Dnia Wed, 30 Apr 2014 20:40:39 +0200, Kamil Jońca napisał(a):

> Nie rozumiemy się :) Ja potrafię sobie zapisać hasła. Ale tu padła nazwa
> czegoś co miało być "lepsze". Tylko, że jakby dla mnie ta lepszość jest
> wirtualna.

Nie jest "lepsze", jest wygodniejsze niż pamięć. Ale ma swoje wady: baza
haseł może być szyfrowana najlepszym algorytmem, ale wystarczy dorwać się
do klawiatury pozostawionego bez opieki komputera i pozamiatane, wszystko
jak na talerzu.

--
Borys Pogoreło
borys(#)leszno,edu,pl

do góry

On 2014-04-30, Borys Pogoreło <b...@p...edu.leszno> wrote:

[...]

>> Nie rozumiemy się :) Ja potrafię sobie zapisać hasła. Ale tu padła nazwa
>> czegoś co miało być "lepsze". Tylko, że jakby dla mnie ta lepszość jest
>> wirtualna.
>
> Nie jest "lepsze", jest wygodniejsze niż pamięć. Ale ma swoje wady: baza
> haseł może być szyfrowana najlepszym algorytmem, ale wystarczy dorwać się
> do klawiatury pozostawionego bez opieki komputera i pozamiatane, wszystko
> jak na talerzu.

No niespecjalnie. Musisz najpierw odblokować bazę, a to jest czasowe.
Więc "okno" na dostanie się jest bardzo krótkie. :)

--
Wojciech Bańcer
p...@p...pl

do góry

Dnia Wed, 30 Apr 2014 22:53:43 +0200, Wojciech Bancer napisał(a):

>> Nie jest "lepsze", jest wygodniejsze niż pamięć. Ale ma swoje wady: baza
>> haseł może być szyfrowana najlepszym algorytmem, ale wystarczy dorwać się
>> do klawiatury pozostawionego bez opieki komputera i pozamiatane, wszystko
>> jak na talerzu.
>
> No niespecjalnie. Musisz najpierw odblokować bazę, a to jest czasowe.
> Więc "okno" na dostanie się jest bardzo krótkie. :)

Kwestia konfiguracji, AFAIR domyślne ustawienia keepass nie włączają
blokowania.

BTW: czy próbowałeś jakichś niestandardowych metod uwierzytelniania w tym
programie (biometria, token, karta)?

--
Borys Pogoreło
borys(#)leszno,edu,pl

do góry

On 2014-04-30, Borys Pogoreło <b...@p...edu.leszno> wrote:

[...]

>> No niespecjalnie. Musisz najpierw odblokować bazę, a to jest czasowe.
>> Więc "okno" na dostanie się jest bardzo krótkie. :)
>
> Kwestia konfiguracji, AFAIR domyślne ustawienia keepass nie włączają
> blokowania.

Pisałem o 1Password akurat. Domyślnie lockuje.


--
Wojciech Bańcer
p...@p...pl

do góry

W dniu środa, 30 kwietnia 2014 16:29:50 UTC+2 użytkownik Wojciech Bancer napisał:
> On 2014-04-30, Kamil Jo�ca <k...@p...onet.pl> wrote:
>
>
>
> [...]
>
>
>
> >> IMHO to jest lepsze rozwi�zanie:
>
> >> https://agilebits.com/onepassword
>
> >
>
> > A na czym polega jego "lepszo��"?
>
>
>
> Has�a lokalnie s� przechowywane w formie zaszyfrowanej, a sam program jest
>
> uniwersalny, pozwala np. na ich synchronizacj� bazy z tel. kom i u�ycie
>
> w r�nych przegl�darkach tego samego zestawu hase�.
>
>
>
> --
>
> Wojciech Ba�cer
>
> p...@p...pl

Rozumiem, że hasło do tych haseł nie jest lokalnie przechowywane.
Po wpisaniu przez użytkownika jest konwertowane na jakiś klucz symetryczny,
który deszyfruje hasła z bazy. Tak to działa?

do góry

Dnia Mon, 5 May 2014 09:43:32 -0700 (PDT), Zibo napisał(a):

> Rozumiem, że hasło do tych haseł nie jest lokalnie przechowywane.
> Po wpisaniu przez użytkownika jest konwertowane na jakiś klucz symetryczny,
> który deszyfruje hasła z bazy. Tak to działa?

Tak, do tego hasło główne może być różne - z głowy, z biometrii, ze
sprzętu, czy nawet na podstawie zawartości wybranego pliku na dysku.

--
Borys Pogoreło
borys(#)leszno,edu,pl

do góry

Dnia Wed, 30 Apr 2014 07:41:17 +0200, J.F. napisał(a):

>> Hasła do banku bym "nie zapamiętał" w przeglądarce bez względu na to, na
>> jakim kompie bym się logował.
> No widzisz, a tu delikwent grzecznie spytany, odpowiada "tak,
> zapamietac".
Znaczy się, że sam się prosi o kłopoty. Wiem, że potem w razie draki będzie
zwalanie winy na innych, ale minimum odruchów obronnych człowiek powinien
jednak mieć - zwłaszcza jeżeli chodzi o finanse.
:-)

>> powiązania stałego hasła z dynamicznie generowanym ciągiem (token).
> Ale to drogo i banki od tego odchodza.
Byłaby szkoda, bo mi token bardzo pasuje. Żałuję, że jednak sync nie ma
tokena - jakieś większe poczucice bezpieczeństwa mam.

Co ciekawe, w PKO SA przy okazji kredytu założyliśmy konto ROR (norma) i
póki co jest hasło na SMSa, ale mają powrócić do tokenów jak tylko coś
poprawią / naprawią w swoim systemie.


--
Franc

do góry

Franc <w...@w...pl> writes:

> Dnia Wed, 30 Apr 2014 07:41:17 +0200, J.F. napisał(a):
>
>>> Hasła do banku bym "nie zapamiętał" w przeglądarce bez względu na to, na
>>> jakim kompie bym się logował.
>> No widzisz, a tu delikwent grzecznie spytany, odpowiada "tak,
>> zapamietac".
> Znaczy się, że sam się prosi o kłopoty. Wiem, że potem w razie draki będzie
> zwalanie winy na innych, ale minimum odruchów obronnych człowiek powinien
> jednak mieć - zwłaszcza jeżeli chodzi o finanse.
> :-)
Ale tu pojawia się pytanie czy większe jest ryzyko wykradzenia z
przeglądarki, czy też podejrzenie keyloggerem w czasie wpisywwania.

KJ

--
http://blogdebart.pl/2009/12/22/mamy-chorych-dzieci/

do góry

Użytkownik "Kamil "Jońca"" napisał
> Dnia Wed, 30 Apr 2014 07:41:17 +0200, J.F. napisał(a):
>>>> Hasła do banku bym "nie zapamiętał" w przeglądarce bez względu na
>>>> to, na
>>>> jakim kompie bym się logował.
>>> No widzisz, a tu delikwent grzecznie spytany, odpowiada "tak,
>>> zapamietac".
>> Znaczy się, że sam się prosi o kłopoty. Wiem, że potem w razie
>> draki będzie
>> zwalanie winy na innych, ale minimum odruchów obronnych człowiek
>> powinien
>> jednak mieć - zwłaszcza jeżeli chodzi o finanse. :-)
>Ale tu pojawia się pytanie czy większe jest ryzyko wykradzenia z
>przeglądarki, czy też podejrzenie keyloggerem w czasie wpisywwania.

Jak ci sie keylogger zainstalowal, to bez problemu moze takze hasla z
przegladarki wyslac.
One tam niby jakos zaszyfrowane, ale chyba kiepsko.

J.
\

do góry

W dniu wtorek, 6 maja 2014 13:43:43 UTC+2 użytkownik J.F napisał:
> U�ytkownik "Kamil "Jo�ca"" napisa�
>
> > Dnia Wed, 30 Apr 2014 07:41:17 +0200, J.F. napisaďż˝(a):
>
> >>>> Has�a do banku bym "nie zapami�ta�" w przegl�darce bez wzgl�du na
>
> >>>> to, na
>
> >>>> jakim kompie bym siďż˝ logowaďż˝.
>
> >>> No widzisz, a tu delikwent grzecznie spytany, odpowiada "tak,
>
> >>> zapamietac".
>
> >> Znaczy si�, �e sam si� prosi o k�opoty. Wiem, �e potem w razie
>
> >> draki b�dzie
>
> >> zwalanie winy na innych, ale minimum odruch�w obronnych cz�owiek
>
> >> powinien
>
> >> jednak mie� - zw�aszcza je�eli chodzi o finanse. :-)
>
> >Ale tu pojawia si� pytanie czy wi�ksze jest ryzyko wykradzenia z
>
> >przegl�darki, czy te� podejrzenie keyloggerem w czasie wpisywwania.
>
>
>
> Jak ci sie keylogger zainstalowal, to bez problemu moze takze hasla z
>
> przegladarki wyslac.
>
> One tam niby jakos zaszyfrowane, ale chyba kiepsko.
>
>
>
> J.
>
> \

Przecież keylogger działa tak, że loguje to co ktoś wystukał na klawiaturze,
a nie co przeglądarka trzyma

do góry