Parhaat ohjelmat salasanojen säilytykseen

[Infy]

The attacker needs to find some vulnerability, such as XSS, subdomain takeover, web cache poisoning or other. The goal is for the attacker to be able to execute their javascript code on a trusted domain. For simplicity, I will use "XSS" beacuse it's the most common type of vulnerability in web applications.

Web-sivusto pitää olla hyökkääjän käsissä, jotta tätä haavoittuvuutta pystyy hyödyntämään. Siinä kohtaa peli on jo menetetty muutenkin, huolimatta miten sinne salasanasi syötät, selainlaajennoksella tai ilman.

 

[Sp3]

Eipä kyllä luottaisi muuhun, kuin johonkin Googlen kaltaiseen isoon yritykseen, resursseineen, valtavan yleisän katseen ja odotusten alla. Muuten aika meedio pitäisi olla, että vaan luottaa johonkin tuntemattomaan jolla kivat sivut.

Ehkä paras kun jossain tekstitiedostossa, josta kopio ja liittää.
Ehkä voi joihinkin uhkiin olla alttiimpi, mutta ei varmaan monen tietokoneen käytöllä todennäköisimpiä uhkia tiedostoihin pääsy ja jos ei samalla sit muuhunkin.
Sit taas oma juttunsa, jos joku pääsee välistä fyysisesti koneelle.

 

[pulatunnus]

Eipä kyllä luottaisi muuhun, kuin johonkin Googlen kaltaiseen isoon yritykseen, resursseineen, valtavan yleisän katseen ja odotusten alla. Muuten aika meedio pitäisi olla, että vaan luottaa johonkin tuntemattomaan jolla kivat sivut.

Google varmaan tavikselle ihan ok, ja laitaa resursseja mm salasanojen käisttelyyn, ongelma tosin se että siinä sitoutuu Googlen juttuihin , ja menaa vaikeaksi ,riskialttiiksi jos muuissakin ympäristöissä tarvetta.

Ehkä paras kun jossain tekstitiedostossa, josta kopio ja liittää.
Ehkä voi joihinkin uhkiin olla alttiimpi, mutta ei varmaan monen tietokoneen käytöllä todennäköisimpiä uhkia tiedostoihin pääsy ja jos ei samalla sit muuhunkin.
Sit taas oma juttunsa, jos joku pääsee välistä fyysisesti koneelle.

Siinä kaksi perus miinaan, salasana kirjasto salaamatta, suojaamatta, käyttäjä ei tiedä onko se vuotanut, koska se on vuotanut, sellaista salasana hallintaa käyttävää ei voi pitää luotettavana henkilönä.
Eli se tiedostosta voi olla laitteilla useita kopioita, kopioita varmuuskopioissa, kopioita pilvessä, muissa laitteissa, ja niissä kanavissa missä sitä siirrelty. Tästä seuraa entistä tiheämpi tarvi vaihdella salasanoja, mistä seuraa entistä tiheämpi tarvi synkata sitä tiedostoa eri laitteisiin ja varmuuskopioida.

Luotettava offline salasana holviohejelmaa nostaa moninkertaiselle tasolle.

Leikepöydän käyttö, vähän parempi, se on myös herkkä vuotamaan, jos käyttäjällä käytössä leikepöydän synkkausta, leikepöydän historiaa, niin se myös voi levitä sinne tänne, siinäkään holviohjelma ja sen leikepöytä tuki ei ainakaan huononna, päinvastoin. Tämä siihen puhtaaseen tekstitiedostoon on jo pienempi riski, ja sitä voi rajata ei niin tärkeiden vs kriittisten juttujen osalta, ja kertakäyttö avaimissa riski ikkuna jää pieneksi.

Jos on salasanoja , salaisuuksia joiden vuotaminen olisi isomp riski, vahinko, niin välttää niiden talentamista kokonaisena, selkokielisena mihinään, teknisesti salattunakaan. luoda omaa kaksivaiheisuutta.

Esim henkilökortin (kansalaisvarmenne) PIN koodin, puhelimen salasana, pankki tunnistuohjelmien vahvistus salasanat jne. Asioita joiden vuotamisesta voisi olla isot vahingot, niin ei tallenna sellaisenaan edes salasana holviin.

 

[Paapaa]

Eipä kyllä luottaisi muuhun, kuin johonkin Googlen kaltaiseen isoon yritykseen, resursseineen, valtavan yleisän katseen ja odotusten alla. Muuten aika meedio pitäisi olla, että vaan luottaa johonkin tuntemattomaan jolla kivat sivut.

En tiedä, kuka täällä luottaa "tuntemattomaan jolla kivat sivut". Tuskin kukaan. Täällä suositellaan vuosia käytössä olleita ja hyviksi todettuja ohjelmia salasanojen säilytykseen, kuten esim. Bitwarden. Sillä se etu Googleen verrattuna, että salasanamanageri on sen pääliiketoimintaa, ei selaimen kylkeen pultattu sivujuonne. Lisäksi Bitwarden on avointa lähdekoodia, joten sen auditointi on mahdollista kelle tahansa. Puhumattakaan siitä, että se toimii kaikissa tunnetuissa selaimissa.

Ehkä paras kun jossain tekstitiedostossa, josta kopio ja liittää.

Hyvin epäkäytännöllinen ja turvaton tapa. Salasanat olisivat yhdellä koneella ja niiden siirto muihin laitteisiin vaatii manuaalista työtä. Ne olisi haittaohjelman tai toisen käyttäjän luettavissa selväkielisenä. Niiden muokkausta ei voi perua jos menee jotain mokaamaan editoidessa. Ne eivät tarjoa mitään automaattista syöttöä selaimeen vaan käsin kopioinnin. Vahvan salasanan luominen ei onnistu ilman ulkopuolista työkalua.

Oletan, ettet käytä tai ole koskaan käyttänyt salasanamanageria kun tuollaista aika hölmöä tapaa ehdotat.

 

[Sp3]

Bugi (laiton viestin, joka vain latasi, eikä lähtenyt itselle näkyen, sitten laitoin uudestaan. Vasta sivun uudelleen ladatessa huomasi lähteneen silti.)

 

[Sp3]

Bugi

 

[Sp3]

En tiedä, kuka täällä luottaa "tuntemattomaan jolla kivat sivut". Tuskin kukaan. Täällä suositellaan vuosia käytössä olleita ja hyviksi todettuja ohjelmia salasanojen säilytykseen, kuten esim. Bitwarden. Sillä se etu Googleen verrattuna, että salasanamanageri on sen pääliiketoimintaa, ei selaimen kylkeen pultattu sivujuonne. Lisäksi Bitwarden on avointa lähdekoodia, joten sen auditointi on mahdollista kelle tahansa. Puhumattakaan siitä, että se toimii kaikissa tunnetuissa selaimissa.



Hyvin epäkäytännöllinen ja turvaton tapa. Salasanat olisivat yhdellä koneella ja niiden siirto muihin laitteisiin vaatii manuaalista työtä. Ne olisi haittaohjelman tai toisen käyttäjän luettavissa selväkielisenä. Niiden muokkausta ei voi perua jos menee jotain mokaamaan editoidessa. Ne eivät tarjoa mitään automaattista syöttöä selaimeen vaan käsin kopioinnin. Vahvan salasanan luominen ei onnistu ilman ulkopuolista työkalua.

Oletan, ettet käytä tai ole koskaan käyttänyt salasanamanageria kun tuollaista aika hölmöä tapaa ehdotat.

Ehkä oli vähän lonkalta heitettyä.

Ainakin sähköpostiasioissa on sitä että mainostetaan millon minkäkin vähemmän tiedetyn tekijän postia, jonka käytännöistä, jatkuvuudesta jne. tietää vain joko meedio tai todella toimijaan perehtynyt.
Kannattaako maalikon valita silloin se suuri, ison yleisön alla oleva firma ennemmin, on sitten jokaisen oma asia.
Jos kukaan ei kokeilisi ja tukisi uusia toimijoita, ei olisi kilpailua ja painetta olla vielä parempi ja turvallisempi.

Mitä tekstitiedoston turvallisuuteen tulee, niin monelle se kaikki tiedostot anastanut haittaohjelma on sitten jo sama tai enemmän kuin sen lajin salasanat, jotka ei kaksivaiheisen tunnistuksen takana. Ja sen verran yleinen kun sellainen haittaohjelma jokaisen käytössä on. Yritysturvallisuus ja erityistarpeet toinen asia.

Olen käyttänyt salasanapalvelua. Heitto liittyi siihen, jos mihinkään sellaiseen ei luottaisi / halua luottaa. Mihinkään kätevyyteen ei liittynyt, tai fyysisen uhan huomiointiin.

Niin ja kyseiseen Bitwardeen en ole perehtynyt mitenkään, enkä kuullut. Enkä tarkotanut johonkin tiettyyn tai edellä keskusteltuun.

Asiasta ennemmän tietävät jatkakoot keskustelua rauhassa. En tiedä miks lähdin heittää loppuenlopuksi aika turhaa hölmöä.

 

[Humanoid]

The attacker needs to find some vulnerability, such as XSS, subdomain takeover, web cache poisoning or other. The goal is for the attacker to be able to execute their javascript code on a trusted domain. For simplicity, I will use "XSS" beacuse it's the most common type of vulnerability in web applications.

Web-sivusto pitää olla hyökkääjän käsissä, jotta tätä haavoittuvuutta pystyy hyödyntämään. Siinä kohtaa peli on jo menetetty muutenkin, huolimatta miten sinne salasanasi syötät, selainlaajennoksella tai ilman.

Jep. Eikä tarvi edes feikata mitään kirjautumisformia sinne. Tunnukset voi varastaa suoraan siitä aidosta.

Edelleen erikoista, että haavoittuvuuksista kertova sivusta suositteli leikepöydän käyttöä, vaikka siihen on pääsy joka ikisellä ohjelmalla lupia kyselemättä.

 

[Kautium]

Jep. Eikä tarvi edes feikata mitään kirjautumisformia sinne. Tunnukset voi varastaa suoraan siitä aidosta.

Kyse oli muustakin kuin sivuston ja sen alidomainien tunnuksista. Tuolla tavalla voi kaivella salasanamanagerilta muitakin tietoja ja mahdollisesti myös passkeyn.

Edelleen erikoista, että haavoittuvuuksista kertova sivusta suositteli leikepöydän käyttöä, vaikka siihen on pääsy joka ikisellä ohjelmalla lupia kyselemättä.

Leikepöytä ei ole turvallinen paikka säilöä mitään, mutta ei mikään sivusto silti suoraan pääse sen sisältöä lukemaan.

 

[asentaja142]

On. Ja tietokoneelle ladattu sovellus toimii myös offline jos annat siihen luvan. Voit myös tietenkin ladata salatun backupin kaikista koneellesi. Hakkerointi ei haittaa koska kaikki tietosi on salattu. Toki hakkerointi on myös erittäin epätodennäköistä.

Olen itse myös vakuuttunut protonista kun olen muutaman kuukauden sitä harjoitellut ja nimenomaan Proton Pass sovellus on käytössä ainoana salasana manager ohjelmana tällä hetkellä. Juurikin tuo salatun backupin luominen omaan haltuun ja se että laajennukseen saa oman pin koodin selaimeen sekä puhelimeen on omasta mielestä aika jees, toki nämä ominaisuudet luulisi löytyvän muiltakin. Proton sattui vain nousemaan esille kun aloin ottaa käyttöön ensimmäistä kertaa salasana manageria.

 

[ztec]

Ehkä ne salasanat vaan ihan oikeasti pitäisi unohtaa, kaikki tietää että ne on äärimmäisen ongelmallisia ja käytännössä toimimattomia tietoturvamielessä. Varsinkin kaikki sellaiset ratkaisut joissa salasanaa ei käytetä edes epäsuorasti vaan ihan suoraan. On siirtyä moderniin tekniikkaan (WebAuthn) - Kai te olette huomanneet, että mm. TechBBS tukee, em. tekkiä. Kuten pitäisi jokaisen muunkin sivuston, joka edes ripauksen välittää asiasta.
FIDO2, WebAuthn, Passwordless ja Passkeys

Salasanojakin voi käyttää koskaan paljastamattan niitä, mutta ei ole valitettavasti kovin suosittua tekniikkaa sekään:
Secure Remote Password protocol - Wikipedia

 

[asentaja142]

Ehkä ne salasanat vaan ihan oikeasti pitäisi unohtaa, kaikki tietää että ne on äärimmäisen ongelmallisia ja käytännössä toimimattomia tietoturvamielessä. Varsinkin kaikki sellaiset ratkaisut joissa salasanaa ei käytetä edes epäsuorasti vaan ihan suoraan. On siirtyä moderniin tekniikkaan (WebAuthn) - Kai te olette huomanneet, että mm. TechBBS tukee, em. tekkiä. Kuten pitäisi jokaisen muunkin sivuston, joka edes ripauksen välittää asiasta.
FIDO2, WebAuthn, Passwordless ja Passkeys

Salasanojakin voi käyttää koskaan paljastamattan niitä, mutta ei ole valitettavasti kovin suosittua tekniikkaa sekään:
Secure Remote Password protocol - Wikipedia

Itselläkin on passkey käytössä kaikkialla missä voi. Välillä vain tarvitsee iskeä salasana johonkin, tosin harvoin nykyään.

 

[pulatunnus]

Ehkä ne salasanat vaan ihan oikeasti pitäisi unohtaa, kaikki tietää että ne on äärimmäisen ongelmallisia ja käytännössä toimimattomia tietoturvamielessä. Varsinkin kaikki sellaiset ratkaisut joissa salasanaa ei käytetä edes epäsuorasti vaan ihan suoraan. On siirtyä moderniin tekniikkaan (WebAuthn) - Kai te olette huomanneet, että mm. TechBBS tukee, em. tekkiä. Kuten pitäisi jokaisen muunkin sivuston, joka edes ripauksen välittää asiasta.
FIDO2, WebAuthn, Passwordless ja Passkeys

Salasanojakin voi käyttää koskaan paljastamattan niitä, mutta ei ole valitettavasti kovin suosittua tekniikkaa sekään:
Secure Remote Password protocol - Wikipedia

Ohjelmat salasanojen säilytykseen on tarpeen jatkossakin, salasanoja, pin koodeja, muita sailaisuuksia tarve tallettaa tulevaisuudessakkin ja salasana ohjelmat mahdollistaa sen että käyttäjät ei sorru omavalintaisissa käyttämään yhtä ja samaa eri paikoissa.

Osa otsikkoon liittyvistä ohjelmista/palveluista tukee myös salasanottomia kirjatumisia, joilla voi edes osan yhdistää yhteen ja samaan ohjelmaan/palveluun.

Tietenkin voi miettiä onko parempi jakaa asoita, ettei kaikki salisuudet ole yhdessä paikkaa/palvelussa. No käytännössä nykyään niin ei voi tehdä, jos salasana tyylistä ei tueta niin se tuettujen kirjo on laaja, osalla ihan omat jutut.

Ketjussa on käsitelty eri hjelmine ja palveluiden tukemia ratkaisuja ja niiden toimivuutta ja niiden ongelmia. Ongelma se että vaatii aktiivista seurantaa ja ensin pitäisi sisäistää mitä riskejä jos valitsee johonkin palveluun "salasanattoman" kirjautumisen. Onko isompi vahinko se ettei sinnä pääsy voi estyä. Tästä muistaakseni oma ketjunsa.

 

[avokomposti]

Ehkä ne salasanat vaan ihan oikeasti pitäisi unohtaa, kaikki tietää että ne on äärimmäisen ongelmallisia ja käytännössä toimimattomia tietoturvamielessä. Varsinkin kaikki sellaiset ratkaisut joissa salasanaa ei käytetä edes epäsuorasti vaan ihan suoraan. On siirtyä moderniin tekniikkaan (WebAuthn) - Kai te olette huomanneet, että mm. TechBBS tukee, em. tekkiä. Kuten pitäisi jokaisen muunkin sivuston, joka edes ripauksen välittää asiasta.
FIDO2, WebAuthn, Passwordless ja Passkeys

En ole oikein sisäistänyt vieläkään tuota passkeys-hommaa, mutta kun lukaisin vähän uusimpia postauksia tuosta threadista niin eipä hirveästi tee mieli vaihtaa toimivista salasanoista mihinkään.

Ikäväkseni täytyy todeta, että luotettavuus jatkaa edelleen sitä samaa rataa kuin aikaisemminkin, mistä valittelin. Nyt yht'äkkiä Microsoftin WebAuthn / Passwordless login onkin hajalla. Ai että, sanoo vaan että jokin meni vikaan. No voi voi, on ollut jo pitkään. Tämä siis Windows + Firefox plattarilla. Juuri tätähän jupisinkin aikaisemmin, että on niin hienoa tekkiä, että ei edes toimi.

Edit jatkot: Testasin Firefox + Linux -> Toimii, ai että, just parasta herkkua tämä. Miten normaali käyttäjä, jolla ei ole useita avaimia, eri selaimia ja useita eri käyttiksiä voisi sitten tietää mikä meni pieleen, kun ei ole helppoa tapaa haarukoida. Nami nami.

Microsoftin osalta tämä toteutus on kyllä ollut jo kohta pari vuotta aivan levällään. Toiminta on todella satunnaista, ja samaan aikaan sitten rummuttavat, että ottakaahan kaikki tämä hieno uusi teknologia käyttöön

 

[ztec]

Tietenkin voi miettiä onko parempi jakaa asoita, ettei kaikki salisuudet ole yhdessä paikkaa/palvelussa. No käytännössä nykyään niin ei voi tehdä, jos salasana tyylistä ei tueta niin se tuettujen kirjo on laaja, osalla ihan omat jutut.

Aina näin, tuohan nyt on ihan suositeltu peruskäytäntö. Eikä siinä ole mitään uutta. Jos kaikki on yhdessä paikassa siitä muodostuu klassinen SPOF vektori.

 

[erekola]

Kyllä YubiKey on loistava valinta 2FA. Itse siirsin parille tikulle Protonista kaikki.

 

[ztec]

Ohjelmat salasanojen säilytykseen on tarpeen jatkossakin, salasanoja, pin koodeja, muita sailaisuuksia tarve tallettaa tulevaisuudessakkin ja salasana ohjelmat mahdollistaa sen että käyttäjät ei sorru omavalintaisissa käyttämään yhtä ja samaa eri paikoissa.

Mm. OPAQUE protokollan ideana on juuri se, että sillä ei ole mitään väliä vaikka käyttäisit samaa salasanaa kaikissa palveuissa, koska palvelut eivät tiedä sitä salasanaa mitä kirjautumiseen käytettiin.

Vrt. Aivan sama kuin että käytät kaikkiin palveluihin SSH avainta jossa on sama salasana tai samaa tietokonetta jossa on salasana kirjautumisessa. - Vaikka juuri tuon osastoinnin ja vuoksi juuri tämä käytäntö ei ole (muista syistä) kuin sen salasanan vuoksi suositeltava. mm. et halua käyttää samaa tunnistettavaa avainta (vaikka käyttäisitkin samaa salasanaa), sekä yliopiston palvelimelle, että sun hämärälle kriminaali-serverille. Mutta syy tuohon ei ole itse salasanan suojaaminen, vaan saman julkisen avaimen käyttäminen tarkoitukseen jossa et halua niiden välile yhdistettävyyttä. - Tosin valitettavan monet mokaa tän homman, kuten öh, uutisissakin on nähty. - Heheh.

Edit, jatkot: Elikkäs jos jotakuta jaksoi kiinnostaa oikea-oppinen nykyaikanen salasanojen käsittely, jossa palvelu ei itseasiassa tiedä sinun salasanaasi, niin tässäpä se on hyvin selitettynä ja aukikirjoitettuna:

OPAQUE & PAKE Protocols | Securing the Login Process

OPAQUE is a PAKE protocol that allows for password authentication without revealing the actual password to a server. Learn more about the OPAQUE protocol.

blog.cloudflare.com

Tässä vielä suora linkki demoon:

Cloudflare Research | Home

Kyllä YubiKey on loistava valinta 2FA. Itse siirsin parille tikulle Protonista kaikki.

Hienosti sanottu siinä mielessä, että YubiKey tukee ainakin viittä eri protokollaa. - Mutta hyvä että vaihtoehtoja on.

 

[pulatunnus]

Kyllä YubiKey on loistava valinta 2FA. Itse siirsin parille tikulle Protonista kaikki.

Verkkokauppa.com YubiKey 5C NFC -turva-avain, USB-C , en tiedä mikä sinulla, mutta onko kokemusta mobiililaitteilla, ilmeisesti ainakin NFC tuettu, ei tuossa nyt sanottu onko molemmat (Google Android, Apple)

Mutta otsikkoon liittyen onko siinä myös holvia muille salaisuuksille ja toimiiko varmuuskopiointi niille vaivatta.

No ei tuollainen keskivertoarjessa jaksa jumpata joka kirjatumista, vaan vain niitä missä riskit vaatii.

 

[erekola]

Verkkokauppa.com YubiKey 5C NFC -turva-avain, USB-C , en tiedä mikä sinulla, mutta onko kokemusta mobiililaitteilla, ilmeisesti ainakin NFC tuettu, ei tuossa nyt sanottu onko molemmat (Google Android, Apple)

Mutta otsikkoon liittyen onko siinä myös holvia muille salaisuuksille ja toimiiko varmuuskopiointi niille vaivatta.

No ei tuollainen keskivertoarjessa jaksa jumpata joka kirjatumista, vaan vain niitä missä riskit vaatii.

Itsellä juuri 2x 5 NFC. Iso työ on siirtää kaikki salaisuudet mutta eipä tarvi ikinä enään tehdä uudelleen. Ja saa aivan kaikki sinne. Myös Yubico Authenticator on todella kevyt ja mukava käyttää paikoissa jossa pitää vielä käyttää TOTP.

Tässä hyvä ohje millä itse selvisin:

How to Reset Your YubiKey and Create a Backup

This tutorial demonstrates how to reset a YubiKey close to factory defaults and create a backup of most YubiKey applications on a spare key.

www.privacyguides.org

 

[Taneli-]

Ehkä ne salasanat vaan ihan oikeasti pitäisi unohtaa, kaikki tietää että ne on äärimmäisen ongelmallisia ja käytännössä toimimattomia tietoturvamielessä

Kuulostaa muuten hyvältä mutta kun yrittää selittää tuota tarpeeksi monta kertaa eri kauppojen kassoille, huoltoasemille ja pankeille kertoen että haluaa sellaisen pankkikortin missä ei ole salasanoja, numeroita tai koodeja koska ne ei vaan käytännössä toimi tietoturvamielessä voi ehkä joutua muuttamaan mielensä.

Samaten monesti kun joutuu asioimaan puhelimen välityksellä eri virastoissa ja jos toteaa hieman tuota mukaillen että "kysyit vain syntymäaikaani, en tietoturvaan perustuen haluaisi edes sitä sanoa mutta en varmasti kerro sosiaaliturvatunnustani" ja hetken vänkäät kuuluukin vain katkenneen puhelun ääntä.. ..vaikka miten kokisit olevasi oikeassa..

Oikeastaan tuohon ongelmaan törmää jo jos yrittää netin kautta kirjautua pankin sivulle nähdäkseen tilitietonsa tai toisen pankin sivuille nähdäkseen asuntolainansa.. ..ne väkisinkin haluavat tunnuksen ja salasanan vaikka mitä venkoilisi.

 

[pulatunnus]

Mm. OPAQUE protokollan ideana on juuri se, että sillä ei ole mitään väliä vaikka käyttäisit samaa salasanaa kaikissa palveuissa, koska palvelut eivät tiedä sitä salasanaa mitä kirjautumiseen käytettiin.

öö, jos käyttäisin samaa salasanaa joka paikkaan ja se vuotaisi, niin öö miten niin ei ole väliä.

Ja jos katsoo holvin listaa niin siellä nyt vain murto osa on yliopisto ja kriminaali palvelimeen liittyviä, jos joku palvelu, laite, on vihamielisen yllpitämä niin ehkä valitsee tuetut protokollat, käytännöt sen mukaan.

Ja kannattaa muistaa että salasana holviin tallennetuista salaisuuksista vain osa liittyy nettipalveluihin ja niistäkin vain osa sellaisia jotka aktiivisesti lisäilee muodissa olevia pääsynhallinta juttuja pysyvällä tuella. Osaan ihan turha panostaa, tunnus salasana pari , tai pelkkä salaisuus, PIN toimii tänäänkin.

 

[ztec]

öö, jos käyttäisin samaa salasanaa joka paikkaan ja se vuotaisi, niin öö miten niin ei ole väliä.

Se salaisuus, joka on palvelun päässä talletetettuna, ei itse salasana, joka on vain sinun tiedossa.

Aivan sama hommahan se on YubiKey:n 2FA:n kanssa. Se nimenomaisesti käyttää samaa salaisuutta (vastaa siis salasanaa (U2F, CTAP1)) kaikkiin palveluihin, johon sen rekisteröit. - Eli vastaa ihan suoraan tuota esimerkkiä jonka kerroin aikaisemmin salasanoista.

 

[Humanoid]

En ole oikein sisäistänyt vieläkään tuota passkeys-hommaa, mutta kun lukaisin vähän uusimpia postauksia tuosta threadista niin eipä hirveästi tee mieli vaihtaa toimivista salasanoista mihinkään.

Don't get me wrong: suurimmalla osalla sivustoista tämä toimii ihan ongelmitta ja mukisematta. Kuten esim. tällä foorumilla Lähinnä muutama iso toimija on koittanut tehdä tuosta jotenkin normaalia hankalampaa niiltä osin miten salasanamanagerit toimivat passkeyn kanssa yksiin. Ja joillain sivustoilla kaikki selaimet eivät jostain syystä ole tuettuja, vaikka sille ei ole mitään teknistä estettä.

 

[pulatunnus]

Se salaisuus, joka on palvelun päässä talletetettuna, ei itse salasana, joka on vain sinun tiedossa.

Jos käyttäisin samaa salasanaa joka paikkaan ja se vuotaisi, niin öö miten niin ei ole väliä ?

Eli toimii vain siihen asti kun se ei ole vuotanut.

Se toki tärkeää että salasanan vuotapaikat vähenee, sen sijaan että samaa salasanaa käyttää satojan paikkojen sijaan vain parissasadassa on toki parempi.

Otsikon alla on ohjelmia, tuotteita, palveluita minkä avulla tarkoitus minimoida, jos ei yhteen per paikka niin sitä kohti. Tietenkin jos ne kaikki salaisuudet tunkee yhden ja saman salasanan taakse johonkin "holviin", niin sitten tavallaan jälleen kerran kaikki on se yhden takana, niin sen vuotaminen avaa hyökkääjälle kaikki.

Onhan se vähän haastavaa, ainakin kaikken riskialtteimpia juttuja vähän pitää erillään niistä mitä tarvii paljon, minkä kanssa voi selvitä jos ne joutuu vihamilisen käsiin.

 

[Humanoid]

Otsikon alla on ohjelmia, tuotteita, palveluita minkä avulla tarkoitus minimoida, jos ei yhteen per paikka niin sitä kohti. Tietenkin jos ne kaikki salaisuudet tunkee yhden ja saman salasanan taakse johonkin "holviin", niin sitten tavallaan jälleen kerran kaikki on se yhden takana, niin sen vuotaminen avaa hyökkääjälle kaikki.

Tuossa tuleekin esiin pilven takana olevien salasanamanagereiden vaara. Jos jokin haittaohjelma vuotaa pääsalasanasi, ja jotkut vielä keplottelevat jollain 2FA:n läpi, niin et voi suojautua tuota vasteen mitenkään. Siksi myös pilvipohjaisiin palveluihin kannattaa laittaa kirjautumisvaihtoehdoksi passkey. Se ei voi vuotaa ihan noin vain. Toinen vaihtoehto on käyttää offline-salasanamanageria jolloin ei tarvitse huolehtia passun vuotamisesta, sillä myös "holvi" täytyisi saada hyökkääjän käsiin. Ja sen voi myös suojata Yubikeyllä, avaintiedostolla tms. vielä pääsalasanan lisäksi.

 

[mylae]

Tuossa tuleekin esiin pilven takana olevien salasanamanagereiden vaara. Jos jokin haittaohjelma vuotaa pääsalasanasi, ja jotkut vielä keplottelevat jollain 2FA:n läpi, niin et voi suojautua tuota vasteen mitenkään. Siksi myös pilvipohjaisiin palveluihin kannattaa laittaa kirjautumisvaihtoehdoksi passkey. Se ei voi vuotaa ihan noin vain. Toinen vaihtoehto on käyttää offline-salasanamanageria jolloin ei tarvitse huolehtia passun vuotamisesta, sillä myös "holvi" täytyisi saada hyökkääjän käsiin. Ja sen voi myös suojata Yubikeyllä, avaintiedostolla tms. vielä pääsalasanan lisäksi.

Vaikuttaa vähän epätodennäköiseltä tilanteelta, että haittaohjelma saisi offline-managerin holvin salasanan muttei itse holvia tai selvätekstiä, ainakin perus Windows setupilla. Ellei sitten joku phishing sivu lukeudu haittaohjelmaksi