Како чувам лозинке и шта препоручујем за чување лозинки?
Дочекао ме је синоћ пун инбокс на ФеизБугу са питањима око чувања лозинки, па ево, овако одговора овде – да не понављам свима, шта ја користим, како и самим тим шта и препоручујем:
- KeePass Password Safe Professional је бесплатан софтвер отвореног кода који се налази на локалном компјутеру и његова база са лозинкама је заштићена са мастер лозинком и једним кеy-фајлом и све што се чува кроз њега чува се у локалној бази података у једном фајлу – тако да је за бекап довољно сачувати тај један фајл негде….и тај један фајл је на шифрованој партицији (под BitLocker-ом)…тако да сам безбедан и ако неко мазне компјутер од некуд и некако.
Кад сам на Линуксу користим овај програм кроз wine и ради одлично. - Синхронизација за другим компјутерима, телефоном и таблетом се ради аутоматски преко Јандекс Диск клијента и његовог централног складишта у клауду (cloudu). База на Јандекс Диску преко телефона је постављена у офлајн синхронизацију – тако да се све измене које направим на компјутеру одмах рефлектују и на телефону…али не и контра.
- На телефону користим клијент за KeePass који се зове – Keepass2Android Password Safe и који ради само у read-only режиму а сам програм нема привилегије ни за шта – сем да чита и пише на складишту телефона тако да кад би аутор апликације и био малициозан и превеслао Гугл Продавницу некако – могао би у најгорем случају да ми обрише фајл са телефона што није никаква штета због једносмерне синхронизације.
- Једном у месец-два…за сваки случај направим бекап ове базе са лозинкама – и тај бекап прво превучем у 7-зип на коме поставим једну лозинку па тај 7-зип уплоадујем на Гугл Драјв који се не синхронизује ни са чим али је под двостепеном аутентификацијом и једну копију оставим на компјутеру – дакле бекап је на два места.
Дакле, да би ми неко хакнуо лозинке да заврши ова три корака МИНИМУМ а с обзиром да KeePass програм још увек званично није хакнут како би се избегао логин мора да:
- Дође у посед те KeePass базе подата за лозинкама
- Да у њој дође до лозинке коју користим ту – а моје лозинке за те битне стварни су фазон IFgG&=+8H127d~
- Да дође у посед фајла који ми је key-fajl.
Да би тај неко дошао у посед KeePass базе са лозинкама мора или да ми хакне компјутер (који је иза фајлервола, 360 Total Security заштитног софтвера са BitDefender и Авира механизмом заштите, Firefox иза NoScripta, нон-администратор привилегије, BitLocker партиција за случај да неко украде латоп физички итд, итд, итд…) или да хакне Јандекс, који је узгред речено једна од највећих руских ИТ компанија (што је реално, велике фирме су свима мета)…или да ми хакне логин на Јандексу и некако добије приступ мом телефону како би видео SMS који добијам због двостепене аутентификације или да ми хакне друге уређаје који се синхронизују – а и кад дође до базе…не може ништа ако не зна главну (мастер) лозинку и фајл који користим за откључавање. Дакле минимум база, лозинка и фајл, свето тројство – ако има само два од ова три – не може ништа.
Дакле никакав LastPass (хакован већ 2 пута, $$$), Dashline ($$$) и 1Password ($$$) и остали софтвери те намене – сасвим је довољан бесплатни KeePass који, признајем – није толико фенси и леп на око као рецимо LastPass – али је довољно безбедан.
Bojan
13/06/2017 @ 00:37
Dobar savet kao i dobra postavka zastite password-a. KeePass je ubedljivo najbolji i najsigurniji nacin za cuvanje lozinki, to je takodje i moj izbor br.1, s’tim sto ga ja koristim u kombinaciji sa Yubikey (necu spominjati na koji nacin) bitno da je sifra jako dugacka i mnoogo dobro zasticena, bez Yubikey nemoguce pristupiti a i sa njim opet treba znati sta i kako. Baza, odnosno „taj jedan fajl“ takodje na fully encrypted Linux-u i posle svake promene automatski se sinhronizuje na SpiderOak cloud. Znaci nema preteranog petljanja i glavobolje.
NoName
08/07/2017 @ 19:49
Sve to štima ako će te haknuti neki klinjo, ali što ako će te haknuti neka država 🙂
Definitivno nebi nikom preporučio upload passworda na cloud, pogotovo ne špijunima poput google, yahoo, microsoft, dropbox… Nema veze što je zaštićeno lozinkom u 7zip-u.
Компјутераш блог
10/07/2017 @ 10:41
Од државе те не може нико спасити, писао сам о томе: https://kompjuteras.com/privatnost-na-internetu-ne-lozite-se-mnogo/
Petar
16/07/2017 @ 12:15
Loš update za Keepass2Android može poslati tvoje lozinke nekom trećem preko interneta prvi put kada je upotrebiš? Keepass2Android Offline je utoliko sigurniji, ali opet može da sačuva plaintext lozinke koje će onda iscuriti pomoću bilo koje druge apllikacije ili fizičkim pristupom telefonu. Slično važi i za desktop klijent, ali tu je auto-update manje očekivan.
Компјутераш блог
16/07/2017 @ 12:48
Сваки update на телефону ти избаци које нове пермисије има апликација – ишта ново или сумњиво – uninstall.
Ово од пермисија има сад
Miloš
08/04/2018 @ 21:22
KeePass Password Safe Professional je vrh. I ja sam ranije koristio LastPass za čuvanje lozinki, ali ovo mi deluje pre svega bezbednije u odnosu na Last Pass, a i nekako je praktičnija za korišćenje i na kompu i na mobilnom (pre svega na mobilnom, što Last Pass baš i nije bio u free varijanti koliko se sećam). Sviđa mi se integracija keepass tastature za android, pomoću koje se lako pristupa logovanju na aplikacijama na mobilnom.
Hvala za preporuku Dražo.
Pozdrav 🙂