Nowe posty

xx Dystrybucja pod HP Omen (6)
Wczoraj o 23:30:08
xx [Poradnik] Wyszukiwanie Sterowników (2)
Wczoraj o 21:08:23
lamp Problem z Linux Lite po instalacji (0)
Wczoraj o 19:50:30
xx Ile pingwinów? (1)
Wczoraj o 08:59:24
xx konfiguracja pale moon (0)
2024-03-24, 21:53:42
xx Plasma 6 w Neonie ssie trochę mniej ... (10)
2024-03-23, 02:38:11
xx problem z instalacja sterowników do karty sieciowej (3)
2024-03-18, 18:10:16
xx Plik abc.001 (1)
2024-03-17, 17:48:27
xx Zlecę dopracowanie programu w MatLab (0)
2024-03-13, 15:28:40
xx Linux Mint 21.3 XFCE brak dźwieku po paru minutach (karta muzyczna zintegrowana) (5)
2024-03-12, 23:07:01

Autor Wątek: soft do administrowania hasłami  (Przeczytany 2727 razy)

semmac

  • Gość
soft do administrowania hasłami
« dnia: 2012-01-30, 12:47:48 »
Proszę o info na następujący temat:
Korzystam w chwili obecnej z wiele usług które wymagają logowania się. Czy możecie mi polecić program do zarządzania hasłami i loginami? Wiem, że jest sporo takich pozycji, ale uzwyczajnienie mam czasu na testowanie kilkunastu.
Interesuje mnie żeby w programie była nazwa(lub adres WWW), login, hasło, ewentualnie pole na opis/notatki. Tak bym mógł się do programu logować jednym hasłem (lub dwoma – dwóch różnych użytkowników) a wszystko by było w miarę bezpieczne.

Może są programy oferujące coś więcej niż to co napisałem?

Z góry dziękuję za pomoc

Offline Paweł Kraszewski

  • Administrator
  • Guru
  • *****
  • Wiadomości: 3049
  • Lenistwo jest matką potrzeby = babcią wynalazku
    • Zobacz profil
soft do administrowania hasłami
« Odpowiedź #1 dnia: 2012-01-30, 13:43:22 »
Jeżeli wystarczy ci w przeglądarkach, to polecam "Password hasher plus plus".

1. Przy pierwszej instalacji generowany jest 128-bitowy klucz główny (warto wydrukować i schować)
2. Wybierasz sobie długość i "skład" hasła. Jak mam 16 znaków alfanumerycznych, dzięki czemu hasła wyglądają jak jDfh%&$ad.?...
3. Przy definiowaniu hasła generowany jest rekord dla danej domeny, zawierający ustawione parametry z p. 2
4. Przy każdym polu hasła na stronie pojawiają się przyciski '#' i 'a'. Pierwszy zamienia hasło wpisane w tej chwili na postać zakodowaną, drugi "odgwiazdkowuje" pole hasła. Więc wklepujesz swoje hasło, może być to samo wszędzie, klikasz # i masz unikalne.

Bezpieczeństwo:
1. W różnych domenach masz różne hasła z tego samego hasła bazowego.
2. Dla różnych haseł wejściowych masz różne hasła wynikowe.
3. Różni użytkownicy mają różne hasła dla tej samej domeny i hasła wejściowego (bo mają różne 128 bitowe seedy). To jest zasadnicza różnica w stosunku do np. PwdHash, gdzie nie ma losowego seeda i dla takiej samej kombinacji hasło_bazowe-domena generowało zawsze takie samo hasło wynikowe - podatne na atak słownikowy.
Paweł Kraszewski
~Arch/Void/Gentoo/FreeBSD/OpenBSD/Specjalizowane customy

ZipoKing

  • Gość
soft do administrowania hasłami
« Odpowiedź #2 dnia: 2012-01-30, 14:00:23 »
Polecam aplikację KeePassX (http://www.keepassx.org/) - sam używam od kilku lat :)

  • Gość
soft do administrowania hasłami
« Odpowiedź #3 dnia: 2012-01-30, 17:25:04 »
W KDE jest KWallet, w którym można przechowywać hasła.

Ja hasła do WWW przechowuję po prostu w przeglądarce, a do innych usług (jak FTP) w ~/.netrc.

Do zapewnienia ich bezpieczeństwa wystarczy szyfrowany dysk twardy.

Spójrzmy na sprawę z punktu widzenia kilku scenariuszy potencjalnego ataku:
1. Atakujący ma fizyczny dostęp do komputera i danych się na nim znajdujących. Bez znajomości hasła, nie jest w stanie obejść zaszyfrowanej partycji.

2. Atakujący ma fizyczny lub zdalny dostęp do działającego komputera z już zalogowanym użytkownikiem. Hasła muszą być odczytywalne, ale dla bezpieczeństwa są chronione hasłem głównym, które trzeba wprowadzić raz na czas sesji. Jeżeli takie hasło główne zostało już wprowadzone, to wszystkie pozostałe hasła są zagrożone -- wystarczy się po nie schylić. Ani zaszyfrowana partycja, ani najsilniejsze szyfrowanie programowe nie pomoże.

3. Atakujący nie ma dostępu do maszyny, ale ma dostęp do danych przechodzących pomiędzy komputerem ofiary a hostem. Z większością komputerów łączysz się po zwykłym HTTP/FTP i Twoje hasła lecą zwykłym tekstem, wystarczy je odczytać. Dlatego ważne jest, aby mieć różne hasła do różnych stron i upewniać się co do bezpieczeństwa połączenia w przypadku istotnych stron (jak poczta czy bankowość internetowa).

W domyślnej konfiguracji Linuksa nie są uruchomione żadne usługi podatne na ataki z zewnątrz; na wszelki wypadek wystarczy banalny firewall wycinający cały ruch z zewnątrz, który nie został zainicjowany przez komputer. Gdyby dodatkowo blokować ekran za każdym razem, gdy opuszcza się komputer, to właściwie wyeliminuje się przypadek drugi z powyższych. Przypadek pierwszy broni się sam (o ile mamy zaszyfrowaną partycję).

Tak więc najgroźniejszy jest przypadek trzeci i to na nim należy się w szczególności skupić. Prócz posiadania różnych haseł ważne jest więc, aby łączyć się tylko w zaufanych miejscach (ogólnodostępne, nieszyfrowane WiFi nie jest "zaufane") i sprawdzać wszystkie ostrzeżenia dotyczące certyfikatów bezpieczeństwa wyświetlane przez przeglądarkę.

Oczywiście nie gwarantuje to 100% bezpieczeństwa, ale zapewnia jego całkiem sensowny poziom. Bądźmy szczerzy -- aby być ofiarą ataku innego niż automatyczny, trzeba być naprawdę kimś. "Zwykłemu Kowalskiemu" to nie grozi, ponieważ koszta ataku znacznie przewyższają wszystko, co "zwykły Kowalski" ma do zaoferowania.