איך מנהלים סיסמאות?

[Shayosef]

אף אחד כאן לא משתמש ב Keeper ?

[Shayosef]

Shed בגלל שאני חושב כמוך הלכתי על 1Password, זאת תוכנה יקרה אמנם שעולה 200 ש"ח אבל היא בדיוק עונה על הצרכבים שבאמת חשובים שמשאירים אותך בשליטה ולא אף אחד אחר

...

התקנתי בעקבות ההמלצות כאן, עובד יפה מאוד, גם ה extension לדפדפן מצויין אבל לעומת Keeper ששומרת את המידע בענן וניתן לגשת אליו מכל מקום בעולם ממחשב רגיל, ב 1password הסטרינג ססמאות נשמר מקומית או דרך שירות ענן צד שלישי כגון dropbox.

כלומר אם אתה זקוק למידע מסונכרן בין המחשבים השונים ולמכשירים ניידים כמו טלפונים וטאבלטים אתה צריך שתי אפליקציות שונות (שומר הססמאות ושירות הענן) ולסמוך על שירות הענן כדי שהסטרינג ססמאות שלך ישמר בו. אז מה ההגיון ?

keeper עושה את כל זה לבד, לאלו שמחפשים סנכרון אני לא רואה את ההיתרון של 1password עליה.

אני טועה ?

[mp3lll]

לא טועה, רק רובופון לטעמי טובה יותר...

[שלגון]

אף אחד כאן לא משתמש ב Keeper ?

...

רק לפי מה שמופיע בדף הפיצ'רים של Keeper, אני חושב ש- LastPass נותנת יותר. גם בגרסה החינמית.

[baloon]

Shed בגלל שאני חושב כמוך הלכתי על 1Password, זאת תוכנה יקרה אמנם שעולה 200 ש"ח אבל היא בדיוק עונה על הצרכבים שבאמת חשובים שמשאירים אותך בשליטה ולא אף אחד אחר

...

מחיר יקר וגם אחסון מקומי הם לא תעודות ביטוח:
http://web.nvd.nist.gov/view/vuln/searc ... ll&cves=on
תשווה את זה, לדוגמא, ל- LastPass שאין תיעוד ידוע של פרצה (טפו טפו טפו). בנוסף, כשהם גילו פעילות מוזרה על השרת שלהם הם התנהלו בשקיפות מוחלטת ופירסמו את זה, דיווחו על פעולות נוספות שהם נקטו ונתנו המלצות למשתמשים: http://blog.lastpass.com/2011/05/lastpa ... ation.html

...

מצטער לאכזב אותך אבל הפרצה לLastPass משמעותית שבעתיים מחור האבטחה של 1Password.
דבר נוסף, לLastPass יש בעיית אבטחה מושרשת שהיא כמובן שמירת הסיסמאות בשרת מרוחק.

[שלגון]

אתה טועה ומטעה.

מצטער לאכזב אותך אבל הפרצה לLastPass משמעותית שבעתיים מחור האבטחה של 1Password.

...

בבקשה, תראה לי דיון רציני אחד שעוסק בבעיית ה- security הזאת של LastPass.

דבר נוסף, לLastPass יש בעיית אבטחה מושרשת שהיא כמובן שמירת הסיסמאות בשרת מרוחק.

...

הסיסמאות נמצאות בקובץ מוצפן על השרתים שלהם. הוא מפוענח אך ורק בצד של המשתמש. הפעילות על השרתים שלהם מאובטחת ומנותרת הרבה הרבה יותר טוב ממה שאני או אתה יכולים לעשות לבד בבית.
יותר מזה: 1Passowrd, באתר שלהם, מציעים למשתמשים להעזר ב- dropbox כדי לסנכרן בין מחשבים! אם זאת כזאת בעיית אבטחה מושרשת הם לא היו כותבים את זה, לא?
שנמשיך? שני הפתרונות משתמשים במודל אבטחה מבוסס סטנדרטים (זה טוב!) זהה שמבוסס על AES-256 ו- PBKDF2. רק שב- 1Password זה יחסית חדש. לפני זה הם השתמשו ב- AES-128 כדי שזה ייקח פחות זמן על iPhone. הם טענו ש- AES-128 זה מספיק טוב. ועכשיו זה כבר לא? או שהם עשו פשרה (קטנה) ב- security לטובת שימושיות?

אבל אם טוב לך עם 1Passowrd - שיבושם לך.

[ValorHeart]

לפחות ב1Password אתה יכול לסמוך על עצמך, שלא כמו בLastPass אתה צריך לסמוך על גורם חיצוני, דרך אגב לאיזה מאגר סיסמאות האקרים יעדיפו לפרוץ, למחשב האישי שלך שהIP שלו משתנה מהר מאוד או למאגר סיסמאות של LastPass ?.

[שלגון]

לפחות ב1Password אתה יכול לסמוך על עצמך, שלא כמו בLastPass אתה צריך לסמוך על גורם חיצוני, דרך אגב לאיזה מאגר סיסמאות האקרים יעדיפו לפרוץ, למחשב האישי שלך שהIP שלו משתנה מהר מאוד או למאגר סיסמאות של LastPass ?.

...

אלה שאלות לגיטימיות. אני, באופן אישי לא עוקב אחרי גילויים של פרצות אבטחה ופועל כדי לסגור אותן (בנתב, במערכות ההפעלה השונות שמחוברות לרשת, דפדפנים+תוספים וכו') מעבר לעדכונים אוטומטיים.
אני גם לא מנטר אם נעשו ניסיונות חדירה, לדוגמא, ב- log של הנתב (ויש כלים אוטומטיים שעושים פעולות כאלה) לרשת הביתית.
בלי לבדוק, אני אומר לך, באחריות, ששתי החברות האלה עושות את זה ועוד איך. אז על מי אפשר לסמוך יותר?

אז לגבי האקרים: בלי ספק יהיה להם יותר קל לפרוץ אל הרשת הביתית. נכון ששרתי החברה מהווה מטרה יותר אטרקטיבית. אבל אם ב- 1Password מרגישים מספיק בנוח להמליץ על סנכרון של קובץ הסיסמאות בענן באמצעות חברה צד ג' (dropbox) שיש להם אפס שליטה על מה שקורה שם, הם בעצם אומרים שהם סומכים על ההצפנה של הקובץ הזה.

תעשה אתה אחד ועוד אחד: מה שהם אומרים בעצם זה שאין בעיית אבטחה כשהקובץ נמצא בענן, כל עוד מודל ההצפנה מספיק טוב. ולהזכירך, שתי החברות משתמשות באותו מודל הצפנה.

תסכים או לא תסכים, בזאת אני מסיים את מה שיש לי לאמר בנושא.

[ValorHeart]

גם הקבצים שלך בdropbox מוצפנים, לכן שיש לך הגנה כפולה, כמו כן צריך לדעת לאיזה חשבון dropbox ספציפי לגשת בשביל להשיג את קבצי הסיסמאות שלך כאשר בLastPass זה ידוע בוודאות שכל הקבצים שם הם סיסמאות של אנשים לכן האקרים ילכו עליהם עלייך הם בכלל לא שמעו ולא מודעים לקיומך שזה מה שטוב.

[שלגון]

גם הקבצים שלך בdropbox מוצפנים, לכן שיש לך הגנה כפולה, כמו כן צריך לדעת לאיזה חשבון dropbox ספציפי לגשת בשביל להשיג את קבצי הסיסמאות שלך כאשר בLastPass זה ידוע בוודאות שכל הקבצים שם הם סיסמאות של אנשים לכן האקרים ילכו עליהם עלייך הם בכלל לא שמעו ולא מודעים לקיומך שזה מה שטוב.

...

אתה גורר אותי לתוך הדיון הזה שוב:

לגבי ההצפנה של dropbox: למערכות (ולאנשים) של dropbox יש גישה ישירה לקבצים הלא מוצפנים, וזה לא רק עניין תאורטי, הם אשכרה עושים את זה: http://www.pcworld.com/article/2048680/ ... files.html
ז"א, שההצפנה ומפתח ההצפנה נמצאים גם על השרת, ולא רק ב- client. בגלל זה יש אנשים שמצפינים את הקבצים שלהם לפני שהם מעלים אותם ל- dropbox.
אני לא יודע אם ידעת את זה עד עכשיו. אבל עכשיו, תגיד לי איך זה שהאנשים (המומחים לאבטחת מידע) של 1Password עדיין ממליצים על השירות הזה? אפקטיבית, הם אומרים (בלי לאמר) שההצפנה של קובץ הסיסמאות חזקה מספיק שפריצה של הקובץ היא לא מעשית.

אני מקווה שאם תקרא את מה שכתבתי קודם זה ישמע יותר הגיוני/סביר.

[Shed]

מבחינתי, לשים את קובץ הסיסמאות בענן זה כמו לשים את המפתחות של הבית אצל כל השכנים ברחוב - אם פורצים לאחד מהם - פורצים גם אלי הביתה.
רבותי - כמו שאתם לא משאירים את המפתחות של הבית והאוטו בכל מקום ("רק כדי שיהיה לכם נוח במידה ותזדקקו להם") כך לא עושים עם הסיסמאות שלכם.

הערה אחרונה: אם אני שם יד על קובץ מוצפן (בין אם זה AES128 או AES256 זה רק עניין של זמן עד שאני אוכל לקרוא את התוכן שלו. באמצעים "פרימיטיביים" זה יכול לקחת שבועות, באמצעים מתוחכמים יותר זה עניין של ימים, באמצעים מתוחכמים מאוד זה עניין של דקות עד שעות.

[Shayosef]

עברתי ל 1password , אני גם בדעה שענן של חברת שמירת ססמאות מועד לפורענות הרבה יותר מענן פרטי.

בינתיים מרוצה מאוד , מצפה לעדכון האפליקציות ל iOS 7 וקצת טאצ׳ים ל ui בחלונות.

[שלגון]

Shed, אולי אתה גורו ב- HTPC, אבל ממה שכתבת אני מבין שאין לך מושג בהצפנה.

[ValorHeart]

גם הקבצים שלך בdropbox מוצפנים, לכן שיש לך הגנה כפולה, כמו כן צריך לדעת לאיזה חשבון dropbox ספציפי לגשת בשביל להשיג את קבצי הסיסמאות שלך כאשר בLastPass זה ידוע בוודאות שכל הקבצים שם הם סיסמאות של אנשים לכן האקרים ילכו עליהם עלייך הם בכלל לא שמעו ולא מודעים לקיומך שזה מה שטוב.

...

אתה גורר אותי לתוך הדיון הזה שוב:

לגבי ההצפנה של dropbox: למערכות (ולאנשים) של dropbox יש גישה ישירה לקבצים הלא מוצפנים, וזה לא רק עניין תאורטי, הם אשכרה עושים את זה: http://www.pcworld.com/article/2048680/ ... files.html
ז"א, שההצפנה ומפתח ההצפנה נמצאים גם על השרת, ולא רק ב- client. בגלל זה יש אנשים שמצפינים את הקבצים שלהם לפני שהם מעלים אותם ל- dropbox.
אני לא יודע אם ידעת את זה עד עכשיו. אבל עכשיו, תגיד לי איך זה שהאנשים (המומחים לאבטחת מידע) של 1Password עדיין ממליצים על השירות הזה? אפקטיבית, הם אומרים (בלי לאמר) שההצפנה של קובץ הסיסמאות חזקה מספיק שפריצה של הקובץ היא לא מעשית.

אני מקווה שאם תקרא את מה שכתבתי קודם זה ישמע יותר הגיוני/סביר.

...

אני לא גורר אותך לשום מקום, לא רוצה אל תגיב ואל תענה.

בשביל שמישהוא ירצה למצוא את הסיסמאות שלך הוא יצטרך לאתר איפה אתה שומר את קובץ הסיסמאות המוצפן שלך, אתה לא חייב לסנכרן בDROPBOX, זאת אופציה בלבד.

אם אתה משתמש בשירות אשר ידוע שכל הסיסמאות של כל המשתמשים נמצאים בענן מסויים יהיה הרבה יותר קל לאתר אותך במידה והוא נפרץ, ושם אין לך ברירה, אם תראה ואם לא תרצה הסיסמאות שלך נמצאות בענן.

[mp3lll]

Shed, אולי אתה גורו ב- HTPC, אבל ממה שכתבת אני מבין שאין לך מושג בהצפנה.

...

חה הצחקת אותי, אתה כנראה לא יודע מי הוא באמת.
אל תכתוב סתם דברים אם אתה לא יודע