Wpadki menadżerów haseł. Czy warto dalej ich używać?
Рет қаралды 54,065
Күн бұрын📇 Wielokrotnie zachęcałem was do korzystania z menedżerów haseł. Sam ich używam i dalej sądze, że jest to jedna z lepszych rzeczy, którą możecie zrobić dla podniesienia poziomu swojego cyfrowego bezpieczeństwa. Dziś jednak opowiem o tym w jakich sytuacjach menedżery haseł same w sobie mogą stać się zagrożeniem.
Źródła:
📊 Analiza ostatniego ataku na @LastPass
bit.ly/3XqtoA4 & bit.ly/3RSB2SG
🔐 Co LastPass tak naprawdę szyfruje?
bit.ly/3ltLGn1
⏰ @1PasswordVideos o czasie potrzebnym do złamania ich haseł
bit.ly/3YMkfmr
⁉️ Sprawdź, czy Twoje hasło wyciekło
haveibeenpwned.com/
🐝 Raport @OWASPGLOBAL dobrych praktykach liczby rund i iteracji
bit.ly/3IjYDsz
🖋️ Szczegóły implementacyjne sposobu zapisu hasła
bit.ly/2KLJHmm
📜 Ponad dwudziestoletni wątek na StackExchange (ciągle aktywny!) o zmianach wymagań bezpieczeństwa na przestrzeni czasu.
bit.ly/3HRIKIh
🔑 Post na blogu 1password o wykorzystaniu secret key
bit.ly/3IfK1KC
❔ Dlaczego 1password przeszedł na 256-bitowe klucze?
bit.ly/3RV01ER
❓ Dlaczego wyciek danych został źle ogarnięty przez LastPassa?
bit.ly/3E1irhs
🐛 Błędy w Bitwarden, DashLane i Safari narażające na wyciek haseł
bit.ly/3YGXy3a
🗞️ Notatka prasowa LastPass o incydencie bezpieczeństwa
bit.ly/3YFEWRa & bit.ly/3IhXL7u
🌩️ Łamanie haseł w chmurze z wykorzystaniem kart graficznych
bit.ly/3IkAUsg
💣 Narzędzie Elcomsoft do odszyfrowywania archiwów *.zip
bit.ly/3Yp65rX
Jeżeli nie ufasz skracanym linkom (bardzo dobrze!) to dodaj na ich końcu plusik ‘+’.
W ten sposób podejrzysz na stronie bit.ly dokąd prowadzą.
Relevant xkcd: xkcd.com/792/
© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.
Dziękuję za Waszą uwagę. ❤️
Znajdziecie mnie również na;
Instagramie @mateuszemsi / mateuszemsi
Twitterze @MateuszChrobok / mateuszchrobok
Mastodonie infosec.exchange/@mateuszchrobok
LinkedInie @mateuszchrobok / mateuszchrobok
Patronite @MateuszChrobok patronite.pl/MateuszChrobok
Podcasty na;
Anchor anchor.fm/mateusz-chrobok
Spotify open.spotify.com/show/6y6oWs2...
Apple Podcasts apple.co/3OwjvOh
Dziękuję za gościnę wspaniałej kawiarni Synergia. Dobre Miejsce!
Rozdziały:
00:00 Intro
01:16 Bazy haseł
05:09 Funkcje hashujące
09:52 Co wybrać?
10:54 LastPass
15:38 BitWarden, 1password
17:48 Podsumowanie
18:36 Co Robić i Jak Żyć?
#bezpieczeństwo #hasło #LastPass #BitWarden #1password
@emilkumor2744 Жыл бұрын
Oooo, jak rzadko słyszy się poprawnie użytego słowa "bynajmniej" :) normalnie muszę sobie zapisać ten fragment:D
@MarekCMZDJG Жыл бұрын
Fajnie by było jak podałbyś która minuta w filmie.......
@tuesss Жыл бұрын
@@MarekCMZDJG 19:21
@emilkumor2744 Жыл бұрын
@@MarekCMZDJG pełen kontekst: kzfaq.info/get/bejne/Zs6Va7yi1Jmcimw.html Czyli takie "wręcz przeciwnie"
@lingrooves2957 Жыл бұрын
Coś, zaraz po 19 minucie.
@AdrianWasilewski Жыл бұрын
Ale za to "takie same hasło" we fragmencie około 8:30
@mateuszstalke52 10 ай бұрын
Na tym kanale można dawać łapkę w górę w ciemno i na koniec filmiku, zostajesz z myślą, że i tak byś to zrobił
@TheGdOn23 Жыл бұрын
WOW! Mega profesjonalne treści. Dzięki Mireczku!
@Sarev_ Жыл бұрын
O, jak ja lubię słuchać takich filmów!
@LSWarss Жыл бұрын
Jak zwykle top content, dzięki 🤌🏻
@rafal_rydzewski Жыл бұрын
Dzięki za materiał!
@maciejbak Жыл бұрын
Już od jakiegoś czasu korzystam z menadżera haseł. Dzięki Tobie ;)
@myszykiszkii Жыл бұрын
Bardzo przystępnie przedstawione treści dla osób nietechnicznych jak ja. Dzięki. Leci sub bo warto
@grzesiekb9142 Жыл бұрын
Informacje, które dzisiaj dzisiaj przekazałeś w pigułce są bezcenne. Kilka lat temu zgłębiając temat szukałem jakiegoś sensownego opracowania tych wszystkich hashy, haseł, soli itp. - długo mi zajęło zanim skumałem o co chodzi. Dzisiaj dla mnie to nie tajemnica, ale chętnie obejrzałem odcinek i jestem pod wrażeniem. Nie pamiętam kto mi polecił Twój kanał (ktoś to zrobił na bank) - ale cieszę się, że to zrobił. Dobra robota kolega - tak trzymać!
@Pentaxk3 Жыл бұрын
Dzięki za ciekawy materiał. 😁
@saphirq2696 Жыл бұрын
Właśnie skończyłem oglądać twój materiał na temat menadżerów haseł, który wypuściłeś kilka miesięcy temu, a tu pojawia się kolejny. Zabieram się do oglądania
@mamaminiepozwoliaukrzyska6774 Жыл бұрын
Nagrasz film albo chociaż short o takich akcjach jak akcje Rumuna na wykopie? A tak poza tym to super kanał. Śledzę od coming outu u Klawitera 😃 Brawa dla całego zespołu
@Kris0725PL Жыл бұрын
Pamietam kiedys BlackBerry i Password Keeper...najlepszy menadzer hasel jaki w zyciu uzywalem. Tulko mu ufalem :)
@grzegorzp.5734 Жыл бұрын
Polecam Keypass Offline. Jest wersja na Windows oraz Android. Baza haseł jest zaszyfrowana hasłem głównym (wpisywanym przez użytkownika) oraz certyfikatem (plik txt, który tworzy sam użytkownik - może to być dowolnie długi ciąg znaków przypadkowych, ale też np. fragment książki, wiersz itp.). Do otwarcia bazy sama znajomość hasła głównego beż tego certyfikatu nic nie da. Plik z bazą haseł i certyfikatem można sobie trzymać na swojej chmurze i korzystać na dowolnym urządzeniu. IMHO najlepszy menadżer haseł.
@darekw1967 12 күн бұрын
Dodaj do tego klucz sprzetowy YubiKey. Dziala to pod Windowsem jak i Linuxem ;)
@s384n5 Жыл бұрын
Well done 👍✅
@DanteDalmatynczyk Жыл бұрын
Co myślicie o androidowym samsung pass, albo o menadżerach wbudowanych w przeglądarkę np. Firefoxa?
@AgnieszkaGadacz Жыл бұрын
❤️❤️❤️
@emsi004 Жыл бұрын
czemu ja tak późno odkryłem ten kanał ?? DLACZEGO !? ;)
@dawidzamojski1801 Жыл бұрын
Kajecik i ołówek to najlepszy menager haseł 😉
@PanMelon Ай бұрын
Fajnie by było, jak byś zrobił jakieś porównanie menadżerów haseł. Sam siedzę od kilku lat na Bitwardenie ze względu między innymi na jego wersję dla Linuksa, opłacam roczną subskrypcję, ale wiele mu brakuje, możliwość przeszukiwania wpisów TYLKO po ich nazwach (!!!), bardzo wolne działanie...
@0plp0 Жыл бұрын
Ja od kilku lat używam Keepassa.
@mateuszbyczynski Жыл бұрын
To ja w takim razie zapytam z czego Ty korzystasz i co byś polecał ? Ja od lat korzystam z KeePass ale może masz jakieś porady ?
@Migs991 Жыл бұрын
Na telefonie z androidem zauważyłem ostatnio, że google pyta się mnie czy zapisać master password do jednego z wymienionych w materiale menadżerów haseł. Okazuje się że nie wiadomo kiedy przy aktualizacji chroma (którego nie mogę odinstalować z telefonu), włączył się menadżer haseł i zbiera sobie moje hasełka i przesyła je do chmury google
@soanvig Жыл бұрын
Nie używać menadżerów haseł chmurowych i z zamkniętym kodem źródłowym. Proste.
@marcinklimczak1626 Жыл бұрын
No właśnie … jeszcze się nie zdecydowałem
@bartoszk7439 Жыл бұрын
Dużo osób poleca keepass 2. Nadal to aktualne ?
@juuulek Жыл бұрын
zastanawiam się, czy istnieje jakiś prosty (dla chcącego zawsze jest zasymulowanie przez hashcut) sposób na oszacowanie, ile czasu potrzeba na złamanie utworzonego na podstawie danych warunków hasła?
@piotrula8288 Жыл бұрын
Hej, LastPass miał wcześniej wymógł masterpassa na 8 znaków - może być, że osoby wcześniej zakładające maja mniej bezpieczny maste
@Adrian-nq2bp Жыл бұрын
Książka per sól
@BxOxSxS Жыл бұрын
Spoko materiał ale zabrakło trochę o ważnych dodatkowych rzeczach jak menadżer offline np keepass bo tylko o tym wspomniałeś. Oraz weryfikacja 2 etapowa czy to mniej bezpieczne TOTP czy bardziej bezpieczne standardy FIDO. Można też iść dalej i wspomnieć o własnych hostowaniu np bitwarena (choć wiem że to dla wielu nie najbezpieczniejsza opcja). O ile wspominałeś o wielu z tych rzeczy w innych materiałach warty by było o nich chociaż wspomnieć aby lepiej uświadomić widza. Trochę też mi zabrakło argumentacji czemu menadżerzy haseł są najlepsi i przez to na pewno znowu znajdzie się ktoś kto krzyknie "Mówiłem że karteczki są najlepsze!"
@srocek3 Жыл бұрын
Mówiłem że karteczki są najlepsze!
@BxOxSxS Жыл бұрын
@@srocek3 Nice try. A przynajmniej mam taką nadzieję
@srocek3 Жыл бұрын
@@BxOxSxS Karteczki hakier nie zhakuje.
@Virus989898 Жыл бұрын
W kwestii rund: zrozumiałem, że wykonywanie wielokrotnego hashowania po stronie klienta nie ma sensu ponieważ końcowy wynik mógłby być wstrzyknięty z pominięciem procesu przy założeniu pełnej kontroli IO. Czy nie da się jednak zagwarantować wykonania tej pracy po stronie użytkownika? Czy z poziomu architektury jest możliwe wymuszenie pracy i gwarancji wyniku z TPM użytkownika? Czy istnieje też matematyczny proof of work dla potwierdzenia wykonania 10k rund? Odciążanie serwerów w tym przypadku brzmi bardzo sensownie o ile stoją za tym faktycznie bezpieczne koncepty.
@michamielczarek6234 Жыл бұрын
A co sądzisz o menadżerach i synchronizacji haseł w przeglądarkach takich jak Chrome, Opera, Firefox?
@slayni Жыл бұрын
Zwykła przechowywarka do haseł, bez większych zabezpieczeń, więc w przypadku wycieku/włamania, mają dostęp do twoich haseł bez większego wysiłku. Polecam wyłączyć "zapisywanie haseł w przeglądarcę", to samo zrobić z płatnościami. Hasła przechowywać na zwykłej karcę a4, dodatkowo zgrać plik tekstowy na pendrive, bądź płytkę. Jeżeli mowa o solidnych menadżerach, to może Keepass & BitWarden, chodź nawet korzystanie z nich, nie gwarantuje 100% bezpieczeństwa. (:
@vm123 Жыл бұрын
Może jakiś materiał o FIDO czy passkeys, passwordless. Zdaje się że 1password ogłosiło szybkie wdrozenie passkeys.
@2zombi2 Жыл бұрын
A szyfrowanie zaszyfrowanych haseł coś da?
@grzegorzzmijowski1010 Жыл бұрын
najbezpieczniejsza jest różowa czapka
@JaToCos-LivingSoul Жыл бұрын
👍🏼
@AutomotostrefaPl Жыл бұрын
całkiem niegłupim (a przynajmniej tak na szybko) pomysłem byłoby wymyślenie sobie jakiegoś hasła stałego np. kotek123 potem dodanie do niego miejsca, gdzie ma być użyte np. kotek123-gmail i finalne użycie tego hasła, ale w postaci jego hasha... gdzie finalnym hasłem byłoby np. "4543C415234C5F71B7989D444881FFD42F53DD47D8D5C13A751217ABEDE7B345" przy sha256 :) bo potem i tak taki gmail zahashowałby hasha :) dzięki czemu metoda słownikowa odpada, a i brute force trochę by się zajechał ;) a dla nas problem żaden, bo pamiętamy pierwotne hasło, a generator hash (żeby uzyskać nasze finalne hasło) można wygooglać w 2 sekundy...
@darekw1967 12 күн бұрын
Zalatwia mi to klucz sprzetowy YubiKey. Generuje ciag 40 znaków klucza stalego do ktorego dodaje wlasne haslo + nazwa pliku.
@Xatoos Жыл бұрын
Tylko KeePass, oczywiście minusem jest baza offline, ale przynajmniej bezpiecznie.
@MDgameplayLive Жыл бұрын
Ja korzystam z pęku kluczy w apple nie wiem czy dobre bo mam wszystkie produkty od apple
@asystentnet Жыл бұрын
A czy nie da się określić czasu między kolejnymi zgadywaniami hasła np do 0.5s?
@ksowoak6702 Жыл бұрын
KeePassXC ma taką opcję na max chyba do 5 sec :)
@Wyspa444 Жыл бұрын
Ciekawy film, ale odgłosy tła trochę przeszkadzają.
@jakubj5308 Жыл бұрын
3:00 No ok a jak to się ma do haseł w przypadku WinRar czy 7z? póki co nie spotkałem się z informacją, że ktoś złamał hasło do tych archiwów 🤔
@MSnq2 Жыл бұрын
też nie wierzę że potrafi złamać 7zip, albo 7zip wygenerowanym w PeaZip z AES256 z np 20 znakowym pass
@pablojuszix95 10 ай бұрын
Czy ma Pan albo ktoś z komentarzy opinie na temat NordPass-a?
@kubakisiel302 Жыл бұрын
8:44 chyba się błędy w obliczeniach wkradły :)
@PrendkiProntek Жыл бұрын
Czy ja Cię parę dni temu nie słyszałem przypadkiem w radiowej Trójce? :)
@lukasz877 Ай бұрын
Dobra to co nam się teraz pozmieniało z czego korzystać, przeglądarka to Brave oczywiście i korzystacie z tego generatora czy jakiegoś zewnętrznego ?
@galanonim5119 Жыл бұрын
Jako że nie jestem wielkim znawcą w tym temacie, to mam jedno pytanie w tej kwestii. Po dawno oglądanym filmie u Ciebie, oraz faktem iż jeden z moich wykładowców używał bjtwardena, skusiłem się na to rozwiązanie. Jednakże po tym filmie wnioskuje, że o wiele lepszym wyborem (aktualnie przynajmniej) jeśli chodzi o „bezpieczeństwo” haseł jest 1password, czy dobrze rozumiem?
@BxOxSxS Жыл бұрын
Tak i nie. Bitwarden miał tą jedną wtopę z domyślną konfiguracją ale o ile nie doszło do wycieku (a wychodzi na to że nie) nie ma to znaczenia o ile się to naprawi w jego ustawieniach. 1Password na tym świetle wraz z tym secret key lepiej wygląda ale nie skresla to kompletnie bitwardena. Na minus 1Password jest to że nie jest otwarto źródłowe co ogranicza możliwości niezależnych audytów oraz postawiania własnego serwera. BItwardena możesz samemu hostować i jest to dość proste gotowe rozwiązanie. Wraz z połączeniem z VPN ryzyko wycieku spada bardzo bardzo. Wymaga to jednak pewnego researchu i zainteresowania się aby to zrobić prawidłowo
@BxOxSxS Жыл бұрын
@Agrafka Agrafka Nie wiem skąd masz takie informacje ale gadasz głupoty. Jest dokładnie ten sam kod c# możliwy do hostowoania, są oficjalne instrukcje. Jest jeszcze nieoficjalny kompatybilny serwer napisany w rust więc jest wybór ale bardziej sprawdzany jest ten pierwszy (z drugiej strony rust jest bezpieczniejszym językiem)
@BxOxSxS Жыл бұрын
@Agrafka Agrafka Teraz po prostu ułatwiają hostowane do jednego obrazu docker. Wcześniej też można było. Po prostu było to nieco bardziej skomplikowane. Sam to próbowałem. Jest taka opcja od bardzo dawna. Przeczytałeś po prostu pierwszą stronę w wyszukiwarce i to niedokładnie bo jest tam dosłownie: "The standard self-host deployment has been available since the beginning of Bitwarden". Jest dostępna znacznie starsza dokumentacja niż ten post
@BxOxSxS Жыл бұрын
@Agrafka Agrafka aha ja zmieniłem temat no dobra ciekawe. Mówiłem o oficjalnym rozwiązaniu od bitwardena. Są i były obrazy docker co prawda osobno trzeba mieć serwer bazy (co oficjalnie teraz zmieniają tym jednym obrazem) ale dalej to proste i gotowe rozwiązanie wymagające małej konfiguracji. Ty natomiast twierdzisz że nie ma żadnego oficialnego sposobu hostowania bo tylko jakiś koleś coś przerobił. Jest to i od początku była nieprawda. Wersja w ruscie jest czymś innym i jak wspominałem jest alternatywnym nieoficialnym, nie tak audotywanym rozwiązaniem. Wspomniałem o nim bo myślałem że ty go pomyliłeś nie zdając sobie sprawy że zawsze był dostępny ten oryginalny kod serwera. Teraz jeszcze twierzisz że ja to pomyliłem gdzie jasno się wyraziłem co jest czym
@BxOxSxS Жыл бұрын
@Agrafka Agrafka Nieco bardziej skomplikowany bo zamiast jednej komendy na pobranie obrazu są kilka plus ewentualne upewnienie się że kontenery działają i siebie widzą, 'Nieco' to idealne określenie bo to dalej proste podążanie za instrukcjami (z oficialnego źródła). Nie trzeba być 'geekiem' aby to zrobić ani nawet rozumieć jak to do końca działa. Dokładnie to miałem na myśli ale jak widać ty wiesz lepiej bo wspomniałem o alternatywnej wersji którą ludzie używają. Zastawania mnie co też jej się tak uczepiłeś. To naprawdę solidny kod z tą samą logiką i krytyczną implementacją (crypto czy auth) korzystającą z zaufanych sprawdzonych otwartych bibliotek. Ale jak wspomniałem zawsze lepiej mieć serwisy za VPN (jak już się tak rozpisuję to polecam do tego wireguarda), wtedy nawet luki 10/10 w vaultwardenie nie są zdalnie straszne naszemu serwerowi. Do tego też nie trzeba być geekiem. Dlatego też sporo osób go używa bo jest wygodny i z odpowiednią konfiguracją bardzo bezpieczny (O nie przyznałem to!) Jednocześnie dalej negujesz możliwość hostowania oficjalnej wersji serwera bo nie ma przycisku pobierz XD. Nie ma bo większość ludzie to nie interesuje wchodząc na stronę usługi chmurowej. Potrzebna dokumentacja dalej jest łatwo dostępna ale jak widać dla niektórych zbyt trudna. Wydawało mi się że moje wskazówki są wystarczające ale dalej wierzę że uda ci się to znaleźć. Zabawne też bo mi się wydaje że to ty teraz próbujesz obrócić kota ogonem nieudolnie zwalając cała winę na mnie przyczepiając się o słowka i dalej brnąc w swoje. Żeby nie było ja rozumiem że każdy może się mylić i czegoś nie wiedzieć ale jakakolwiek samorefleksja by się przydała. Lepiej będzie jak po prostu przestaniesz. Ale jak masz jakieś konstruktywne pytania to mogę odpowiedzieć (choć wyszukiwarka jest szybsza). Nauka w tych tematach na pewno by ci się przydała
@Drabiii Жыл бұрын
Co sądzisz o nordpass?
@LKirahs Жыл бұрын
Po co ci NordPass (którego firma wszędzie się chamsko reklamuje) i inne korpo twory, skoro masz KeePassXC? Otwartoźródłowy menadżer, nad którym to ty masz pełną kontrolę i za którego nic nie płacisz. Tworzysz zaszyfrowany plik (a algorytm sam możesz wybrać między 256-bit AES, Twofish i ChaCha20) z hasłami, który wrzucasz na chmurę i synchronizujesz między urządzeniami. Obsługuje zarówno 2FA, jak i U2F. Czasem się zdarza, że menadżer nie wykrywa okna z hasłem, czy loginem, ale tu nie ma problemu, by wówczas ręcznie go wybrać na stronie.
@adamkwalczyk Жыл бұрын
Namawiam zachęcać do trzymania offlajnowych albo chociaż intranetowych baz danych (hue hue bo rodo) w firmach i krzywić się na digitalizowanie wszystkiego "bo inni tak robią" i "no bo wygodnie".
@jkornat Жыл бұрын
Bez szans. Biznes jest biznes.
@juuulek Жыл бұрын
mnie rozwaliło mózg, gdy zauważyłem, że w haśle master w bitwardenie można skutecznie używać znaków diakrytycznych - wiecie może, które inne menadżery dają taką możliwość?
@marcisalac Жыл бұрын
tldr; Bitwarden sie ociagal z ulepszeniami, ale dalej nie zaliczyl jeszcze zadnej wpadki. Bitwarden nadal jednym z najlepszych menadzerow hasel. Troche wiec bicie piany o nic, szczegolnie jak ma sie ustawione haslo logowania do menadzera ktore ma 20+ znakow.
@PiotrekOlejnik Жыл бұрын
Jak zawsze bardzo merytoryczny materiał... ale jak słyszę "rok czasu" 😮 Czy mówimy "kilogram wagi"?
@XYZ-qb7iu Жыл бұрын
Ta strona chyba jednak nie działa mail, którego miałem ponad 15 lat podawałem wszędzie codziennie przychodziło tyle spamu że skrzynka się nie ładowała i nic
@MichaTerajewicz Жыл бұрын
Chyba najlepiej / najbezpieczniej używać czegoś w stylu keepassxc.
@theRabi Жыл бұрын
1password aleś ty mi zaimponował teraz xd
@ZawiszaCzarny1000 10 ай бұрын
Nie powiedziałeś czy cały czas używasz tego samego menadżera i jakiego 🤔
@radekr1234 Жыл бұрын
Czy skonfigurowany drugi składnik logowania, np. klucz U2F, utrudni w jakikolwiek sposób robotę złodziejom w razie wycieku całego vaulta z popularnych menadżerów haseł? Chyba nie?
@i-like-music Жыл бұрын
Drugi składnik logowania do menadżera na niewiele się zda w przypadku wycieku całego vaulta, natomiast skonfigurowanie uwierzytelniania dwuskładnikowego do poszczególnych kont zapisanych w menadżerze już bardzo utrudni dostęp do nich, mimo złamania haseł.
@PLJacktheRipper Жыл бұрын
@Mateusz Chrobok literówka ci się wkradła w tytule filmu :)
@Kasiencja85 Жыл бұрын
Czyli podsumujmy. Mam ze 3 koparki po 100 kart graficznych. Jak podłączę to na lewo aby kraść prąd to mogę sobie co 180 dni wpadać po odszyfrowane hasła :) (Chiny lubią to)
@drobin8469 Жыл бұрын
Gość jest mistrzem green screena.
@winkoo_ Жыл бұрын
To nie green screen 😉
@drobin8469 Жыл бұрын
@@winkoo_ też tak myślałem
@antero7680 Жыл бұрын
Czy lesspass nie jest rozwiązaniem na wszystkie te bolączki?
@kotekxd99 Жыл бұрын
Cześć
@alfatangokilo Жыл бұрын
A o KeePassium nic?
@misoch Жыл бұрын
Niezły program, ale nie wiem czy Strongbox nie lepszy.
@CarCine Жыл бұрын
A jak bezpieczny jest pęk kluczy w Apple?
@Hipis Жыл бұрын
bardzo
@BxOxSxS Жыл бұрын
Zamknięty kod nie pozwala w pełni potwierdzić że jest bezpieczne (tak część jest otwarta ale np serwer nie co jest ważne w przypadku wycieków). Apple może twierdzić że jest ale ich słowo mało jest warte po wielu kłamstwach dotyczących bezpieczeństwa i prywatności oraz współpracach ze służbami. Jak nie można być pewnym bezpieczniej założyć że tak nie jest i używać pewniejszych bezpiecznych alternatyw
@misoch Жыл бұрын
Ja przez długi czas używałem na iPhonie Keepassium oraz Strongbox z bazą keepass, ale przerzuciłem się na apple'owe Keychain.
@misoch Жыл бұрын
@@BxOxSxS zamknięty kod ma też zalety - nie można znaleźć luki przeglądając kod źródłowy.
@BxOxSxS Жыл бұрын
@@misoch właśnie to jest minus. Popatrz na statystyki. Otwarto źródłowe dobrze prowadzone projekty mają częściej wykrywane luki i błędy oraz szybsze lepszej jakości łatki. Jak nie znajdujesz błędów nie znaczy że one znikają a im jest ich mniej i bardziej jesteś ich świadomy tym lepiej
@KarolnaRowerze Жыл бұрын
Paczkarnia U Słowika rządzi 💪
@botbot3410 Жыл бұрын
Brakuje mi informacji o często używanych menadżerach od Google i Apple
@BxOxSxS Жыл бұрын
Wniosek jest zgodny z prawdą: nie są warte uwagi i lepiej unikać oraz korzystać ze sprawdzonych przeznaczonych do tego narzędzi
@tujestem77 Жыл бұрын
trochę sobie nie moge wyobrazić tego łamania haseł - ja po 3 razach - musze zresetować hasło/zasuwać do banku albo albo dzwonić na infolinie, a tu jakiś gość z kartą graficzną wpisuje tysiące możliwości(wiadomo automatycznie)?
@DSekula94 Жыл бұрын
Po wykradnięciu Twojej zaszyfrowanej bazy danych haseł, mogę z nią zrobić co tylko zechce. To co opisałeś nie jest wykradnięciem bazy danych jak w np. LastPass.
@czarn-y Жыл бұрын
Keepass offline + odpowiednio skonfigurowany syncthing na swoich urządzeniach. Wydaje się bezpieczniejsze niż trzymanie bazy w cudzych chmurach.
@darekw1967 12 күн бұрын
Tak... Jak dodasz do tego klucz sprzetowy YubiKey.
@marcinnawrocki1437 3 ай бұрын
Tylko LOKALNY manager hasel, nie trzymajcie SWOICH hasel na kompie kogos innego. Jedna kopia Kepasa (i nie na telefonie, bo ktos z palka was przekona do podania hasla) najlepiej na stacjonarnym PC (bo duze i ciezkie) i najlepiej na jakims Image z virtual desktop, ktory ladujecie tylko do hasel, i druga kopia na dysku SSD albo USB, zaszyfrowanym Truecryptem (z ukryta partycja na ktorej wlasnie jest backup kepas).
@jakubjakub6825 Жыл бұрын
Jakie wnioski dla użytkowników Bitwarden? Zmieniać wszytskie hasła? Zmieniać menadżer?
@mateuszkoclega4559 Жыл бұрын
Ja zostaje przy Bitwardenie. Mieli lekką wtopę ale wycieku danych nie.
@johnylake997 Жыл бұрын
Również zostaję. Dla zwykłego "Kowalskiego" nie był to incydent skreślający tego dostawcę, w dodatku do wszystkiego się przyznali i załatali podatność
@Bleuek Жыл бұрын
"Wtf" jest do tego fajny, tylko nie został wydany i nie zostanie wydany ponieważ owy program działa w domenie i nie można będzie go pobrać
@PortalAuditor Жыл бұрын
Moja żona to mój menadżer haseł
@HYPERrerere Жыл бұрын
8:55 - Co to za herezje? Jedyne co się zgadza to 30 mod 11. 😱
@mateusz1361 Жыл бұрын
Ktoś się orientuję jak z jakością szyfrowania "dashline"?
@przymrozek Жыл бұрын
0:46 "rok czasu" - a czy może być rok czegoś innego, niż czasu? 😉
@nmedokin Жыл бұрын
rok przerwy, rok testów, rok jubileuszu... wymyśl sobie inne przykłady
@Rayni666 Жыл бұрын
13-sty rok miesięcznicy :P
@marcinz9379 Жыл бұрын
@@nmedokin Tylko, że to wciąż określenie czasu. Jedyna sensowna odpowiedź w tym przypadku to: rok świetlny jako jednostka odległości.
@przymrozek Жыл бұрын
@@nmedokin ok, tutaj działa, ale rok jako jednostka czasu nie wymaga wyszczególnienia, że to o czas chodzi. Jest to pleonazm, na który mało kto zwraca uwagę, ale jako iż autor kanału zawsze tak pięknie się wysławia, pomyślałem że może chcieć znać ten językowy niuans 🙃
@nmedokin Жыл бұрын
@@przymrozek jeśli zbadać semantykę tych słów to te połączenie nie jest pleonazmem, nawet nie jest to tautologia. Jest to nadmiarowość czyli redundancja co w tym kontekście nie jest błędem.
@DzikNaFali Жыл бұрын
Albo analogowo na kartce zapisac
@opvol1840 Жыл бұрын
keepassxc?
@erjot0 Жыл бұрын
najlepszy, polecam :D nie rozumiem tych ludzi co korzystają z rozwiązań online dla celów osobistych.
@AlexZero Жыл бұрын
Ja tam używam wbudowanego w konto Google menedżera haseł i Apple
@δαμάω Жыл бұрын
Najlepszy menadżer, to karteczka i długopis. Trzeba być naiwnym żeby myśleć, że autorzy aplikacji nie mają dostępu do naszych kont
@toyo1732 Жыл бұрын
Dlatego czas jak ktos sie nie panoszy po swiecie notes to skarb
@marcinziajkowski3870 Жыл бұрын
A co z najpopularniejszym menadżerem haseł. Często ludzie nawet nie wiedzą że z niego korzystają. Mowa o Google Password manager.
@costenalolek973 Жыл бұрын
Na GPM nie da się zarobić, to po co o nim opowiadać ;-)
@LyczeQQ Жыл бұрын
Czy to oznacza, że przerzuciłeś się na 1password Mateusz? :P
@MateuszChrobok Жыл бұрын
Nie słyszałem o żadnej wpadce 😅
@misoch Жыл бұрын
@@MateuszChrobok To znaczy, że dopiero usłyszysz 😆
@miek1204 Жыл бұрын
Co gdyby zbudować odpowiednio potężny botnet na chociażby200/300 GPU? Można to przecież wykorzystać jako taki dekoder.
@MrSTEMI 9 ай бұрын
Stan na dzień dzisiejszy?
@Dzejwor_Gromowladny Жыл бұрын
Czemu mam wrażenie że każde usunięcie jakiejś poddatności z oprogramowania powoduje powstanie więcej niż jednej nowej? W skutek czego walka z tym nie ma końca? Trochę w myśl anegdoty że komputer z którym można w szybki i łatwy sposób zrobić wszystko co chcemy/potrzebujemy oferuje 0% bezpieczeństwa informatycznego natomiast 100% bezpieczeństwa informatycznego jest wtedy kiedy w ogóle nie ma komputera :D Każde zabezpieczenie przesuwa funkcjonalność w stronę tej drugiej sytuacji.
@BxOxSxS Жыл бұрын
Jest po prostu coraz więcej w tym interesu. Każdy używa systemów informatycznych do coraz bardziej poważnych rzeczy więc przestępcy mają w tym coraz większy interes. Bezpieczeństwa idzie cały czas do góry ale tak jest to nieustanna zabawa w kotka i myszkę i w zasadzie nie ma 100% bezpieczeństwa na wieczność. Brak użycia komputera w wielu rzeczach sprawia że coś jest jeszcze mniej bezpieczne. Prosty przykład podpisy cyfrowa korzystające z kryptografii asymetrycznej są dużo bardziej wygodne oraz bezpieczniejsze niż klasyczne podpisy długopisem, dlatego np nowe e-dowody mają taką funkcję
@adam1709 Жыл бұрын
@@BxOxSxS co daje ten podpis w dowodzie?
@BxOxSxS Жыл бұрын
@@adam1709 Możliwość kryptograficznej weryfikacji dowodu fizycznie jak i zdalnie lub cyfrowego podpisu dokumentów. Można tak logować się na profil zaufany lub np załatwiać niektóre sprawy przez ePUAP. Możliwości jest sporo. Bo działa to podobnie jak np yubikey a klucz prywatny w dowodzie jest chroniony pinem
@Komentujebomoge32 Жыл бұрын
Ciekawe czy da się złamać dane biometryczne
@MrRekss1 Жыл бұрын
Da się je ukraść.
@Komentujebomoge32 Жыл бұрын
@@MrRekss1 💀
@arikad4641 Жыл бұрын
4:34 szczecina trze o mica
@regis32 Жыл бұрын
Mateuszu, zrób coś po pozbywaniu się fizycznych kard SIM i ukrywaniu numerów telefonów - coś jak to, tylko na polskim gruncie, w praktyce kzfaq.info/get/bejne/fr9-ja6Cv6usn4k.html
@AnonimowyPolak Жыл бұрын
Menadżer haseł jest ok ale tylko w wersji offline. Te wszystkie które bazują na przechowywaniu haseł gdzieś w chmurze to dla mnie dziadostwo.
@adam1709 Жыл бұрын
racja, wygoda za coś
@teodorekjurkowski Жыл бұрын
Od machania rękami komentatora, ręce mnie bolą. Czy tak musi być? :-(
@ragnarlothbrok367 3 ай бұрын
Na wojnie nigdy nie wsadza się całej generalicji do jednego samolotu, just saying
@erazmumbrowicz8867 Жыл бұрын
Nigdy nie wierzyłem menadżerom haseł. Mam inny swój sposób na przechowywanie haseł.
@MrZiomalkapucha Жыл бұрын
LastPass to tak średnio już.
@adam-xt8te Жыл бұрын
Mój sposób: Zapamiętuję wers z jakiegoś wiersza. Podczas wpisywania hasła recytuję ten wers i wpisuję pierwsze litery słów. Na końcu dodaję znak specjalny, miesiąc i dzień swoich imienin. Po pierwszym znaku dodaję pierwszą literę z adresu strony WWW, na której wpisuję hasło.
@knopigames Жыл бұрын
Hhhaaa powodzenia w zapamiętywaniu tego jak masz tak jak ja 215 haseł. Serio.. Powodzenia.
@adam1709 Жыл бұрын
@@knopigames może wszędzie ma takie samo ;)
@FoHsi Жыл бұрын
W dobie biometrii, elektronicznych kluczy U2F, a najlepiej FIDO2, używanie tekstowych haseł wydaje się jakimś nieporozumieniem. Niby 2023 rok, a dalej się w to trzeba bawić.
@mbk5430 Жыл бұрын
Jedyny passwordless login na jaki w tej chwili możemy liczyć to prośba o reset hasła każdorazowo przy próbie logowania ;)
@FoHsi Жыл бұрын
@@mbk5430 właśnie o to chodzi, że mało komu to się opłaca, albo chce wdrażać, dlatego tkwimy w tych tekstowych hasłach dalej 😉. Ale gdzie mogłem, to wdrożyłem. Taki klucz, szczególnie z NFC i biometrią zamiast pinu to fajna sprawa.
@mrincognito89 Жыл бұрын
Fajny film ale nadal uważam że lepiej skorzystać ze starej sprawdzonej metoty? 100% nikt się nie włamie żaden włam nie straszy a i jeszcze darmowe Kartka z hasłami
@myszykiszkii Жыл бұрын
Wszystko ma minusy.
@mbk5430 Жыл бұрын
Sposób nieszczególnie zły, ale nie bez wad. Pierwszy problem tkwi w generowaniu odpowiednio losowych haseł. Wymyślanie haseł z głowy jest mimo wszystko całkiem przewidywalne z perspektywy ich łamania. Jakimś sposobem na to jest metoda Diceware, czyli (w uproszczeniu) lista słów, z których budujemy frazę hasła za pomocą rzutów kostką. Włamy z internetu co prawda nie straszne, ale wystarczy że najzwyczajniej w świecie zgubisz taki notatnik / zostanie skradziony wraz z np. torbą. Jak jesteś przygotowany na taką sytuację? Masz kopie zapasowe? ;)
@Waldo_Ilowiecki Жыл бұрын
Ale o ssssso chodzi?
@heartblit Жыл бұрын
Baza danych Nasza zakuta pała na chwilę obecną jest najbezpieczniejsza jeśli chodzi o naszą wspaniałą pamięć krótkotrwałą, wystarczy łatwa kombinacja cyfr plus znaków zawsze takich samych plus prosty algorytm powiązany z nazwą serwera do którego chcemy się zalogować.
@BxOxSxS Жыл бұрын
Tak nie jest. Sprawdź czym jest entropia. Jakiekolwiek powiązania i inna "łatwa kombinacja cyfr" czynią hasło dużo słabszym. O ile nie jesteś w stanie zapamiętać 15+ znakowe losowego hasła osobnego do każdego serwisu menadżer jest lepszą opcją
@heartblit Жыл бұрын
@@BxOxSxS Tak masz rację jeśli chodzi o bezpośredni atak taki algorytm jest łatwy do złamania. Jednak pamiętajmy że głównie chodzi o zwykłych użytkowników którzy są poza sensorem pożądanych przejęć.
@BxOxSxS Жыл бұрын
@@heartblit Prawda mało prawdopodobne jest to że ktoś się do ciebie przyczepi ale właśnie robiąc tak zwiększasz na to prawdopodobieństwo bo jesteś łatwym i opłacalnym celem . Słowniki z algorytmami są już w użyciu nawet dla zwykłych osób. Atakujący może poznać twój algorytm z innego wycieku gdzie na przykład hasła nie były prawidłowo hashowane, następnie algorytm sprawdza milion możliwych kombinacji bo dalej stwierdza że się nie opłaca. I to wszystko automatycznie. Jest wysokie prawdopodobieństwo że uda mu się zgadnąć takie hasło. O ile teraz mało kto tak robi na większą skalę to raczej tylko kwestia niedalekiego czasu dlatego zawsze lepiej unikać tego typu technik hasłowych
@heartblit Жыл бұрын
@@BxOxSxS Git👊
@alans3792 Жыл бұрын
Ciekaw jestem jakby tak do firm od menadżerów haseł przyszły służby, to jak by się one zachowały? xD Poszliby siedzieć za 5 usd miesięcznie, za nieujawnienie haseł klienta? xD
@Zattahi Жыл бұрын
Ehh dałbym 2 łapki ale sie nieda :P
ТВ3 - сериалы и шоу
Рет қаралды 1,9 МЛН
HRejterzy
Рет қаралды 238 М.
KingStore_astrakhan
Рет қаралды 4,6 МЛН