Fajnie by było jak podałbyś która minuta w filmie.......

@@MarekCMZDJG 19:21

@@MarekCMZDJG pełen kontekst: kzbin.info/www/bejne/ZpnIaYynpJhrkJo Czyli takie "wręcz przeciwnie"

Coś, zaraz po 19 minucie.

Ale za to "takie same hasło" we fragmencie około 8:30

Dodaj do tego klucz sprzetowy YubiKey. Dziala to pod Windowsem jak i Linuxem ;)

Rumuna?

Mówiłem że karteczki są najlepsze!

@@srocek3 Nice try. A przynajmniej mam taką nadzieję

@@BxOxSxS Karteczki hakier nie zhakuje.

Zwykła przechowywarka do haseł, bez większych zabezpieczeń, więc w przypadku wycieku/włamania, mają dostęp do twoich haseł bez większego wysiłku. Polecam wyłączyć "zapisywanie haseł w przeglądarcę", to samo zrobić z płatnościami. Hasła przechowywać na zwykłej karcę a4, dodatkowo zgrać plik tekstowy na pendrive, bądź płytkę. Jeżeli mowa o solidnych menadżerach, to może Keepass & BitWarden, chodź nawet korzystanie z nich, nie gwarantuje 100% bezpieczeństwa. (:

Zalatwia mi to klucz sprzetowy YubiKey. Generuje ciag 40 znaków klucza stalego do ktorego dodaje wlasne haslo + nazwa pliku.

Bez szans. Biznes jest biznes.

Tak i nie. Bitwarden miał tą jedną wtopę z domyślną konfiguracją ale o ile nie doszło do wycieku (a wychodzi na to że nie) nie ma to znaczenia o ile się to naprawi w jego ustawieniach. 1Password na tym świetle wraz z tym secret key lepiej wygląda ale nie skresla to kompletnie bitwardena. Na minus 1Password jest to że nie jest otwarto źródłowe co ogranicza możliwości niezależnych audytów oraz postawiania własnego serwera. BItwardena możesz samemu hostować i jest to dość proste gotowe rozwiązanie. Wraz z połączeniem z VPN ryzyko wycieku spada bardzo bardzo. Wymaga to jednak pewnego researchu i zainteresowania się aby to zrobić prawidłowo

@Agrafka Agrafka Nie wiem skąd masz takie informacje ale gadasz głupoty. Jest dokładnie ten sam kod c# możliwy do hostowoania, są oficjalne instrukcje. Jest jeszcze nieoficjalny kompatybilny serwer napisany w rust więc jest wybór ale bardziej sprawdzany jest ten pierwszy (z drugiej strony rust jest bezpieczniejszym językiem)

@Agrafka Agrafka Teraz po prostu ułatwiają hostowane do jednego obrazu docker. Wcześniej też można było. Po prostu było to nieco bardziej skomplikowane. Sam to próbowałem. Jest taka opcja od bardzo dawna. Przeczytałeś po prostu pierwszą stronę w wyszukiwarce i to niedokładnie bo jest tam dosłownie: "The standard self-host deployment has been available since the beginning of Bitwarden". Jest dostępna znacznie starsza dokumentacja niż ten post

@Agrafka Agrafka aha ja zmieniłem temat no dobra ciekawe. Mówiłem o oficjalnym rozwiązaniu od bitwardena. Są i były obrazy docker co prawda osobno trzeba mieć serwer bazy (co oficjalnie teraz zmieniają tym jednym obrazem) ale dalej to proste i gotowe rozwiązanie wymagające małej konfiguracji. Ty natomiast twierdzisz że nie ma żadnego oficialnego sposobu hostowania bo tylko jakiś koleś coś przerobił. Jest to i od początku była nieprawda. Wersja w ruscie jest czymś innym i jak wspominałem jest alternatywnym nieoficialnym, nie tak audotywanym rozwiązaniem. Wspomniałem o nim bo myślałem że ty go pomyliłeś nie zdając sobie sprawy że zawsze był dostępny ten oryginalny kod serwera. Teraz jeszcze twierzisz że ja to pomyliłem gdzie jasno się wyraziłem co jest czym

​@Agrafka Agrafka Nieco bardziej skomplikowany bo zamiast jednej komendy na pobranie obrazu są kilka plus ewentualne upewnienie się że kontenery działają i siebie widzą, 'Nieco' to idealne określenie bo to dalej proste podążanie za instrukcjami (z oficialnego źródła). Nie trzeba być 'geekiem' aby to zrobić ani nawet rozumieć jak to do końca działa. Dokładnie to miałem na myśli ale jak widać ty wiesz lepiej bo wspomniałem o alternatywnej wersji którą ludzie używają. Zastawania mnie co też jej się tak uczepiłeś. To naprawdę solidny kod z tą samą logiką i krytyczną implementacją (crypto czy auth) korzystającą z zaufanych sprawdzonych otwartych bibliotek. Ale jak wspomniałem zawsze lepiej mieć serwisy za VPN (jak już się tak rozpisuję to polecam do tego wireguarda), wtedy nawet luki 10/10 w vaultwardenie nie są zdalnie straszne naszemu serwerowi. Do tego też nie trzeba być geekiem. Dlatego też sporo osób go używa bo jest wygodny i z odpowiednią konfiguracją bardzo bezpieczny (O nie przyznałem to!) Jednocześnie dalej negujesz możliwość hostowania oficjalnej wersji serwera bo nie ma przycisku pobierz XD. Nie ma bo większość ludzie to nie interesuje wchodząc na stronę usługi chmurowej. Potrzebna dokumentacja dalej jest łatwo dostępna ale jak widać dla niektórych zbyt trudna. Wydawało mi się że moje wskazówki są wystarczające ale dalej wierzę że uda ci się to znaleźć. Zabawne też bo mi się wydaje że to ty teraz próbujesz obrócić kota ogonem nieudolnie zwalając cała winę na mnie przyczepiając się o słowka i dalej brnąc w swoje. Żeby nie było ja rozumiem że każdy może się mylić i czegoś nie wiedzieć ale jakakolwiek samorefleksja by się przydała. Lepiej będzie jak po prostu przestaniesz. Ale jak masz jakieś konstruktywne pytania to mogę odpowiedzieć (choć wyszukiwarka jest szybsza). Nauka w tych tematach na pewno by ci się przydała

też nie wierzę że potrafi złamać 7zip, albo 7zip wygenerowanym w PeaZip z AES256 z np 20 znakowym pass

Tak... Jak dodasz do tego klucz sprzetowy YubiKey.

KeePassXC ma taką opcję na max chyba do 5 sec :)

To nie green screen 😉

@@winkoo_ też tak myślałem

rok przerwy, rok testów, rok jubileuszu... wymyśl sobie inne przykłady

13-sty rok miesięcznicy :P

@@nmedokin Tylko, że to wciąż określenie czasu. Jedyna sensowna odpowiedź w tym przypadku to: rok świetlny jako jednostka odległości.

@@nmedokin ok, tutaj działa, ale rok jako jednostka czasu nie wymaga wyszczególnienia, że to o czas chodzi. Jest to pleonazm, na który mało kto zwraca uwagę, ale jako iż autor kanału zawsze tak pięknie się wysławia, pomyślałem że może chcieć znać ten językowy niuans 🙃

@@przymrozek jeśli zbadać semantykę tych słów to te połączenie nie jest pleonazmem, nawet nie jest to tautologia. Jest to nadmiarowość czyli redundancja co w tym kontekście nie jest błędem.

Po wykradnięciu Twojej zaszyfrowanej bazy danych haseł, mogę z nią zrobić co tylko zechce. To co opisałeś nie jest wykradnięciem bazy danych jak w np. LastPass.

Po co ci NordPass (którego firma wszędzie się chamsko reklamuje) i inne korpo twory, skoro masz KeePassXC? Otwartoźródłowy menadżer, nad którym to ty masz pełną kontrolę i za którego nic nie płacisz. Tworzysz zaszyfrowany plik (a algorytm sam możesz wybrać między 256-bit AES, Twofish i ChaCha20) z hasłami, który wrzucasz na chmurę i synchronizujesz między urządzeniami. Obsługuje zarówno 2FA, jak i U2F. Czasem się zdarza, że menadżer nie wykrywa okna z hasłem, czy loginem, ale tu nie ma problemu, by wówczas ręcznie go wybrać na stronie.

Drugi składnik logowania do menadżera na niewiele się zda w przypadku wycieku całego vaulta, natomiast skonfigurowanie uwierzytelniania dwuskładnikowego do poszczególnych kont zapisanych w menadżerze już bardzo utrudni dostęp do nich, mimo złamania haseł.

Ja zostaje przy Bitwardenie. Mieli lekką wtopę ale wycieku danych nie.

Również zostaję. Dla zwykłego "Kowalskiego" nie był to incydent skreślający tego dostawcę, w dodatku do wszystkiego się przyznali i załatali podatność

Na GPM nie da się zarobić, to po co o nim opowiadać ;-)

Niezły program, ale nie wiem czy Strongbox nie lepszy.

Wniosek jest zgodny z prawdą: nie są warte uwagi i lepiej unikać oraz korzystać ze sprawdzonych przeznaczonych do tego narzędzi

Tak nie jest. Sprawdź czym jest entropia. Jakiekolwiek powiązania i inna "łatwa kombinacja cyfr" czynią hasło dużo słabszym. O ile nie jesteś w stanie zapamiętać 15+ znakowe losowego hasła osobnego do każdego serwisu menadżer jest lepszą opcją

@@BxOxSxS Tak masz rację jeśli chodzi o bezpośredni atak taki algorytm jest łatwy do złamania. Jednak pamiętajmy że głównie chodzi o zwykłych użytkowników którzy są poza sensorem pożądanych przejęć.

@@heartblit Prawda mało prawdopodobne jest to że ktoś się do ciebie przyczepi ale właśnie robiąc tak zwiększasz na to prawdopodobieństwo bo jesteś łatwym i opłacalnym celem . Słowniki z algorytmami są już w użyciu nawet dla zwykłych osób. Atakujący może poznać twój algorytm z innego wycieku gdzie na przykład hasła nie były prawidłowo hashowane, następnie algorytm sprawdza milion możliwych kombinacji bo dalej stwierdza że się nie opłaca. I to wszystko automatycznie. Jest wysokie prawdopodobieństwo że uda mu się zgadnąć takie hasło. O ile teraz mało kto tak robi na większą skalę to raczej tylko kwestia niedalekiego czasu dlatego zawsze lepiej unikać tego typu technik hasłowych

@@BxOxSxS Git👊

bardzo

Zamknięty kod nie pozwala w pełni potwierdzić że jest bezpieczne (tak część jest otwarta ale np serwer nie co jest ważne w przypadku wycieków). Apple może twierdzić że jest ale ich słowo mało jest warte po wielu kłamstwach dotyczących bezpieczeństwa i prywatności oraz współpracach ze służbami. Jak nie można być pewnym bezpieczniej założyć że tak nie jest i używać pewniejszych bezpiecznych alternatyw

Ja przez długi czas używałem na iPhonie Keepassium oraz Strongbox z bazą keepass, ale przerzuciłem się na apple'owe Keychain.

@@BxOxSxS zamknięty kod ma też zalety - nie można znaleźć luki przeglądając kod źródłowy.

@@misoch właśnie to jest minus. Popatrz na statystyki. Otwarto źródłowe dobrze prowadzone projekty mają częściej wykrywane luki i błędy oraz szybsze lepszej jakości łatki. Jak nie znajdujesz błędów nie znaczy że one znikają a im jest ich mniej i bardziej jesteś ich świadomy tym lepiej

Jest po prostu coraz więcej w tym interesu. Każdy używa systemów informatycznych do coraz bardziej poważnych rzeczy więc przestępcy mają w tym coraz większy interes. Bezpieczeństwa idzie cały czas do góry ale tak jest to nieustanna zabawa w kotka i myszkę i w zasadzie nie ma 100% bezpieczeństwa na wieczność. Brak użycia komputera w wielu rzeczach sprawia że coś jest jeszcze mniej bezpieczne. Prosty przykład podpisy cyfrowa korzystające z kryptografii asymetrycznej są dużo bardziej wygodne oraz bezpieczniejsze niż klasyczne podpisy długopisem, dlatego np nowe e-dowody mają taką funkcję

@@BxOxSxS co daje ten podpis w dowodzie?

@@adam1709 Możliwość kryptograficznej weryfikacji dowodu fizycznie jak i zdalnie lub cyfrowego podpisu dokumentów. Można tak logować się na profil zaufany lub np załatwiać niektóre sprawy przez ePUAP. Możliwości jest sporo. Bo działa to podobnie jak np yubikey a klucz prywatny w dowodzie jest chroniony pinem

racja, wygoda za coś

Nie słyszałem o żadnej wpadce 😅

@@MateuszChrobok To znaczy, że dopiero usłyszysz 😆

najlepszy, polecam :D nie rozumiem tych ludzi co korzystają z rozwiązań online dla celów osobistych.

Da się je ukraść.

@@MrRekss1 💀

Wszystko ma minusy.

Sposób nieszczególnie zły, ale nie bez wad. Pierwszy problem tkwi w generowaniu odpowiednio losowych haseł. Wymyślanie haseł z głowy jest mimo wszystko całkiem przewidywalne z perspektywy ich łamania. Jakimś sposobem na to jest metoda Diceware, czyli (w uproszczeniu) lista słów, z których budujemy frazę hasła za pomocą rzutów kostką. Włamy z internetu co prawda nie straszne, ale wystarczy że najzwyczajniej w świecie zgubisz taki notatnik / zostanie skradziony wraz z np. torbą. Jak jesteś przygotowany na taką sytuację? Masz kopie zapasowe? ;)

Hhhaaa powodzenia w zapamiętywaniu tego jak masz tak jak ja 215 haseł. Serio.. Powodzenia.

@@knopigames może wszędzie ma takie samo ;)

Jedyny passwordless login na jaki w tej chwili możemy liczyć to prośba o reset hasła każdorazowo przy próbie logowania ;)

@@mbk5430 właśnie o to chodzi, że mało komu to się opłaca, albo chce wdrażać, dlatego tkwimy w tych tekstowych hasłach dalej 😉. Ale gdzie mogłem, to wdrożyłem. Taki klucz, szczególnie z NFC i biometrią zamiast pinu to fajna sprawa.