Paweł Goleń, blog

Zrzędzenie starego zgreda

Thursday, December 8. 2011

A czy Ty już zmieniłeś swoje hasło?

Gmail zaczął witać swoich użytkowników w następujący sposób:

O tym, że warto mieć unikalne hasła w różnych serwisach mówi się zwykle wówczas, gdy pojawia się jakaś informacja o możliwym wycieku danych użytkowników (w szczególności haseł lub stosunkowo łatwych do złamania hashy) z jakiegoś bardziej lub mniej popularnego serwisu. Zastanawiam się jakie są efekty takich dyskusji i jaki będzie efekt informacji wyświetlanej w Gmailu.

Ja tylko po raz kolejny podpowiem, że do przechowywania haseł i do generowania unikalnych haseł do różnych serwisów można wykorzystać na przykład KeePass. O tym, jak z niego korzystam pisałem tutaj: Jak korzystam z KeePass.

Następny wpis: Ćwiczenia z niewłaściwego encodingu
Poprzedni wpis: Właściwy encoding jest trudny, nie rób tego sam

Ślady

The Great KeePass Debate
Tytuł tego wpisu jest celowo mylący, wcale nie mam zamiaru debatować. Chcę natomiast odnieść się do tego komentarza. Adam napisał: Nie rozumiem ludzi którzy korzystają z takich bajerów jak zapamiętywanie haseł za pośrednictwem programów czy ser

Weblog: Wampiryczny blog
Przesłany: Jan 03, 19:01

Komentarze

Osobiście korzystam z LastPass, jednak mam małe wątpliwości co do tego systemu, ponieważ słyszałem o jakiejś aferze związanej z wyciekiem haseł. Czy KeePass jest pod tym względem bardziej bezpieczny ?

#1 biggy (Strona) o 2011-12-14 11:35

W zasadzie zwykle wycinam spam SEO, ale tym razem nie tylko zostawię, ale i odpowiem.

Na temat LastPass pisałem:
http://archive.mroczna-zaloga.org/archives/1011-najpierw-mialo-byc-o-lastpass-a-potem-mnie-ponioslo.html
http://archive.mroczna-zaloga.org/archives/1012-olej-z-weza-lastpass-i-content-security-policy.html

Teoretycznie po stronie serwera przechowywane są tylko zaszyfrowane dane. W praktyce ich rozszyfrowanie może się okazać łatwiejsze, niż deklaruje LastPass. Z drugiej strony miały być wprowadzone zmiany, które trochę sytuację zmieniają (poprawią). Głównie chodziło o sposób generowania klucza w oparciu o hasło użytkownika.

W przypadku KeePass dane przechowywane są lokalne, więc problem z tym, że ktoś się włamie na serwer pod czyjąś kontrolą i będzie próbował się dobrać do tych danych (rozszyfrować), w tym przypadku "nie ma zastosowania".

#1.1 Paweł Goleń o 2011-12-14 17:35

Dzięki za wyczerpującą odpowiedź, trochę się uspokoiłem. Chociaż myślę, że chyba powinienem bardziej zwracać uwagę na kwestie bezpieczeństwa takich serwisów.
Nie bardzo rozumiem o co chodzi z tym spamem SEO, nie można na tym blogu umieszczać linka do swojej strony? Pytam na przyszłość, bo czasem zdarza mi się czytać artykuły tutaj. Może coś kiedyś jeszcze skomentuję

#2 biggy (Strona) o 2011-12-15 11:35

Powiem tak - referer typu seomanager.*.pl może sugerować, że celem pozostawienia komentarza jest w rzeczywistości pozostawienie linka, a tekst komentarza jest "koniecznym dodatkiem". Ponieważ tym razem komentarz był na temat, więc nie tylko go zostawiłem, ale również odpowiedziałem. Natomiast zdarzają się komentarze typu "to bardzo ciekawe" o podobnej "charakterystyce wejścia". One mają znikomą szansę przetrwania

#2.1 Paweł Goleń o 2011-12-15 16:06

Nie rozumiem ludzi którzy korzystają z takich bajerów jak zapamiętywanie haseł za pośrednictwem programów czy serwerów, kiedy wystarczy sobie napisać własną funkcję i miksować 1 hasło przez url + md5, base64 itd, a na koniec np ucinać do 10 znaków i w 2ga stronę nie jest to możliwe do odtworzenia w praktyce.

#3 Adam o 2012-01-03 14:36

Odpowiem Ci w ten sposób: http://archive.mroczna-zaloga.org/archives/1085-the-great-keepass-debate.html

#3.1 Paweł Goleń o 2012-01-03 19:03