@Eustachy_goli_pachy: darmowy, aktualizowany, dość prosty, "lekki", analiza "poziomu" haseł oraz ich podobieństwa, bardzo lubię opcję usuwania hasła z pamięci po zadanym czasie np. 30 sek, całkiem "fajny" generator haseł, do domu czy małej firmy idealny
No i co cię ta chmura boli? Przecież nawet gdy wyciekały bazy danych np LastPass to były bezużyteczne dla hakerów, zaszyfrowane w trzy dupy.
@L3gion: Same pliki tak, tylo wiesz - to że w jednym miejscu są trzymane zaszyfrowane pliki z hasłami setek tysięcy osób powoduje, że opłaca się takie miejsce atakować. A ponieważ taki lastpass jest dystrybuowany cyfrowo i aktualizowany automatycznie to wystarczy zrobić małą wrzutkę do kodu i hasła
Nie podobają mi się osobiście filmy tego gościa, niby ma być technologicznie i konkretnie. A tu chociażby na przykładzie tego filmu, moim zdaniem za dużo gestykulacji, wyrazistych i sztywnych wyrazów twarzy, niepotrzebnych dygresji, filozofowania, teoretyzowania, niepotrzebnej nadmiarowej wiedzy, "krindżowego" śmieszkowania i na siłę wciśniętych memów, za to za mało faktycznej wiedzy w temacie filmu. 10 minut "wprowadzenia", w pozostałych 10 minutach 5 minut faktycznej wiedzy na temat z tytułu. Niby tłumaczone jak
@HeavyFuel: content dla normików, co poradzisz, tak samo kiedyś Kacper Szurek robił bardzo techniczny i wartościowy content ale żeby wbić się do mainstreamu trzeba jednak po ludzku mówić ¯_(ツ)_/¯
Dziwne że komuś się mogło wydawać że hasła mogą wycieknąc z każdego serwisu tylko nie od tych menedzerów haseł. Teraz mają podwójną szanse wycieków i to wszystkich na raz.
@otua: porownujesz troche jablka do gruszek - z innych serwisow wyciekaja hasze hasel (w domysle "crackowalne"), a z menedzerow - prawdziwe kryptogramy. Sam wyciek takiego kryptogramu nie stanowi problemu - mozna by sie nawet pokusic o stwierdzenie - ze moglyby one byc wystawione publicznie (jesli nie zawieralyby zadnych metadanych wskazujacych na wlasciciela). Problemem jest jednak wyciek danych towarzyszacych, ktore mozna wykorzystac do wyludzenia masterpassa.
O ile menadżer jest open source oraz macie unikalne i skomplikowane hasło główne, a także włączone 2fa, to ryzyko jest mniejsze niż przy używaniu keepassa, a co dopiero wygoda. Dlatego bitwarden
Tym bardziej, jeśli taki manager ma być używany w firmie. Nie wyobrażam sobie synchronizacji bazy haseł wśród 50 pracowników. Dokładając do tego jakieś zarządzanie dostępem do wybranych folderów dla wybranych grup/osób - nie ma innego, lepszego rozwiązania niż manager w chmurze.
@zrobmy_sobie_rewolucje: Po (kolejnej) wpadce z LP, postanowiłem się przesiąść na KeepaasXC. Synchronizacja przez wlasnego Nextclouda z dodatkowym zabezpieczeniem jak "otwarcie plikiem" (który jest też kluczem do bazy - jak wycieknie to i tak nikt nic z tym nie zrobi). Niestety przy synchronizacji 6 urządzeń (4 własne i 2 partnerki) występowały dość częste problemy synchronizacji i scalanie z backupu - taki system dobrze działa jeśli pamiętasz aby bazy otwierać/zamykać a nie trzymać
Od jakiegoś czasu korzystam z Bitwardena i póki co polecam. Plusem jest to że jest wtyczka do przeglądarki z funkcją autouzupełnienia, to że mogę trzymać numery kart do płacenia online i póki co brak informacji o wyciekach danych/włamaniach. Oczywiście prędzej czy później to się pewnie stanie, dlatego że działa w chmurze. Mimo wszystko firma na różne raporty reaguję praktycznie od razu i stara się naprawiać błędy bez zbędnego tłumaczenia. W opcji premium
Tylko Bitwarden, jak ktoś nie ufa "obcej" chmurze, może sobie magazyn zainstalować na własnym urządzeniu/chmurce. To że hasła są w chmurze nie oznacza że ktoś z chmury ma do nich dostęp. Cały magazyn jest przeciągany i deszyfrowany po stronie klienta.
@precz_z_komunia: I z pewnością ten nieufny ktoś lepiej zabezpieczy sobie swoja chmurkę przed niechcianym dostępem niż sztab najlepiej opłacanych DevOpsów ( ͡°͜ʖ͡°)
Dobrym rozwiązaniem na tego typu problemy manadżerów haseł jest przechowywanie haseł częściowo. Np ustalenie sobie, że do każdego hasła należy dodać "!%$#@#$%$W_)($%^WykopToRak##". Wtedy ktokolwiek to przejmie bazę to skorzysta tylko na niej tyle, że będzie wiedzieć gdzie macie konta. Ale sama baza nie pozwoli mu na wtargnięcie gdziekolwiek. O U2F gdzie tylko się da chyba nie trzeba przypominać.
Komentarze (129)
najlepsze
@Eustachy_goli_pachy: darmowy, aktualizowany, dość prosty, "lekki", analiza "poziomu" haseł oraz ich podobieństwa, bardzo lubię opcję usuwania hasła z pamięci po zadanym czasie np. 30 sek, całkiem "fajny" generator haseł, do domu czy małej firmy idealny
Jasne wygodniej, bo nie trzeba synchronizować ale za to musicie się liczyć ze znacząco obniżonym bezpieczeństwem.
@L3gion: Same pliki tak, tylo wiesz - to że w jednym miejscu są trzymane zaszyfrowane pliki z hasłami setek tysięcy osób powoduje, że opłaca się takie miejsce atakować. A ponieważ taki lastpass jest dystrybuowany cyfrowo i aktualizowany automatycznie to wystarczy zrobić małą wrzutkę do kodu i hasła
O U2F gdzie tylko się da chyba nie trzeba przypominać.