Lastpass czy keepass

[Tomasz]

Multiplatformowe menadżery haseł - LastPass, KeePass , co jeszcze? Jestem mocno zainteresowany przetestowaniem StickyPassword PRO, ale boli fakt, że nie ma wersji na GNU/Linuksa.

[Konto usunięte]

KeePass z tego co się orientuję nie jest do końca multiplatformowy. Wersja na Linuksa wspiera chyba tylko bazy z wersji 1.x

[buri]

KeePass z tego co się orientuję nie jest do końca multiplatformowy. Wersja na Linuksa wspiera chyba tylko bazy z wersji 1.x

Na Linuksa jest KeepassX, którego wersja 2.x zapowiada się ciekawie. Stara nie wspiera nowych baz z zwykłego Keepass i trza mieć to na uwadze.

[Tomasz]

Wpadło mi następujące pytanie do głowy - jak LastPass radzi sobie z wypełnieniem formularza z hasłem do bankowości elektronicznej w przypadku tzw. hasła maskowanego (hasło ma np. 20 znaków, a wy musicie podać znak numer 3,8,9,13,17,18)

[Konto usunięte]

Nie radzi sobie - to chyba jedyna odpowiedź

[JarekMk]

O to chodzi, aby haseł maskowanych nie można było zapamiętać.

Ja zaczynam dzisiaj testy LP.

[Eru]

Wpadło mi następujące pytanie do głowy - jak LastPass radzi sobie z wypełnieniem formularza z hasłem do bankowości elektronicznej w przypadku tzw. hasła maskowanego (hasło ma np. 20 znaków, a wy musicie podać znak numer 3,8,9,13,17,18)

Nic sobie z tym nie poradzi, przez mechanizm jaki za tym stoi.

Wysłane z mojego HTC Desire Z

[Konto usunięte]

Nie przyglądałem się, ale dla tych menadżerów jest to chyba nie do wypełnienia, bo przy takich hasłach każda literka = oddzielny input w html. Głowy nie dam, mogę to sprawdzić później, ale tak bym strzelał.

[Tomasz]

JarekMk - daj znać jakie wrażenia.

Jeśli ktoś chce to może obejrzeć

[Aby zobaczyć linki, zarejestruj się tutaj]

odcinek jednego z podcastów, według Wildersów dotyczy on LastPass, ja po pierwszych minutach byłem strasznie znudzony, więc nie wiem, co tam mówią.

[Konto usunięte]

Ja się ostatnio zdecydowałem na konto Premium. Istna bajka, mam dostęp z telefonu (acz na Windows Phone jest miernie), reklam nie miałem juz wcześniej, ale za to jest obsługa tokenu, którego użycie też dopiero co zacząłem.

[Tomasz]

Masz na myśli LASTPASS SESAME?

[Konto usunięte]

Nie, chodziło mi o obsługę YubiKey.

[Tomasz]

Mhm, ale YubiKey musiałeś zamówić?

Dodano: 09 lip 2012, 14:55

Moim zdaniem ma to niestety jeden minus - zarówno YubiKey jak i LastPass Sesame w połączeniu z LastPass.

W momencie zgubienia YubiKey nie możesz się zalogować, możesz natomiast wyłączyć YubiKey przy pomocy e-mail''a podanego przy rejestracji - tylko czy to ma w takim razie sens? Przecież hasło do LastPass miało być ostatnim, które musisz zapamiętać, a tu jeszcze hasło do e-mail''a musisz znać.

Sposób autoryzacji w przypadku zagubienia powinien być inny. Niby można to załatwić przez support bez e-mail''a, ale nie wiadomo jak to działa.

[Konto usunięte]

Hm... No nie bardzo. Ten token pozwala na logowanie bez wpisywania hasła tj. Można go używać, ale wcale nie trzeba. Szalenie przydatne do logowania przez niezaufane komputery, gdzie mogą się czaić keyloggery itd. W przypadku zagubienia jest problem z kluczem (tj. warto go zablokować, pomimo ze nie wiadomo do kogo należy), ale do Last Pass możemy nadal logować się bez problemów za pomocą hasła.

[Tomasz]

Ale jeśli ustawisz autoryzację za pomocą master password + YubiKey, to bez YubiKey chyba nie bardzo ....

[Konto usunięte]

To są odrębne metody autoryzacji, stosowane przy innych sytuacjach.

[Tomasz]

Ale rozumiem, że mogę ustawić podwójną autoryzację tj. YubiKey + Master Pass?

Dodano: 09 lip 2012, 16:35

Jeśli jest taka możliwość to znaczy, że programiści nie znaleźli żadnej sensownej metody postępowania w przypadku zagubienia/zniszczenia YubiKey, a to jest minus.

[Konto usunięte]

@Tomasz:
Zastanawiałem się nad tym i... nie, w żadnym wypadku to nie jest minus.
Przecież email, to rzecz kluczowa niemal w każdej usłudze.
Chcesz w Last Pass zapamiętać dane logowania do niego? To IMO zbyt niebezpieczne, bo przecież konto jest powiązane z adresem.
Oczywiście możesz mi teraz napisać, że to hipokryzja mówić o bezpieczeństwie Last Pass i nie używać go jednocześnie do zapamiętania danych do email ze względu na bezpieczeństwo, ale moim zdaniem wszystko ma swoje granice.

Myliłem się co do autoryzacji. YubiKey to dodatkowa ochrona tj. najpierw podajmy hasło, a w drugim etapie używamy YubiKey (i w zależności od tego czy jesteśmy online czy offline, używa on innych rzeczy). W razie jego zagubienia możemy użyć naszego adresu email dla potwierdzenia wyłączenia tej autoryzacji - to jasno daje do zrozumienia, że mimo wszystko powinniśmy odseparować od siebie te dwa najważniejszemiejsca.

[Tomasz]

Nie zamierzam i nie zamierzałem mówić o Twojej hipokryzji - to kwestia subiektywna czy to minus czy nie, choć znając Twoje zasadnicze podejście do większości spraw spodziewałbym się, że przyznasz mi rację, gdy powiem o hipokryzji producenta, który mówi o ostatnim haśle, które musisz zapamiętać - bo musisz zapamiętać co najmniej dwa.

Tak, wiem - to tylko marketing, ale wprowadza mnie w błąd.

No chyba, że złamiemy zasadę bezpiecznych haseł, która mówi o tym, by nie stosować tych samych haseł w dwóch różnych miejscach. Tym bardziej, że e-mail ma być tu deską ratunkową i czymś, co właściwie pozwala zarządzać kontem, uważam, że to samo hasło do LastPass i konta e-mail nie wchodzi w grę.

Ponadto spodziewam się, że część użytkowników nie pomyśli o tym, co w przypadku zagubienia YubiKey.

Potem dochodzą jeszcze hasła, których część użytkowników nie zdecyduje się trzymać w chmurze np. bankowość elektroniczna, ważne hasła administracyjne. Oczywiście, to już kwestia użytkownika i producent nie ma na to wpływu. Domyślam się, że takich rozterek czy trzymać hasło do e-mail''a w menadżerze czy nie, nie ma w przypadku menadżerów "lokalnych". Żaden to plus na korzyść tychże, stwierdzam po prostu fakt.

Jestem po prostu zdania, że jest co najmniej jedna alternatywna dla e-mail''a opcja weryfikacji tożsamości, która mogłaby być używana właśnie w sytuacji zagubienia YubiKey, która jest o tyle bardziej komfortowa, że nie zmusza nas do pamiętania jakiegokolwiek dodatkowego hasła oprócz hasła do LastPass.

Myliłem się co do autoryzacji.

Miło słyszeć, że się do tego przyznajesz

[JarekMk]

LP ma wadę - nie rozróżnia sub domen... ovh.pl i forum.ovh.pl to dla niego ten sam adres. Tak pięknie się zapowiadał. Co ciekawe FF nie ma z tym problemów.