Keepass eller Lastpass?

Trädvy Permalänk
Inaktiv
Registrerad
Jan 2008

Keepass eller Lastpass?

Jag har bara prövat Keepass och jag kör det med Keefox tillägget till Firefox. Problemet med det är att jag måste öppna Keepass varje gång jag vill spara eller autofylla ett lösenord.

Vilken är bäst?

Trädvy Permalänk
Medlem
Registrerad
Maj 2012

Keepass lagrar lösenorden lokalt. Lastpass i molnet, på amerikanska servrar... välj själv!

Trädvy Permalänk
Inaktiv
Registrerad
Jan 2008
Skrivet av Eberhart:

Keepass lagrar lösenorden lokalt. Lastpass i molnet, på amerikanska servrar... välj själv!

Då blir det ett lätt val.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Nov 2011
Skrivet av Klappa:

Jag har bara prövat Keepass och jag kör det med Keefox tillägget till Firefox. Problemet med det är att jag måste öppna Keepass varje gång jag vill spara eller autofylla ett lösenord.

Vilken är bäst?

Öppna?
Menar du att det inte räcker att den ligger i fältet bredvid klockan för att den ska kunna fylla i ett lösenord med Ctrl+Alt+A, men att det går om den finns som fönster?

När man ska spara ett lösenord måste man ju göra en del i programmet, men det är ju trots allt sällan jämfört med att använda befintliga lösenord.

Trädvy Permalänk
Medlem
Plats
Hammarö
Registrerad
Jan 2004

Inget av dem, om jag får säga mitt. Safe in Cloud är snäppet bättre och mer flexibelt.

Citera mig om du önskar ett snabbare svar.
Min blogg

Trädvy Permalänk
Inaktiv
Registrerad
Jan 2008
Skrivet av CeciliaB:

Öppna?
Menar du att det inte räcker att den ligger i fältet bredvid klockan för att den ska kunna fylla i ett lösenord med Ctrl+Alt+A, men att det går om den finns som fönster?

När man ska spara ett lösenord måste man ju göra en del i programmet, men det är ju trots allt sällan jämfört med att använda befintliga lösenord.

Jo men man måste ju ha programmet öppet separat vid sidan av Firefox tex än Lastpass som är ett tillägg till Firefox och andra webbläsare och körd i själva webbläsaren.

Det sistnämnda är enklare men jag vågar nog inte långa ut alla mina lösenord till någon molnbaserad tjänst, speciellt en amerikansk.

Trädvy Permalänk
Entusiast
Plats
Stockholm
Registrerad
Jul 2007

Avråder från att använda program till att lagra lösenord, oavsett hur stark kryptering de än har.
Använd ett komplext lösenords-system som är lätt att lägga på minnet, men svårt att knäcka med "Brute force", som ger ett lösenord unikt för varje sajt/ställe/program/fil.

Exempel:

Ett par helt slumpmässiga ord: Golf, Bomb
L33tifira orden: G01f, 80m8
Sajtens namn: gMail
l33tifiera namnet: Gm41l
Kombinera: gm41lG01f80m8
Salta på med en sträng specialtecken som är lätta att komma ihåg: #!/
Lägg till i slutet: gm41lG01f80m8#!/
Klart. Ett unikt lösenord för gmail, men som är lätt att komma ihåg.

Repetera för ytterligare sajter:
Yahoo: Y4h00G01f80m8#!/
Bert-Åke's moppesajt: B3rt-4k3G01f80m8#!/
...

Kommer ett lösenord på villovägar, så är de andra sajterna säkra. Vem kan komma på vad "G01f80m8#!/" har för sammanhang med "4rch1nu><" ?

Även om lösenordet kan vara svårt att memorera, behöver man endast memorera systemet, och kan då återskapa lösenordet för varje respektive sajt i huvudet. De enda man behöver komma ihåg i detta exempel är: Sajt-namn, Golf, Bomb, #/!

PS: Ni behöver inte prova detta exempel med mina konton. Det fungerar inte. Mitt personliga system är mer komplext än så.
Bonus: Vänner och bekanta tappar alltid hakan över mina otroligt långa lösenord, som jag helt sonika har memorerat. Även de mer tangentbords-erfarna har svårt att hänga med alla specialtecken jag skriver, så jag behöver inte ens oroa mig över tangentbords-fluktare.

Dold text

Jag skall dock erkänna att jag själv använder KeePass, trots att jag använder ett avancerat, men lättmemorerat lösenords-system.
Dock bara i de fall där jag inte får bestämma och ändra lösenordet. Däremot så ser jag till att använda dubbel säkerhet i KeePass: Nyckelfil OCH lösenord.
Sedan ser jag till att ALDRIG lagra nyckefiler på samma ställe som databas-filerna. Inte ens på samma hårddisk. Likaså är det viktigt att backup på databaserna och nyckelfilerna också hålls åtskilda. Annars besegras liksom hela syftet med nyckelfiler.
Nyckelfilerna lagrar jag i min Android-telefon (Den har jag ju alltid med mig) och databas-filerna i ett separat USB-minne.
För den oförsiktige, finns det ett Dropbox-plugin till KeePass.

Varför jag använder KeePass, är för att KeePass är helt Mono-kompatibel, och kan köras direkt under Linux utan behov av Wine.
Dessutom kör jag KeePass i portabelt läge, vilket gör att jag kan ha KeePass i USB-minnet och kör då KeePass på vilken Linux eller Windows-kompatibel dator som helst som har en USB-port.

EDIT: Varning!
Det förekommer falska sajter som utger sig för att vara utvecklarna av Keepass. Likaså förekommer det infekterade/modiferade KeePass-installationer runtom på nätet.
Kolla upp detta flera gånger om, innan ni laddar ner något.
För att vara på den säkra sidan, ladda ner KeePass från följande sajt: http://keepass.info/ ( http [kolon,slash,slash] keepass [dot] info )
Trippel-checka ALLTID adresserna i länkarna INNAN ni klickar på dem. Det gäller även länken jag gav ovan. Det förekommer även adwares/spywares som ändrar specifika länkar "on the fly". KeePass är utsatt för sådana angrepp.

Korrekta MD5-summor för respektive nerladdning av version 2.23:

f0065d1147978abff7c633b0ff1e5c36 KeePass-2.23-Setup.exe f7547420a302199187071d5af449ba8c KeePass-2.23.zip

Använd till exempel detta verktyg för att kontrollera: http://www.softpedia.com/get/System/File-Management/MD5-Check...

Bästa programmen till Linux - v2.0
Linux-guide: Val av grafisk miljö. (Att välja distribution).
-
Everyone should have a SGoC in their systems (SGoC: SysGhost on a Chip)

Trädvy Permalänk
Medlem
Plats
Hammarö
Registrerad
Jan 2004
Skrivet av SysGhost:

Avråder från att använda program till att lagra lösenord, oavsett hur stark kryptering de än har.
Använd ett komplext lösenords-system som är lätt att lägga på minnet, men svårt att knäcka med "Brute force", som ger ett lösenord unikt för varje sajt/ställe/program/fil.

Hur kan exempelvis en person från USA, brute force'a mitt Safe in Cloud-konto (även ens KeePass-konto), när det är 100% lokalt och inte ansluten till Internet? Visst, jag synkroniserar mina lösenord till Googles servrar, men då ska hackern verkligen kunna sin sak om h*n vill komma åt den enskilda databas-filen. Låt mig förklara varför.

Hackaren måste först hacka Googles mycket säkra servrar. Sen måste inkräktaren ta reda på vad jag har för e-postadress och dekryptera varenda liten fil som finns på mitt konto, för att sedan ta reda på vilken fil som verkligen hör till mitt Safe in Cloud-konto, vilket kommer säkert ta bra många månader, om inte flera år, såvida inte h*n har tillgång till världens snabbaste dator. Sen, när h*n väl har hittat filen om inte idioten har gett upp redan, måste denne även dekryptera AES-systemet, som är en mycket säker krypterings-metod och som även aldrig har blivit dekrypterat än, vad jag vet.

Tack för dina tips, SysGhost, men nej tack. Jag tror nämligen att jag är säker trots allt.

Citera mig om du önskar ett snabbare svar.
Min blogg

Trädvy Permalänk
Entusiast
Plats
Stockholm
Registrerad
Jul 2007
Skrivet av edgren:

Hur kan exempelvis en person från USA, brute force'a mitt Safe in Cloud-konto (även ens KeePass-konto), när det är 100% lokalt och inte ansluten till Internet? Visst, jag synkroniserar mina lösenord till Googles servrar, men då ska hackern verkligen kunna sin sak om h*n vill komma åt den enskilda databas-filen. Låt mig förklara varför.

Hackaren måste först hacka Googles (mycket?) säkra servrar. Sen måste inkräktaren ta reda på vad jag har för e-postadress och dekryptera varenda liten fil som finns på mitt konto, för att sedan ta reda på vilken fil som verkligen hör till mitt Safe in Cloud-konto, vilket kommer säkert ta bra många månader, om inte flera år, såvida inte h*n har tillgång till världens snabbaste dator. Sen, när h*n väl har hittat filen om inte idioten har gett upp redan, måste denne även dekryptera AES-systemet, som är en mycket säker krypterings-metod och som även aldrig har blivit dekrypterat än, vad jag vet.

Tack för dina tips, SysGhost, men nej tack. Jag tror nämligen att jag är säker trots allt.

När det kommer till just lösenords-databaser, så är de bara så säkra som det lösenord som valt att låsa de med.
Att de sedan bara är lokala filer utan åtkomst via Internet är bra, men som ägare till dessa databaser vill man säkert ha någon form av smidighet och komma åt sina lösenord på andra ställen än sin lokala dator.
Det brukar sluta med att man antigen har ett USB-minne med sig, eller laddar upp databaserna till någon moln-tjänst såsom droppbox, skydrive eller liknande.
Tappar man USB-minnet, kan man vara säker på att upphittaren inte försöker ta sig in i databaserna? Kommer man att sova säkert i vetskap att databaserna kanske är i orätta händer.
Likaså molntjänster. Hur många utan ens vetskap har access till ens molntjänster. Eller vilka datorer laddar man ner databaserna på? När man är hos polarna man "litar blint på"? Publika datorer? Fluktar polarna på tangentbordet när man låser upp databaserna?

Hur det än sker, så är alla ens konton man lagrat i databaserna endast skyddade av ett enda lösenord. Man kan nästan jämföra det med att ha samma lösenord till alla ens olika konton där ute. Kommer ett lösenord på villovägar, äventyras alla inblandade konton.

Personligen undviker jag dessa databas-lösningar just för att det är så lätt hänt att dessa databas-filer kommer på villovägar.
Det är även därför jag tipsar om den dubbla säkerheten med både nyckelfiler OCH lösenord.
Rätt osannolikt att lösenord, nyckelfil och databas skulle komma på samma villovägar. (Dock inte omöjligt)

Samtidigt är jag personligen extra "paranoid", då jag vet att en del av mina bekanta är rätt duktiga på just upplåsning av allt möjligt och omöjligt.

Bästa programmen till Linux - v2.0
Linux-guide: Val av grafisk miljö. (Att välja distribution).
-
Everyone should have a SGoC in their systems (SGoC: SysGhost on a Chip)

Trädvy Permalänk
Medlem
Plats
Hammarö
Registrerad
Jan 2004
Skrivet av SysGhost:

När det kommer till just lösenords-databaser, så är de bara så säkra som det lösenord som valt att låsa de med.
Att de sedan bara är lokala filer utan åtkomst via Internet är bra, men som ägare till dessa databaser vill man säkert ha någon form av smidighet och komma åt sina lösenord på andra ställen än sin lokala dator.
Det brukar sluta med att man antigen har ett USB-minne med sig, eller laddar upp databaserna till någon moln-tjänst såsom droppbox, skydrive eller liknande.
Tappar man USB-minnet, kan man vara säker på att upphittaren inte försöker ta sig in i databaserna? Kommer man att sova säkert i vetskap att databaserna kanske är i orätta händer.
Likaså molntjänster. Hur många utan ens vetskap har access till ens molntjänster. Eller vilka datorer laddar man ner databaserna på? När man är hos polarna man "litar blint på"? Publika datorer? Fluktar polarna på tangentbordet när man låser upp databaserna?

Hur det än sker, så är alla ens konton man lagrat i databaserna endast skyddade av ett enda lösenord. Man kan nästan jämföra det med att ha samma lösenord till alla ens olika konton där ute. Kommer ett lösenord på villovägar, äventyras alla inblandade konton.

Personligen undviker jag dessa databas-lösningar just för att det är så lätt hänt att dessa databas-filer kommer på villovägar.
Det är även därför jag tipsar om den dubbla säkerheten med både nyckelfiler OCH lösenord.
Rätt osannolikt att lösenord, nyckelfil och databas skulle komma på samma villovägar. (Dock inte omöjligt)

Samtidigt är jag personligen extra "paranoid", då jag vet att en del av mina bekanta är rätt duktiga på just upplåsning av allt möjligt och omöjligt.

Ja, på så sätt håller jag med dig om att lösenords-hanterare är osäkra. Jag har Safe in Cloud installerat på alla mina Windows-datorer och i min Android-telefon. Jag har det även portabelt på mitt USB-minne. Om jag tappar mobilen, kan jag enkelt logga in på cerberusapp.com och se vart min mobil befinner sig, spåra den om det skulle behövas, göra så att den ger ifrån sig ett förjäkla högt ljud + visar ett meddelande, låsa den helt, eller (i nödfall) ta bort allt som har med mina saker att göra i både mobilen och på minneskortet. Tack vare Cerberus anti stöld känner jag mig säker, och om jag ska gå någonstans och måste in på något av mina konton, så skriver jag av lösenorden för hand eller tar med mig min bärbara dator.

Jag undviker helst att skriva in mina lösenord på andras datorer, då jag inte vet om deras dator är infekterad av exempelvis keyloggers eller inte. Det är bra att vara paranoid när det kommer till hantering av sina lösenord, för det ska man vara också. Jag gav ut mitt lösenord till en mycket nära vän i början av högstadiet under slutet av 90-talet, och som tack skickade han ett hatbrev eller hotbrev (minns ej vilket) till mitt ex, som han då var tillsammans med. Aldrig mer igen, säger jag bara! Det blev som tur var ett möte med mig, han, mitt ex, mina föräldrar, hans föräldrar och mitt ex föräldrar, inklusive våra lärare, så han fick sig en rejäl utskällning.

Citera mig om du önskar ett snabbare svar.
Min blogg

Trädvy Permalänk
Inaktiv
Registrerad
Jan 2008
Skrivet av SysGhost:

Avråder från att använda program till att lagra lösenord, oavsett hur stark kryptering de än har.
Använd ett komplext lösenords-system som är lätt att lägga på minnet, men svårt att knäcka med "Brute force", som ger ett lösenord unikt för varje sajt/ställe/program/fil.

Exempel:

Ett par helt slumpmässiga ord: Golf, Bomb
L33tifira orden: G01f, 80m8
Sajtens namn: gMail
l33tifiera namnet: Gm41l
Kombinera: gm41lG01f80m8
Salta på med en sträng specialtecken som är lätta att komma ihåg: #!/
Lägg till i slutet: gm41lG01f80m8#!/
Klart. Ett unikt lösenord för gmail, men som är lätt att komma ihåg.

Repetera för ytterligare sajter:
Yahoo: Y4h00G01f80m8#!/
Bert-Åke's moppesajt: B3rt-4k3G01f80m8#!/
...

Kommer ett lösenord på villovägar, så är de andra sajterna säkra. Vem kan komma på vad "G01f80m8#!/" har för sammanhang med "4rch1nu><" ?

Även om lösenordet kan vara svårt att memorera, behöver man endast memorera systemet, och kan då återskapa lösenordet för varje respektive sajt i huvudet. De enda man behöver komma ihåg i detta exempel är: Sajt-namn, Golf, Bomb, #/!

PS: Ni behöver inte prova detta exempel med mina konton. Det fungerar inte. Mitt personliga system är mer komplext än så.
Bonus: Vänner och bekanta tappar alltid hakan över mina otroligt långa lösenord, som jag helt sonika har memorerat. Även de mer tangentbords-erfarna har svårt att hänga med alla specialtecken jag skriver, så jag behöver inte ens oroa mig över tangentbords-fluktare.

Dold text

Jag skall dock erkänna att jag själv använder KeePass, trots att jag använder ett avancerat, men lättmemorerat lösenords-system.
Dock bara i de fall där jag inte får bestämma och ändra lösenordet. Däremot så ser jag till att använda dubbel säkerhet i KeePass: Nyckelfil OCH lösenord.
Sedan ser jag till att ALDRIG lagra nyckefiler på samma ställe som databas-filerna. Inte ens på samma hårddisk. Likaså är det viktigt att backup på databaserna och nyckelfilerna också hålls åtskilda. Annars besegras liksom hela syftet med nyckelfiler.
Nyckelfilerna lagrar jag i min Android-telefon (Den har jag ju alltid med mig) och databas-filerna i ett separat USB-minne.
För den oförsiktige, finns det ett Dropbox-plugin till KeePass.

Varför jag använder KeePass, är för att KeePass är helt Mono-kompatibel, och kan köras direkt under Linux utan behov av Wine.
Dessutom kör jag KeePass i portabelt läge, vilket gör att jag kan ha KeePass i USB-minnet och kör då KeePass på vilken Linux eller Windows-kompatibel dator som helst som har en USB-port.

EDIT: Varning!
Det förekommer falska sajter som utger sig för att vara utvecklarna av Keepass. Likaså förekommer det infekterade/modiferade KeePass-installationer runtom på nätet.
Kolla upp detta flera gånger om, innan ni laddar ner något.
För att vara på den säkra sidan, ladda ner KeePass från följande sajt: http://keepass.info/ ( http [kolon,slash,slash] keepass [dot] info )
Trippel-checka ALLTID adresserna i länkarna INNAN ni klickar på dem. Det gäller även länken jag gav ovan. Det förekommer även adwares/spywares som ändrar specifika länkar "on the fly". KeePass är utsatt för sådana angrepp.

Korrekta MD5-summor för respektive nerladdning av version 2.23:

f0065d1147978abff7c633b0ff1e5c36 KeePass-2.23-Setup.exe f7547420a302199187071d5af449ba8c KeePass-2.23.zip

Använd till exempel detta verktyg för att kontrollera: http://www.softpedia.com/get/System/File-Management/MD5-Check...

Kommer inte på fråga! Jag har för många lösenord att hålla reda på i huvudet. Vi snackar flera dussin.

Trädvy Permalänk
Entusiast
Plats
Stockholm
Registrerad
Jul 2007
Skrivet av Klappa:

Kommer inte på fråga! Jag har för många lösenord att hålla reda på i huvudet. Vi snackar flera dussin.

Det är liksom hela idén med ett lösenords-system. Man behöver inte komma ihåg lösenorden, utan bara systemet.
Själv har jag flera hundra konton överallt, men jag behöver bara memorera 5 olika system:
1: Publika sajter med publik information. Diverse forum, chattsajter, kanaler med mera.
2: Publika sajter med personlig information. Facebook, twitter med flera.
3: Handels-sajter. Webbshoppar och så vidare.
4: Globala sajter med access till finans. Google Play, Paypal, eBay med flera.
5: Lokala sajter med access till finans. Nordea, Skatteverket med flera.

Ett lösenords-system till respektive nivå. Ju högre nivå. Desto mer komplext system.

Här behöver jag alltså bara komma ihåg 5 olika system. Jag kan inte lösenorden direkt, utan jag vet vad jag behöver skriva i lösenords-fältet när jag besöker sajten ifråga.

Exempel med det system som jag gav exempel på tidigare:
Besöker facebook. Behöver logga in.
Sajtens namn: Facebook.
Sajtens nivå: 1
Lösenords-system för nivå 1: sajtnamn + Ord + Två siffror: 56
Exempel-ord för alla sajter i nivå 1: Tavla
Lösenordet ifråga: facebookTavla56

Ännu ett exempel med en annan nivå 1 sajt:
Sajtens namn: Twitter.
Sajtens nivå: 1
Lösenords-system för nivå 1: sajtnamn + Ord + Två siffror: 56
Exempel-ord för alla sajter i nivå 1: Tavla
Lösenordet ifråga: twitterTavla56

Ser du mönstret? Extremt förenklat för att förtydliga.
Och de högre nivåerna har då mer komplicerade system.
Behöver bara komma ihåg 5 system och inte hundratals lösenord.
Det är säkrare att memorera 5 system, än att skriva ner unika lösenord i analog eller digital form.
För ett lösenord är bara så säkert som det är tillgängligt. Och insidan av ens huvud har inte många tillgång till.

Men till sak:
KeePass är annars ett bra val om man måste använda "lösenords-bank". Massor av trevliga plugins, rätt bra säkerhet, portabilitet och Linux-kompatibiltet är en del bra punkter som förespråkar just KeePass.
Nackdelen är dock att KeePass är populärt, och därmed en måltavla för attacker.

Bästa programmen till Linux - v2.0
Linux-guide: Val av grafisk miljö. (Att välja distribution).
-
Everyone should have a SGoC in their systems (SGoC: SysGhost on a Chip)

Trädvy Permalänk
Inaktiv
Registrerad
Jan 2008
Skrivet av SysGhost:

Det är liksom hela idén med ett lösenords-system. Man behöver inte komma ihåg lösenorden, utan bara systemet.
Själv har jag flera hundra konton överallt, men jag behöver bara memorera 5 olika system:
1: Publika sajter med publik information. Diverse forum, chattsajter, kanaler med mera.
2: Publika sajter med personlig information. Facebook, twitter med flera.
3: Handels-sajter. Webbshoppar och så vidare.
4: Globala sajter med access till finans. Google Play, Paypal, eBay med flera.
5: Lokala sajter med access till finans. Nordea, Skatteverket med flera.

Ett lösenords-system till respektive nivå. Ju högre nivå. Desto mer komplext system.

Här behöver jag alltså bara komma ihåg 5 olika system. Jag kan inte lösenorden direkt, utan jag vet vad jag behöver skriva i lösenords-fältet när jag besöker sajten ifråga.

Exempel med det system som jag gav exempel på tidigare:
Besöker facebook. Behöver logga in.
Sajtens namn: Facebook.
Sajtens nivå: 1
Lösenords-system för nivå 1: sajtnamn + Ord + Två siffror: 56
Exempel-ord för alla sajter i nivå 1: Tavla
Lösenordet ifråga: facebookTavla56

Ännu ett exempel med en annan nivå 1 sajt:
Sajtens namn: Twitter.
Sajtens nivå: 1
Lösenords-system för nivå 1: sajtnamn + Ord + Två siffror: 56
Exempel-ord för alla sajter i nivå 1: Tavla
Lösenordet ifråga: twitterTavla56

Ser du mönstret? Extremt förenklat för att förtydliga.
Och de högre nivåerna har då mer komplicerade system.
Behöver bara komma ihåg 5 system och inte hundratals lösenord.
Det är säkrare att memorera 5 system, än att skriva ner unika lösenord i analog eller digital form.
För ett lösenord är bara så säkert som det är tillgängligt. Och insidan av ens huvud har inte många tillgång till.

Men till sak:
KeePass är annars ett bra val om man måste använda "lösenords-bank". Massor av trevliga plugins, rätt bra säkerhet, portabilitet och Linux-kompatibiltet är en del bra punkter som förespråkar just KeePass.
Nackdelen är dock att KeePass är populärt, och därmed en måltavla för attacker.

Det är en stor nackdel men det systemet du använder och det är om en sida blivit hackad och ens lösenord har blivit konfiskerat så är alla andra sidor också i farozonen då man använt samma lösenord. Tveksam till att ditt system är bättre faktiskt.

Trädvy Permalänk
Inaktiv
Registrerad
Jan 2008

ta bort

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Aug 2008

Jag använder Lastpass. Fick ett bra erbjudande och de har fingeravtryck som skydd för appen.

Skickades från m.sweclockers.com

Intel Core i7-4770K 3,5 GHz | Asus Radeon R9 280X 3 GB DirectCU II TOP | Asrock Z87 Extreme6 | EVGA Supernova 750 G2
16 GB Adata XPG 1600 MHz | Corsair Carbide Air 540 | Samsung Syncmaster S23A700D | Ducky Shine 3 | Mionix Castor

Trädvy Permalänk
Medlem
Plats
Skåne
Registrerad
Jan 2011

Keepass alla dagar i veckan, lita inte på något som inte är opensource eller använder molnet.

Skrivet av SysGhost:

Fast det är säkert 100x säkrare med en lösenordshanterare än att ha samma lösenord på alla inloggningar. Mitt keepass lösenord är ca 25 tecken med bokstäver, siffror och tecken och jag bytar det ca var 3 månad. Har även en keyfile med en till synes random fil(kan ta vilken som helst, txt, word, what have you) Tycker inte det är särskilt jobbigt.

Stationär:Asrock P67 Extreme 4 | i5 2500K@4.5Ghz | Asus GTX 970 black Överklockad | Samsung Evo 960 1TB, 2x WD blue 5TB | 8GB Corsair XMS3 + 8GB Hyper x Fury | EVGA Supernova G2 750W Gold | Silverstone FT02
Laptop: Dell XPS 15 2017
Mobil: Oneplus 6 128GB

Trädvy Permalänk
Medlem
Registrerad
Dec 2011

Lastpass för att det ska synka på ALLA mina enheter utan tricks och backuper.
Jag har inget att dölja för Trump

Trädvy Permalänk
Medlem
Plats
sektor 001
Registrerad
Aug 2003
Skrivet av SysGhost:

När det kommer till just lösenords-databaser, så är de bara så säkra som det lösenord som valt att låsa de med.

det är ju därför man ska förvara databasens lösenord i databasen.

Operativsystemet som löser nästan alla problem: Mint

Trädvy Permalänk
Medlem
Plats
Hammarö
Registrerad
Jan 2004
Skrivet av Spiffman:

Lastpass för att det ska synka på ALLA mina enheter utan tricks och backuper.
Jag har inget att dölja för Trump

Databasfilen med alla mina inloggningar och privata ägodelar, ligger på mitt lagringsutrymme på Google Drive, krypterad med samma krypteringsmetod som vad LastPass använder sig av (256-bit AES). Filen synkroniseras därmed genom molnet på min begäran, och även mellan olika molntjänster, om jag så vill. LastPass lagrar till synes allt lokalt (genom tillägget för webbläsarna - källa) och på deras servrar.

Idiot-Trump kan hur som helst aldrig någonsin tjuvkika på vår data, eftersom datan på LastPass är låst enligt enhetsnivå (du måste logga in genom en pålitlig enhet för att nå dina privata saker) och min databasfil kan jag flytta på själv efter behov. Så även om han vill tjuvkika, så kan han inte göra det. Ha!

Citera mig om du önskar ett snabbare svar.
Min blogg

Trädvy Permalänk
Medlem
Plats
Motala
Registrerad
Jan 2006

Jag kan rekommendera Keepass! Körde med Firefox-tillägget men kör utan det nu. Fungerar bra med CTRL-ALT-A.
Men jag lagrar inte det viktigaste på Keepass (mail, Skype, paypal, m.m.). Där använder jag ett liknande system som SysGhost beskriver.

Kör 2-stegs verifiering på de system som har det. Keepass-databasen ligger på Dropbox och på lokala backuper, men tack vare att jag inte har några av de viktigaste lösenorden i den filen så känner jag mig tillräckligt säker. Helt säker kan man aldrig bli.

Om man råka få in en keylogger hjälper inte något system helt och hållet.

Evolv ITX TG - Z270i Gaming Pro Carbon - i7 7700K - Noctua NH-D15s - 16GB Vengenance LPX Black 3000MHz - MSI GTX 1050 2GB Gaming X - M.2 960 Evo 250 GB - Samsung 840 Pro 512GB - Newton R3 600W - Dell U2515H. I hemmet: HTPC NUC I5 * NUC I3

Trädvy Permalänk
Medlem
Plats
sektor 001
Registrerad
Aug 2003
Skrivet av Lagers:

Om man råka få in en keylogger hjälper inte något system helt och hållet.

hanterare hjälper iof mot enklare tangentloggare som gör just bara det.

sålänge bara slumpmässiga nycklar används iaf.

Operativsystemet som löser nästan alla problem: Mint

Trädvy Permalänk
Medlem
Plats
Motala
Registrerad
Jan 2006
Skrivet av AndreaX:

hanterare hjälper iof mot enklare tangentloggare som gör just bara det.

sålänge bara slumpmässiga nycklar används iaf.

Stämmer. Keepass kan ju öppna i Secure Desktop när man ska skriva in databas-lösenordet. Men vill minnas att den försökte fylla i på ett sätt där den försvårar för keylogger att läsa av när den skrev i formulär. Men hittar inte den infon nu på deras sida.

Om man använder en lösenordhanterare eller ett eget system så är det så mycket bättre än de lösenord som folk har i allmänhet. Oftast så har de ett kort namn som lösen. Och det spelar ingen roll om det är privat eller på ett arbete. Gärna uppskrivet på en post-it på skärmen.

Evolv ITX TG - Z270i Gaming Pro Carbon - i7 7700K - Noctua NH-D15s - 16GB Vengenance LPX Black 3000MHz - MSI GTX 1050 2GB Gaming X - M.2 960 Evo 250 GB - Samsung 840 Pro 512GB - Newton R3 600W - Dell U2515H. I hemmet: HTPC NUC I5 * NUC I3

Trädvy Permalänk
Medlem
Registrerad
Aug 2016

Vid sådana diskussioner så tänker jag på

https://xkcd.com/936/

Och vill man ha viss slumpmässighet också/eller så kanske en sådan http://www.passwordcard.org/en i plånboken (och bara där) hjälper för delar av eller hela sitt passord - ta ut två (med olika salt) och klistra ihop på varsin sida och när man tar ut kod så tar man en rad på varsin sida av valfri längd (kortsida, långsida, diagonalt, två rader bredvid varandra etc.) - då om någon råkar fotografera av ena sidan så är det fortfarande förbaskat jobbigt ändå om man använder kod även på andra sidan...

Siter som inte tillåter mer än typ 16 tkn som passord bör man överväga att använda annan service då med detta visar att man negligerar användarnas säkerhet/integritet. Det här att site tvingar användarna att använda minst en stor bokstav, siffra och någon icke bokstav/siffra innan godkänd passord ger ett relativt lättanalyserat beteende då många stoppar in stor bokstav i början eller slutet, samma sak med siffror och andra specialtecken och utesluter alternativen där man inte har dessa hinder...
I själva verket minskar man entropin när man försöker tvångstyra folks passordsgenerering och förkastar tex. en 60 tkn lång ordföljd med bara små tecken som odugligt fast den vida överskriden en 12 tkn påhittad slumptal med stor bokstav, siffra och specialtecken i sig (som inte är speciellt slumpmässigt om man granskar det noga) i entropi.

Site skall tillåta långa passfraser på väl över 80 tkn.

Tänk på att ett antal olika och stora (spel)-site har läckt ut användarnas passord i klartext via sql-injektion mfl. angrepp - vi pratar om många 10-tals miljoner passord i klartext som läckt.

dvs. (stora) företagen (som borde veta bättre) haschar inte ens användarnas passord utan det ligger i klartext i deras databas.

Detta har inneburit att folk/krackare/hacker/forskare har suttit och analysera dessa många miljoner passord i klartext och algoritmer som att byta E mot 3 och andra substitutioner etc. och är standard angreppsmetod som man provar och börjar med allra först.

Kort sagt alla 'smarta' uttänkaden för passordsgenering är redan provad av många tusen andra med liknande resonemang - man skall inte tro att man är ensam om dessa...

Passfraser på minst 5 ord - gärna dialektala, ej engelska ord gör det väldigt svårt att gissa från utomstående då en engelsman knappast har en idè hur en mustig svordomsramsa på finska eller dalmål låter, men relativt lätt för användaren att komma ihåg - dels förväntas det inte att passordet är mycket över 16 tkn. då ett sådant helt slumtalsmässigt passord kommer att ta lång tid att mata in, svår att lära sig utantill och oviljan att byta är stor om man väl har lärt sig sekvensen och det går snabbare att skriva efter en tid och folk är lata... skall den dessutom bytas var 3 mån eller så... ...så blir inte ändringarna så stora....

kan man sin passfras så får man in många tecken på ganska kort tid på samma sätt som en mening skrivs i ett forum, efter några gånger tittar man knappt ens på tangentbordet/skärmen och det går i stort sett lika fort som en 8-12 tkn lång passord med slumptecken som inte vill fastna i minnet.

Trädvy Permalänk
Inaktiv
Registrerad
Jan 2008
Skrivet av xxargs:

Vid sådana diskussioner så tänker jag på

https://xkcd.com/936/

Och vill man ha viss slumpmässighet också/eller så kanske en sådan http://www.passwordcard.org/en i plånboken (och bara där) hjälper för delar av eller hela sitt passord - ta ut två (med olika salt) och klistra ihop på varsin sida och när man tar ut kod så tar man en rad på varsin sida av valfri längd (kortsida, långsida, diagonalt, två rader bredvid varandra etc.) - då om någon råkar fotografera av ena sidan så är det fortfarande förbaskat jobbigt ändå om man använder kod även på andra sidan...

Siter som inte tillåter mer än typ 16 tkn som passord bör man överväga att använda annan service då med detta visar att man negligerar användarnas säkerhet/integritet. Det här att site tvingar användarna att använda minst en stor bokstav, siffra och någon icke bokstav/siffra innan godkänd passord ger ett relativt lättanalyserat beteende då många stoppar in stor bokstav i början eller slutet, samma sak med siffror och andra specialtecken och utesluter alternativen där man inte har dessa hinder...
I själva verket minskar man entropin när man försöker tvångstyra folks passordsgenerering och förkastar tex. en 60 tkn lång ordföljd med bara små tecken som odugligt fast den vida överskriden en 12 tkn påhittad slumptal med stor bokstav, siffra och specialtecken i sig (som inte är speciellt slumpmässigt om man granskar det noga) i entropi.

Site skall tillåta långa passfraser på väl över 80 tkn.

Tänk på att ett antal olika och stora (spel)-site har läckt ut användarnas passord i klartext via sql-injektion mfl. angrepp - vi pratar om många 10-tals miljoner passord i klartext som läckt.

dvs. (stora) företagen (som borde veta bättre) haschar inte ens användarnas passord utan det ligger i klartext i deras databas.

Detta har inneburit att folk/krackare/hacker/forskare har suttit och analysera dessa många miljoner passord i klartext och algoritmer som att byta E mot 3 och andra substitutioner etc. och är standard angreppsmetod som man provar och börjar med allra först.

Kort sagt alla 'smarta' uttänkaden för passordsgenering är redan provad av många tusen andra med liknande resonemang - man skall inte tro att man är ensam om dessa...

Passfraser på minst 5 ord - gärna dialektala, ej engelska ord gör det väldigt svårt att gissa från utomstående då en engelsman knappast har en idè hur en mustig svordomsramsa på finska eller dalmål låter, men relativt lätt för användaren att komma ihåg - dels förväntas det inte att passordet är mycket över 16 tkn. då ett sådant helt slumtalsmässigt passord kommer att ta lång tid att mata in, svår att lära sig utantill och oviljan att byta är stor om man väl har lärt sig sekvensen och det går snabbare att skriva efter en tid och folk är lata... skall den dessutom bytas var 3 mån eller så... ...så blir inte ändringarna så stora....

kan man sin passfras så får man in många tecken på ganska kort tid på samma sätt som en mening skrivs i ett forum, efter några gånger tittar man knappt ens på tangentbordet/skärmen och det går i stort sett lika fort som en 8-12 tkn lång passord med slumptecken som inte vill fastna i minnet.

Räcker kanske för ett eller två lösenord. Men att komma ihåg passphrases för femtio sidor är inte möjligt.

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Mar 2012
Skrivet av anon114264:

Räcker kanske för ett eller två lösenord. Men att komma ihåg passphrases för femtio sidor är inte möjligt.

Läste igenom denna gamla tråd och svarar att jag kör LastPass just för att deras mobilapp är tusen gånger bättre än alla KeePass-appar jag har testat (Android). Tyvärr föredrar jag skarpt KeePass till desktop vilket gör att jag ibland kör båda två samtidigt vilket inte är helt praktiskt att behöva synka båda hanterarna. Jag kör båda två med en YubiKey som 2FA.

Vad bestämde du dig för att köra och hur tycker du att det funkar?

Trädvy Permalänk
Inaktiv
Registrerad
Jan 2008
Skrivet av Snigeln Bert:

Läste igenom denna gamla tråd och svarar att jag kör LastPass just för att deras mobilapp är tusen gånger bättre än alla KeePass-appar jag har testat (Android). Tyvärr föredrar jag skarpt KeePass till desktop vilket gör att jag ibland kör båda två samtidigt vilket inte är helt praktiskt att behöva synka båda hanterarna. Jag kör båda två med en YubiKey som 2FA.

Vad bestämde du dig för att köra och hur tycker du att det funkar?

Vad är Yubikey?

Blev det förstnämnda. Men Keepass mobilvarianterna är så dåliga till Android alltså?

Trädvy Permalänk
Medlem
Registrerad
Aug 2007

Kika på Bitwarden. Överlägset ett av de bästa användarupplevelserna för en lösenordshanterare som dels är open source, dels går att hosta själv eller så kör man gratis-versionen via Bitwardens servrar (de tjänar pengar på premium-tjänsterna).

Installera tillägget i din webbläsare och logga in. Sen kommer du märka hur enkel den är att ha att göra med.

MSI Z77A-S03 Inet Ed. | i5 2500k @ 4.2Ghz | 2x Intel 520 SSD + 3TB Lagring | 32GB RAM | ASUS 760 DCII 2GB OC | EVGA Supernova G2 750W Gold+ | Fractal Design R4 | Phantek PH-TC14PE | Citera eller Pinga mig för svar!

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Mar 2012
Skrivet av anon114264:

Vad är Yubikey?

Blev det förstnämnda. Men Keepass mobilvarianterna är så dåliga till Android alltså?

https://www.yubico.com/

Appen jag främst använde, KeePass2Android, kan inte hitta webbläsarlösenord i Brave utan du måste manuellt lägga till en referens för varje lösenord då den verka söka m.h.a. appnamn. Det vill säga, kör jag Brave och försöker autofylla t.ex. sweclockers.com så letar den inte i databasen efter sweclockers utan går efter appnamn, d.v.s. com.brave.browser, där jag sjävklart inte har sparat mitt lösenord. Utanför webbläsare funkar den helt ok.
Autofyllningen har de dock behövt flytta bort från appen i Play Store då Google i slutet av 2017 införde krav på att Accessibility-funktioner (vilket alla dessa appar använder för att autofylla) faktiskt ska vara för funktionsskadade och inte användas för andra ändamål. Nu behöver man installera en plugin från deras hemsida och den funkar halvbra. Av någon märklig anledning får LastPass dock fortsätta köra genom Accessibility-funktionen vilket gör att den är helt överlägsen.
En yttligare anmärkning är att KeePass2Android inte stödjer Argon2 native vilket gör att min databas tar cirka 30 sekunder att låsa upp när det tar 2 - 3 sekunder i t.ex. KeePassXC eller andra Androidappar. Det finns en feature request men den har legat där ganska länge...

Trädvy Permalänk
Medlem
Plats
Uppsala
Registrerad
Mar 2012
Skrivet av xtQ:

Kika på Bitwarden. Överlägset ett av de bästa användarupplevelserna för en lösenordshanterare som dels är open source, dels går att hosta själv eller så kör man gratis-versionen via Bitwardens servrar (de tjänar pengar på premium-tjänsterna).

Installera tillägget i din webbläsare och logga in. Sen kommer du märka hur enkel den är att ha att göra med.

Mycket intressant, jag ska spana in detta. Tack!
LastPass har som sagt enligt mig överlägsna appar men det som är tråkigt är att databasen är någonstans i molnet som inte går att kontrollera. Om BitWardens appar verkar bra kanske jag äntligen får tummen ur och lär mig Docker.

Trädvy Permalänk
Medlem
Plats
Tornedalen
Registrerad
Apr 2009

Jag kör 1Password, betalar de lite under 400:-/år och får deras grymma app i alla mina datorer och enheter. Har använt dem sedan 2014 så därför jag gick över nu till deras subscription. Tycker det är värt det, så slipper jag tänka på mina lösenord och deras appar är väldigt väldigt bra.

Dock råkade jag (visste inte om) registrera mig på 1password.com så mina lösenord lagras i deras amerikanska servrar. Dock litar jag nog mycket på dem så jag har inte orkat kontakta deras support och migrera över till 1password.eu.

i7-8700K @ 4.8GHz, ASUS Z370-F, Noctua NH-U14S, GSkill FlareX 16GB 3200MHz, MSI GTX 1080Ti FE, FD Define C TG, Acer X34P, Razer Deathadder Elite, Varmilo VA109M [MX Clear], Beyerdynamic DT770 Pro