Android har inbyggt stöd. Databasfilen cachas aldrig på varken dator eller mobil utan den laddas ner varje gång den används.
Databasen backas även upp till min NAS. Tidigare så jobbade jag direkt mot NASen och accessade då filerna via SSH, men jag ansåg att min kryptering av databasen är stark nog och jag tror/hoppas att gDrive har mer redundans än min ensamma NAS; skulle den brinna upp så tar det ju någon dag innan jag får igång ny hårdvara.

Databasen krypteras med ett master password och en nyckelfil. Nyckelfilen är lagrad på mobilens (krypterade) internminne, och för datorer (hemma och jobbet) på en VeraCrypt partition som låses upp med min Yubikey, och den är även utskriven på papper.
På mobilen använder jag fingeravtrycksupplåsning för att slippa skriva lösenordet hela tiden, går snabbt att skriva på ett fysiskt tangentbord men inte på mobilen. Användbarhet vs säkerhet...
Krypteringsalgoritmen jag använder är ChaCha20 med Argon2 (iterationer: 210 iterationer, minne: 4MB, paralellism: 2), tar ca 1 sekund på min 3.4GHz i5a, och några sekunder på min mobil.

På datorn använder jag Ctrl-Alt-A för auto-type av lösenord, funkar i både program och på websidor utan någon plugin som accessar databasen, dock så använder jag en plugin till Chrome för att få URLen i titeln, blir lättare för Keepass att hitta rätt då: https://chrome.google.com/webstore/detail/url-in-title/ignpac...

I appar i mobilen så har Android 8 ju ett lösenordshanterar-API, så man får upp en liten knapp där man kan välja att skriva in användarnam och lösenord från Keepass2Android.
I webbrowsern så väljer man "share" med Keepass så hittar den automatiskt rätt entry för websidan, sen får man använda Keepass2Androids tangentbord för att skriva "Användanamn" och "Lösenord" i rätt rutor.

Permalänk
Medlem
Skrivet av kewe:

Det är fel att tro att öppen kod skulle vara säkrare. Det är den inte, snarare tvärtom. För hackers kan då leta efter fel och utnyttja dessa. Det är en form av säkerhet att koden är stängd och inte känd, även om den innehåller problem som kan utnyttjas.

security by obscurity är sannerligen ingen god approach - för det är nämligen detta du menar med resonemanget ovan.

Visst det är färre som kanske kikar i en kommersiell produkts kod eftersom det är svårare att få insyn, men med mer motiverade angripare (läs goverment) hindras inte av sådant och när man väl kikar i kommersiella produkter så brukar det hittas väldigt blatanta misstag, så blatanta att det är nära till hands att misstänka att de är avsiktligt planterade som dålig kamouflerade buggar och verk av oskickliga programmerare för att företagen som har produkterna skall kunna förneka detta och i värsta fallet skylla på någon konsultbolag som gjort 'jobbet' (inte sällan med anknytning mot olika säkerhetstjänster om man spårar tillräckligt långt)

ett favorit-exempel som jag brukar nämna är SED på lagringmedia - dvs. självkrypterande lagringsmedia som wd-passort ultra mfl. där en analys av säkerhetsforskare hittade så många intrångsvägar att säkerheten på dessa enheter var inte mer än skenbar för en okunnig användare...

(när det gäller WD passport ultra vissa serier och motsvarande diskar med samma chipsets - nollställ och byt lösenordets minst 4 gånger på en disk med känslig data då de lämnar kvar den gamla nyckeln kvar på den första sektorn och det krävs flertal reinit för att den skall skrivas över (med ny) och därmed den gamla datat fortfarande läsbart, med windows-klienten så används samma salt för din passord även om du nollställer och byter passord multipla gånger och till slut kan du inte göra ett skit åt den minst sagt bristfälliga slumptalsgeneratorn när ny kryptonyckel skall skapas - det är väldigt stora hål i slumptalen som genereras vilket gör att tex säkerhets-tjänst ändå har stora möjligheter att prova sig fram till rätt nyckel även om andra spår av den gamla nyckeln är borta)

Permalänk
Medlem

@Xauro: Poängen var ju att Google är kända för att sälja data. Lastpass har väl inte riktigt det ryktet i alla fall - så ja, det känns säkrare

Visa signatur

+++ Divide By Cucumber Error. Please Reinstall Universe And Reboot +++

"Real stupidity beats artificial intelligence every time." - Terry Pratchett, Hogfather

Permalänk
Medlem
Skrivet av kewe:

Det är fel att tro att öppen kod skulle vara säkrare. Det är den inte, snarare tvärtom. För hackers kan då leta efter fel och utnyttja dessa. Det är en form av säkerhet att koden är stängd och inte känd, även om den innehåller problem som kan utnyttjas.

Security by obscurity.

Permalänk
Medlem

Nu vet jag inte om det varit uppe i tråden, nen någon som testat dashlane password manager? Fick 1års licens via humblebundle och funderade på att aktivera den, eller är den skit?
https://www.dashlane.com/ appen verkar även bra, men ska tesas lite mer. Gratisversionen ger upp till 50lösenord

Visa signatur

Hette något annat förut, men kom fram till att det är dumt att ha samma namn på 78 miljoner sidor...
citera, svara osv. osv...
hot tip - ctrl + shift T öppnar senast stängda flik i vissa webbläsare

Permalänk
Medlem
Skrivet av EMMHMMS:

KeePass har blivit mitt val.

Vilken app rekommenderas om man på mobilen vill låsa upp databasen med fingeravtryck?
Jag har försökt med KeePassDroid men fick aldrig till det.

Kör sync med Google drive och vill på datorn låsa upp med lösenord men mobilen bara med fingeravtryck. Kanske inte är möjligt?

Skickades från m.sweclockers.com

Jag kör med Keepass2Android - https://play.google.com/store/apps/details?id=keepass2android... . Låser upp min db med fingeravtryck. Jag syncar dessutom med keepass2android mot min Nextcloud server (webdav). Så om du vill behöver du inte synca keepass-filen med Google drive.

Permalänk
Medlem

Jag tycker att man kan använda hjärnan lite. Ha ett lösenord som man använder överallt helt enkelt, men förändrar det baserat på var man loggar in. Så att det är ett beräknat lösenord. Man har en del fasta bokstäver och så blandar man det med bokstäver från stället man skall logga in på. T.ex tar bokstav 1 och 4 från namnet på det man loggar in på.

Exempel:
k
8 för längden (facebook)
a
F för Facebook
_
E för facEbook
k för sista tecken i facebooK
77 för att det är jämnt antal tecken i facebook, annars 32
!!

Resultat: k8aF_Ek77!!

Visa signatur

Hur många datorer är för många?

Permalänk
Medlem

Har kort Dashlane i nagra ar nu. Gratis far du typ webtjansten for att spara uppgifter samt det vanliga auto fill av kanda sidor via plugin i browser samt for nya hemsidor med om du signar upp syncar den etc.

Kanns dock endast som det ar consumer/app/web logins.
Spara inloggs for server etc kanns inte som det ar deras main market.

Betal versionen (runt 30USD/annually)
Saker man far med betal som jag gillar/anvander

- Sparar kort uppgifter for att enkelt valja kort i check outs pa hemsidor (enklet overlay ui)
- Multi device sync samt
- Overlay app inlogg pa android. dvs du loggar in i appar pa android via den.
- Security center ar bra med far en overblick over vad du har om nagon tjanst blir hackad kan kanner den av var du har samma password for tjansten som blir hackad.
- Vissa battre sidor med api (twitter, github etc) kan du trycka i dashlane center att auto replace ditt losenord om det blivit hackat via security center
- Dela losenord mellan varandra (endast dashlane anvandare sa klart)
- Spara kvitton fran kop via hemsidor med (funkar sa dar i sverige)
- Two factor auth
- Password history (visar password history for inloggs du andrat)

Lite sadant, jag gillar den skarpt iaf

Permalänk

Jag använde KeePass på jobbet förut, fungerade bra tills jag åkte på semester och kom tillbaks och hade glömt lösenordet. Hade ju varit bra att skriva ner det någonstan :s

Skickades från m.sweclockers.com

Visa signatur

CPU: Intel 12700 GPU: GTX 1070 Lagring: 2x 1tb m2 ssd Minne: 2x 16gig DDR4 Moderkort: Asus z690-p
Kylning: 240 beQuiet Rad + 4 beQuiet fläktar Chassi: Corsair 4000D
Mus: Mx master 2s Tb: corsair strafe red

Permalänk

Jag använder Keepass tillsammans med Dropbox så jag kan nå den över allt. Har även markerat den i Dropbox så den ska fungera bra offline och alltid gå att nå i iOS som jag kör.

Rekomenderas varmt, se till att använd Keepass filen men jämna mellanrum så du memorerar lösenordet ordentligt. Är även bra/nödvändigt att kunna sitt mail och dropbox lösenord utan till också tycker jag, ifall man på någotvis skulle klanta till det om man skulle bli av med alla sina datorer/enheter samtidigt, osannolikt dock kanske.

I och med att Keepass är lösenordsskyddad går det ju också ha den på ett USB minne som nånform av backup.

BankID har jag valt att inte ha i Keepass filen men i stort sätt mycket annat.

Ända negativa för mig är ju i och med att jag kör iOS enheter telefon/platta så stöds ju inte 2-vägs synkning i dropbox. Så när jag ska skapa nya lösenord så måste jag ju använda mig av Windows för det. Inte ett super stort problem och fasar säkert ut iOS enheterna om några år alternativt om det börjar stödja 2-vägs synkning till Dropbox snart.

Gällande 2 stegsfaktor autenisering så körde jag Google Authenticator men det var inget för mig egentligen, då det är mycket koder att hålla reda på ifall man skulle bli av med sin telefon, om man inte har stenkoll där så är det väldigt lätt att låsa ut sig. Så kör 2 stegsverifiering via sms, vilket kanske inte är lika säkert men har långa lösenord så det spelar säkert mindre roll.

Rekomenderar varmt Keepass tillsammans med Dropbox. Det kan ta ett tag att komma in i användadet och man får se till att använda det kontinuerligt, framförallt i början så att allt flyter på lätt senare!

Visa signatur

6850k, Rampage V Ed10, 8x16gb, 2080Ti, 1080Ti, Titan X, 2TB SSD

Permalänk
Medlem
Skrivet av kewe:

Det är fel att tro att öppen kod skulle vara säkrare. Det är den inte, snarare tvärtom. För hackers kan då leta efter fel och utnyttja dessa. Det är en form av säkerhet att koden är stängd och inte känd, även om den innehåller problem som kan utnyttjas.

Väldigt vanlig tankevurpa, bara för att säkerhetsbuggarna är något svårare att se i proprietär kod gör det inte att de slutar existera. Proprietär kod låter dig komma undan med mycket dumheter som inte går i publikt granskad kod.

Om påståendet hade stämt hade Windows haft väldigt få säkerhetshål.

Skrivet av kewe:

När det kommer till Lastpass, så är den data som finns i molnet krypterad, samt så håller inte företaget någon form av nyckel till dina data. Så företaget kan inte se dina lösenord. Så de som tror att deras egna system med privata moln och syncningar skulle vara bättre. Tja så är nog inte fallet.
Man kommer alltid tillbaka till att om din egen dator är hackad så är alla dina data exponerade. Så även dina lösenord om du använder en hanterare.

Fast hur får du hem nyckeln till dina enheter då? Litar du på att det är säker kryptering och inte bara ser ut som det? LastPass har ju också haft säkerhetsexperter på plats för att gå igenom systemen, men litar du till 100% på att de skulle hitta allt? Med det inte sagt att jag litar 100% på GPG, men det är en enorm skillnad i hur många som har granskat koden.

Det fina med pass är att nyckeln hanteras helt av GPG, vilket är den underliggande koden i nästan all öppen programvara som hanterar kryptering. Där har vi bland annat Mozilla Thunderbird, Google Mail, GNOME, KDE, signaturverifiering i pakethanterare, etc. GPG är ju vad Snowden använde för att kommunicera med journalister och samtidigt hålla NSA borta. Skulle det hittas säkerhetshål i GPG skulle det vara "the holy grail" för hackare, och det har hänt några enstaka gånger (som när NSAs "Dual Eliptic Curve" snappt patchades bort med en rekommendation att generera nya nycklar). Det finns så gott som alltid någon hackare som sitter med både källkoden och debugger för att hitta hål i GPG.

Skickades från m.sweclockers.com

Typo
Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem

@Djhg2000: Vad för klienter använder du till Pass?
Androidklienten som länkas till på hemsidan är mer eller mindre lagd på is, och Windows klienten är inte heller under utveckling sen 2-3 år tillbaka.
QTpass som enda Windows-klienten som fortfarande är under utveckling har tydligen haft säkerhetsproblem i tidigare versioner, visserligen bara i själva klienten, men det känns lite sådär halvt osäkert.

Permalänk
Avstängd
Skrivet av xxargs:

security by obscurity är sannerligen ingen god approach - för det är nämligen detta du menar med resonemanget ovan.

Visst det är färre som kanske kikar i en kommersiell produkts kod eftersom det är svårare att få insyn, men med mer motiverade angripare (läs goverment) hindras inte av sådant och när man väl kikar i kommersiella produkter så brukar det hittas väldigt blatanta misstag, så blatanta att det är nära till hands att misstänka att de är avsiktligt planterade som dålig kamouflerade buggar och verk av oskickliga programmerare för att företagen som har produkterna skall kunna förneka detta och i värsta fallet skylla på någon konsultbolag som gjort 'jobbet' (inte sällan med anknytning mot olika säkerhetstjänster om man spårar tillräckligt långt)

ett favorit-exempel som jag brukar nämna är SED på lagringmedia - dvs. självkrypterande lagringsmedia som wd-passort ultra mfl. där en analys av säkerhetsforskare hittade så många intrångsvägar att säkerheten på dessa enheter var inte mer än skenbar för en okunnig användare...

(när det gäller WD passport ultra vissa serier och motsvarande diskar med samma chipsets - nollställ och byt lösenordets minst 4 gånger på en disk med känslig data då de lämnar kvar den gamla nyckeln kvar på den första sektorn och det krävs flertal reinit för att den skall skrivas över (med ny) och därmed den gamla datat fortfarande läsbart, med windows-klienten så används samma salt för din passord även om du nollställer och byter passord multipla gånger och till slut kan du inte göra ett skit åt den minst sagt bristfälliga slumptalsgeneratorn när ny kryptonyckel skall skapas - det är väldigt stora hål i slumptalen som genereras vilket gör att tex säkerhets-tjänst ändå har stora möjligheter att prova sig fram till rätt nyckel även om andra spår av den gamla nyckeln är borta)

Blatant...

Permalänk
Medlem
Skrivet av scienta:

@Xauro: Poängen var ju att Google är kända för att sälja data. Lastpass har väl inte riktigt det ryktet i alla fall - så ja, det känns säkrare

Jaha oki, ja de är väl en smaksak. Du tycker kanske så men inte jag. Helt okej för mig!

Permalänk
Medlem
Skrivet av Djhg2000:

Väldigt vanlig tankevurpa, bara för att säkerhetsbuggarna är något svårare att se i proprietär kod gör det inte att de slutar existera. Proprietär kod låter dig komma undan med mycket dumheter som inte går i publikt granskad kod.

Om påståendet hade stämt hade Windows haft väldigt få säkerhetshål.

Fast hur får du hem nyckeln till dina enheter då? Litar du på att det är säker kryptering och inte bara ser ut som det? LastPass har ju också haft säkerhetsexperter på plats för att gå igenom systemen, men litar du till 100% på att de skulle hitta allt? Med det inte sagt att jag litar 100% på GPG, men det är en enorm skillnad i hur många som har granskat koden.

Det fina med pass är att nyckeln hanteras helt av GPG, vilket är den underliggande koden i nästan all öppen programvara som hanterar kryptering. Där har vi bland annat Mozilla Thunderbird, Google Mail, GNOME, KDE, signaturverifiering i pakethanterare, etc. GPG är ju vad Snowden använde för att kommunicera med journalister och samtidigt hålla NSA borta. Skulle det hittas säkerhetshål i GPG skulle det vara "the holy grail" för hackare, och det har hänt några enstaka gånger (som när NSAs "Dual Eliptic Curve" snappt patchades bort med en rekommendation att generera nya nycklar). Det finns så gott som alltid någon hackare som sitter med både källkoden och debugger för att hitta hål i GPG.

Skickades från m.sweclockers.com

Det jag menar är att hur säkert något är kod mässigt inte avgörs om det är öppet eller ej. All kod har problem.

Enligt en pod och någon kunnig, som hade studerat Lastpass så var det mycket bra byggt, därefter har jag litat på att så är fallet. Om jag minns rätt så påstod han att dina data dekrypteras på din dator. Du måste ha din personliga kod till valvet på den dator som vill kolla in i valvet. Denna kod sänds tydligen inte heller över nätet. Det hämtas en blobb med data från ditt valv på nätet hem till den lokala datorn när du vill kolla på något.

Permalänk
Medlem
Skrivet av Sweina:

interagerar inte programmet med sidan där man vill använda programmet?
Man måste alltså sitta och skriva in info manuellt i programmet?

och om man då har konto på flera hundra sidor, blir detta flera veckors jobb...?

och om man använder dator hemma, android och dator på jobbet. vilket är enklast om man vill nå lösen på alla tre?

Om du anv. t.ex. Enpass finns det webbläsartillägg som fungerar på alla sidor som vanligt.

Visa signatur

Ryzen 5600x (Noctua NH-D15) || Kingston Fury 32GB 3600MHz
ASUS Prime X470 PRO || ASUS GeForce RTX 3080 Tuf OC
Fractal Design Define S (6x chassifläktar) || Corsair RM750X v2
FURY Renegade 2TB || WD Blue 1TB M.2 || LG C2 42" + XB271HUA

Permalänk
Medlem
Skrivet av Djhg2000:

Fast hur får du hem nyckeln till dina enheter då? Litar du på att det är säker kryptering och inte bara ser ut som det? LastPass har ju också haft säkerhetsexperter på plats för att gå igenom systemen, men litar du till 100% på att de skulle hitta allt? Med det inte sagt att jag litar 100% på GPG, men det är en enorm skillnad i hur många som har granskat koden.
Skickades från m.sweclockers.com

Hur menar du nu? När du loggar in hämtar du hem all krypterad data lokalt.

Sedan när du ska använda dem så låser du upp dem med din privata nyckel.

Varje gång du ändrar lösenord så måste den avkryptera alla gamla lösenord och sedan kryptera på nytt lokalt innan den skickar upp det i molnet igen.

Permalänk
Medlem
Skrivet av Mieriola:

@Djhg2000: Vad för klienter använder du till Pass?
Androidklienten som länkas till på hemsidan är mer eller mindre lagd på is, och Windows klienten är inte heller under utveckling sen 2-3 år tillbaka.
QTpass som enda Windows-klienten som fortfarande är under utveckling har tydligen haft säkerhetsproblem i tidigare versioner, visserligen bara i själva klienten, men det känns lite sådär halvt osäkert.

Använder kommandoradsversionen i Linux och Password Store från F-Droid på telefonen. Såg någon uppdatering via F-Droid för några månader sedan, men har inte hittat några buggar eller inkompatibiliteter i den så antar att behovet av uppdateringar inte har funnits. Senaste ändringen i Password Store på GitHub var den 20:e augusti och var för att tillåta installation på SD-kort, så det kommer nog en uppdatering på F-Droid igen snart. De få gånger jag behöver lösenord i Windows loggar jag in på en Linuxburk över SSH så kan tyvärr inte ge några detaljerade anvisningar där, men från vad jag har läst tidigare ska Linuxversionerna av pass fungera bra i Windows med Cygwin som kompatibilitetslager.

Skrivet av kewe:

Det jag menar är att hur säkert något är kod mässigt inte avgörs om det är öppet eller ej. All kod har problem.

Enligt en pod och någon kunnig, som hade studerat Lastpass så var det mycket bra byggt, därefter har jag litat på att så är fallet. Om jag minns rätt så påstod han att dina data dekrypteras på din dator. Du måste ha din personliga kod till valvet på den dator som vill kolla in i valvet. Denna kod sänds tydligen inte heller över nätet. Det hämtas en blobb med data från ditt valv på nätet hem till den lokala datorn när du vill kolla på något.

Antar att podcasten är Security Now och någon kunnig som gjorde analysen då är Steve Gibson. Hörde också det avsnittet och det var ungefär då som jag började kolla på en lösenordshanterare. Kommer inte ihåg detaljerna längre men det fanns några hål och antaganden i hans analys. Det var ju några år sedan nu, men det är inte första gången har har gjort lite logiska hopp i sina analyser. Alltså, han använde ju Windows XP fram till i våras och slog helt fel på varför buggarna som Shellshock byggde på fortfarande existerade (kombination av kompatibilitet och nyare funktioner som samverkade). Det mesta av det han säger är dock helt korrekt så jag lyssnar fortfarande på Security Now, men man får ta hans slutsatser med en nypa salt. Det är mycket möjligt att LastPass är säker för tillfället, men som herr Gibson brukar säga; "trust no one". Vill minnas att de även har haft LastPass som sponsor men kommer inte ihåg om det var före eller efter analysen.

Det du beskriver betyder dock att både privata nyckeln och lösenorden skickas i samma blobb. Det enda som stoppar dem från att läsa dina lösenord i så fall är att ditt lösenord är ett komplement till privata nyckeln, så de behöver introducera en uppdatering som ger dem lösenordet (eller det derivat av lösenordet som används för nyckeln, till exempel SHA512 av lösenordet, om nu så skulle vara fallet).

Skrivet av JeanC:

Hur menar du nu? När du loggar in hämtar du hem all krypterad data lokalt.

Exakt, inklusive privata nyckeln eftersom enheten behöver den för att dekryptera lösenorden.

Skrivet av JeanC:

Sedan när du ska använda dem så låser du upp dem med din privata nyckel.

Som förhoppningsvis använder ditt lösenord som komplement, annars är det ju bara för dem att klampa in i sin egen databas och extrahera privata nyckeln.

Skrivet av JeanC:

Varje gång du ändrar lösenord så måste den avkryptera alla gamla lösenord och sedan kryptera på nytt lokalt innan den skickar upp det i molnet igen.

Vilket tyder på att lösenordet mycket riktigt är ett komplement till privata nyckeln. Det finns dock vägar runt det, som att kryptera gamla lösenordet med den nya nyckeln och kedja krypteringen. Det senare är att föredra med en krypterad disk, men för en lösenordsdatabas är det nog enklare att bara kryptera om allt. En nackdel är att alla lösenord momentant passerar RAM okrypterat.

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem

1Password

Skrivet av Json_81:

Använder 1password.
Vet inte om man kan köpa standalone längre dock utan det subscription som gäller.
Hade nog inte valt den nu pga det.

Jag kan helt klart rekommendera 1Password till folk, även fast du får mer ut av den nya subscription (vilket möjliggör 1Password X tillägget i Chrome)
Jag har jämfört säkerheten bland de olika password managers och jag anser 1Password som klart segrare i säkerhet.
Dom är helt öppna med tekniken som används, se denna sidan https://1password.com/security/ längre ner kan du se deras 'White Paper' där du verkligen kan grotta ner dig i hur det fungerar.

Permalänk
Medlem

¨Hur fungerar dessa program om man använder olika fysiska datorer? Tänkte på det som jag personligen använder både stationär och bärbar alt till min son som använder en dator hos mig sen sin dator hos sin mamma.
Vilket program blir lättare i det sammanhanget?

Visa signatur

Dator 1: CPU i7 5820K@4.6Ghz|GIGABYTE X99 Gaming 5|Crucial ballistic 2x4GB 2400MHz, 2x8GB Crucial ballistic 2400MHz|Corsair AX750|ASUS Strix GTX 1070 |Intel 520 120GB|Intel 330 180GB |Intel 335 180GB |Seagate 1000GB | Phanteks Enthoo Primo |Kingston V300 240GB | Creative SB X-Fi

Permalänk
Medlem
Skrivet av Djhg2000:

Vilket tyder på att lösenordet mycket riktigt är ett komplement till privata nyckeln. Det finns dock vägar runt det, som att kryptera gamla lösenordet med den nya nyckeln och kedja krypteringen. Det senare är att föredra med en krypterad disk, men för en lösenordsdatabas är det nog enklare att bara kryptera om allt. En nackdel är att alla lösenord momentant passerar RAM okrypterat.

Det är därför man kör 2FA innan den hämtar den riktiga privata nyckeln.

Permalänk
Medlem
Skrivet av JeanC:

Det är därför man kör 2FA innan den hämtar den riktiga privata nyckeln.

2FA är bara för att verifiera din identitet och har inget med krypteringen av lösenord att göra.

Problemet är fortfarande att privata nyckeln skickas från samma ställe som lösenorden. Lyckas du gissa (eller räkna fram) komplementet till privata nyckeln skickas i princip allt i klartext. Här är det fina med pass att du, och bara du, ska ha din privata nyckel. Du vet precis hur den ser ut och distribueras eftersom du själv skapar och hanterar den.

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av scienta:

@Xauro: Poängen var ju att Google är kända för att sälja data. Lastpass har väl inte riktigt det ryktet i alla fall - så ja, det känns säkrare

Nej, dom sålde sig själva istället