Keepass eller Lastpass?

Inget av dem, om jag får säga mitt. Safe in Cloud är snäppet bättre och mer flexibelt.

Hur kan exempelvis en person från USA, brute force'a mitt Safe in Cloud-konto (även ens KeePass-konto), när det är 100% lokalt och inte ansluten till Internet? Visst, jag synkroniserar mina lösenord till Googles servrar, men då ska hackern verkligen kunna sin sak om h*n vill komma åt den enskilda databas-filen. Låt mig förklara varför.

Hackaren måste först hacka Googles mycket säkra servrar. Sen måste inkräktaren ta reda på vad jag har för e-postadress och dekryptera varenda liten fil som finns på mitt konto, för att sedan ta reda på vilken fil som verkligen hör till mitt Safe in Cloud-konto, vilket kommer säkert ta bra många månader, om inte flera år, såvida inte h*n har tillgång till världens snabbaste dator. Sen, när h*n väl har hittat filen om inte idioten har gett upp redan, måste denne även dekryptera AES-systemet, som är en mycket säker krypterings-metod och som även aldrig har blivit dekrypterat än, vad jag vet.

Tack för dina tips, SysGhost, men nej tack. Jag tror nämligen att jag är säker trots allt.

När det kommer till just lösenords-databaser, så är de bara så säkra som det lösenord som valt att låsa de med.
Att de sedan bara är lokala filer utan åtkomst via Internet är bra, men som ägare till dessa databaser vill man säkert ha någon form av smidighet och komma åt sina lösenord på andra ställen än sin lokala dator.
Det brukar sluta med att man antigen har ett USB-minne med sig, eller laddar upp databaserna till någon moln-tjänst såsom droppbox, skydrive eller liknande.
Tappar man USB-minnet, kan man vara säker på att upphittaren inte försöker ta sig in i databaserna? Kommer man att sova säkert i vetskap att databaserna kanske är i orätta händer.
Likaså molntjänster. Hur många utan ens vetskap har access till ens molntjänster. Eller vilka datorer laddar man ner databaserna på? När man är hos polarna man "litar blint på"? Publika datorer? Fluktar polarna på tangentbordet när man låser upp databaserna?

Hur det än sker, så är alla ens konton man lagrat i databaserna endast skyddade av ett enda lösenord. Man kan nästan jämföra det med att ha samma lösenord till alla ens olika konton där ute. Kommer ett lösenord på villovägar, äventyras alla inblandade konton.

Personligen undviker jag dessa databas-lösningar just för att det är så lätt hänt att dessa databas-filer kommer på villovägar.
Det är även därför jag tipsar om den dubbla säkerheten med både nyckelfiler OCH lösenord.
Rätt osannolikt att lösenord, nyckelfil och databas skulle komma på samma villovägar. (Dock inte omöjligt)

Samtidigt är jag personligen extra "paranoid", då jag vet att en del av mina bekanta är rätt duktiga på just upplåsning av allt möjligt och omöjligt.

Ja, på så sätt håller jag med dig om att lösenords-hanterare är osäkra. Jag har Safe in Cloud installerat på alla mina Windows-datorer och i min Android-telefon. Jag har det även portabelt på mitt USB-minne. Om jag tappar mobilen, kan jag enkelt logga in på cerberusapp.com och se vart min mobil befinner sig, spåra den om det skulle behövas, göra så att den ger ifrån sig ett förjäkla högt ljud + visar ett meddelande, låsa den helt, eller (i nödfall) ta bort allt som har med mina saker att göra i både mobilen och på minneskortet. Tack vare Cerberus anti stöld känner jag mig säker, och om jag ska gå någonstans och måste in på något av mina konton, så skriver jag av lösenorden för hand eller tar med mig min bärbara dator.

Jag undviker helst att skriva in mina lösenord på andras datorer, då jag inte vet om deras dator är infekterad av exempelvis keyloggers eller inte. Det är bra att vara paranoid när det kommer till hantering av sina lösenord, för det ska man vara också. Jag gav ut mitt lösenord till en mycket nära vän i början av högstadiet under slutet av 90-talet, och som tack skickade han ett hatbrev eller hotbrev (minns ej vilket) till mitt ex, som han då var tillsammans med. Aldrig mer igen, säger jag bara! Det blev som tur var ett möte med mig, han, mitt ex, mina föräldrar, hans föräldrar och mitt ex föräldrar, inklusive våra lärare, så han fick sig en rejäl utskällning.

Det är liksom hela idén med ett lösenords-system. Man behöver inte komma ihåg lösenorden, utan bara systemet.
Själv har jag flera hundra konton överallt, men jag behöver bara memorera 5 olika system:
1: Publika sajter med publik information. Diverse forum, chattsajter, kanaler med mera.
2: Publika sajter med personlig information. Facebook, twitter med flera.
3: Handels-sajter. Webbshoppar och så vidare.
4: Globala sajter med access till finans. Google Play, Paypal, eBay med flera.
5: Lokala sajter med access till finans. Nordea, Skatteverket med flera.

Ett lösenords-system till respektive nivå. Ju högre nivå. Desto mer komplext system.

Här behöver jag alltså bara komma ihåg 5 olika system. Jag kan inte lösenorden direkt, utan jag vet vad jag behöver skriva i lösenords-fältet när jag besöker sajten ifråga.

Exempel med det system som jag gav exempel på tidigare:
Besöker facebook. Behöver logga in.
Sajtens namn: Facebook.
Sajtens nivå: 1
Lösenords-system för nivå 1: sajtnamn + Ord + Två siffror: 56
Exempel-ord för alla sajter i nivå 1: Tavla
Lösenordet ifråga: facebookTavla56

Ännu ett exempel med en annan nivå 1 sajt:
Sajtens namn: Twitter.
Sajtens nivå: 1
Lösenords-system för nivå 1: sajtnamn + Ord + Två siffror: 56
Exempel-ord för alla sajter i nivå 1: Tavla
Lösenordet ifråga: twitterTavla56

Ser du mönstret? Extremt förenklat för att förtydliga.
Och de högre nivåerna har då mer komplicerade system.
Behöver bara komma ihåg 5 system och inte hundratals lösenord.
Det är säkrare att memorera 5 system, än att skriva ner unika lösenord i analog eller digital form.
För ett lösenord är bara så säkert som det är tillgängligt. Och insidan av ens huvud har inte många tillgång till.

Men till sak:
KeePass är annars ett bra val om man måste använda "lösenords-bank". Massor av trevliga plugins, rätt bra säkerhet, portabilitet och Linux-kompatibiltet är en del bra punkter som förespråkar just KeePass.
Nackdelen är dock att KeePass är populärt, och därmed en måltavla för attacker.

Jag använder Lastpass. Fick ett bra erbjudande och de har fingeravtryck som skydd för appen.

Skickades från m.sweclockers.com

Keepass alla dagar i veckan, lita inte på något som inte är opensource eller använder molnet.

Fast det är säkert 100x säkrare med en lösenordshanterare än att ha samma lösenord på alla inloggningar. Mitt keepass lösenord är ca 25 tecken med bokstäver, siffror och tecken och jag bytar det ca var 3 månad. Har även en keyfile med en till synes random fil(kan ta vilken som helst, txt, word, what have you) Tycker inte det är särskilt jobbigt.

Lastpass för att det ska synka på ALLA mina enheter utan tricks och backuper.
Jag har inget att dölja för Trump

Jag kan rekommendera Keepass! Körde med Firefox-tillägget men kör utan det nu. Fungerar bra med CTRL-ALT-A.
Men jag lagrar inte det viktigaste på Keepass (mail, Skype, paypal, m.m.). Där använder jag ett liknande system som SysGhost beskriver.

Kör 2-stegs verifiering på de system som har det. Keepass-databasen ligger på Dropbox och på lokala backuper, men tack vare att jag inte har några av de viktigaste lösenorden i den filen så känner jag mig tillräckligt säker. Helt säker kan man aldrig bli.

Om man råka få in en keylogger hjälper inte något system helt och hållet.

Stämmer. Keepass kan ju öppna i Secure Desktop när man ska skriva in databas-lösenordet. Men vill minnas att den försökte fylla i på ett sätt där den försvårar för keylogger att läsa av när den skrev i formulär. Men hittar inte den infon nu på deras sida.

Om man använder en lösenordhanterare eller ett eget system så är det så mycket bättre än de lösenord som folk har i allmänhet. Oftast så har de ett kort namn som lösen. Och det spelar ingen roll om det är privat eller på ett arbete. Gärna uppskrivet på en post-it på skärmen.

Vid sådana diskussioner så tänker jag på

https://xkcd.com/936/

Och vill man ha viss slumpmässighet också/eller så kanske en sådan http://www.passwordcard.org/en i plånboken (och bara där) hjälper för delar av eller hela sitt passord - ta ut två (med olika salt) och klistra ihop på varsin sida och när man tar ut kod så tar man en rad på varsin sida av valfri längd (kortsida, långsida, diagonalt, två rader bredvid varandra etc.) - då om någon råkar fotografera av ena sidan så är det fortfarande förbaskat jobbigt ändå om man använder kod även på andra sidan...

Siter som inte tillåter mer än typ 16 tkn som passord bör man överväga att använda annan service då med detta visar att man negligerar användarnas säkerhet/integritet. Det här att site tvingar användarna att använda minst en stor bokstav, siffra och någon icke bokstav/siffra innan godkänd passord ger ett relativt lättanalyserat beteende då många stoppar in stor bokstav i början eller slutet, samma sak med siffror och andra specialtecken och utesluter alternativen där man inte har dessa hinder...
I själva verket minskar man entropin när man försöker tvångstyra folks passordsgenerering och förkastar tex. en 60 tkn lång ordföljd med bara små tecken som odugligt fast den vida överskriden en 12 tkn påhittad slumptal med stor bokstav, siffra och specialtecken i sig (som inte är speciellt slumpmässigt om man granskar det noga) i entropi.

Site skall tillåta långa passfraser på väl över 80 tkn.

Tänk på att ett antal olika och stora (spel)-site har läckt ut användarnas passord i klartext via sql-injektion mfl. angrepp - vi pratar om många 10-tals miljoner passord i klartext som läckt.

dvs. (stora) företagen (som borde veta bättre) haschar inte ens användarnas passord utan det ligger i klartext i deras databas.

Detta har inneburit att folk/krackare/hacker/forskare har suttit och analysera dessa många miljoner passord i klartext och algoritmer som att byta E mot 3 och andra substitutioner etc. och är standard angreppsmetod som man provar och börjar med allra först.

Kort sagt alla 'smarta' uttänkaden för passordsgenering är redan provad av många tusen andra med liknande resonemang - man skall inte tro att man är ensam om dessa...

Passfraser på minst 5 ord - gärna dialektala, ej engelska ord gör det väldigt svårt att gissa från utomstående då en engelsman knappast har en idè hur en mustig svordomsramsa på finska eller dalmål låter, men relativt lätt för användaren att komma ihåg - dels förväntas det inte att passordet är mycket över 16 tkn. då ett sådant helt slumtalsmässigt passord kommer att ta lång tid att mata in, svår att lära sig utantill och oviljan att byta är stor om man väl har lärt sig sekvensen och det går snabbare att skriva efter en tid och folk är lata... skall den dessutom bytas var 3 mån eller så... ...så blir inte ändringarna så stora....

kan man sin passfras så får man in många tecken på ganska kort tid på samma sätt som en mening skrivs i ett forum, efter några gånger tittar man knappt ens på tangentbordet/skärmen och det går i stort sett lika fort som en 8-12 tkn lång passord med slumptecken som inte vill fastna i minnet.

Läste igenom denna gamla tråd och svarar att jag kör LastPass just för att deras mobilapp är tusen gånger bättre än alla KeePass-appar jag har testat (Android). Tyvärr föredrar jag skarpt KeePass till desktop vilket gör att jag ibland kör båda två samtidigt vilket inte är helt praktiskt att behöva synka båda hanterarna. Jag kör båda två med en YubiKey som 2FA.

Vad bestämde du dig för att köra och hur tycker du att det funkar?

https://www.yubico.com/

Appen jag främst använde, KeePass2Android, kan inte hitta webbläsarlösenord i Brave utan du måste manuellt lägga till en referens för varje lösenord då den verka söka m.h.a. appnamn. Det vill säga, kör jag Brave och försöker autofylla t.ex. sweclockers.com så letar den inte i databasen efter sweclockers utan går efter appnamn, d.v.s. com.brave.browser, där jag sjävklart inte har sparat mitt lösenord. Utanför webbläsare funkar den helt ok.
Autofyllningen har de dock behövt flytta bort från appen i Play Store då Google i slutet av 2017 införde krav på att Accessibility-funktioner (vilket alla dessa appar använder för att autofylla) faktiskt ska vara för funktionsskadade och inte användas för andra ändamål. Nu behöver man installera en plugin från deras hemsida och den funkar halvbra. Av någon märklig anledning får LastPass dock fortsätta köra genom Accessibility-funktionen vilket gör att den är helt överlägsen.
En yttligare anmärkning är att KeePass2Android inte stödjer Argon2 native vilket gör att min databas tar cirka 30 sekunder att låsa upp när det tar 2 - 3 sekunder i t.ex. KeePassXC eller andra Androidappar. Det finns en feature request men den har legat där ganska länge...

Mycket intressant, jag ska spana in detta. Tack!
LastPass har som sagt enligt mig överlägsna appar men det som är tråkigt är att databasen är någonstans i molnet som inte går att kontrollera. Om BitWardens appar verkar bra kanske jag äntligen får tummen ur och lär mig Docker.

Jag kör 1Password, betalar de lite under 400:-/år och får deras grymma app i alla mina datorer och enheter. Har använt dem sedan 2014 så därför jag gick över nu till deras subscription. Tycker det är värt det, så slipper jag tänka på mina lösenord och deras appar är väldigt väldigt bra.

Dock råkade jag (visste inte om) registrera mig på 1password.com så mina lösenord lagras i deras amerikanska servrar. Dock litar jag nog mycket på dem så jag har inte orkat kontakta deras support och migrera över till 1password.eu.