Εμπιστεύεστε τους online password managers?

Post by P3 » Thu Nov 15, 2007 9:55 am

Αυτό τον καιρό σκέφτομαι να μεταφέρω τα passwords όλων των υπηρεσιών που χρησιμοποιώ στο interweb στο Clipperz που είναι ένας online password manager, site δηλαδή που έχει αποθηκευμένα όλα τα passwords σε ένα σημείο. Έχω όμως τις αμφιβολίες μου για κάτι τέτοιο, γιατί όσο καλό και ασφαλές να είναι το site, δεν παύει να είναι εύκολος στόχος αφού γνωρίζοντας κάποιος μόνο το login password του χρήστη στο Clipperz, ουσιαστικά τα γνωρίζει όλα.

Εσείς τι πιστεύετε? Θα μπορούσατε να εμπιστευτείτε μια τέτοια υπηρεσία?

Πηγή: http://www.wiggler.gr/2007/11/14/do-u-t ... -managers/

Με αφορμή αυτό το άρθρο ήθελα νά ρωτήσω κι εσάς πόση εμπιστοσύνη έχετε στο να κάνετε ακόμα και "Remember my Passord" στον ίδιο σας τον υπολογιστή?

mikem4600 · Post by **mikem4600** » Thu Nov 15, 2007 9:58 am

On-line password manager: Όχι.
Τοπικός: Μάλλον ναι (αλλά με encryption).

Post by **The Punisher** » Thu Nov 15, 2007 11:33 am

remember my password στους browsers. Δεν έχω χρησιμοποιήσει ακόμη τίποτα σε roboform κλπ ...

sandra · Post by **sandra** » Thu Nov 15, 2007 11:48 am

Λίγο έως πολύ επικίνδυνο μου ακούγεται το να έχεις online και συγκεντρωμένους όλους τους κωδικούς σου. Θα χρησιμοποιούσατε ποτέ αυτές τις συσκευές που αναγνωρίζουν κατά κάποιον την ταυτότητα σου από δαχτυλικά αποτυπώματα?

tsilochr · Post by **tsilochr** » Thu Nov 15, 2007 12:10 pm

μπρρρρρρρρρρρ, μακριά. ούτε καν roboform. Το μυαλουδάκι μου αντέχει ακόμα

Proxenos · Post by **Proxenos** » Thu Nov 15, 2007 12:36 pm

sandra wrote:Λίγο έως πολύ επικίνδυνο μου ακούγεται το να έχεις online και συγκεντρωμένους όλους τους κωδικούς σου. Θα χρησιμοποιούσατε ποτέ αυτές τις συσκευές που αναγνωρίζουν κατά κάποιον την ταυτότητα σου από δαχτυλικά αποτυπώματα?

Τέτοιες συσκευές είναι δημοφιλείς στην τρίτη ηλικία, ακριβώς επειδή δεν υπάρχει μεγάλη εξοικείωση με τις νέες τεχνολογίες και η μνήμη δε λειτουργεί πάντα όπως θα ήθελαν. Θα χρησιμοποιούσα τέτοια συσκευή μόνο σαν προσωπικό χώρο αποθήκευσης δεδομένων που βρίσκεται στην κατοχή μου, όχι σε μια βάση δεδομένων κάποιου φορέα. Στην Ελλάδα πάντως δεν έχει και μεγάλη σημασία, το κράτος έχει ήδη τα αποτωπώματά σου.

Post by **PaP** » Thu Nov 15, 2007 12:58 pm

Οσοι διαχειρίζεστε portals, blogs βάλτε OpenID να σωθούμε !!!
Από εμάς εξαρτάται να γίνει δημοφιλές !

gasparosoft · Post by **gasparosoft** » Thu Nov 15, 2007 3:08 pm

Τον μόνο password manager που εμπιστεύομαι είναι το μυαλό μου και κανέναν άλλον...

redlabel · Post by **redlabel** » Thu Nov 15, 2007 10:17 pm

Οι γενικεύσεις δεν είναι σωστές. Εξαρτάται από το ποιο αγαθό (asset) προστατεύεις και από το ποια θα είναι η επίπτωση (impact) που μπορεί να υποστείς αν αποκαλυφθεί το συνθηματικό. Ανάλυση και διαχείριση επικινδυνότητας είναι το όνομα της προσέγγισης...

Δ. Γκρ.

AmmarkoV · Post by **AmmarkoV** » Fri Nov 16, 2007 1:14 am

για κανέναν λόγο..

cactus · Post by **cactus** » Fri Nov 16, 2007 1:08 pm

Η αλήθεια είναι ότι οταν έχεις πολλού κωδικούς δεν μπορείς να του θυμάσαι όλους...μία λύση είναι να επαναλαμβάνεις τους κωδικούς σου.

Όπως και νά χει δεν έχω δοκιμάσει passwdmanager ποτέ και δεν τον πολυεμπιστεύομαι, περισσότερο γιατί δεν ξέρω πολλά από το web. πχ πως απειλείται κλπ κλπ

crash_override · Post by **crash_override** » Sat Nov 17, 2007 1:03 pm

Με λίγα λόγια:

Καλύτερα να γράψεις όλους σου τους κωδικούς σε ένα χαρτί (παραδοσϊακή λύση) παρά να τους αποθηκεύσεις σε έναν passwdmanager...

Post by **The Punisher** » Sat Nov 17, 2007 1:45 pm

κι αν χάσεις το χαρτί ?

ή ακόμη καλύτερα πέσει στα χέρια κάποιου? Ούτε encryption δεν έχεις ...

crash_override · Post by **crash_override** » Sat Nov 17, 2007 1:53 pm

The Punisher wrote:κι αν χάσεις το χαρτί ? ή ακόμη καλύτερα πέσει στα χέρια κάποιου? Ούτε encryption δεν έχεις ...

Και ποιός σου είπε ότι δεν έχω encryption?
Μάλλον δεν ξέρεις την μυστική γραφή μου...

Όσο για το αν θα το χάσω, δεν πρόκειται να συμβεί. Θα το κρύψω κάτω από το μαξιλάρι μου και όλα μια χαρά!!!

xrokos · Post by **xrokos** » Sat Nov 17, 2007 4:09 pm

Και εγώ σημαντικούς κωδικούς τους γράφω σε χαρτί με δική μου κρυπτογράφηση (εννοείται σε ένα σημειωματάριο που δεν το χάνω). Όχι ότι δε σπάει εύκολα αλλά αν πέσουν σε κακόβουλο άτομο δε νομίζω ότι θα τους λάβει σοβαρά υπόψη.
Και να το χάσω που λέει ο λόγος πάντα υπάρχει τρόπος να κάνουμε reset το password. Άρα δεν υπάρχει λόγος ούτε να ανησυχούμε, ούτε να χρησιμοποιούμε online password managers.

Post by **HdkiLLeR** » Sun Nov 18, 2007 2:13 am

Υπόψην οτι ακόμη και commercial cyphers (που σίγουρα τους έχουν σκεφτεί λίγο παραπάνω απο το personal password scheme του καθενός) σπάνε απο security institutes μέσα σε 1 μέρα average. Για παραπάνω agents (κυβερνητικούς, military κλπ κλπ) δεν το συζητάω καν...Γνώμη μου είναι να χρησιμοποιείτε το pc σας αλλά με open standards που έχουν guaranteed privacy (ότι και να είναι αυτό το guaranteed).

redlabel · Post by **redlabel** » Sun Nov 18, 2007 9:32 pm

Δόγμα: Δεδομένου "επαρκούς" κινήτρου, τεχνογνωσίας και χρόνου, όλα τα κρυπτοσυστήματα κρυπταναλύονται.

Δ. Γκρ.

ailouros · Post by **ailouros** » Sun Nov 18, 2007 9:46 pm

Δόγμα: Δεδομένου "επαρκούς" κινήτρου, τεχνογνωσίας και χρόνου, όλα τα κρυπτοσυστήματα κρυπταναλύονται.

Δ. Γκρ.

Νομίζω στο Μυστικά και Κώδικες στα τελευταία κεφάλαια έλεγε ότι με το PGP κερδίσαν (προσωρινά) οι κρυπτογράφοι, μιας και μόνο η έλευση κβαντικών υπολογιστών θα μπορούσε να κάνει εφικτή την άμεση κρυπτανάλυση. Έτσι είχα μείνει με αυτήν την εικόνα. Παρόλαυτα

"Any agency wanting to read PGP messages would probably use easier means than cryptanalysis eg Rubber-hose cryptanalysis or by installing some form of trojan horse or keystroke logging software/hardware on the target computer to capture encrypted keyrings and their passwords. The FBI have already used this attack against PGP [1] [2] in their investigations. However, it is important to note that any such vulnerabilities apply not just to PGP, but to all encryption software."

Από:http://en.wikipedia.org/wiki/Pretty_Good_Privacy

Εν ολίγοις μπορεί να έχεις την σούπερ ασφαλή κλειδαριά στο σπίτι σου και να αφήσεις το παράθυρο ανοιχτό.

redlabel · Post by **redlabel** » Sun Nov 18, 2007 9:55 pm

Υπάρχουν διάφορα επίπεδα στους συλλογισμούς που αφορούν την Κρυπτανάλυση. Για παράδειγμα, πώς μπορούμε να υποθέτουμε ότι το PGP δεν έχει ήδη κρυπταναλυθεί και - απλώς - η μέθοδος κρυπτανάλυσης δεν έχει γνωστοποιηθεί; Το ιστορικά επαληθευμένο παράδειγμα του Κρυπτοσυστήματος Enigma (που είχε κρυπταναλυθεί, αλλά αυτό δεν είχε γνωστοποιηθεί σε όσους το χρησιμοποιούσαν, προς όφελος αυτών που το ήξεραν) και ενδεχομένως και του Red Code μας έχει διδάξει, τουλάχιστον, νάμαστε οπλύ επιφυλακτικοί και ποτέ "σίγουροι".

Δ. Γκρ.

ΥΓ. Το ενδεχόμενο της χρήσης Κβαντικών Υπολογιστών για κρυπτανάλυση δεν μπορεί να αποκλειστεί (αντίθετα!), αλλά φαίνεται ότι θα κινείται στη σφαίρα της εικοτολογίας για αρκετά ακόμη χρόνια.

ablaz3r · Post by **ablaz3r** » Mon Nov 19, 2007 7:27 pm

Μιας και είναι επίκαιρο:

"Apparently Hushmail has been providing information to law enforcement behind the backs of their clients. Billed as secure email because of their use of PGP, Hushmail has been turning over private keys of users to the authorities on request."

http://it.slashdot.org/it/07/11/17/1823225.shtml

Πιστεύω ότι οποιαδήποτε online υπηρεσία θα έκανε το ίδιο κάτω από την πίεση της No Such Agency (ή οποιουδήποτε τρίτου που είτε θα έκανε μια ιδιαίτερα γενναιόδωρη προσφορά σε αυτόν που διαχειρίζεται την υπηρεσία - ή θα τον τρόμαζε αρκετά...).
Πόσο μάλλον όταν κάνουμε λόγο για κράτη που στην περίπτωση που αρνηθείς να παραδώσεις τα κλειδιά κρυπτογράφησης στις αρχές κινδυνεύεις να πας στο big house... (Βλέπε UK).

Ούτε λόγος για κρυπτανάλυση λοιπόν αφού μπορούν ευκολότερα να βρουν τα κλειδιά κρυπτογράφησης, είτε ζητώντας το ευγενικά όπως παραπάνω, είτε με ένα περίστροφο στον κρόταφο...
Και οι 2 τεχνικές είναι ιδιαίτερα αποτελεσματικές...

Όσο αφορά την κρυπτανάλυση, απλά ελπίζουμε ότι υπάρχουν εξίσου έξυπνοι κρυπτολόγοι στον κόσμο με αυτούς που δουλεύουν για την x κυβερνητική υπηρεσία.

Και άλλη πρόσφατη είδηση:

we learn from Bruce Schneier that the NSA may have left itself a secret back door in an officially sanctioned cryptographic random-number generator.

http://it.slashdot.org/it/07/11/19/0240210.shtml

redlabel · Post by **redlabel** » Mon Nov 19, 2007 7:35 pm

Σίγουρα θα υπάρχουν Κρυπτολόγοι αυτής της κατηγορίας - δεν θάναι και πάρα πολλοί νομίζω - αλλά είναι αρκετό αυτό, από μόνο του;

Kαι άλλη πρόσφατη είδηση: we learn from Bruce Schneier that the NSA may have left itself a secret back door in an officially sanctioned cryptographic random-number generator.

Αυτό που λέει ο Schneier θα τολμούσα να το θεωρήσω ως default σε όλα τα κρυπτοσυστήματα που έχουν προοπτικές ευρείας χρήσης...

Δ. Γκρ.

ablaz3r · Post by **ablaz3r** » Wed Nov 21, 2007 12:39 am

redlabel wrote:Σίγουρα θα υπάρχουν Κρυπτολόγοι αυτής της κατηγορίας - δεν θάναι και πάρα πολλοί νομίζω - αλλά είναι αρκετό αυτό, από μόνο του;

Αυτό που λέει ο Schneier θα τολμούσα να το θεωρήσω ως default σε όλα τα κρυπτοσυστήματα που έχουν προοπτικές ευρείας χρήσης...

Δ. Γκρ.

Σίγουρα και δεν είναι αρκετό από μόνο του. Προσωπικά οι τεχνικές μου γνώσεις δεν επαρκούν για να σχεδιάσω έναν ασφαλή αλγόριθμο κρυπτογράφησης οπότε περιορίζομαι σε αλγόριθμους που χρησιμοποιούνται ευρέως, ελπίζοντας ότι δεν έχουν κρυπταναλυθεί - λαμβάνοντας πάντα υπ' όψιν την αξία που μπορεί να έχουν τα δεδομένα μου για τρίτους. Λέγοντας κρυπταναλυθεί εννοώ να υπάρχει η δυνατότητα αποκρυπτογράφησης των δεδομένων σε εύλογο χρονικό διάστημα και με κόστος μικρότερο από την αξία των δεδομένων.

Πάγια τακτική των Αμερικάνων (και όχι μόνο) να επιχειρούν να διαδώσουν κρυπτοσυστήματα με αδυναμίες. Η προσωπική μου γνώμη είναι ότι ο αλγόριθμος είναι ήδη καταδικασμένος, αφού ακόμα και με την υπόνοια ότι μπορεί να έχει εγγενείς αδυναμίες , το βρίσκω εξαιρετικά απίθανο να κερδίσει στον διαγωνισμό - κάτι που θα ήταν βαρύτατο πλήγμα για το κύρος του NIST. (Τουλάχιστον δεν είχαμε τέτοιες ενδείξεις κατά την επιλογή του AES)

Ακόμα και να επιλεγεί όμως, μάλλον θα έχει την τύχη του skipjack από την στιγμή που δεν θα έχει την εμπιστοσύνη του κοινού.