Kako čuvam lozinke i šta preporučujem za čuvanje lozinki?
Dočekao me je sinoć pun inboks na FeizBugu sa pitanjima oko čuvanja lozinki, pa evo, ovako odgovora ovde – da ne ponavljam svima, šta ja koristim, kako i samim tim šta i preporučujem:
- KeePass Password Safe Professional je besplatan softver otvorenog koda koji se nalazi na lokalnom kompjuteru i njegova baza sa lozinkama je zaštićena sa master lozinkom i jednim key-fajlom i sve što se čuva kroz njega čuva se u lokalnoj bazi podataka u jednom fajlu – tako da je za bekap dovoljno sačuvati taj jedan fajl negde….i taj jedan fajl je na šifrovanoj particiji (pod BitLocker-om)…tako da sam bezbedan i ako neko mazne kompjuter od nekud i nekako.
Kad sam na Linuksu koristim ovaj program kroz wine i radi odlično. - Sinhronizacija za drugim kompjuterima, telefonom i tabletom se radi automatski preko Jandeks Disk klijenta i njegovog centralnog skladišta u klaudu (cloudu). Baza na Jandeks Disku preko telefona je postavljena u oflajn sinhronizaciju – tako da se sve izmene koje napravim na kompjuteru odmah reflektuju i na telefonu…ali ne i kontra.
- Na telefonu koristim klijent za KeePass koji se zove – Keepass2Android Password Safe i koji radi samo u read-only režimu a sam program nema privilegije ni za šta – sem da čita i piše na skladištu telefona tako da kad bi autor aplikacije i bio maliciozan i preveslao Gugl Prodavnicu nekako – mogao bi u najgorem slučaju da mi obriše fajl sa telefona što nije nikakva šteta zbog jednosmerne sinhronizacije.
- Jednom u mesec-dva…za svaki slučaj napravim bekap ove baze sa lozinkama – i taj bekap prvo prevučem u 7-zip na kome postavim jednu lozinku pa taj 7-zip uploadujem na Gugl Drajv koji se ne sinhronizuje ni sa čim ali je pod dvostepenom autentifikacijom i jednu kopiju ostavim na kompjuteru – dakle bekap je na dva mesta.
Dakle, da bi mi neko haknuo lozinke da završi ova tri koraka MINIMUM a s obzirom da KeePass program još uvek zvanično nije haknut kako bi se izbegao login mora da:
- Dođe u posed te KeePass baze podata za lozinkama
- Da u njoj dođe do lozinke koju koristim tu – a moje lozinke za te bitne stvarni su fazon IFgG&=+8H127d~
- Da dođe u posed fajla koji mi je key-fajl.
Da bi taj neko došao u posed KeePass baze sa lozinkama mora ili da mi hakne kompjuter (koji je iza fajlervola, 360 Total Security zaštitnog softvera sa BitDefender i Avira mehanizmom zaštite, Firefox iza NoScripta, non-administrator privilegije, BitLocker particija za slučaj da neko ukrade latop fizički itd, itd, itd…) ili da hakne Jandeks, koji je uzgred rečeno jedna od najvećih ruskih IT kompanija (što je realno, velike firme su svima meta)…ili da mi hakne login na Jandeksu i nekako dobije pristup mom telefonu kako bi video SMS koji dobijam zbog dvostepene autentifikacije ili da mi hakne druge uređaje koji se sinhronizuju – a i kad dođe do baze…ne može ništa ako ne zna glavnu (master) lozinku i fajl koji koristim za otključavanje. Dakle minimum baza, lozinka i fajl, sveto trojstvo – ako ima samo dva od ova tri – ne može ništa.
Dakle nikakav LastPass (hakovan već 2 puta, $$$), Dashline ($$$) i 1Password ($$$) i ostali softveri te namene – sasvim je dovoljan besplatni KeePass koji, priznajem – nije toliko fensi i lep na oko kao recimo LastPass – ali je dovoljno bezbedan.
Bojan
13/06/2017 @ 00:37
Dobar savet kao i dobra postavka zastite password-a. KeePass je ubedljivo najbolji i najsigurniji nacin za cuvanje lozinki, to je takodje i moj izbor br.1, s’tim sto ga ja koristim u kombinaciji sa Yubikey (necu spominjati na koji nacin) bitno da je sifra jako dugacka i mnoogo dobro zasticena, bez Yubikey nemoguce pristupiti a i sa njim opet treba znati sta i kako. Baza, odnosno „taj jedan fajl“ takodje na fully encrypted Linux-u i posle svake promene automatski se sinhronizuje na SpiderOak cloud. Znaci nema preteranog petljanja i glavobolje.
NoName
08/07/2017 @ 19:49
Sve to štima ako će te haknuti neki klinjo, ali što ako će te haknuti neka država 🙂
Definitivno nebi nikom preporučio upload passworda na cloud, pogotovo ne špijunima poput google, yahoo, microsoft, dropbox… Nema veze što je zaštićeno lozinkom u 7zip-u.
Kompjuteraš blog
10/07/2017 @ 10:41
Od države te ne može niko spasiti, pisao sam o tome: https://kompjuteras.com/privatnost-na-internetu-ne-lozite-se-mnogo/
Petar
16/07/2017 @ 12:15
Loš update za Keepass2Android može poslati tvoje lozinke nekom trećem preko interneta prvi put kada je upotrebiš? Keepass2Android Offline je utoliko sigurniji, ali opet može da sačuva plaintext lozinke koje će onda iscuriti pomoću bilo koje druge apllikacije ili fizičkim pristupom telefonu. Slično važi i za desktop klijent, ali tu je auto-update manje očekivan.
Kompjuteraš blog
16/07/2017 @ 12:48
Svaki update na telefonu ti izbaci koje nove permisije ima aplikacija – išta novo ili sumnjivo – uninstall.
Ovo od permisija ima sad
Miloš
08/04/2018 @ 21:22
KeePass Password Safe Professional je vrh. I ja sam ranije koristio LastPass za čuvanje lozinki, ali ovo mi deluje pre svega bezbednije u odnosu na Last Pass, a i nekako je praktičnija za korišćenje i na kompu i na mobilnom (pre svega na mobilnom, što Last Pass baš i nije bio u free varijanti koliko se sećam). Sviđa mi se integracija keepass tastature za android, pomoću koje se lako pristupa logovanju na aplikacijama na mobilnom.
Hvala za preporuku Dražo.
Pozdrav 🙂