איך מנהלים סיסמאות?

פורום רשתות, IT ומחשוב כללי - רשתות, ראוטרים, מחשבים ניידים, אביזרים וכו'.
Shayosef
סמל אישי של משתמש
חבר מכור קשה
חבר מכור קשה
הודעות: 5891
הצטרף: אפריל 2007
מיקום: תל אביב
נתן תודות: 448 פעמים
קיבל תודות: 242 פעמים

נושא שלא נקרא #16 

אף אחד כאן לא משתמש ב Keeper ?
שי

Shayosef
סמל אישי של משתמש
חבר מכור קשה
חבר מכור קשה
הודעות: 5891
הצטרף: אפריל 2007
מיקום: תל אביב
נתן תודות: 448 פעמים
קיבל תודות: 242 פעמים

נושא שלא נקרא #17 

ValorHeart כתב:Shed בגלל שאני חושב כמוך הלכתי על 1Password, זאת תוכנה יקרה אמנם שעולה 200 ש"ח אבל היא בדיוק עונה על הצרכבים שבאמת חשובים שמשאירים אותך בשליטה ולא אף אחד אחר
...
התקנתי בעקבות ההמלצות כאן, עובד יפה מאוד, גם ה extension לדפדפן מצויין אבל לעומת Keeper ששומרת את המידע בענן וניתן לגשת אליו מכל מקום בעולם ממחשב רגיל, ב 1password הסטרינג ססמאות נשמר מקומית או דרך שירות ענן צד שלישי כגון dropbox.

כלומר אם אתה זקוק למידע מסונכרן בין המחשבים השונים ולמכשירים ניידים כמו טלפונים וטאבלטים אתה צריך שתי אפליקציות שונות (שומר הססמאות ושירות הענן) ולסמוך על שירות הענן כדי שהסטרינג ססמאות שלך ישמר בו. אז מה ההגיון ?

keeper עושה את כל זה לבד, לאלו שמחפשים סנכרון אני לא רואה את ההיתרון של 1password עליה.

אני טועה ?
שי

mp3lll
סמל אישי של משתמש
חבר במועדון ה-20K
חבר במועדון ה-20K
הודעות: 20656
הצטרף: ספטמבר 2007
נתן תודות: 134 פעמים
קיבל תודות: 1006 פעמים

נושא שלא נקרא #18 

לא טועה, רק רובופון לטעמי טובה יותר...
"הציבור מטומטם ולכן הציבור משלם" - אין יותר אקטואלי מזה.

שלגון
חבר ותיק
חבר ותיק
הודעות: 2676
הצטרף: נובמבר 2005
נתן תודות: 461 פעמים
קיבל תודות: 681 פעמים

נושא שלא נקרא #19 

Shayosef כתב:אף אחד כאן לא משתמש ב Keeper ?
...
רק לפי מה שמופיע בדף הפיצ'רים של Keeper, אני חושב ש- LastPass נותנת יותר. גם בגרסה החינמית.
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...

baloon
חבר פעיל
חבר פעיל
הודעות: 82
הצטרף: פברואר 2013
נתן תודות: 1 פעם
קיבל תודות: 2 פעמים

נושא שלא נקרא #20 

שלגון כתב:
ValorHeart כתב:Shed בגלל שאני חושב כמוך הלכתי על 1Password, זאת תוכנה יקרה אמנם שעולה 200 ש"ח אבל היא בדיוק עונה על הצרכבים שבאמת חשובים שמשאירים אותך בשליטה ולא אף אחד אחר
...
מחיר יקר וגם אחסון מקומי הם לא תעודות ביטוח:
http://web.nvd.nist.gov/view/vuln/searc ... ll&cves=on
תשווה את זה, לדוגמא, ל- LastPass שאין תיעוד ידוע של פרצה (טפו טפו טפו). בנוסף, כשהם גילו פעילות מוזרה על השרת שלהם הם התנהלו בשקיפות מוחלטת ופירסמו את זה, דיווחו על פעולות נוספות שהם נקטו ונתנו המלצות למשתמשים: http://blog.lastpass.com/2011/05/lastpa ... ation.html
...
מצטער לאכזב אותך אבל הפרצה לLastPass משמעותית שבעתיים מחור האבטחה של 1Password.
דבר נוסף, לLastPass יש בעיית אבטחה מושרשת שהיא כמובן שמירת הסיסמאות בשרת מרוחק.

שלגון
חבר ותיק
חבר ותיק
הודעות: 2676
הצטרף: נובמבר 2005
נתן תודות: 461 פעמים
קיבל תודות: 681 פעמים

נושא שלא נקרא #21 

אתה טועה ומטעה.
baloon כתב:מצטער לאכזב אותך אבל הפרצה לLastPass משמעותית שבעתיים מחור האבטחה של 1Password.
...
בבקשה, תראה לי דיון רציני אחד שעוסק בבעיית ה- security הזאת של LastPass.
baloon כתב:דבר נוסף, לLastPass יש בעיית אבטחה מושרשת שהיא כמובן שמירת הסיסמאות בשרת מרוחק.
...
הסיסמאות נמצאות בקובץ מוצפן על השרתים שלהם. הוא מפוענח אך ורק בצד של המשתמש. הפעילות על השרתים שלהם מאובטחת ומנותרת הרבה הרבה יותר טוב ממה שאני או אתה יכולים לעשות לבד בבית.
יותר מזה: 1Passowrd, באתר שלהם, מציעים למשתמשים להעזר ב- dropbox כדי לסנכרן בין מחשבים! אם זאת כזאת בעיית אבטחה מושרשת הם לא היו כותבים את זה, לא? 8)
שנמשיך? שני הפתרונות משתמשים במודל אבטחה מבוסס סטנדרטים (זה טוב!) זהה שמבוסס על AES-256 ו- PBKDF2. רק שב- 1Password זה יחסית חדש. לפני זה הם השתמשו ב- AES-128 כדי שזה ייקח פחות זמן על iPhone. הם טענו ש- AES-128 זה מספיק טוב. ועכשיו זה כבר לא? או שהם עשו פשרה (קטנה) ב- security לטובת שימושיות?

אבל אם טוב לך עם 1Passowrd - שיבושם לך.
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...

ValorHeart
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 1348
הצטרף: מרץ 2012
נתן תודות: 45 פעמים
קיבל תודות: 81 פעמים

נושא שלא נקרא #22 

לפחות ב1Password אתה יכול לסמוך על עצמך, שלא כמו בLastPass אתה צריך לסמוך על גורם חיצוני, דרך אגב לאיזה מאגר סיסמאות האקרים יעדיפו לפרוץ, למחשב האישי שלך שהIP שלו משתנה מהר מאוד או למאגר סיסמאות של LastPass ?.

שלגון
חבר ותיק
חבר ותיק
הודעות: 2676
הצטרף: נובמבר 2005
נתן תודות: 461 פעמים
קיבל תודות: 681 פעמים

נושא שלא נקרא #23 

ValorHeart כתב:לפחות ב1Password אתה יכול לסמוך על עצמך, שלא כמו בLastPass אתה צריך לסמוך על גורם חיצוני, דרך אגב לאיזה מאגר סיסמאות האקרים יעדיפו לפרוץ, למחשב האישי שלך שהIP שלו משתנה מהר מאוד או למאגר סיסמאות של LastPass ?.
...
אלה שאלות לגיטימיות. אני, באופן אישי לא עוקב אחרי גילויים של פרצות אבטחה ופועל כדי לסגור אותן (בנתב, במערכות ההפעלה השונות שמחוברות לרשת, דפדפנים+תוספים וכו') מעבר לעדכונים אוטומטיים.
אני גם לא מנטר אם נעשו ניסיונות חדירה, לדוגמא, ב- log של הנתב (ויש כלים אוטומטיים שעושים פעולות כאלה) לרשת הביתית.
בלי לבדוק, אני אומר לך, באחריות, ששתי החברות האלה עושות את זה ועוד איך. אז על מי אפשר לסמוך יותר?

אז לגבי האקרים: בלי ספק יהיה להם יותר קל לפרוץ אל הרשת הביתית. נכון ששרתי החברה מהווה מטרה יותר אטרקטיבית. אבל אם ב- 1Password מרגישים מספיק בנוח להמליץ על סנכרון של קובץ הסיסמאות בענן באמצעות חברה צד ג' (dropbox) שיש להם אפס שליטה על מה שקורה שם, הם בעצם אומרים שהם סומכים על ההצפנה של הקובץ הזה.

תעשה אתה אחד ועוד אחד: מה שהם אומרים בעצם זה שאין בעיית אבטחה כשהקובץ נמצא בענן, כל עוד מודל ההצפנה מספיק טוב. ולהזכירך, שתי החברות משתמשות באותו מודל הצפנה.

תסכים או לא תסכים, בזאת אני מסיים את מה שיש לי לאמר בנושא.
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...

ValorHeart
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 1348
הצטרף: מרץ 2012
נתן תודות: 45 פעמים
קיבל תודות: 81 פעמים

נושא שלא נקרא #24 

גם הקבצים שלך בdropbox מוצפנים, לכן שיש לך הגנה כפולה, כמו כן צריך לדעת לאיזה חשבון dropbox ספציפי לגשת בשביל להשיג את קבצי הסיסמאות שלך כאשר בLastPass זה ידוע בוודאות שכל הקבצים שם הם סיסמאות של אנשים לכן האקרים ילכו עליהם עלייך הם בכלל לא שמעו ולא מודעים לקיומך שזה מה שטוב.

שלגון
חבר ותיק
חבר ותיק
הודעות: 2676
הצטרף: נובמבר 2005
נתן תודות: 461 פעמים
קיבל תודות: 681 פעמים

נושא שלא נקרא #25 

ValorHeart כתב:גם הקבצים שלך בdropbox מוצפנים, לכן שיש לך הגנה כפולה, כמו כן צריך לדעת לאיזה חשבון dropbox ספציפי לגשת בשביל להשיג את קבצי הסיסמאות שלך כאשר בLastPass זה ידוע בוודאות שכל הקבצים שם הם סיסמאות של אנשים לכן האקרים ילכו עליהם עלייך הם בכלל לא שמעו ולא מודעים לקיומך שזה מה שטוב.
...
אתה גורר אותי לתוך הדיון הזה שוב:

לגבי ההצפנה של dropbox: למערכות (ולאנשים) של dropbox יש גישה ישירה לקבצים הלא מוצפנים, וזה לא רק עניין תאורטי, הם אשכרה עושים את זה: http://www.pcworld.com/article/2048680/ ... files.html
ז"א, שההצפנה ומפתח ההצפנה נמצאים גם על השרת, ולא רק ב- client. בגלל זה יש אנשים שמצפינים את הקבצים שלהם לפני שהם מעלים אותם ל- dropbox.
אני לא יודע אם ידעת את זה עד עכשיו. אבל עכשיו, תגיד לי איך זה שהאנשים (המומחים לאבטחת מידע) של 1Password עדיין ממליצים על השירות הזה? אפקטיבית, הם אומרים (בלי לאמר) שההצפנה של קובץ הסיסמאות חזקה מספיק שפריצה של הקובץ היא לא מעשית.

אני מקווה שאם תקרא את מה שכתבתי קודם זה ישמע יותר הגיוני/סביר.
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...

Shed
גורו HTPC
גורו HTPC
הודעות: 2832
הצטרף: אפריל 2007
נתן תודות: 9 פעמים
קיבל תודות: 135 פעמים

נושא שלא נקרא #26 

מבחינתי, לשים את קובץ הסיסמאות בענן זה כמו לשים את המפתחות של הבית אצל כל השכנים ברחוב - אם פורצים לאחד מהם - פורצים גם אלי הביתה.
רבותי - כמו שאתם לא משאירים את המפתחות של הבית והאוטו בכל מקום ("רק כדי שיהיה לכם נוח במידה ותזדקקו להם") כך לא עושים עם הסיסמאות שלכם.

הערה אחרונה: אם אני שם יד על קובץ מוצפן (בין אם זה AES128 או AES256 זה רק עניין של זמן עד שאני אוכל לקרוא את התוכן שלו. באמצעים "פרימיטיביים" זה יכול לקחת שבועות, באמצעים מתוחכמים יותר זה עניין של ימים, באמצעים מתוחכמים מאוד זה עניין של דקות עד שעות.
You are never fully dressed without a smile

Shayosef
סמל אישי של משתמש
חבר מכור קשה
חבר מכור קשה
הודעות: 5891
הצטרף: אפריל 2007
מיקום: תל אביב
נתן תודות: 448 פעמים
קיבל תודות: 242 פעמים

נושא שלא נקרא #27 

עברתי ל 1password , אני גם בדעה שענן של חברת שמירת ססמאות מועד לפורענות הרבה יותר מענן פרטי.

בינתיים מרוצה מאוד , מצפה לעדכון האפליקציות ל iOS 7 וקצת טאצ׳ים ל ui בחלונות.
שי

שלגון
חבר ותיק
חבר ותיק
הודעות: 2676
הצטרף: נובמבר 2005
נתן תודות: 461 פעמים
קיבל תודות: 681 פעמים

נושא שלא נקרא #28 

Shed, אולי אתה גורו ב- HTPC, אבל ממה שכתבת אני מבין שאין לך מושג בהצפנה.
ואין לך "געוואלד געצרוכען"
שאין לו את ה-"פארפאלן" שלו...

ValorHeart
סמל אישי של משתמש
חבר ותיק
חבר ותיק
הודעות: 1348
הצטרף: מרץ 2012
נתן תודות: 45 פעמים
קיבל תודות: 81 פעמים

נושא שלא נקרא #29 

שלגון כתב:
ValorHeart כתב:גם הקבצים שלך בdropbox מוצפנים, לכן שיש לך הגנה כפולה, כמו כן צריך לדעת לאיזה חשבון dropbox ספציפי לגשת בשביל להשיג את קבצי הסיסמאות שלך כאשר בLastPass זה ידוע בוודאות שכל הקבצים שם הם סיסמאות של אנשים לכן האקרים ילכו עליהם עלייך הם בכלל לא שמעו ולא מודעים לקיומך שזה מה שטוב.
...
אתה גורר אותי לתוך הדיון הזה שוב:

לגבי ההצפנה של dropbox: למערכות (ולאנשים) של dropbox יש גישה ישירה לקבצים הלא מוצפנים, וזה לא רק עניין תאורטי, הם אשכרה עושים את זה: http://www.pcworld.com/article/2048680/ ... files.html
ז"א, שההצפנה ומפתח ההצפנה נמצאים גם על השרת, ולא רק ב- client. בגלל זה יש אנשים שמצפינים את הקבצים שלהם לפני שהם מעלים אותם ל- dropbox.
אני לא יודע אם ידעת את זה עד עכשיו. אבל עכשיו, תגיד לי איך זה שהאנשים (המומחים לאבטחת מידע) של 1Password עדיין ממליצים על השירות הזה? אפקטיבית, הם אומרים (בלי לאמר) שההצפנה של קובץ הסיסמאות חזקה מספיק שפריצה של הקובץ היא לא מעשית.

אני מקווה שאם תקרא את מה שכתבתי קודם זה ישמע יותר הגיוני/סביר.
...
אני לא גורר אותך לשום מקום, לא רוצה אל תגיב ואל תענה.

בשביל שמישהוא ירצה למצוא את הסיסמאות שלך הוא יצטרך לאתר איפה אתה שומר את קובץ הסיסמאות המוצפן שלך, אתה לא חייב לסנכרן בDROPBOX, זאת אופציה בלבד.

אם אתה משתמש בשירות אשר ידוע שכל הסיסמאות של כל המשתמשים נמצאים בענן מסויים יהיה הרבה יותר קל לאתר אותך במידה והוא נפרץ, ושם אין לך ברירה, אם תראה ואם לא תרצה הסיסמאות שלך נמצאות בענן.

mp3lll
סמל אישי של משתמש
חבר במועדון ה-20K
חבר במועדון ה-20K
הודעות: 20656
הצטרף: ספטמבר 2007
נתן תודות: 134 פעמים
קיבל תודות: 1006 פעמים

נושא שלא נקרא #30 

שלגון כתב:Shed, אולי אתה גורו ב- HTPC, אבל ממה שכתבת אני מבין שאין לך מושג בהצפנה.
...
חה הצחקת אותי, אתה כנראה לא יודע מי הוא באמת.
אל תכתוב סתם דברים אם אתה לא יודע (n)

שלח תגובה

חזור אל “רשתות, אינטרנט ו- Fiber”