Wpis z mikrobloga

@brakloginuf: wystarczy wyciek hasla z jednego serwisu ktory nie dba o bezpieczenstwo i wszystkie inne sa skompromitowane, nie jest to bezpieczna metoda niestety

@HackYouToo: i tak i nie, bo w przypadku wycieku ze zwyklego serwisu bedzie tylko jego zakodowana wersja algorytmem jednostronnym, wiec najpierw trzeba jeszcze je "rozkodowac". Skomplikowanego hasla w teczowych tablicach nie znajdziesz aby latwo uzyskac pare jawne haslo <-> hash, w dodatku czesto jest stosowana sol. GdyPokaż całość

@brakloginuf: Dlatego napisalem o wycieku hasla z serwisu ktory nie dba o bezpieczenstwo. Wystarczy jeden taki i caly "system" do piachu. Zakladanie, ze wszystkie serwisy stosuja bezpieczne metody przechowywania hasel jest po prostu bledem i duzym optymizmem moim zdaniem. Sa metody zeby takiego bledu uniknac wiec czemu by ich nie stosowac i zwiekszyc swoje bezpieczenstwo poprzez uzywanie hasel unikalnych?

Zakladanie, ze wszystkie serwisy stosuja bezpieczne metody przechowywania hasel jest po prostu bledem

@HackYouToo: sorki, ale nie w 2021 roku. Co najwyzej student pierwszego roku moze stworzyc cos takiego w ramach nauki gdy nikt mu nie powiedzial. Nikt nie tworzy dzis portali od zera, tylko korzystajac z gotowych modulow, frameworkow, calych cmsow itd i tam zawsze i wszedzie hasla beda kodowane, a jak jednak ktos tworzy od zera to ma pojeciePokaż całość

@brakloginuf: Ale zdajesz sobie sprawe, ze niektore serwisy moga z premedytacja nie hashowac hasel dla swojej wlasnej wygody? Tego nigdy sie nie dowiesz bo nikt sie do tego nie przyzna. Dlatego mowie o twoim bledym zalozeniu, ze kazdy serwis trzyma hasla w bezpieczny sposob. Nie ma sensu polegac na innych jak mozna samemu unikac problemu na przyszlosc.

e niektore serwisy moga z premedytacja nie hashowac hasel dla swojej wlasnej wygody?

@HackYouToo: oczywiscie, ale to serwis musialby byc nastawiony na scam. Na pewno zadna firma tego nie robi bo za to wisi ogromna odpowiedzialnosc (RODO - 20 milionow euro jest granica, a jak wyszlo ze nie kodowales hasel i niedbales o bezpieczenstwo to na pewno z gornej polki kara bedzie), a kazdy wiekszy portal jest prowadzony przez firme. PonadtoPokaż całość

@brakloginuf: Troche wyidealizowane podejscie jak na temat bezpieczenstwa. Pamietaj, ze haslo moze zostac tez skompromitowane w inny sposob niz wyciek z bazy ;)

Troche wyidealizowane podejscie jak na temat bezpieczenstwa.

@HackYouToo: tak samo jak Twoje podejscie do kodowania wszystkiego za pomoca dwustronnego algorytmu jednym kluczem prywatnym. Same plusy widzisz, zero wad. Przeciez klucz prywatny wyciec nie moze, nie?

Nie ma rozwiazan idealnych, a problemy ktore opisujesz dotycza w roznej mierze rowniez managera hasel, tylko tego nie zauwazasz. Ja nigdzie nie mowie ze moja metoda jest idealna, ale na pewno jedna z lepszych aby miecPokaż całość

@brakloginuf: Nie zgodze sie z toba, poniewaz robie co mozliwe, zeby minimalizowac ryzyko zwiazane z wyciekiem hasel poprze uzywanie hasel unikalnych i nie powiazanych ze soba w zaden sposob.

@HackYouToo: ogolnie wszedzie mowisz dobrze, ja zwracam uwage tylko na to ze jak wycieknie masterpassword to i tak dupa. Sam uzywam managera hasel, bo w przypadku kilkuset hasel inaczej sie nie da. Moja metoda to alternatywa dla managera, ktorej uzywam w jakimś % przypadkow, bo czasem bywa ze musze z potencjalnie niezaufanego komputera (typu komputer klienta) zalogowac sie w dane systemy.

@sirpingus: a co jak chcesz wejść na mejla na kompie u ziomka?

@teddybear69: głupi trolling, a ludzie się łapią xD ja prdl

@teddybear69: Największy błąd jaki możesz zrobić to mieć wszędzie to samo hasło. Jak wycieknie z jednego miejsca to polegniesz całkowicie wraz z pieniędzmi. Silne i długie hasła do banku i do poczty oraz sklepów internetowych wszędzie inne, słabsze mogą być na fora i tam gdzie nie ma nic ważnego dla Ciebie
Najlepiej KeePass czy coś podobnego i hasła generowane losowo

@teddybear69: Nie straciłem go od 5 lat to może się uda :D

@teddybear69: pobierz bitwarden i tam twórz sobie hasła przy pomocy generatora (przy okazji zapisując)

@pierogu: Jeśli to nie troll to szkoda strzępić ryja

1password, Lastpassword itp. menadżery haseł. Jeszcze dostaniesz notyfikacje gdy nastąpi wyciek żebyś zmienił hasło

@teddybear69: menedżer haseł i dwustopniowa autoryzacja, najlepiej kluczem typu yubikey. Potrzeba na to nieco hajsu i trochę zabawy z migracją haseł, ale potem masz swięty spokój i bezpieczenstwo