איך מנהלים סיסמאות?
- Shayosef
- חבר מכור קשה
- הודעות: 5891
- הצטרף: אפריל 2007
- מיקום: תל אביב
- נתן תודות: 448 פעמים
- קיבל תודות: 242 פעמים
התקנתי בעקבות ההמלצות כאן, עובד יפה מאוד, גם ה extension לדפדפן מצויין אבל לעומת Keeper ששומרת את המידע בענן וניתן לגשת אליו מכל מקום בעולם ממחשב רגיל, ב 1password הסטרינג ססמאות נשמר מקומית או דרך שירות ענן צד שלישי כגון dropbox.ValorHeart כתב:Shed בגלל שאני חושב כמוך הלכתי על 1Password, זאת תוכנה יקרה אמנם שעולה 200 ש"ח אבל היא בדיוק עונה על הצרכבים שבאמת חשובים שמשאירים אותך בשליטה ולא אף אחד אחר...
כלומר אם אתה זקוק למידע מסונכרן בין המחשבים השונים ולמכשירים ניידים כמו טלפונים וטאבלטים אתה צריך שתי אפליקציות שונות (שומר הססמאות ושירות הענן) ולסמוך על שירות הענן כדי שהסטרינג ססמאות שלך ישמר בו. אז מה ההגיון ?
keeper עושה את כל זה לבד, לאלו שמחפשים סנכרון אני לא רואה את ההיתרון של 1password עליה.
אני טועה ?
שי
- mp3lll
- חבר במועדון ה-20K
- הודעות: 20656
- הצטרף: ספטמבר 2007
- נתן תודות: 134 פעמים
- קיבל תודות: 1006 פעמים
מצטער לאכזב אותך אבל הפרצה לLastPass משמעותית שבעתיים מחור האבטחה של 1Password.שלגון כתב:מחיר יקר וגם אחסון מקומי הם לא תעודות ביטוח:ValorHeart כתב:Shed בגלל שאני חושב כמוך הלכתי על 1Password, זאת תוכנה יקרה אמנם שעולה 200 ש"ח אבל היא בדיוק עונה על הצרכבים שבאמת חשובים שמשאירים אותך בשליטה ולא אף אחד אחר...
http://web.nvd.nist.gov/view/vuln/searc ... ll&cves=on
תשווה את זה, לדוגמא, ל- LastPass שאין תיעוד ידוע של פרצה (טפו טפו טפו). בנוסף, כשהם גילו פעילות מוזרה על השרת שלהם הם התנהלו בשקיפות מוחלטת ופירסמו את זה, דיווחו על פעולות נוספות שהם נקטו ונתנו המלצות למשתמשים: http://blog.lastpass.com/2011/05/lastpa ... ation.html...
דבר נוסף, לLastPass יש בעיית אבטחה מושרשת שהיא כמובן שמירת הסיסמאות בשרת מרוחק.
אתה טועה ומטעה.
יותר מזה: 1Passowrd, באתר שלהם, מציעים למשתמשים להעזר ב- dropbox כדי לסנכרן בין מחשבים! אם זאת כזאת בעיית אבטחה מושרשת הם לא היו כותבים את זה, לא?
שנמשיך? שני הפתרונות משתמשים במודל אבטחה מבוסס סטנדרטים (זה טוב!) זהה שמבוסס על AES-256 ו- PBKDF2. רק שב- 1Password זה יחסית חדש. לפני זה הם השתמשו ב- AES-128 כדי שזה ייקח פחות זמן על iPhone. הם טענו ש- AES-128 זה מספיק טוב. ועכשיו זה כבר לא? או שהם עשו פשרה (קטנה) ב- security לטובת שימושיות?
אבל אם טוב לך עם 1Passowrd - שיבושם לך.
בבקשה, תראה לי דיון רציני אחד שעוסק בבעיית ה- security הזאת של LastPass.baloon כתב:מצטער לאכזב אותך אבל הפרצה לLastPass משמעותית שבעתיים מחור האבטחה של 1Password....
הסיסמאות נמצאות בקובץ מוצפן על השרתים שלהם. הוא מפוענח אך ורק בצד של המשתמש. הפעילות על השרתים שלהם מאובטחת ומנותרת הרבה הרבה יותר טוב ממה שאני או אתה יכולים לעשות לבד בבית.baloon כתב:דבר נוסף, לLastPass יש בעיית אבטחה מושרשת שהיא כמובן שמירת הסיסמאות בשרת מרוחק....
יותר מזה: 1Passowrd, באתר שלהם, מציעים למשתמשים להעזר ב- dropbox כדי לסנכרן בין מחשבים! אם זאת כזאת בעיית אבטחה מושרשת הם לא היו כותבים את זה, לא?
שנמשיך? שני הפתרונות משתמשים במודל אבטחה מבוסס סטנדרטים (זה טוב!) זהה שמבוסס על AES-256 ו- PBKDF2. רק שב- 1Password זה יחסית חדש. לפני זה הם השתמשו ב- AES-128 כדי שזה ייקח פחות זמן על iPhone. הם טענו ש- AES-128 זה מספיק טוב. ועכשיו זה כבר לא? או שהם עשו פשרה (קטנה) ב- security לטובת שימושיות?
אבל אם טוב לך עם 1Passowrd - שיבושם לך.
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...
שאין לו את ה-"פארפאלן" שלו...
- ValorHeart
- חבר ותיק
- הודעות: 1348
- הצטרף: מרץ 2012
- נתן תודות: 45 פעמים
- קיבל תודות: 81 פעמים
אלה שאלות לגיטימיות. אני, באופן אישי לא עוקב אחרי גילויים של פרצות אבטחה ופועל כדי לסגור אותן (בנתב, במערכות ההפעלה השונות שמחוברות לרשת, דפדפנים+תוספים וכו') מעבר לעדכונים אוטומטיים.ValorHeart כתב:לפחות ב1Password אתה יכול לסמוך על עצמך, שלא כמו בLastPass אתה צריך לסמוך על גורם חיצוני, דרך אגב לאיזה מאגר סיסמאות האקרים יעדיפו לפרוץ, למחשב האישי שלך שהIP שלו משתנה מהר מאוד או למאגר סיסמאות של LastPass ?....
אני גם לא מנטר אם נעשו ניסיונות חדירה, לדוגמא, ב- log של הנתב (ויש כלים אוטומטיים שעושים פעולות כאלה) לרשת הביתית.
בלי לבדוק, אני אומר לך, באחריות, ששתי החברות האלה עושות את זה ועוד איך. אז על מי אפשר לסמוך יותר?
אז לגבי האקרים: בלי ספק יהיה להם יותר קל לפרוץ אל הרשת הביתית. נכון ששרתי החברה מהווה מטרה יותר אטרקטיבית. אבל אם ב- 1Password מרגישים מספיק בנוח להמליץ על סנכרון של קובץ הסיסמאות בענן באמצעות חברה צד ג' (dropbox) שיש להם אפס שליטה על מה שקורה שם, הם בעצם אומרים שהם סומכים על ההצפנה של הקובץ הזה.
תעשה אתה אחד ועוד אחד: מה שהם אומרים בעצם זה שאין בעיית אבטחה כשהקובץ נמצא בענן, כל עוד מודל ההצפנה מספיק טוב. ולהזכירך, שתי החברות משתמשות באותו מודל הצפנה.
תסכים או לא תסכים, בזאת אני מסיים את מה שיש לי לאמר בנושא.
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...
שאין לו את ה-"פארפאלן" שלו...
- ValorHeart
- חבר ותיק
- הודעות: 1348
- הצטרף: מרץ 2012
- נתן תודות: 45 פעמים
- קיבל תודות: 81 פעמים
אתה גורר אותי לתוך הדיון הזה שוב:ValorHeart כתב:גם הקבצים שלך בdropbox מוצפנים, לכן שיש לך הגנה כפולה, כמו כן צריך לדעת לאיזה חשבון dropbox ספציפי לגשת בשביל להשיג את קבצי הסיסמאות שלך כאשר בLastPass זה ידוע בוודאות שכל הקבצים שם הם סיסמאות של אנשים לכן האקרים ילכו עליהם עלייך הם בכלל לא שמעו ולא מודעים לקיומך שזה מה שטוב....
לגבי ההצפנה של dropbox: למערכות (ולאנשים) של dropbox יש גישה ישירה לקבצים הלא מוצפנים, וזה לא רק עניין תאורטי, הם אשכרה עושים את זה: http://www.pcworld.com/article/2048680/ ... files.html
ז"א, שההצפנה ומפתח ההצפנה נמצאים גם על השרת, ולא רק ב- client. בגלל זה יש אנשים שמצפינים את הקבצים שלהם לפני שהם מעלים אותם ל- dropbox.
אני לא יודע אם ידעת את זה עד עכשיו. אבל עכשיו, תגיד לי איך זה שהאנשים (המומחים לאבטחת מידע) של 1Password עדיין ממליצים על השירות הזה? אפקטיבית, הם אומרים (בלי לאמר) שההצפנה של קובץ הסיסמאות חזקה מספיק שפריצה של הקובץ היא לא מעשית.
אני מקווה שאם תקרא את מה שכתבתי קודם זה ישמע יותר הגיוני/סביר.
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...
שאין לו את ה-"פארפאלן" שלו...
מבחינתי, לשים את קובץ הסיסמאות בענן זה כמו לשים את המפתחות של הבית אצל כל השכנים ברחוב - אם פורצים לאחד מהם - פורצים גם אלי הביתה.
רבותי - כמו שאתם לא משאירים את המפתחות של הבית והאוטו בכל מקום ("רק כדי שיהיה לכם נוח במידה ותזדקקו להם") כך לא עושים עם הסיסמאות שלכם.
הערה אחרונה: אם אני שם יד על קובץ מוצפן (בין אם זה AES128 או AES256 זה רק עניין של זמן עד שאני אוכל לקרוא את התוכן שלו. באמצעים "פרימיטיביים" זה יכול לקחת שבועות, באמצעים מתוחכמים יותר זה עניין של ימים, באמצעים מתוחכמים מאוד זה עניין של דקות עד שעות.
רבותי - כמו שאתם לא משאירים את המפתחות של הבית והאוטו בכל מקום ("רק כדי שיהיה לכם נוח במידה ותזדקקו להם") כך לא עושים עם הסיסמאות שלכם.
הערה אחרונה: אם אני שם יד על קובץ מוצפן (בין אם זה AES128 או AES256 זה רק עניין של זמן עד שאני אוכל לקרוא את התוכן שלו. באמצעים "פרימיטיביים" זה יכול לקחת שבועות, באמצעים מתוחכמים יותר זה עניין של ימים, באמצעים מתוחכמים מאוד זה עניין של דקות עד שעות.
You are never fully dressed without a smile
- ValorHeart
- חבר ותיק
- הודעות: 1348
- הצטרף: מרץ 2012
- נתן תודות: 45 פעמים
- קיבל תודות: 81 פעמים
אני לא גורר אותך לשום מקום, לא רוצה אל תגיב ואל תענה.שלגון כתב:אתה גורר אותי לתוך הדיון הזה שוב:ValorHeart כתב:גם הקבצים שלך בdropbox מוצפנים, לכן שיש לך הגנה כפולה, כמו כן צריך לדעת לאיזה חשבון dropbox ספציפי לגשת בשביל להשיג את קבצי הסיסמאות שלך כאשר בLastPass זה ידוע בוודאות שכל הקבצים שם הם סיסמאות של אנשים לכן האקרים ילכו עליהם עלייך הם בכלל לא שמעו ולא מודעים לקיומך שזה מה שטוב....
לגבי ההצפנה של dropbox: למערכות (ולאנשים) של dropbox יש גישה ישירה לקבצים הלא מוצפנים, וזה לא רק עניין תאורטי, הם אשכרה עושים את זה: http://www.pcworld.com/article/2048680/ ... files.html
ז"א, שההצפנה ומפתח ההצפנה נמצאים גם על השרת, ולא רק ב- client. בגלל זה יש אנשים שמצפינים את הקבצים שלהם לפני שהם מעלים אותם ל- dropbox.
אני לא יודע אם ידעת את זה עד עכשיו. אבל עכשיו, תגיד לי איך זה שהאנשים (המומחים לאבטחת מידע) של 1Password עדיין ממליצים על השירות הזה? אפקטיבית, הם אומרים (בלי לאמר) שההצפנה של קובץ הסיסמאות חזקה מספיק שפריצה של הקובץ היא לא מעשית.
אני מקווה שאם תקרא את מה שכתבתי קודם זה ישמע יותר הגיוני/סביר....
בשביל שמישהוא ירצה למצוא את הסיסמאות שלך הוא יצטרך לאתר איפה אתה שומר את קובץ הסיסמאות המוצפן שלך, אתה לא חייב לסנכרן בDROPBOX, זאת אופציה בלבד.
אם אתה משתמש בשירות אשר ידוע שכל הסיסמאות של כל המשתמשים נמצאים בענן מסויים יהיה הרבה יותר קל לאתר אותך במידה והוא נפרץ, ושם אין לך ברירה, אם תראה ואם לא תרצה הסיסמאות שלך נמצאות בענן.
- mp3lll
- חבר במועדון ה-20K
- הודעות: 20656
- הצטרף: ספטמבר 2007
- נתן תודות: 134 פעמים
- קיבל תודות: 1006 פעמים