Minden ami jelszó és jelszókezelés

Sziasztok!

Kíváncsi vagyok a véleményeitekre a jelszavak kezelése témakörben. Mivel a mai világban most már annyira nélkülözhetetlenek az informatikai rendszerek, hogy adatainkat, dokumentumainkat mindenképpen védelemmel kell ellátni. Itt jönnek képbe az egy- vagy kétfaktoros hitelesítő rendszerek és a jelszavak, illetve azoknak a tárolása.
Mostanában egyre inkább lehet hallani, hogy ilyen olyan támadásba kerültek akár kisebb akár nagyobb oldalak, amelyek miatt kiszivároghattak email cím/azonosító és jelszó párosítások.

Mint azt már anno a bankkártya használatakor belénk vésték, hogy sose tároljuk a PIN kódunkat a kártya mellett, lassan szerintem mindenkiben tudatosul, hogy a jelszavakkal is nagyon óvatosan kell bánni.

Ennek érdekében akár munkahelyen, iskolában vagy csak otthon tájékoztatni, és ismertetni kell az új vagy kevésbé jártas felhasználókat ezeknek a kezeléséről, amelyekkel csökkenthető annak száma, hogy saját maguk által szivárogjanak ki személyes adatok. (Gondolok itt a különböző jelszó lopó scam másolt weboldalakra.)

Ti használtok valamilyen jelszókezelő alkalmazást, beépülő modult?
Például a LastPass internetes adatbázisától kezdve akár a helyi rendszeren tárolt KeePass alkalmazáson keresztül esetleg a böngészőbe épített alapértelmezett jelszókezelőt.

Volt bármilyen tapasztalatotok, hogy kevésbé biztonságos az egyik mint a másik, vagy véletlenül elfelejtettétek a mester jelszót és nem sikerült bejutni a saját adatbázisotokba? Továbbá azon gondolkoztam, hogy az online is elérhető jelszókezelők mennyire biztonságosak? Én úgy tudom ezeket a jelszavakat a szerverek ugye egyfajta titkosított kódban (hash) tárolják, amit ha beírsz egy sima szöveget azt átkódolja és összehasonlítja a szerveren tárolttal, és ha megegyezik, akkor beenged a rendszer. Tulajdonképpen így kivédve azt, ha kikerülnek a jelszavak.

Mennyire biztonságos az Online szervereken tárolt jelszavak sokasága egy profilhoz kapcsolva?

Mennyire bíztok meg a különféle jelszókezelőkben, és ti szerintetek melyik a jó, mire esküdtök?

Már 10 éve használom lassan a LastPass-t és nállam ez abszolut bejött és megbízom benne. Egyszerű és kényelmes megoldás számomra mert miután belépek az otthini gépen a Windows-ba utánna semmi mást nem kell soha megadnom. (Más nem fér a géphez így ha még futni hagyom is és elmegyek kaját csinálni vagy csak felállok az asztaltól nincs gondom rá)

Backup-ként tartok egy offline KeyPass másolatot a LastPass-os adatbázisomról amit egy HW-kulcsos USB Drive-on tartok.

Jelszókezelő appban nem bízok, elvégre mi a biztosíték h nem pont ők lopják el a cuccaim?
Illetve mint magánember(!) nincsen semmi titkolni valóm, se féltenivalóm így majdnem(!!) mindenhol ugyan azt a módszert használom. Fogok egy szót, ami NEM(!) jellemző rám és nem használom a hétköznapokba, hozzárakok pár random számot plusz a szolgáltatás nevét rövidítve. Így mindenhol más a jelszóm még sem felejtem el soha.
A dolog buktatója h ha valaki rájön a logikára és a szóra akkor majdnem(!) mindenemhez hozzáfér…

Szerencsére mint mondottam magánembernek nincs mit féltenem… Egyedül a Steam accom az érték, azt viszont bármikor visszadja a Valve ha ellopják. (volt már rá példa)

2 Likes

Hasonló logika alapján adom meg én is a jelszóimat ezért nem felejtem el, ergo nincs szükség semmilyen 3rd party appra, amikben nem bízok én sem.

Én még régen kitaláltam egy eléggé összetett jelszót, amit a mai napig használok mindenhol. Amióta lehetőség van több lépcsős beléptetésre és sms értesítésr azóta még azt is használom a számomra fontos szolgáltatásoknál. Pl.: Steam, Gmail. Számomra ez a módszer eléggé bevált.

1 Like

LastPass-t kollégák használnak, dicsérték.
Én Google Keep-be írok, nagyjából az előttem szólók módszerei szerint. Vannak szokásos jelszó kezdetek amiket használok, ezek nincsenek leírva sehova. Az utótagokat vagy számokat írom csak le. És vannak teljesen fake bejegyzések köztük amiket másról jegyzek meg.

1 Like

Én már két éve a LastPass-t használom, és én már odáig mentem, hogy a LastPass által generált 12-20 karakteres jelszavakat használom szinte mindenhová. Van pár hely, ahová nem, de a legtöbb helyen igen. Mobiltelefonon is megvan az alkalmazás, így hozzá tudok férni a jelszavaimhoz, nem jegyzem meg a legtöbbet. Ha esetleg mégis elfelejteném ott van a jelszó emlékeztető és/vagy a kétfaktoros autentikáció, amit ahol lehet használok.

Sajnos mind a KeePass-ról, mind a LastPass-ról derült már ki az évek alatt, hogy feltörhetők, bár visszaélésekről nem hallani. Olyan, hogy biztonságos rendszer nem igazán van jelenleg, kockázatok mindig is voltak és lesznek. Jártam már úgy, hogy elfelejtettem a mesterjelszót, de lehetett kérni emlékeztetőt.

Ezt rendszere és weboldala válogatja, mivel nincs egységesítve a jelszavak kezelése. Volt rá olyan példa, ahol sima txt fájlban, kódolatlanul tárolták az adatokat, amit bárki meg tudott nyitni és ki tudott olvasni belőle érzékeny adatokat. Sok weboldal használja a ma már elavult md5 vagy SHA-1 kódolást, újabban kezd el terjedni az SHA-256 kódolás, illetve egy pár helyen egyedi megoldásokat használnak.

Eleinte úgy gondoltam, hogy abszolút nem biztonságos, de miután egyre több jelszavamat jegyeztettem meg a böngészőmmel, már úgy gondoltam, hogy talán az a megoldás nem ad túl nagy biztonságot, így még mindig jobb, ha egy erős jelszóval védett profilom van, mint egy gyakorlatilag védetlen böngészős mentésem.

Itt elhangzott a klasszikus érv, hogy nekem nincs miért tartanom ettől, nem titkolok semmit. Na most hogy egy nagyon durva és erős hasonlattal éljek, ez kb olyan, mint az oltásellenesség. Hogy miért? Nem csak arról van szó manapság, hogy feltörik az emailjeidet és esetleg találnak benne valami kompromittálót rólad. Elég ha ki tudják nyerni az ismerőseid email címét esetleg telefonszámát (ha Gmail-ben tárolod a Névjegyeket pl.), majd az így kinyert adatokat jó pénzért el tudják adni spamküldő szolgálgatóknak, akik simán meg tudják csinálni azt, hogy akár a te nevedben küldenek az ismerőseidnek spamleveleket, vagy ha más kezekbe kerül akkor a neveddel ellátott vírusos állományt. Ha “szerencséje” van az ismerősödnek akkor csak az ő gépét fertőzi meg, ha nem akkor lehet, hogy egy egész vállalat hálózatát vágja haza.
Vagy mi van akkor, ha az így kinyert email címeket adathalászatra használják?
Én úgy gondolom, hogy a gyenge jelszavak használata és a felelőtlen felhasználói magatartás veszélyezteti mások számítógépes infrastruktúráját, számítógéphasználati élményét, és úgy az internetet is. Ahogy az oltásellenesek veszélyeztetik mások testi épségét, úgy a gyenge jelszavakat használó felelőtlen felhasználók mások számítógépének és eszközeinek épségét.
Nagyon gyorsan változtatni kellene ezen a hozzáálláson, de sajnos ez nem könnyű. :frowning:

1 Like

Sziasztok!
Én legegyszerűbb módon egy noteszben tárolom leírva az email címektől kezdve jelszó felh.név stb és szerintetek hülyeség a böngészőben el menteni pár jelszót? Van pár fiók pl Epic game store 2 fiókom és meguntam, hogy állandóan be írjam a jelszavakat amikor be akarok lépni. Rosszul tettem? (automatikus jelszó kitöltés csak pár helyen)

Semmi gond nincs ezzel. Alapból gondolom kétlépcsős hitelesítés be van kapcsolva. Ha meg az emailt is védi a kétlépcsős, akkor meg aztán sok sikert annak, aki beszeretne jutni, egyébként is mért kéne bárkinek is az epic games fiókod? A Fornite skinek azért még annyira nem értékesek.

Én amúgy mindenhol ugyanazt a jelszót használom, nincs ebből semmi, nem kell paranoiásnak lenni.

1 Like