Xorp Blog Podcast

1Password: Egy jelszó mind felett

Szerintem a jelszavakkal mindig gond van. A kétezres évek közepétől kaptak nagyobb hangsúlyt a jelszavak, ezáltal pedig a különböző kontóink és azok által tárolt információk. A mostani cikkem egy megoldást kíván bemutatni a jelszavak által nyújtott nyűgre, és biztonsági problémára.

A probléma maga

Jelenleg egy egyén azonosítására a felhasználónév és jelszó a leginkább elterjedt megoldás. 2014-re megannyi szolgáltatást használunk. Levelezés, facebook, játékok, fórumok, híroldalak, vásárlások. Nekem jelenleg 341 eltárolt belépési információm van. Persze nagy részüket nem használom, vagy csak egyszer kellettek.

Az emberek többsége kitalál egy jelszót, és azt használja mindenhol. A normálisabbak legalább azt az egy jelszót körültekintően választják meg. Legalább 8 karakter hosszúságú legyen, tartalmazzon nagy betűket, számot, és valamilyen speciális karaktert. Ne szerepeljen benne a felhasználónév, ennek ellenére számunkra jelentsem valamit, vagy legalább az algoritmusa legyen követhető, hogy könnyen rájöjjünk, hogy is találtuk ki. Rengeteg bevált szokás van ezekre.

Az igazi probléma akkor jön, amikor egy szolgáltatást feltörnek, és hozzájutnak, minden ember felhasználó nevéhez és jelszavához. A szüleim számtalanszor megkérdezték már, hogy minek kell valakinek a Minecraft jelszavam, és ha megszerezte, akkor mi van? Játszik ő is minden elérhető karakterrel? A válasz kicsit bonyolultabb ennél.

stolen-password

Az internet berkein belül az információnak van ára. Persze nem minden információnak. Annak az információnak, aminek a birtoklásával szintén pénzt lehet keresni. Ezek természetesen a titkok. Legyen az magán, vagy üzleti titok. Egy még be nem mutatott termék leírása, zárt program forráskódja, vagy csak az, hogy valaki megcsalja a feleségét.

Ahogy mondtam, az emberek többnyire nagyon egyszerű jelszót használnak, vagy pedig mindenhol ugyan azt. Ilyenkor valami egyedi adatot adnak oda magukról egy szolgáltatónak. És persze megbíznak benne. Ha a szolgáltatás hiányossága miatt valaki megszerzi a felhasználónevünket és jelszavunkat, akkor azt nem feltétlenül azért teszi, hogy annak a szolgáltatásnak az információit szerezze meg.

Az így megszerzett felhasználó neveket, jelszavakat, ki fogja próbálni más, biztonságos helyeken is. Megpróbál majd belépni a levelezésünkre, ezáltal minden levelünket megszerezni, különböző nyilvános storage cloud megoldásokra belépni és a tárolt adatainkat ellopni. Ez pedig, amit nem szeretnénk. Ugye?

Mára kiderült, hogy nem szabad bíznunk egy szolgáltatóban sem. Tehát mindenhol más jelszót kell használnunk. Tehát ha az egyik szolgáltatás által megszerzik a jelszavunkat, akkor sem tudják azt használni máshol. Tehát nekem a 341 helyen, 341 féle különböző jelszót kellene használnom, és mi több mindent fejben kellene tartanom. Ez természetesen lehetetlen. Az a biztonság, ami a funkció kárára megy, az pedig szerintem rossz.

Jelszó tárolási megoldások

Ez első jól bevált megoldás, hogy írjuk fel valahova. Egy cetlire, vagy listára. Tehát ha szükséges csupán elővesszük a listát, megnézzük, és szépen bepötyögjük. Az auditorok rémálma ez a megoldás. A jelszavainkat egy könnyen hozzáférhető, és mindenki által érthető médiumon tároljuk. Más részről bármi történhet azzal a papírral, és akkor megint jelszó nélkül maradtunk.

A második csak egy fokkal jobb. Elektronikus adatként kezelni ezt a listát. Nyitni egy excel dokumentumot, vagy egy plain text file-t, és abba vezetni. Ha szükségünk van valamire, csak megnyitjuk, és copy-paste-vel már másolhatjuk a jelszót. Még csak pötyögni se kell. Ennek ellenére, az adat valahol ott lesz egy listába, amit akár távolról is megszerezhetnek.

passwords

A harmadik, elterjedt megoldás egy ”poweruser” részéről, ha password manager-t használ. Ez egy program. A program gyakorlatilag egy listát hoz lére, azt viszont titkosítottan tárolja a gépünkön. A titkosított dokumentumhoz szükséges a master password ismerete. Ezek után a password manager automatikusan olvasható formában mutatja nekünk az elérhető jelszavakat, és már is másolhatjuk és beilleszthetjük a helyére. Tehát lehet megannyi egyedi jelszavunk, nekünk csak a password manager jelszavát kell ismernünk. Ha pedig illetéktelen szerzi meg a password manager adat file-ját, abban az esetben sem tud vale mit kezdeni.

Rengete password manager létezik. Én mindenkit csak bátorítani tudok a használatára. Én az 1Password termékben találtam rá a megfelelő megoldásra.

1Password

1password1

A 1Password egy igazi password manager program. Minden fentebb taglalt igaz rá, ezért erre a részre nem térnék ki. Ami számomra fontos volt, hogy Windows, OSX, iOS platformokra elérhető a termék. Tehát a megszokott módon tudom használni a jelszavaimat minden eszközön, amin dolgoznom kell.

A jelszó adatbázist sem kell kézzel szinkronizálnom, a Dropbox szolgáltatáson keresztül automatikusan szinkronizálódik minden eszközömön. Így, ha valami hiba kapcsán elveszne az egyik eszközömről a jelszóadatbázis, a többin még mindig ott lesz, és automatikusan vissza tud szinkronizálódni.

A programot megnyitva egy szép, és egyszerű felületen láthatjuk a jelszó listánkat. A bal oldali panelon különböző kategóriákba szervezhetjük a védendő információinkat. Vannak az egyszerű felhasználónév-jelszó párosok. Aztán tárolhatunk hitelkártya adatokat, software licenseket, identitásokat, különböző kupon kódokat, és egyszerű szöveges feljegyzéseket is, amik persze titkosított formátum mellett csak általunk lesznek olvashatóak.

A 1Password továbbá rendelkezik böngészőbe épülő kiegészítővel is. Ezt külön kell telepítenünk. Internet Explorer, Firefox, Chrome, Safari, tehát az összes ismertebb és használtabb böngészőbe integrálni tudjuk a 1Password kiegészítőt. Miért jó ez?

1password2

Azért mert ezáltal a 1Password automatikusan felismeri, ha jelszót viszünk be, vagy jelszót kellene megadnunk. Bármikor generáltathatunk vele egy új jelszót, plusz, automatikusan fel fogja ajánlani, hogy egy olyan oldalon adtunk meg jelszót, amit ő még nem ismer, tehát akarjuk-e menteni az adatbázisba. Ha pedig rendelkezünk már az oldalhoz tárolt jelszóval, abban az esetben egy tetszőleges billentyűkombináció hatására képes azt automatikusan beilleszteni nekünk. Tehát még csak copy-paste-lnünk sem kell.

Nem utolsó sorban a 1Passwors segít auditálni is a jelszó listánk elemeit. Kis csíkkal jelzi, a jelszó bonyolultságát, így ránézésre kitűnik, hogy hol gyenge a jelszavunk. Egy külön oszlopba szervezve láthatjuk, hogy mikor változtattuk meg utoljára. Tehát, ha valaki valóban ügyelni akar a jelszavai változatosságára, biztonságára, és változtatására rendszeresen, akkor a 1Password tökéletes megoldást jelenthet.

1password3

iCloud Keychain

Sokan temetni kezdték az 1Password-öt és társait OSX-en, mikor a 10.9 OSX bevezette a Keychain alapú jelszó tárolást, és annak szinkronizációját iCloud alapon. Jó magam is azt hittem, hogy ez meg fogja változtatni az eddig bevállt szokásomat. Körülbelül fél évig használtam az iCloud Keychain-t, de számomra visszalépést hozott csak ez a megoldás.

– A jelszavakat a keychain-be belépve tudom managelni, és csak a webes oldalon eltároltakat.
– Csak OSX-en, és iOS-en működik.
– iOS-en nem férsz hozzá a jelszó listához, csak az aktuális weboldalon kitölti a jelszót.
– A jelszó kitöltése automatikus, és nem én döntöm el, mikor működjön a Keychain Access.
– Nem bízom az Apple-ben ha az adataim kódolásáról, szinkronizációjáról és hozzáféréséről van szó. Túl sok dolog ez egyetlen cég kezében.

Összegzés

Saját magam nagyon távol állok az igazán biztonságos és profi jelszó tárolástól és felhasználástól. Azt vallom, hogy ebben a kérdésben nagyobb a felhasználói kultúra szerepe, mintsem az eszközöké. Ha valaki felhasználói kultúrája már eljutott arra a szintre, hogy csupán az eszköz hiányozzon, akkor a legtöbb password manager, és főleg az 1Password nagyon jó megoldás lehet. Ennek ellenére az 1Password miatt nem fogunk biztonságosabbak lenni, ahogy említettem a kérdés, hogy hogyan használjuk. Sajnos az ára igen borsos, főleg, ha minden platformra meg akarjuk venni. Érdemes a sűrűn előforduó leértékelések során beszerezni.

Categories: Informatika

Knights and Merchants » « Müncheni húsvét Sanyiékkal

5 Comments

  1. Vigyázz, ez is lovas kocsi, csak a lovak vasból vannak! A jelszó attól még jelszó marad. S ebből a tool-ból fakadhatnak egyéb gondok, pl a user maga sem tudja a saját jelszavait. Netán uram bocsá’d adatvesztés történik, és ez a fájl közé esik… mentés híján pedig oda az online életed (átlag user pedig nem ment), pláne ha a password recovery eljárásokban sem bízunk (amit egyébként valóban tanácsos kerülni a jelenlegi formájában).
    A másik veszély, amit én ezekben a password managerekben látok, az átverhetőség. Biztos, hogy olyan jó az, ha automatikusan írkál be jelszavakat?
    Mindemellett, megértem, hogy a szolgáltatókban nem jó bízni, de mint az elmúlt hetekben megtudhattuk, a legalapabb hibák is előfordulhatnak akárhol, s lehet látszólag semmi baja valaminek, csak a szíve vérzik; épp ezért én nem bízom a pw managerek adatállományában sem. Én a jelszavaimat fejben tárolom, van egy algoritmusom, más-más jelszót használok szinte mindenhol; illetve van 2-3 “publikus” jelszó, amit megosztani való accoknál szoktam megadni.

    • Slacay: nem hasznaltal akkor meg 1Password-ot. ;)

      Jomagam evek ota hasznalom, a legnagyobb megelegedesemre.

      Masik alternativa lehet a Forklift hazai fejlesztojenek Locko nevu alkalmazasa, ami szinten ezt a terhet veszi le a vallunkrol. Az is megvan nekem, bar en maradtam a 1Passwordnel. Nagyon faszan syncel a telefonnal, iPaddel, es az asztali geppel. Dropbox-al vegyitve uberfasza! ;)

  2. Na csak mondanom kellett! Most írták ki twitterre, hogy a Lockot egy rövid időre jóárasítják, 20$ helyett most csak 1$
    Annyit mindenképp megér!

  3. Sziasztok!
    Elkezdtem használni az 1password tárolót androidon, és az a problémám, hogy kb egy hónap után nem engedett belépni… Lehetséges, hogy elfelejtettem a pontos jelszót…(kitaláltam egy jó bonyolultat)habár megvagyok győződve hogy jól írtam be. Szeretném megkérdezni, hogy hol lehet az elfelejtett mesterjelszót módosítani?
    Nagyon sokat segítene a válaszuk 

    Köszönettel:
    Márton István

    • Szia Istvan,
      :( szomoruan olvasom a helyzeted! Sajnos en ugy tudom a master jelszo egy passphrase. Tehat egy olyan “kod” ami a titkositashoz hasznalodott.

      Nincs mod ennek a resetelesete :( pont azert, hogy ne lehessen ezzel barhogy visszaelni. Ezt a jelszot nem szabad elfelejteni.
      Remelem nem veszett el sok dolgod. Backupot nem tudsz visszaallitani ami meg feloldhato?

Hozzászólás

Copyright © 2019 Xorp Blog Podcast

Theme by Anders NorenUp ↑

%d blogger ezt szereti: