Nie, nie mam na myśli Keepassa. Korzystam z MacOS, ten ma wbudowany menadżer haseł Keychain/Passwords.
No tak. Wbudowany w systemy Apple, który od najnowszego IOS jest teraz Pękiem Kluczy jako osobna apka
@maszaikasza:
Nie, nie mam na myśli Keepassa. Korzystam z MacOS, ten ma wbudowany menadżer haseł Keychain/Passwords.Przeczytałem twoją odpowiedź i szczerze mówiąc, przez to że zahaczyłeś o tak wiele wątków niezwiązanych z tematem i użyłeś tak wielu argumentów, w których używasz pół-prawd i dowodów anegdotycznych, nie za bardzo mam ochotę wkładać energię w rozbijanie tych bzdur jedna po drugiej, więc ograniczę się tylko do paru zdań.
Oczywiście. Ja piszę bzdury a Ty tylko prawdę. Widziałem na forum tutaj na ING (nie pamiętam kto - Ty czy ktoś inny) jak wklejał ktoś link do 1Password i próbował na tej zasadzie udowodnić, że to jest idealne rozwiązania. Czyli wkleja wpis ze strony producenta.
Nie użyłem żadnych pół prawd. Tylko napisałem, że nie jest to idealne rozwiązania i są na to dowody, bo coraz częściej wyciekają informację, że jakiś manager ma błąd, doszło do jakiegoś wycieku czy coś nie zadziałało. Jakiś czas temu najbardziej popularny i często polecany LastPass ma co chwile wpadki i dzisiaj, Ci co to rozwiązanie polecali, już nie polecają. Niedowiary!
Jak sobie przypomnisz, była też moda na VPN dokładnie na NordVPN. Niebezpiecznik, Zaufana 3 strona co chwile go chwalili, polecali. A dzisiaj? Poczytaj sobie w komentarzach, gdzie zabierają głos "redaktorzy" tych stron i już go nie polecają. Ciekawe dlaczego? Ja wiem, bo czytałem te komentarze. Ale nie napisze, bo zaraz mnie posądzisz o kolejne półprawdy.
@maszaikasza:
Po pierwsze, nie twierdzę, że menadżer haseł to lek na całe zło. Natomiast jest jedną ze składowych, które (w mojej opinii, bo opinia specjalistów z dziedziny Cię nie przekonuje) poprawiają ogólne bezpieczeństwo użytkownika; w jaki sposób - napisałem w poprzednim poście.
Na pewno? Ludzie narzekają na hasła maskowane do banku. A teraz przy menadżerze masz pewność że każdy bedzie za każdym razem wklepywał 16 i więcej znaków do logowania czy będzie chciał sobie uprościć logowanie do manadżera (Master Key). Nie masz pewności. Takiej samej jak ja.
@maszaikasza:
Po drugie, przed wadami menadżerów haseł chroni następna warstwa zabezpieczeń, tj. 2FA. I nie przez wpisanie kodu z SMS, bo to również przestarzała i podatna na ataki technologia. Ale korzystanie z 2FA w aplikacji bankowej na smartfonie, w którym potwierdzasz każde logowanie i każdy przelew, minimalizuje ryzyko padnięcia ofiarą praktycznie wszystkich popularnych, nowoczesnych ataków na strony internetowej. Oczywiście nie uchroni przed metodami "na wnuczka" itp., ale tutaj i hasło maskowane się podda.
Po drugie. Wystarczy poszukać w sieci wpadki. Ktoś klika na linka w smsie albo w mailu na telefonie i telefon infekuje. Apke i authenticator masz na telefonie na jednym urządzenia. I nawet 2FA Ci nie pomoże. Masz wtopę.
Jeśli jest 2FA (a jest w ING - sms albo apką) to nawet średnie hasło wystarczy (czy słabe) byle miało co najmniej 14 znaków (nie trzeba manadżera) bo zawsze jest 2FA. Ponadto masz możliwość podłączyć klucze U2F w ING np YubiKey. Więc przy słabym haśle, bo "ciężko" wpisać niektórym przy maskowanym, masz dodatkowe zabezpieczenie jak klucze U2F.
Kolejna sprawa. Apka ING to tak naprawdę prawie 1:1 system który masz na stronie. Jeśli komuś naprawdę przeszkadza wklepywanie hasła maskowanego, to przecież może wszystko robić na telefonie w aplikacji ING.
Po trzecie. W regulaminach banków są zakazy „ujawnienia” osobom trzecim (czy jakkolwiek to sformułowano) danych uwierzytelniających. Menager haseł jest stroną trzecią. I jeśli nie daj boże, masz wpadkę to bank ma prawo (bo na pewno się skuma jak się logowałeś) umyć ręce. I co wtedy zrobisz?
@maszaikasza:
Po czwarte, w swoim poście wyrażasz brak zaufania do instytucji państwowych, korporacji technologicznych w kwestii standardów technologii, opinii specjalistów z dziedziny, w dalszej części podważasz nawet skuteczność szczepionek (ten argument to już totalne kuriozum) i niebezpiecznie zahaczasz o szerzenie teorii spiskowych. Myślę, że ten fragment twoich przemyśleń świadczy doskonale o tym, jaką wagę w dyskusji ma twój głos.
Po czwarte. Żyję na tym świecie dość długo i nie jestem ignorantem. Czy podważam? Oczywiście, że tak. Media dzisiaj są raczej od dezinformacji i dożyliśmy czasów, gdzie każdy news który się pojawi, trzeba sprawdzać, czy nie jest fake. Po wielu wpadkach Google, Microsoftu, Apple i innych firm technologicznych mam ograniczone zaufanie. W dzisiejszych czasach, gdy masz dostęp do informacji z całego świata, każdy ma prawo mieć dystans bądź ograniczone zaufanie do wszystkiego. Nie muszę w to wierzyć, nie we wszystko wierzę ale przynajmniej daje coś do myślenia. A nie wierzyć naiwnie, że wszystko robią tylko i wyłącznie dla naszego dobra. Oczywiście rozumiem, że np Snowden to też teoria spiskowa?
A co do szczepionek - wystarczy poczytać raporty nawet oficjalne tych firm, które to produkują. Tu nie chodzi o czytanie jakiś teorii ludzi z folią na głowie ale oficjalne tych firm oświadczenia. Nie każdy żyje w bańce albo udaję, że nic się nie dzieje.
I rozumiem, że wpadki, które co chwile można wyczytać w zagranicznej prasie (IT), wtopy zabezpieczeń itp a później to ukrywanie pod dywan, to też teorie spiskowe?
Podsumowując. Managery haseł to dobre rozwiązanie. Nie idealne. Bank ma swoje audyty i swoje systemy i najlepiej wie, co dla nich jest odpowiednie. Jeden bank ma takie zabezpieczenia a drugi inne. Narzucenie im czegoś pod względem bezpieczeństwa jest dziecinne. Skoro ING nadal korzysta z maskowanego hasła (nie jest jedynym bankiem w Polsce z tym rozwiązaniem) to najwidoczniej widzi w tym cel.
I jak napisałem, mogliby dać wybór. Chcesz maskowane czy nie chcesz. Ale mogę i nie muszą. I pisanie, że nie równa się w pewnych kwestiach do standardów bezpieczeństwa jest z Twojej strony infantylne. Wygoda to nie zawsze bezpieczeństwo. A po drugie - nikt prawie nie poleca używać haseł z managera do bankowości elektronicznej, ze względu na regulamin - strona trzecia.
"Dr. Lorrie Carnorr professor of computer science and engineering and public policy at Carnegie Mellon University - he answered the question asked
Are password managers safe for accounts that he financial information?
However, it's probably not wise to store your financial account passwords in a password manager"
Manager to sobie można do innych usług używać i głównie do tego celu został stworzony. Używanie managerów haseł do logowania do banku to najczęsciej tylko zalecają twórcy tych rozwiązań.
Ale to Twoje zdanie. Ty piszesz, że brak standardów bezpieczeństwa bo utrudniają przez maskowane hasło używać manegerów haseł. Masz do tego prawo. A ja uważam, że używanie do logowania do banku managera haseł (jak większość) jest nieodpowiedzialne. I wolę mieć to maskowane hasło (gdyby nie było wyboru w przyszłości nadal) niż nie mieć jak w innych bankach. Cieszy przynajmniej (wielki PLUS w ING), że hasło może mieć aż 32 znaki (większość banków się kończy przy około 20 a są takie gdzie koniec to 14 czy 16 znaków).
Jasne. Nie podoba Ci się to, zmieniasz bank. Ty ze wzgledów na niemożliwość używania managera, ktoś inny za brak jakieś funkcji czy słabą obsługę czy też na usługę ogólnie. Mamy wybór bo banków mamy kilkanaście w Polsce.
Dziękuję również za dyskusję i za wymianę poglądów. Pozdrawiam