Keepass eller Lastpass?

Trädvy Permalänk
Medlem
Registrerad
Sep 2011

Rekommenderar även jag Bitwarden. Finns app till Android och iOS, och tillägg till Firefox, Chrome, Edge, Opera, m.fl.
Allt synkas till ditt konto.

https://bitwarden.com/

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Maj 2011
Skrivet av Snigeln Bert:

Av någon märklig anledning får LastPass dock fortsätta köra genom Accessibility-funktionen vilket gör att den är helt överlägsen.

I Android Oreo integrerar LastPass med Androids lösenordshantering, hur smidigt som helst.

Dator: [FD Define Mini | i7 2600K | Asus Maximus IV Gene-Z | PowerColor HD6850 SCS3 | Seasonic X-560 560W | G.Skill Ripjaws 4x4GB | Intel 510 SSD 120GB | Seagate Barracuda Green 2 TB] HTPC: [Streacom FC8 EVO | i3 4340 | Gigabyte GA-H87N-WIFI | Streacom Nano150 | Kingston HyperX Blu 2x4 GB | 120 GB SSD] Server: [HP Microserver Gen8 m. unRaid] Mobil: [Samsung Galaxy S8+]

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Mar 2012
Skrivet av [SH]:

I Android Oreo integrerar LastPass med Androids lösenordshantering, hur smidigt som helst.

Jag har dock inte Oreo utan sitter på 7.1.2. Försöker jag starta Accessibility-funktionen i KeePassXC säger den att 8.0 krävs för att det ska gå (gissar för att de måste följa Googles nya riktlinjer), medan LastPass inte alls klagar på detta och tillåts köra via Accessibility. Det här är vad jag tycker är skumt.

Trädvy Permalänk
Medlem
Registrerad
Mar 2006
Skrivet av xtQ:

Kika på Bitwarden. Överlägset ett av de bästa användarupplevelserna för en lösenordshanterare som dels är open source, dels går att hosta själv eller så kör man gratis-versionen via Bitwardens servrar (de tjänar pengar på premium-tjänsterna).

Installera tillägget i din webbläsare och logga in. Sen kommer du märka hur enkel den är att ha att göra med.

Tack för tipset, jag har kört Lastpass i många år och betalat för deras premiumabonnemang, men testat Bitwarden både på datorn och min iPhone nu och det funkar ju klockrent så det blir nog att gå över helt. Det gick smidigt att exportera alla lösenord från LastPass och gratis är ju alltid trevligt

ASUS Z97A • 4670K @ 4,4GHz • Noctua NH-D15 • Corsair 16GB DDR3 • ASUS GTX1070
NZXT H440 • Be Quiet SP E9 CM 580W • Dell UltraSharp U2515H

Trädvy Permalänk
Medlem
Registrerad
Nov 2013
Skrivet av SysGhost:

Avråder från att använda program till att lagra lösenord, oavsett hur stark kryptering de än har.
Använd ett komplext lösenords-system som är lätt att lägga på minnet, men svårt att knäcka med "Brute force", som ger ett lösenord unikt för varje sajt/ställe/program/fil.

Exempel:

Ett par helt slumpmässiga ord: Golf, Bomb
L33tifira orden: G01f, 80m8
Sajtens namn: gMail
l33tifiera namnet: Gm41l
Kombinera: gm41lG01f80m8
Salta på med en sträng specialtecken som är lätta att komma ihåg: #!/
Lägg till i slutet: gm41lG01f80m8#!/
Klart. Ett unikt lösenord för gmail, men som är lätt att komma ihåg.

Repetera för ytterligare sajter:
Yahoo: Y4h00G01f80m8#!/
Bert-Åke's moppesajt: B3rt-4k3G01f80m8#!/
...

Kommer ett lösenord på villovägar, så är de andra sajterna säkra. Vem kan komma på vad "G01f80m8#!/" har för sammanhang med "4rch1nu><" ?

Även om lösenordet kan vara svårt att memorera, behöver man endast memorera systemet, och kan då återskapa lösenordet för varje respektive sajt i huvudet. De enda man behöver komma ihåg i detta exempel är: Sajt-namn, Golf, Bomb, #/!

PS: Ni behöver inte prova detta exempel med mina konton. Det fungerar inte. Mitt personliga system är mer komplext än så.
Bonus: Vänner och bekanta tappar alltid hakan över mina otroligt långa lösenord, som jag helt sonika har memorerat. Även de mer tangentbords-erfarna har svårt att hänga med alla specialtecken jag skriver, så jag behöver inte ens oroa mig över tangentbords-fluktare.

Dold text

Jag skall dock erkänna att jag själv använder KeePass, trots att jag använder ett avancerat, men lättmemorerat lösenords-system.
Dock bara i de fall där jag inte får bestämma och ändra lösenordet. Däremot så ser jag till att använda dubbel säkerhet i KeePass: Nyckelfil OCH lösenord.
Sedan ser jag till att ALDRIG lagra nyckefiler på samma ställe som databas-filerna. Inte ens på samma hårddisk. Likaså är det viktigt att backup på databaserna och nyckelfilerna också hålls åtskilda. Annars besegras liksom hela syftet med nyckelfiler.
Nyckelfilerna lagrar jag i min Android-telefon (Den har jag ju alltid med mig) och databas-filerna i ett separat USB-minne.
För den oförsiktige, finns det ett Dropbox-plugin till KeePass.

Varför jag använder KeePass, är för att KeePass är helt Mono-kompatibel, och kan köras direkt under Linux utan behov av Wine.
Dessutom kör jag KeePass i portabelt läge, vilket gör att jag kan ha KeePass i USB-minnet och kör då KeePass på vilken Linux eller Windows-kompatibel dator som helst som har en USB-port.

EDIT: Varning!
Det förekommer falska sajter som utger sig för att vara utvecklarna av Keepass. Likaså förekommer det infekterade/modiferade KeePass-installationer runtom på nätet.
Kolla upp detta flera gånger om, innan ni laddar ner något.
För att vara på den säkra sidan, ladda ner KeePass från följande sajt: http://keepass.info/ ( http [kolon,slash,slash] keepass [dot] info )
Trippel-checka ALLTID adresserna i länkarna INNAN ni klickar på dem. Det gäller även länken jag gav ovan. Det förekommer även adwares/spywares som ändrar specifika länkar "on the fly". KeePass är utsatt för sådana angrepp.

Korrekta MD5-summor för respektive nerladdning av version 2.23:

f0065d1147978abff7c633b0ff1e5c36 KeePass-2.23-Setup.exe f7547420a302199187071d5af449ba8c KeePass-2.23.zip

Använd till exempel detta verktyg för att kontrollera: http://www.softpedia.com/get/System/File-Management/MD5-Check...

Fast jag håller inte med dig alls när det kommer till ditt system. Alla dictionaries kollar leetspeak också, det är inte säkert överhuvudtaget.

Laddar du ner rätt version av Keepass så är det ju inte några problem. Om du är lite paranoid kan du ju alltid dra ner Wireshark eller liknande och kolla så att Keepass inte skickar massa data som den inte ska.

Jag är så progg att jag lyssnar på konceptalbum på shuffle

Trädvy Permalänk
Entusiast
Plats
Stockholm
Registrerad
Jul 2007
Skrivet av Señor Hallon:

Fast jag håller inte med dig alls när det kommer till ditt system. Alla dictionaries kollar leetspeak också, det är inte säkert överhuvudtaget.

Laddar du ner rätt version av Keepass så är det ju inte några problem. Om du är lite paranoid kan du ju alltid dra ner Wireshark eller liknande och kolla så att Keepass inte skickar massa data som den inte ska.

Varför är flera slumpmässigt valda ord bättre än en sträng som inten varelse på den här planeten kan memorera?

Ett lösenord av flera slumpmässiga ord, som är lätt att komma ihåg:
LådKnappMedKabelGröt
5 ord att komma ihåg.

Jämför det sedan med 5 slumpmässigt valda tecken att komma ihåg:
G#34w

L33tifierar man det första exemplet, så ger det än mer högre säkerhet.

Följande seriestripp illustrerar det jag försöker beskriva bättre:
https://xkcd.com/936/?

Flera gånger bättre än att använda KeePass eller andra program för att lagra annars "omöjliga att memorera" lösenord.

Jag ser KeePass och liknande "password managers" som att spara alla nycklarna i ett kassaskåp, och sedan förvara nyckeln till kassaskåpet i en skokartong vid sidan om.

Bästa programmen till Linux - v2.0
Linux-guide: Val av grafisk miljö. (Att välja distribution).
-
Everyone should have a SGoC in their systems (SGoC: SysGhost on a Chip)

Trädvy Permalänk
Medlem
Registrerad
Nov 2013
Skrivet av SysGhost:

Varför är flera slumpmässigt valda ord bättre än en sträng som inten varelse på den här planeten kan memorera?

Ett lösenord av flera slumpmässiga ord, som är lätt att komma ihåg:
LådKnappMedKabelGröt
5 ord att komma ihåg.

Jämför det sedan med 5 slumpmässigt valda tecken att komma ihåg:
G#34w

L33tifierar man det första exemplet, så ger det än mer högre säkerhet.

Följande seriestripp illustrerar det jag försöker beskriva bättre:
https://xkcd.com/936/?

Flera gånger bättre än att använda KeePass eller andra program för att lagra annars "omöjliga att memorera" lösenord.

Jag ser KeePass och liknande "password managers" som att spara alla nycklarna i ett kassaskåp, och sedan förvara nyckeln till kassaskåpet i en skokartong vid sidan om.

För att får en person tag på en databas med ditt lösenord kommer de använda en dictionary attack, inte bara ren bruteforce som efter 8-9 tecken är för kostsamt om ens möjligt att ens bryta sig igenom även om det är MD5 vi snackar om eller något annat gammalt skräp. Att skriva JagGillarBanan tar några sekunder att lista ut. Dessa dictionaries har även koll på leetspeak, det är inte precis någon hemlighet hur man gör det. Ska du göra det säkert får du salta lösenordet själv, lägg till bindestreck, hash-tecken etc på ställen där en dictionary attack inte förväntar sig något sådant.

Så, det enda du gör när du tar flera ord på det sätt du säger är att lägga till en attackvektor för ditt lösenord, har du ett långt lösenord med slumpmässiga tecken är enda sättet att få tag på det att bruteforcea det. Och om du inte har en kvantdator från framtiden kommer det ta 4 kvadriljoner år (bokstavligt) att få fram detta. Jag skulle kunna skicka dig min keepass databas om du vill, lycka till med att få fram mina 32 karaktärer långa lösenord krypterade med AES-256.

Grundtanken med den XKCD serien är bra, men den behöver uppdateras.

Jag är så progg att jag lyssnar på konceptalbum på shuffle

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2008

Kikat ngt på bitwarden? Finns som dockerimage om man vill

*edit: lite sen till festen...nåja

Citera! Gaming: Chassi: FD R4| CPU: 7700K | Kylare: Noctua NH-D14 | MB: MSI Z270 GAMING PRO CARBON | Grafikkort: GTX1080 | RAM: Corsair LPX 16GB 3333MHz CL16 | OS:Disk: Intel 600p 512GB | PSU: EVGA Supernova 850 G2 |
Servrar: X2 DL380 G7 2x X5660 - 294GB RAM (VM Pfsense + annat)
Desktop i7 2600K - 8GB + HP DL360 G7 2xE5620 (ej i drift)

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

Det som inte nämns är att passorden eller passfrasen som används - är inget som en människa skall hitta på, utan maskingenereras och strängen man får göra sin story av det och lära sig utantill - inte tvärt om.

Det beror på att när vi skapa passord/passfras med påhitt så byggs det in logik (grammatik) omedvetet som gör det lättare för ett angrepp - de som attackerar passord/passfraser har koll på sådant...

ett bra passord är den du har väldigt svårt att lära dig utantill...

När man kör passfraser så skall man ha skiljetecken mellan orden och inte ihopsatt, det beror på att ihopsatta ord kan bilda nya ord som listor och brute force får träff på medans är orden separerade så hittas de inte lika lätt.

det som fungerat bäst för mig är:

https://www.passwordcard.org/en

för passord som inte är tänkta att läras utantill, bra engångspassord för olika site etc. 12 tecken minimum för drygt 78 bit entropi.

för passfraser (i önskad språk)

https://www.rempe.us/diceware/#swedish

minst 6 ord för knappt 78 bits entropi och det skall vara skiljetecken mellan orden

Trädvy Permalänk
Avstängd
Plats
Karlstad
Registrerad
Aug 2001
Skrivet av xxargs:

Det som inte nämns är att passorden eller passfrasen som används - är inget som en människa skall hitta på, utan maskingenereras och strängen man får göra sin story av det och lära sig utantill - inte tvärt om.

Jaha? använd bajsbajs00 och på det 2FA. Sen är du så hemma du kan bli.
BW.

Skydda oss mot allt går ändå inte. Sluta använd internet isåfall.
BW.

Trädvy Permalänk
Avstängd
Plats
Karlstad
Registrerad
Aug 2001
Skrivet av xxargs:

minst 6 ord för knappt 78 bits entropi och det skall vara skiljetecken mellan orden

BW.

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Mar 2012
Skrivet av xtQ:

Kika på Bitwarden. Överlägset ett av de bästa användarupplevelserna för en lösenordshanterare som dels är open source, dels går att hosta själv eller så kör man gratis-versionen via Bitwardens servrar (de tjänar pengar på premium-tjänsterna).

Installera tillägget i din webbläsare och logga in. Sen kommer du märka hur enkel den är att ha att göra med.

Har spanat in BitWarden och gillar det än så länge på desktop, har inte testat Android än. Vad jag saknar är att kunna likt LastPass tvinga återgivande av lösenord när man vill komma åt vissa sparade saker, att det även är lösenordskrav på att se visa lösenord samt lite andra småsaker. Jag har satt upp en Dockercontainer där jag kör mitt valv vilket är ett stort plus då datan inte lagras i USA vilket egentligen är det enda negativa jag ser med LastPass, förutom att LastPass är helt värdelöst för desktopprogram.