Genialne - udostępniać hasła zewnętrznemu programowi czy aplikacji i łudzić się że są bezpieczne Ważne strony - kultowy czarny notes. Mniej ważne strony - google - bo po co kombinować
łudź się dalej, że twoje generyczne hasła są bezpieczne
Keepass i jego warianty, Bitwarden
Każdy menadżer haseł ma plusy i minusy. Zanim wybierzesz sobie menadżer warto zastanowić się jak korzystasz z Internetu i na jakich urządzeniach. Ja korzystam z KeePassXC i bitwardena, ale przez długi okres czasu korzystałem z menadżera wbudowanego w przeglądarkę. Co do KeePassXC moim zdaniem jest wygodniejszy niż KeePass2 lepszy interfejs plus wtyczka do przeglądarki bardzo ułatwiają sprawę, z minusów to trzeba mieć miejsce w którym będzie baza i będzie się ją synchronizowało pomiędzy urządzeniami. Jeśli baza nie wycieknie to jest się bezpiecznemu, jak baza trafi do Internetu to wszystkie hasła najlepiej od razu zmienić. Bo złamanie bazy zabezpieczonej 32znakami to 30minut. Niestety bazę keepassa możemy powielić sobie dowolną ilość razy i wrzucić skrypt który będzie łamać nam hasło. Bitwarden - moim zdaniem mniej wygodny pod względem funkcjonalności i przejrzystości przechowywanych haseł, ale serwer można hostować na własnym komputerze, będziemy mieli łatwy dostęp do haseł ze wszystkich urządzeń przez interfejs przeglądarkowy. Jednocześnie interfejs przeglądarkowy to najbardziej dziurawy interfejs i bardzo często pojawiają się dziury w systemie, więc najlepiej mieć to skonfigurowane u siebie w sieci, a na świat dostęp jedynie przez VPN. Zwłaszcza, że pojawiają się podatności które potrafią posadzić bazę danych. Hasła w przeglądarce - na pewno lepsze rozwiązanie niż żadne zwłaszcza, że widzę, że część użytkowników korzysta z menadżera haseł zwanego notatnik (na Windowsie). Hasła w notesie fizycznym - dobre rozwiązanie tylko mało wygodne i podatne na ataki typu phishing.
Dodam od siebie w punktach na co zwrócić uwagę: 1. Myśleć i czytać w co się klika w internecie 2. Yubikey - bądź inny klucz fizyczny do każdego serwisu jaki go wspiera 3. Uwierzytelnianie dwuskładnikowe - tam gdzie nie ma Yubikey-a 4. Menadżer haseł z losowymi hasłami 32 znakowymi lub w zależności od serwisu maksymalny możliwy (Banki nie dbają o nasze bezpieczeństwo więc chyba wszystkie maksymalnie pozwalają na 16 znakowe hasło) 5. Bezpieczne hasło do komputera/telefonu/maila na który przychodzą resetowane hasła - te hasła powinieneś znać na pamięć. Najłatwiej jest mieć długie i proste hasło, w tym przypadku najbardziej bezpieczne są hasła pięcio-wyrazowe z dodatkowymi znakami/liczbami. Przykład: Kot1@Wiadro1@Cela1@Dom1@Zbuju - takie hasło jest długie zawiera różne znaki, żaden słownik haseł nie zawiera takich wpisów. Nawet jak wycieknie nam takie hasło i podobne będziemy używać w innych serwisach to też nie jest ktoś w stanie tego złamać.
Bitwarden (Edytowano)
Bitwarden
Google wbudowany
Ja korzystam z managera Firefox +do wszystkich istotnych stron klucz U2F i hasła jednorazowe z Microsoft Authenticator. Hasła do aplikacji w menadżerze haseł Google. Jak na razie nie miałem problemów z tego powodu. Kilka razu byłem tylko zhackowany. Raz przejęli mi konto na Onecie bo miałem takie samo hasło jak do forum. Drugim razem przejęto mi Telegram do dziś nie wiem jak się to stało jest to możliwe że przez instalację niestandardowej skórki/wyglądu?
Hasła do aplikacji w menadżerze haseł Google.
:D:D:D:D
Bezpieczeństwo pełną gębą.
Głowa! Nie wyobrażam sobie trzymania haseł w innym miejscu. Jest ich bardzo dużo i czasem jakiegoś zapomnę, ale wystarczy zrobić przypomnienie hasła. Jakbym trzymał hasła w jakimś pliku i później go stracił, to nie miałbym dostępu do niczego. W Internecie też wolę nie trzymać, żeby nikt nie ukradł. Albo np. miałbym hasła u siebie w komputerze, a musiałbym się zalogować do czegoś w telefonie albo u kogoś. Co wtedy? Lepiej mieć hasło, które łatwo zapamiętać, a dla kogoś innego będzie trudne. Logowanie się na maila czy do banku to i tak trzeba potwierdzać innym mailem albo telefonem.
W głowie ciężko trzymać hasła 20 znakowe do ponad 100 stron Twoje hasła są proste albo będą się powtarzać. Ja widziałem hasła jakie ludzie mają "kocham+imiędziewczyny12" "imiępsa123" "polska123" Ja robię tak: •Hasła ustawić wygenerowane długie z symbolami •Hasla zapamiętać w dobrym menedżerze haseł Po to jest menedżer haseł z synchronizacją żeby mieć hasła na komputerze i w smartfonie. Można też je wyeksportować na jakąś microSD zaszyfrowaną o małej pojemności przeznaczoną tylko do przechowywania haseł. Hasło do karty można wydrukować/skonwertować na QR i wydrukować przechowywać w innej lokalizacji. •We wszystkich możliwych usługach ustawić uwierzytelnianie 2 składnikowe kupić i podłączyć klucz sprzętowy + jednorazowe hasła dla wygody korzystania i na wypadek wycieku haseł z usługi. Były już takie przypadki (LastPass) •szyfrować dysk na wypadek kradzieży/zgubienia urządzenia
Autor
Dzięki, właśnie sprawdzam tego bitwardena i b wiele osób go poleca, więc chyba dam mu szansę
Jeżeli jakakolwiek funkcja związana bezpośrednio z zabezpieczeniem bazy haseł jest płatna to taki menedżer nie jest bezpłatny, a tak jest właśnie z Bitwardenem.
Keepass i warianty.
Keepass
Bitwarden, może też Proton Pass, ale tu płatne opcje są dość drogie.
Jak rozważasz kwestie menadżera haseł, warto pomyśleć też o aplikacji do kodów 2FA/MFA. (Edytowano)
Autor
Dzięki, no na razie wybrałem tego bitwardena, robię porządki itd. Potem się tymi kodami zainteresuję.
29 Komentarzy
sortowanie:Ważne strony - kultowy czarny notes.
Mniej ważne strony - google - bo po co kombinować
Ja korzystam z KeePassXC i bitwardena, ale przez długi okres czasu korzystałem z menadżera wbudowanego w przeglądarkę.
Co do KeePassXC moim zdaniem jest wygodniejszy niż KeePass2 lepszy interfejs plus wtyczka do przeglądarki bardzo ułatwiają sprawę, z minusów to trzeba mieć miejsce w którym będzie baza i będzie się ją synchronizowało pomiędzy urządzeniami. Jeśli baza nie wycieknie to jest się bezpiecznemu, jak baza trafi do Internetu to wszystkie hasła najlepiej od razu zmienić. Bo złamanie bazy zabezpieczonej 32znakami to 30minut. Niestety bazę keepassa możemy powielić sobie dowolną ilość razy i wrzucić skrypt który będzie łamać nam hasło.
Bitwarden - moim zdaniem mniej wygodny pod względem funkcjonalności i przejrzystości przechowywanych haseł, ale serwer można hostować na własnym komputerze, będziemy mieli łatwy dostęp do haseł ze wszystkich urządzeń przez interfejs przeglądarkowy. Jednocześnie interfejs przeglądarkowy to najbardziej dziurawy interfejs i bardzo często pojawiają się dziury w systemie, więc najlepiej mieć to skonfigurowane u siebie w sieci, a na świat dostęp jedynie przez VPN. Zwłaszcza, że pojawiają się podatności które potrafią posadzić bazę danych.
Hasła w przeglądarce - na pewno lepsze rozwiązanie niż żadne zwłaszcza, że widzę, że część użytkowników korzysta z menadżera haseł zwanego notatnik (na Windowsie).
Hasła w notesie fizycznym - dobre rozwiązanie tylko mało wygodne i podatne na ataki typu phishing.
Dodam od siebie w punktach na co zwrócić uwagę:
1. Myśleć i czytać w co się klika w internecie
2. Yubikey - bądź inny klucz fizyczny do każdego serwisu jaki go wspiera
3. Uwierzytelnianie dwuskładnikowe - tam gdzie nie ma Yubikey-a
4. Menadżer haseł z losowymi hasłami 32 znakowymi lub w zależności od serwisu maksymalny możliwy (Banki nie dbają o nasze bezpieczeństwo więc chyba wszystkie maksymalnie pozwalają na 16 znakowe hasło)
5. Bezpieczne hasło do komputera/telefonu/maila na który przychodzą resetowane hasła - te hasła powinieneś znać na pamięć. Najłatwiej jest mieć długie i proste hasło, w tym przypadku najbardziej bezpieczne są hasła pięcio-wyrazowe z dodatkowymi znakami/liczbami. Przykład: Kot1@Wiadro1@Cela1@Dom1@Zbuju - takie hasło jest długie zawiera różne znaki, żaden słownik haseł nie zawiera takich wpisów. Nawet jak wycieknie nam takie hasło i podobne będziemy używać w innych serwisach to też nie jest ktoś w stanie tego złamać.
:D:D:D:D
Bezpieczeństwo pełną gębą.
Jakbym trzymał hasła w jakimś pliku i później go stracił, to nie miałbym dostępu do niczego.
W Internecie też wolę nie trzymać, żeby nikt nie ukradł.
Albo np. miałbym hasła u siebie w komputerze, a musiałbym się zalogować do czegoś w telefonie albo u kogoś. Co wtedy? Lepiej mieć hasło, które łatwo zapamiętać, a dla kogoś innego będzie trudne. Logowanie się na maila czy do banku to i tak trzeba potwierdzać innym mailem albo telefonem.
Ja robię tak:
•Hasła ustawić wygenerowane długie z symbolami
•Hasla zapamiętać w dobrym menedżerze haseł
Po to jest menedżer haseł z synchronizacją żeby mieć hasła na komputerze i w smartfonie. Można też je wyeksportować na jakąś microSD zaszyfrowaną o małej pojemności przeznaczoną tylko do przechowywania haseł.
Hasło do karty można wydrukować/skonwertować na QR i wydrukować przechowywać w innej lokalizacji.
•We wszystkich możliwych usługach ustawić uwierzytelnianie 2 składnikowe kupić i podłączyć klucz sprzętowy + jednorazowe hasła dla wygody korzystania i na wypadek wycieku haseł z usługi. Były już takie przypadki (LastPass)
•szyfrować dysk na wypadek kradzieży/zgubienia urządzenia
Jak rozważasz kwestie menadżera haseł, warto pomyśleć też o aplikacji do kodów 2FA/MFA. (Edytowano)