UltraB Οκτώβριος 24, 2015 #21 Κοινοποίηση Οκτώβριος 24, 2015 Πόσο εύκολο είναι να βρεθεί ο κωδικός που χρησιμοποιείτε στο Lastpass πχ; Δε μιλάω για απλό κωδικό αλλά έναν με κεφαλαία, πεζά, χαρακτήρες κτλ. Γιατί σκέφτομαι ότι σε περίπτωση που τον βρει κάποιος του δίνεις άμεσα πρόσβαση παντού μιας και σου έχει το URL, username / email & κωδικό. Δηλαδή είναι χειρότερο από το να έχεις χύμα τους κωδικός σε ένα κρυπτογραφημένο αρχείο και απλά να θυμάσαι ποιος είναι σε κάθε site; Link to comment Share on other sites More sharing options...
Delijohn Οκτώβριος 24, 2015 #22 Κοινοποίηση Οκτώβριος 24, 2015 κι όλα αυτά, σε περίπτωση που δεν είναι κρυπτογραφημένος με AES 256 στο lastpass... το να τα έχεις χύμα κωδικούς σε ένα αρχείο είναι απλά χιλιάδες φορές χειρότερο.. πόσο μάλλον όταν κάποιος βλέπει τι πληκτρολογείς ή το clipboard σου.. αυτό βέβαια δεν θα το πάρεις χαμπάρι να συμβαίνει.. άσε που με το που ανοίξεις το αρχείο σου την πρώτη φορά, του δίνεις το πιο όμορφο dictionary για attacks.. Link to comment Share on other sites More sharing options...
UltraB Οκτώβριος 24, 2015 #23 Κοινοποίηση Οκτώβριος 24, 2015 Ναι, τα γνωρίζω αυτά και μάλιστα αρκετά καλά. Δεν αναφερόμουν στο πόσο δύσκολα το σπάει κάποιος αλλά στο ότι κατά καιρούς γίνονται επιθέσεις σε διάφορα site και βγαίνουν στην φόρα πιστωτικές, κωδικοί και ένα σωρό άλλα.Εε ο επιτιθέμενος δε θα επιτεθεί κάποια φορά στο Lastpass ή σε κάτι αντίστοιχο εφόσον αν τα καταφέρει, "του δίνεις το κλειδί στο χέρι και τους ανοίγεις και την πόρτα του σπιτιού"; Έτσι το σκέφτομαι και γι αυτό δεν έχω χρησιμοποιήσει κάτι τέτοιο έως τώρα, παρόλο που μου φαίνονται πολύ καλή λύση για την διαχείριση των κωδικών.Ψάχνοντας: Ο τύπος που δίνει την πρώτη απάντηση τα εξηγεί πολύ καλά -> εδώ. Link to comment Share on other sites More sharing options...
Delijohn Οκτώβριος 24, 2015 #24 Κοινοποίηση Οκτώβριος 24, 2015 (edited) κράτα τους κωδικούς στο pc σου, μην παίρνεις την αγορασμένη έκδοση που κάνει sync σε άλλες devices.. Αν νομίζεις ότι έχεις πιο "ασφαλή" συστήματα από εκείνους πάσο. Όμως ακόμα κι αν έχεις/έχουμε την αγορασμένη έκδοση κι έστω ότι οι κωδικοί σου είναι στους server τους ecrypted.. αν φάνε επίθεση και τους πάρουν τα αρχεία.. τι θα βρουν; Τι θα πάρουν; Έναν σωρό με ακαταλαβίστικα data που δε θα μπορέσουν να αποκρυπτογραφήσουν ποτέ.. κάνω κάπου λάθος; Το κλειδί της κρυπτογράφησης των κωδικών σου μόνο εσύ δεν θα το έχεις; Το ίδιο θα έχει η εταιρεία για όλους τους πελάτες ή δεν θα ξέρει τίποτα; Έγινε επεξεργασία Οκτώβριος 24, 2015 από Delijohn Link to comment Share on other sites More sharing options...
UltraB Οκτώβριος 24, 2015 #25 Κοινοποίηση Οκτώβριος 24, 2015 Μα και στις άλλες υπηρεσίες δεν είναι κρυπτογραφημένα; Γιατί πχ πρόσφατα το twitch είχε βάλει όλους τους χρήστες του να αλλάξουν κωδικό;Γιατί το Ebay έβαλε 112 εκατομμύρια χρήστες να αλλάξουν κωδικό μετά από ένα data breach; Το κάνουν διότι και να καταφέρουν να τους αποκρυπτογραφήσουν δεν θα έχει νόημα μιας και οι χρήστες θα έχουν αλλάξει κωδικούς; Εγώ θεωρώ ότι η έλλειψη ασφάλειας υπάρχει (αν υπάρχει τελικά) στην είσοδο του χρήστη στην υπηρεσία κάθε φορά. Πάντως η ασφάλεια είναι ένα τεράστιο κεφάλαιο που θεωρώ ότι πάντα θα υπάρχουν "κενά" που μπορεί να αποκτήσει κάποιος πρόσβαση. Το θέμα είναι πόσο σοβαρά θα είναι και πόσο γρήγορα ή όχι θα πέσουν στην αντίληψη κάποιου (αν ποτέ πέσουν). Ότι κλειδώνει, ξεκλειδώνει δε λένε; Link to comment Share on other sites More sharing options...
Delijohn Οκτώβριος 24, 2015 #26 Κοινοποίηση Οκτώβριος 24, 2015 Δεν ξέρω τι κάνει το twitch και το ebay.. εδώ messaging apps και στέλνουν τα πάντα στο δίκτυο ακρυπτογράφητα.. η ανθρώπινη ηλιθιότητα δεν έχει όρια.. γι'αυτό και δεν έχουμε τον ίδιο κωδικό παντού κ αξίζει να έχουμε προγράμματα οργάνωσης κωδικών. Βοηθάνε και στη δημιουργία "καλών" κωδικών.. Υπάρχουν τρόποι να φυλαχτεί κανείς.. όχι 100%, αλλά αρκετά, αρκεί να τους ακολουθεί κανείς ευλαβικά.. οι περισσότεροι βαριόμαστε ή είμαστε το κλασσικό "ωχ αδερφέ". 1 Link to comment Share on other sites More sharing options...
swatoner Οκτώβριος 24, 2015 #27 Κοινοποίηση Οκτώβριος 24, 2015 Delijohn Προσωπικά δεν είπα ότι έχω κλειδωμένο Excel. Είπα έχω αρκετά Excel με κωδικούς. Και κωδικούς που δεν θέλω αλλά ούτε μπορώ να αποθήκευσω το password. Έχω ένα αρχείο truecrypt στο Dropbox. Και να μου σπάσουν το Dropbox είναι άχρηστο αφού πρέπει να σπάσουν aes 512 Σε κρυπτογραφημενο αρχείο. Στην τελική αν θέλουν το κλειδί σου στο Last pass κάνουν man in middle και σου παίρνουν τον κωδικό όταν νομίζεις ότι εσύ δίνεις credentials στην εταιρεία Link to comment Share on other sites More sharing options...
Delijohn Οκτώβριος 24, 2015 #28 Κοινοποίηση Οκτώβριος 24, 2015 Στο lastpass έχει 2 step verification κι αν θες δηλώνεις κ κινητό να σου έρχεται sms.. αλλά ακόμα κ με γεννήτρια τυχαίων αριθμών (google authenticator) μια χαρά κάνεις δουλειά. Οι κωδικοί σου μένουν μόνο στο pc. ΑΝ έχεις το sync της premium έκδοσης, τότε κ μόνο τότε μιλάς με lastpass κρυπτογραφημένα. Χωρίς να ξέρεις ούτε εσύ ή η lastpass το key.Το session μου με το lastpass μένει ανοιχτό όσο εγώ το θέλω κ δεν ξαναπληκτρολογώ ποτέ κ τίποτα. .Όσο για το man in the middle... ας μη πετάμε όρους έτσι τυχαία.. εγώ προσωπικά έχω κ private vpn, αλλά και πάλι, το man in the middle είναι σχεδόν αδύνατο σε κρυπτογραφημένη επικοινωνία με έναν server. Αν θες να φυλαχτείς από man in the middle αληθινό, τράβα τις πρίζες σου... όλες... Εσύ το excel και στο ψυγείο με λουκέτα να το βάλεις, θα το ανοίξεις x φορές βάζοντας έναν κωδικό και θα πάρεις 5x κωδικούς είτε με το μάτι, είτε με το clipboard. Άρα ακυρώνεις ΚΑΘΕ κρυπτογράφηση κ έχεις ένα plain text στο πιάτο του οποιουδήποτε.. Link to comment Share on other sites More sharing options...
swatoner Οκτώβριος 24, 2015 #29 Κοινοποίηση Οκτώβριος 24, 2015 (edited) Mim σε ssl είναι εφικτό. Αν πάρεις το public key από την Last pass. Επίσης είναι το ιδιο πιθανό να σου βρουν το private key με τον ίδιο τρόπο που θα μου σπάσουν το encrypt μου να κάνουν login στο Last pass και να πάρουν τα πάντα. Μην ξεχάσεις ότι μπορείς να κάνεις view τα passwords σου από το Last pass. Προσωπικά έχω premium lastpass λόγο ευκολιας όχι τόσο θέμα ασφαλείας. Γιατί ποιο απλά θα μπορούσα να έχω zip password και encrypt με διαφορετικούς κωδικούς και να ήμουν ποιο ασφαλής. Μην ξεχνάμε ότι πριν από 6 μήνες χακαραν την εταιρεία του lastpass και προληπτικά είπαν να αλλάξουν κωδικούς. Και το aes επίσης σπάει. Το θέμα είναι πόσο μεγάλο cluster έχεις. Στήσαμε πριν κάνα χρόνο cluster password cracker που έσπασε aes256 σε 10 μέρες.Δεν μπορώ να πω ότι ισχύει πάντα αλλά απ όσο ξέρω δεν είχαν θέμα με άλλα passwords μέχρι στιγμής. Έγινε επεξεργασία Οκτώβριος 24, 2015 από swatoner Link to comment Share on other sites More sharing options...
Delijohn Οκτώβριος 24, 2015 #30 Κοινοποίηση Οκτώβριος 24, 2015 (edited) νταξ εσύ με τρολάρεις άγρια.. νόμιζα μιλάς σοβαρά.. πήγα να κλείσω μια τρύπα κ μου άνοιξες μια ΜΑΥΡΗ ΤΡΥΠΑ.. δε μπορεί να μην κάνεις πλάκα!!! Τα παρατάω αλήθεια!!! Δυο τρίχες έχω όλες κι όλες... δεν παίζω άλλο με αυτά.. το βάζω εδώ για όποιον ενδιαφέρεται.. papers κι έρευνες, όσοι έχουν πρόσβαση, μπορούν να βρουν.. Time and energy required to brute-force a AES-256 encryption key Using a Botnet to “Crack” AES Encryption Keys? Έγινε επεξεργασία Οκτώβριος 24, 2015 από Delijohn Link to comment Share on other sites More sharing options...
UltraB Οκτώβριος 24, 2015 #31 Κοινοποίηση Οκτώβριος 24, 2015 (edited) Δε νομίζω ότι οι επιθέσεις τους είναι δοκιμές χαρακτήρων. Λογικά δε πρόκειται να το βρουν σε σύντομο χρονικό διάστημα ώστε να τους είναι χρήσιμο αν ψάχνουν σε συνδυασμό κεφαλαίων, πεζών & χαρακτήρων σε ~50 ψηφία που θα δίνει το AES256. Πάντως πιο πιθανό είναι να μας αρπάξουν το πορτοφόλι ή τα κλειδιά του αυτοκινήτου μέσα από τα χέρια παρά να καταφέρουν να σπάσουν την ασφάλεια και να χρησιμοποιήσουν τα προσωπικά μας στοιχεία οπουδήποτε. Βέβαια αυτό δεν αναιρεί ότι θα πρέπει να μας ενδιαφέρει η ασφάλεια που προσφέρει ο χώρος που φυλάμε τους προσωπικούς μας κωδικούς. Έγινε επεξεργασία Οκτώβριος 24, 2015 από UltraB Link to comment Share on other sites More sharing options...
swatoner Οκτώβριος 25, 2015 #32 Κοινοποίηση Οκτώβριος 25, 2015 (edited) νταξ εσύ με τρολάρεις άγρια.. νόμιζα μιλάς σοβαρά.. πήγα να κλείσω μια τρύπα κ μου άνοιξες μια ΜΑΥΡΗ ΤΡΥΠΑ.. δε μπορεί να μην κάνεις πλάκα!!! Τα παρατάω αλήθεια!!! Δυο τρίχες έχω όλες κι όλες... δεν παίζω άλλο με αυτά.. το βάζω εδώ για όποιον ενδιαφέρεται.. papers κι έρευνες, όσοι έχουν πρόσβαση, μπορούν να βρουν.. Time and energy required to brute-force a AES-256 encryption key Using a Botnet to “Crack” AES Encryption Keys? Δες σε τρολλαρω ρε συ.Μου το ζήτησαν το στήσαμε και δεν ξανά ασχολήθηκα. Άλλωστε δεν είναι και η δουλειά μου αυτή. Τώρα όταν μου είπαν ότι σπάσανε aes μπορεί να ήταν και το hash. Δεν ξέρω. Μπορεί να μου λέγανε και βλέπεις αλλά μην νομίζεις ότι δεν υπάρχουν συστήματα που μπορούν να σπάσουν aes επειδή δε τα ξέρεις. Δεν μιλάω για ufo. Υπάρχουν εταιρείες που ασχολούνται με αυτό. Πχ passware και άλλες. Δεν έχεις δει 10 μηχανάκια με quad Titan σε cluster. Περαιτέρω ξαναλέω δεν ξέρω δεν είναι η δουλειά μου ακριβώς αυτό και δεν ασχολούμαι.αλλα επειδή έχω δει αρκετά τριγύρω κρατάω μικρό καλάθι. Έγινε επεξεργασία Οκτώβριος 25, 2015 από swatoner Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now