התייעצות | מנהל סיסמאות מומלץ

nigun

@פלורידה
אם אתה מוותר על הדרישה של ממשק בעברית
אני ממליץ על bitwarden
נוח(תוסף בדפדפן ועוד), וחינמי(למשתמש בודד), ומאובטח (בקוד פתוח ומומלץ ע"י כל מומחי האבטחה)

אינטרקום

@פלורידה

סליחה על הבורות..
אבל מה רע במנהל הסיסמאות של כרום?

אני מתכוין לשאול, כי אם זה כזה גרוע, אז אולי גם אני אחליף..
(למרות שתמוה בעיני שחברה עם מוניטין כגוגל תהיה חלשה באבטחת מידע, או בנוחות הממשק יותר מחברות קוד פתוח לא מוכרות, אבל אני כנראה לא מבין בזה).

yossiz

@אינטרקום אני משתמש במנהל הסיסמאות של כרום, זה מאוד נוח וזה לא נורא

יש שתי בעיות איתו,
א) כל תהליך שרץ תחת המשתמש שלך יכול לגשת לסיסמאות (הם משתמשים ב-DPAPI המובנה בווינדוס), לעומת מנהלי סיסמאות אחרות שמוסיפים עוד שכבת אבטחה על ידי סיסמה ייעודית למאגר הסיסמאות. אם יש לך תוכנה זדונית במחשב יהיה לו קשה יותר להשיג את הסיסמאות כאשר אתה משתמש במנהל סיסמאות.
ב) חוסר גמישות, המנהל סיסמאות מאוד בסיסי, הוא שומר רק שמות משתמשים וסיסמאות (מנהלי סיסמאות אחרים מאפשרים לך לשמור על מיני מטה דאטה וסתם מידע), והוא לא נותן לך הגדרות לשלוט על מחולל הסיסמאות, לפעמים יש צורך לערוך את הסיסמא כדי שיתאים לכללים של האתר.

nigun

הסיסמאות בכרום לכאורה נשמרים כטקסט גלוי בשרתי גוגל (כי הם שולחים התרעה אם הסיסמה נמצאה בשימוש בדליפה כל שהיא).
אמנם האבטחה שלהם נחשבת חזקה אבל אף אחד לא חסין בפני פריצות, אם מחר יש דליפת נתונים ענקית מגוגל, אז למה שבנוסף לכאב ראש של האם יש לי מידע חסוי במייל\דרייב אני אצטרך לרוץ להחליף סיסמאות.

צבי-ש

@nigun כתב בהתייעצות | מנהל סיסמאות מומלץ:

הסיסמאות בכרום לכאורה נשמרים כטקסט גלוי בשרתי גוגל

גם יש אופציה לייצוא הסיסמאות כcsv עם הכל גלוי..

dovid

@nigun כתב בהתייעצות | מנהל סיסמאות מומלץ:

הסיסמאות בכרום לכאורה נשמרים כטקסט גלוי בשרתי גוגל

אתה מתכוון כנראה למנגנון הסנכרון, כי בלעדיו הסיסמאות בכלל לא נשמרות בשום שרת מלבד המחשב.

@nigun כמו תמיד כתבת מידי מהר.
נכנסתי למנהל הסיסמאות וזה מה שקיבלתי:

Google לא יכולה לבדוק אם יש בעיות אבטחה בסיסמאות שלך, כי הגדרת ביטוי סיסמה כדי להצפין את הסיסמאות בחשבון Google שלך. אתה היחיד שיכול לראות את הנתונים הפרטיים שלך. מידע נוסף.

אבל באמת, אם אתה חושש לדליפת מידע בגוגל שיראו סיסמאות של משתמשים, אני מציע גם להכין שימורים במקלט של הבניין.

yossiz

@nigun כתב בהתייעצות | מנהל סיסמאות מומלץ:

הסיסמאות בכרום לכאורה נשמרים כטקסט גלוי בשרתי גוגל

יש שתי סוגיות, א) אם הם מוצפנים ב) אם זה הצפנה מקצה לקצה,
אפשר להניח די בביטחון שהמידע מוצפן בשרתי גוגל. אבל מה שהתכוונת להגיד זה שמפתחות ההצפנה נמצאים אצל גוגל. במקרה של @dovid כנראה יש הצפנה מקצה לקצה

nigun

@yossiz
אם זה לא מוצפן מקצה לקצה זה אומר שמישהו בגוגל יכול לראות את הסיסמאות.
אמנם זה לא מפריע לי באופן אישי כל כך, אבל אם אפשר למזער סיכונים בקלות למה לא.
עכשיו חיפשתי קצת בנושא
כאן גוגל טוענים שהם מוצפנים מקצה לקצה (לא ברור לי איך עובד הסנכרון)
זכור לי ששמעתי בעבר שלא תמיד היה ככה.

צבי-ש

@nigun כתב בהתייעצות | מנהל סיסמאות מומלץ:

@yossiz
אם זה לא מוצפן מקצה לקצה זה אומר שמישהו בגוגל יכול לראות את הסיסמאות.
אמנם זה לא מפריע לי באופן אישי כל כך, אבל אם אפשר למזער סיכונים בקלות למה לא.
עכשיו חיפשתי קצת בנושא
כאן גוגל טוענים שהם מוצפנים מקצה לקצה (לא ברור לי איך עובד הסנכרון)
זכור לי ששמעתי בעבר שלא תמיד היה ככה.

לא יכול להיות שזה מוצפן בצורה שהמפתח הצפנה הוא user:password (למשל) ?
וככה הם שולחים נתונים מוצפנים אליך, והדפדפן יודע להציג אותם לפי ההצפנה,
וכשאתה משנה סיסמה, הם מצפינים מחדש אצלך, ושולחים אליהם את החומר מוצפן עם הצפנה חדשה.

וככה הם לא יכולים לראות מה הקבצים מכילים מבלי לדעת את הסיסה לחשבון גימייל שלך.

nigun

אני רואה שיש אפשרות להוסיף סיסמה נפרדת ולהצפין את הסיסמאות מקצה לקצה
https://support.google.com/accounts/answer/11350823?hl=iw

nigun

הפרשיה האחרונה של LastPass מלמדת שלהיות חשדן וחששן לא מזיק
ואם למומחי אבטחה אין דרך לדעת איך המידע נשמר/מוצפן אז קשה לסמוך על צד שלישי בעיניים עצומות.
ברור שגוגל לא חלמאים כמו LastPass, אבל אם יש לי אפשרות להשתמש במוצר בקוד פתוח בחינם והוא נח, למה לא?

יעקב ישראל

@פלורידה כתב בהתייעצות | מנהל סיסמאות מומלץ:

הדרישות:

1. עברית או לחילופין קל מאוד לשימוש
2. חינמי
3. מאובטח מספיק

אני יודע שיש דברים כמו שאתה מבקש אבל אני לא ממש מבין את זה
מנהל סיסמאות חייב ענן פעיל בשביל הסנכרון ולא משנה מה לי נשמע מוזר שמישהו יתנדב לתת את זה בחינם
הדרך היחידה שנשמעת לי הגיונית זה שזה שירות מוגבל עם אופציה לשדרוג או חברה כמו גוגל מיקרוסופט וכו' שמרוויחים מהשימוש בדפדפן ומנוע החיפוש
בכל מקום אחר די הייתי מפחד לשים את הסיסמאות שלי (פחות מאמין שחשוב לחברות האלו חסד)
ואני מסכים עם @dovid לגמרי שלפחד שגוגל ידליפו סיסמאות זה ברמה של שימורים במקלט (וברור שהכל יכול להתרחש אבל זה לא אומר שנחזור ליונות דואר וזה רמה גבוהה מאוד- החשש הוא מפריצה למחשב ולקיחת הסיסמאות פחות מהדלפה מגוגל)

nigun

@יעקב-ישראל כתב בהתייעצות | מנהל סיסמאות מומלץ:

מנהל סיסמאות חייב ענן פעיל בשביל הסנכרון ולא משנה מה לי נשמע מוזר שמישהו יתנדב לתת את זה בחינם
הדרך היחידה שנשמעת לי הגיונית זה שזה שירות מוגבל עם אופציה לשדרוג או חברה כמו גוגל מיקרוסופט וכו' שמרוויחים מהשימוש בדפדפן ומנוע החיפוש
בכל מקום אחר די הייתי מפחד לשים את הסיסמאות שלי (פחות מאמין שחשוב לחברות האלו חסד)

או חברה שמציעה חשבון פשוט בחינם וחשבון פרימיום בתשלום.

יעקב ישראל

@nigun כתבתי את זה

הדרך היחידה שנשמעת לי הגיונית זה שזה שירות מוגבל עם אופציה לשדרוג או....

dovid

@פלורידה
יש פה רשימה של הטובים לפי המגזין של PCMag
https://www.pcmag.com/picks/the-best-password-managers

הם הסירו מהתחרות את LastPass בגלל סיפור הפריצה שהם חוו. כלומר הוא בעצם גם ברשימה הזו.
תוכל לראות על כל אחד אם יש לו מסלול חינמי ועוד מעלות.
לגבי המאובטח לדעתי כולם בסדר אם תשתמש עם סיסמה ראשית.