Proton Pass ... Yay or nay?

Har inte gett mig in i det ännu för att testa.

Väntar tills det kommer en kompatibel programvara till MacOS och Safari.

Men vill du ha åsikt kan du lyssna på Nikka.
https://nikkasystems.com/2023/06/30/podd-204-helt-halvfardiga...

Betalar man så får man 2FA också hos Bitwarden.

Har inte testat Proton Pass, använder dock Proton för mail och Bitwarden för lösenordshantering privat, samt 1Password på jobbet. Så det finns iaf en del beröringspunkter sett till frågorna du tar upp.

Det beror ju på vad som faktiskt hänt. Om det är just din lösenordshanterares databas som läckt så är det ju en smärre katastrof att även 2FA ligger där i, men i många andra attackscenarion gör det dock varken från eller till (exvis lösenord som läckt från någon tjänst, eller liknande).
Så ja, det är ju en kompromiss som försämrar skyddet i specifika scenarion i utbyte mot lite mer smidighet hela tiden. Att funktionen finns där säger väl mest att de tycker att det nog är en okej kompromiss för de flesta, men det tvingar dig ju inte användaren att använda just den funktionen om du inte håller med och hellre sköter TOTP i en separat applikation på telefonen eller vad det nu må vara.

Jag skulle främst hålla med om att man bör ha ordentlig kontroll över sina egna lösenord.
Tycker annars att användarupplevelsen i 1Password blivit bättre i de senare versionerna, även om affärsmodellen blivit sämre för användarna.

Ja, om man ska ha den integrerade lösningen för att generera TOTP-koder (diskuterad ovan) så behöver man premium-nivån. Grundläggande lösenordshantering på alla sina enheter kan man ju dock sköta i gratisnivån (och med TOTP-skydd för inloggningen till Bitwarden).

Sett till utveckling så gillar jag ju att Bitwarden tagit steget att införa Argon2id som ett alternativ till PBKDF2 som skydd för huvudlösenordet, så med sådana ändringar tycker jag ju att de gör framsteg på teknikfronten iaf. Sedan är väl den övergripande användarupplevelsen relativt statisk, det håller jag med om (men inget som stör mig personligen).

Bitwarden har ju någon familjegrej som väl i princip är en variant av "enterprise"-lösningen med ett låst antal användare.
Såg ingen motsvarighet hos Proton när jag tittade, men kan ha missat något. (De kanske inte har någon "enterprise"-lösning så det kan ju isf förklara det hela?)

Jag är sugen men ogillar att det kostar löpande. Å andra sidan gör dom flesta managers det nu, och 1 euro forever låter ju onekligen bra.

Funderar på att testa ett år och se vart produkten tar vägen.

Gillar inte heller konceptet att den känns ofärdig (t ex kreditkort står det ”kommer snart” på), men p andra sidan, priset kontra konkurrenterna lockar.

Introduktionserbjudandet har ju dock ett något högre pris än t.ex. Bitwarden Premiums normalpris, så det beror ju på om man ser en specifik fördel i Proton Pass sett till att priset skall locka i jämförelse med konkurrenterna.

Jag är dock försiktigt positiv till Proton Pass, mycket eftersom jag ändå använder andra Proton-tjänster, men:
* Just Pass-tjänsten ger inte ett riktigt färdigt intryck i nuläget
* Jag undrar verkligen om det kan bli prisvärt för användare som hoppar på efter introduktionserbjudandet (det är kanske isf om man hoppar paketet med alla deras tjänster som den kan bli intressant även då)

Om man kan se till att själv synka innehåller kan man ju med fördel använda något Keepass-derivat (tänker t.ex. KeepassXC) om man nu ska undvika en månadskostnad.

Hoppar in med en semirelevant fråga, är det nån som kör protondrive på sin androidlur? Och vet om den kan automatisk ladda upp filer från en folder till sin Protondrive?

Litar inte på Proton sedan de blev påkomna med att ljuga om vad de faktiskt sparade för användardata. Kör Bitwarden istället.

"Bitwarden finns ju som alternativ för ungefär samma peng, men utan 2FA delen tror jag"

Bitwarden har inbyggt stöd för TOTP också. Men som du säger så försvinner ju hela idén med 2fa om man har lösenordet och TOTP på samma ställe...

Kan någon förklara för en stackare som inte har hängt med så bra på hur 2fa fungerar varför det skulle vara riskabelt att ha det på samma ställe?

Absolut det är jag med på, men är 2fa-secrets sparade i samma databas och finns dom i samma app?

Vill man ha hög säkerhet så ska man nyttja så få tjänster som möjligt och verkligen syna de företagen man lägger ut sin känsliga data hos. Hur stora är de? Har du haft problem tidigare? Om så, hur hanterade de det? Man hör gång på gång hur företag antingen missbrukar eller råkar ut för dataläckage. Tyvärr går många incidenter obemärkta, antingen märker inte företaget själva av det eller så väljer man att lägga locket på för att inte skada ryktet.

Själv kör jag KeePass lokalt, databasen synkas via Onedrive till telefonen, enkelt och säkert.

Det här har jag tydligen missat, har du en länk så man kan läsa mer?

När det gäller lösenord så brukar jag köra med passphrase, ex : GrontGrasPaHavetsBotten#52

Det är längre än 16 tecken, innehåller versaler och gemener samt special tecken och siffror. Nackdelen är att det är känsligt för dictionary attacks men med en liten fördel eftersom det är skrivit på annat språk än svenska.

Detta är egentligen en kompromiss mellan att lätt kunna skriva in och komma ihåg medan det ändå är hyfsat komplext. Ett mer optimalt lösenord ur hacker synpunkt är ex G5#p9@Lz&3^vQ8* men det är klart svårare att skriva in eller för den delen komma ihåg.

Jo visst, oftast kan man kopiera och klistra in vilket löser komplexiteten men iblan kan man behöva skriva in manuellt.

2 Faktor är såklart säkrare men det betyder också många gånger att man måste använda en "random" tjänst online vilket då kan bli en svag länk.

Alltså, de ljög och om att de inte loggar användardata men kunde lämna ut IP-adress på något vis.... Efter att det kom ut plockade de bort det från deras site

https://arstechnica.com/information-technology/2021/09/privac...

Det finns ingen förmildrande omständighet här. Och väljer man att ändå lita på dem får man skylla sig själv längre fram, tro mig.

Så det finns en lag i Schweiz som säger att de måste börja logga på begäran då eller? I så fall vill man ju absolut inte ha sina grejer där oavsett.

Varför plockade de helt bort formuleringen och bytte till en annan helt intetsägande alternativ om de inte loggar alla?

Och hur vet du att de inte loggar alla? Har du gjort en "audit" eller jobbar du där och har insikt?

Jag kan byta till "grovt vilseleda" istället för "ljuga", men bara om de kan bevisa att de inte loggat alla.

Kommer dom åt lösenordshanteraren är man fucked ändå eftersom 92% av alla tjänster inte har 2FA öht.

Jag ser fortfarande en fördel med att 2FA tar bort momentet där någon kan gissa ens lösen (vilket iofs inte bör vara ett problem med en lösenordshanterare eftersom den skapar säkra lösenord).

Men den kan även hjälpa mot att man råkat "spara" lösenordet av misstag någonstans.
Eller om man råkat använda samma lösenord på två ställen. (Jag har t ex en enorm "legacy" av standardlösenord jag inte har orkat ändra sen innan jag upptäckte lösenordshanteraren, men som jag låter vara då jag även har 2FA där).

Så skulle inte säga att det är "totalt" värdelöst att ha 2FA även om det är på samma ställe.

Jag har börjat köra starkt på mina Yubikeys, men problemet med dom är att man är fucked om man är på resande fot och har glömt dom hemma.

Det var ju iaf vad som rapporterades vid tillfället; hur visste t.ex. herr ArsTechnica (i artikeln du länkade) att det var så?

Jag har inte personligen någon närmare insikt, utan går på vad som rapporterades både vad gäller den riktade loggningen vid begäran (som en del av en brottsutredning) samt att Schweizisk lag kräver detta av dem.

Vad gäller ändringen av texten så är det ju hopplöst att veta vad någon annan tänkte, men min förmodan är denna: de hade ingen möjlighet att påverka Schweizisk lag, så det fanns inget sätt att fixa så att den gamla formuleringen skulle betyda det användarna ville att den skulle betyda, så för att undvika fortsatt förvirring tog de bort formuleringen helt ur marknadsföringsmaterialet.

Motsvarande formulering (i mer utförlig form) står kvar i tjänstens villkor, så vi vet vad Proton (fortfarande) hävdar. Men hur det ska gå att verifiera vet jag inte.

Nej, det tycker inte jag heller. Det skyddar ju mot många saker -- alla utom att någon kommer åt lösenordshanteraren, egentligen? Så saker som läckta lösenordsdatabaser blir ju ett klart mindre problem ändå.
Men jag tycker det är lätt nog att ha separat 2FA att jag inte riktigt ser poängen att ha alla äggen i samma korg.

Hur är det känsligt för dictionary attacks? Om du bara har ett ord kanske jag kan förstå, men hur är det ett problem i ditt exempel, GrontGrasPaHavetsBotten?

Hur känsligt det är beror ju på hur många ord man faktiskt använder, men poängen är att man bör räkna på storleksordningen för hur många gissningar som krävs ur båda perspektiven (för att ha något slags idé om hur känsligt det faktiskt är).

Om man då räknar på det tecken för tecken om man skulle kötta sig igenom alla kombinationer så skulle en typisk tolkning vara t.ex.:
(26*2)^23 = 2938169888454847603243483631603792478208
(små och stora bokstäver som "teckenklass", 23 tecken långt)

Men om du räknar på det ord för ord så blir det istället snarare något i linje med:
10000^5 = 100000000000000000000
(ordboken har 10k ord, 5 ord långt)

Och då är det ju en avsevärd skillnad på:
2938169888454847603243483631603792478208
100000000000000000000

(Sett till hur många gissningar som krävs så är det då i snitt hälften, men det spelar ingen direkt roll för jämförelsen)