Menedzery hasel - co uzywacie
Siedzialem na 1password przez jakies 5 lat, ale mam wrazenie, ze troche ich odcielo od rzeczywistosci. Moge placic za usluge ale nie lubie kombinowania.
Krotko, jakie mozecie polecic, wybieram aktualnie miedzy Bitwarden/ProtonPass/RoboForm ale moze ktos ma jakies lepsze pomysly / doswiadczenia.
Nie musisz wierzyć, mam co prawda też w pewnym miejscu na wszelki wypadek zachowane hasła ale pamięć do takich rzeczy mam bardzo dobrą. Nie dość że pamiętam swoje hasła, to jeszcze firmowe jak i wielu osób z rodziny które bez mojej pomocy nie radzą sobie z wieloma rzeczami. Wbrew pozorom jak często wpisujesz nawet różnorakie hasła to je po prostu zapamiętujesz, to tak jak kiedyś było z numerami telefonów jak trzeba było je wybierać ręcznie.
Sam pamiętam hasła - kilkunastoznakowe - do kilku bankowości i do służbowego laptopa, ale zapamiętanie haseł do wszystkich stron jest niemożliwe ;-) Chyba, że używasz identycznego hasła w kilku miejscach, co nie jest bezpieczne.
Problemem jest wymuszona zmiana hasła, ale to też jakoś ogarniam ;) no i ofc gdzie to potrzebne to 2fa
Nie prowadzajcie ludzi w blad, mozna sobie kombinowac z haslami, zapamietywaniem ale do jakiej ilosci? Menadzer pozwala uzywac jednego hasla, dostepu do samego menadżera, hasła moga byc bardzo długie, generowane losowo.
Zapamietywanie wielu haseł oznacza, ze się powtarzają albo są według podobnego schematu.
Do tego 2fa obowiazkowo, przynajmniej Google wymusza potwierdzenie na innym urzadzeniu nawet jesli nie mamy aplikacji do kodow, powiadomień push w aplikacji.
Długo używałem LastPass, jakiś czas temu przesiadłem się na KeePassXC z bazą trzymaną na google drive (dzięki czemu 1 baza i możliwość korzystania na kompie i telefonie), a od niedawna dodatkowo prawie przesiadłem się / testuję Bitwarden
Utworzyłem se wzór/schemat do haseł. W każdym serwisie mam inne. Nie pamiętam ich. Nie muszę.
Edit. A z tymi programami to jest tak, że hasła owszem są bezpieczne... póki właścicielowi programu nie odwali.
Arxel, aope dzięki za info, o ile nie mam jakiejś dużej bazy haseł mam sporo dokumentów które muszę trzymać "pod kluczem"
Co do reszty, brakowało mi tylko komiksu do staple horse ;)
kilkaset haseł, algorytmy, generalnie jestem wzruszony ale przechodziłem ten etap. Są rzeczy od nas niezależne które bardzo szybko weryfikują te genialne rozwiązania bazujące oczywiście na geniuszu ich promotorów.
Ja tam stwierdziłem już jakiś czas temu, że genialny nie jestem, pamiec płata figle, a jedno losowe zdarzenie może wywrócić wszystko do góry nogami.
btw panowie od głowy i algorytmów, macie może założone rodziny, dzieci, te sprawy?
Tak mam, dlatego bardziej dla żony spisałem wszystkie istotne hasła w keepasie. Też trzymam plik kdbx w chmurze. Osobiście z niego rzadko korzystam, ale liczę się z tym że z wiekiem coś mogę zapomnieć.
A algorytm to żaden geniusz, zrobiłem je z 15 lat temu, w oparciu o istotne dla mnie rzeczy (nie mój, ale np. nazwy zwierząt, istotne daty + coś z nazwy serwisu itd)
Z dziećmi jest problem taki że podglądają i kojarzą kolejne hasła, więc system będzie trzeba stuningować.
no widzisz więc keepass, ja nie pytam o to jak sobie te hasła wymyślasz (stąd nawiązanie do staple horse) bo generalnie takie rzeczy robi każdy.
mi.chodzi o przechowywanie haseł a w przypadku 1passa którego używałem o wygodę i bezpieczeństwo, nie przechowuje ważnych haseł w przeglądarkach z racji słabych zabezpieczeń.
dodatkowo jak już wspomniałem mam trochę dokumentów, losowe tokeny do weryfikacji w urzędach, klucze itp
Luzik. Jak masz paranoje jak niektórzy to serwer Bitwarden możesz sobie też postawić nawet sam, jest OpenSource. Spoko to się sprawdza w środowisku korporacyjnym. Jako ciekawostka - przetestowałem wiele managerów haseł i jedynie 1password i właśnie Bitwarden zapewniają totalnie bezproblemową integrację na iOS. Jeśli używasz. Wszystkie pozostałe z jakimi miałem kontakt zawsze miały jakieś problemy.
Keepass etc też fajna sprawa jak jesteś guru od security i DOKŁADNIE wiesz co robisz. W każdym innym przypadku rozwiązania typu 1password (bardzo sobie cenię, używałem w czasach iPhone 6) czy Bitwarden będą zawsze lepszym wyborem.
Typ od algorytmu w głowie - nawet śmieszne. Aktualnie mam prawie 500 haseł, każde między 12 a 20 znaków (w tym zawsze kilka specjalnych), każde inne + w wielu przypadkach tokeny (tutaj BW też się super integruje btw maja też swój standalone tokeniarz o nazwie Authenticator, bardzo dobry) i o ile mam bardzo dobrą pamięć to puknij się typie w głowę. Byle mocno. A jeśli używasz jakiegoś swojego „algorytmu” to jeszcze większe gratulacje xD
placilem za 1passworda przez 5 lat, ale wkurzyli mnie troche uzasadnieniem nowej podwyzki, stad stwierdzilem, ze pora na zmiany. a przy okazjki wyczyszcze troche smieci.
Paranoi nie mam ale rzecz w tym ze jak juz sie zacznie uzywac managera to ciezko sie odzwyczaic. No i to nie tylko hasla. O protonie tez myslalem, bo teoretycznie ma niezla reputacje. Ostatnio troche poczytalem o vpn'ach, strukturach wlascicielskich itp, i tak naprawde to trzeba chyba byc niepoprawnym optymista zeby wierzyc w jakiekolwiek bezpieczenstwo.
Generalnie wygoda i poczucie, ze w razie czego, ktos bliski bedzie mogl ogarnac.
Podobnie jak WolfDale, używam głowy. Jedynie w przypadku dwóch serwisów do których loguję się raz na kilka miesięcy, mam w telefonie notatkę z podpowiedziami, na podstawie których w sekundę jestem w stanie sobie takie hasło przypomnieć.
PC: KeePass
Telefon: KeePass2Android
Bazę danych na PC traktuję jako główną i synchronizuję ją sobie z telefonem Syncthingiem.
Via Tenor
ProtonPass
I to stosunkowo od niedawna. Jako menedżera haseł używałem Google Chrome, dopiero kolega mi wyjasnil jakim jestem debilem i ze Chrome te hasla praktycznie trzyma w passwords.txt na dysku.
Muszą to lepiej zweryfikować, ale IMHO https://passwords.google.com/ przechowuje hasła w chmurze google.
Ja oczywiście lekko hiperbolizowałem, ale jednak jest przepaść, jeśli chodzi o cyberbezpieczeństwo. AI, bo ja sie nie czuje na silach, tlumaczy to tak:
Hasła z Chrome są synchronizowane z chmurą Google (passwords.google.com), więc to nie jest tylko kwestia lokalnego pliku na dysku.
Ale to w sumie tworzy dwa wektory ataku zamiast jednego:
Lokalnie — tak jak mówiłem, baza SQLite z hasłami jest stosunkowo łatwa do wyciągnięcia przez malware działający na Twoim koncie systemowym. To jest ten główny problem, o który chodziło Twojemu koledze.
W chmurze — hasła są chronione tylko Twoim kontem Google. Czyli jeśli ktoś przejmie Twoje konto Google (phishing, wyciek, słabe hasło, brak 2FA), dostaje od razu dostęp do wszystkich zapisanych haseł przez passwords.google.com.
Kluczowa różnica z ProtonPass czy innymi dedykowanymi menedżerami: tam masz osobne hasło master, które szyfruje sejf po stronie klienta, zanim cokolwiek trafi na serwer. Google tego nie robi — owszem, możesz włączyć "on-device encryption" w ustawieniach Chrome, ale domyślnie to jest wyłączone i mało kto o tym wie.
Więc kolega miał rację co do meritum — Chrome jako menedżer haseł to wygoda kosztem bezpieczeństwa, nawet jeśli porównanie do passwords.txt było lekką przesadą :)
Dla Windowsa KeePass Password Safe a dla Mac OS mam wbudowaną aplikację hasła
Akurat w temacie: https://eprint.iacr.org/2026/058
"We present 12 distinct attacks against Bitwarden, 7 against LastPass and 6 against Dashlane."
Analiza podatności w chmurowych menedżerach haseł Bitwarden, Dashlane, LestPass i 1Password
Ja używam NordPass z powodzeniem już od kilku lat. Płatny ale biorę zawsze na black firday, bo mają powalone zniżki do 80%. Działa na stacjonarce i na telefonie. Z tego co wiem żadnych włamów do ich systemów na razie nie odnotowano i uznawany jest za bezpieczny.
Baza danych Keepass na OneDrive.
Na PC używam do niej KeepassXC, a na telefonie Keepassium. Jeszcze tylko muszę ją yubikeyem zabezpieczyć, ale czekałem na jakieś promki Keepassium, bo tylko w płatnej wersji obsługuje.
Czyli każda sroczka swój ogonek chwali, konkretnych argumentów za albo przeciw w zwykłym użytkowaniu brak? Wszystkie tak samo pewne, bezpieczne, niezawodne?... Z tego powodu jak do tej pory żadnego managera nie zainstalowałem.
" konkretnych argumentów za albo przeciw w zwykłym użytkowaniu brak? " - Herr Pietrus
"Notes A7 z Flying Tiger. :) " - też Herr Pietrus
Jak się domagasz od innych, to sam daj przykład odpowiedzi z konkretnymi argumentami.
Nikomu się nie chce pisać epistoł, których i tak nikt potem nie przeczyta, bo nikomu się nie chce. Ale jak tak bardzo ci na tym zależy, to proszę bardzo:
Setup:
PC: KeePass
Telefon: KeePass2Android
Bazę danych na PC traktuję jako główną i synchronizuję ją sobie z telefonem Syncthingiem.
Moje założenia i model bezpieczeństwa:
- nie potrzebuję możliwości użytkowania tej samej bazy haseł z wielu urządzeń na raz
- nie chcę rozwiązania chmurowego, bo chmura dzisiaj jest, jutro nie ma, w dodatku chmurowe menedżery haseł mają długą tradycję wycieków i wpadek, patrz choćby mój link do świeżej analizy podatności, wrzucony kilka postów wyżej
- chcę rozwiązanie bezpłatne albo za rozsądną, jednorazową opłatę, żadnych subskrypcji/abonamentów
- nie chcę, żeby baza haseł poniewierała się po jakichkolwiek serwerach, umożliwiając złośliwemu serwerowi albo hakerowi, który ją wykradnie, nieograniczoną swobodę w próbach jej łamania offline albo działanie w myśl zasady "przechwyć teraz, łam później (gdy postępy w kryptoanalizie albo mocy obliczeniowej pozwolą na łamanie aktualnie niełamalnych zabezpieczeń)"
- zależy mi na oprogramowaniu otwartoźródłowym, najlepiej takim, które przeszło zewnętrzne audyty bezpieczeństwa jakiejś w miarę wiarygodnej firmy zajmującej się cyberbezpieczeństwem lub jest na tyle znane, żeby ludziom z rzeczywistą wiedzą i umiejętnościami chciało się choć rzucić na nie okiem
- opcja generowania mocnych haseł wg. zadanych kryteriów
- pozwala łatwo wpisywać loginy/hasła.
KeePass spełnia założone cele, bo:
- jest otwartoźródłowy i wiem o co najmniej jednym oficjalnym, zewnętrznym audycie
- działa na lokalnej bazie danych
- obsługuje wtyczki, choć tu trzeba również pamiętać, że wtyczki nie muszą być równie zaufane, co podstawowy program
- pozwala na generowanie mocnych haseł
- jest darmowy
- ma swój własny autotype i całkiem dobrze działa z wtyczką Kee.
KeePass2Android spełnia założone cele, bo:
- jest otwartoźródłowy
- bez problemów odczytuje bazę danych KeePassa
- działa na lokalnej bazie danych
- pozwala na generowanie mocnych haseł
- jest darmowy
- ma całkiem dobry autotype.
Wady takiego rozwiązania:
- KeePass nie jest najestetyczniejszym programem, ma raczej estetykę rodem z czasów Windowsa 98
- nie wiem o żadnym oficjalnym audycie KeePass2Android
- brak wygodnej synchronizacji bazy danych pomiędzy urządzeniami, a konfiguracja Synscthing wymaga więcej zachodu niż "kliknij przycisk i gotowe".
Dzięki za polecajkę. Kiedyś nawet zastanawiałem się nad przejściem na KeePassXC, ale nie zrobiłem tego z kilku powodów: przyzwyczaiłem się do zwykłego KP, jak coś nie jest zepsute, to nie widzę wielkiego sensu zmieniać, a kwestia estetyki ma dla mnie tutaj marginalne znaczenie, bo w końcu nie siedzę, wgapiając się w ten program godzinami. Wymieniłem wygląd jako wadę, bo ktoś inny może być w tej kwestii bardziej wybredny ode mnie.
To rozwinę :)
Ja używam Keepassa od lat, wybrałem go z kilku powodów:
- nie chciałem, żeby hasła trzymał jakiś serwis, już pomijając bezpieczeństwo, nie wiadomo kiedy padnie etc.
- musi działać również offline
- łatwa synchronizacja pomiędzy urządzeniami
Pod względem bezpieczeństwa, taka baza przy odpowiednich jej parametrach i silnym haśle głównym, jest praktycznie nie do złamania w aktualnych warunkach, nawet przed dodaniem klucza sprzętowego.
Z reszty plusów dla mnie:
+ KeepassXC bardzo dobrze działa na Windows bez instalacji dodatkowych wtyczek w przeglądarkach etc.
+ Łatwe kopie zapasowe
+ Konfigurowalność
+ Brak kosztów (poza ewentualnym Keepassium, ale bez problemu można korzystać z wersji darmowej)
Minusy:
- Keepassium na iOS potrzebuje wersji płatnej aby obsłużyć klucz sprzętowy
- Dla niektórych serwisów trzeba zmodyfikować auto-type
No, i to już coś :)
Ale z tego co rozumiem taki Bitawrden też działa offline na kopi bazy.
Czyli to raczej kwestia tego, że nie potrzebujesz auto - synca między urządzeniami albo po prostu nie chcesz dzielić się z żadnymi serwisami w chmurze bazą?
Nie do końca, z tego co pamiętam, do bitwarden offline działa tylko read-only. Ja mogę zrobić wszystko, a po przywróceniu połączenia baza się zsynchronizuje z OneDrive. Może teraz jest inaczej, bo ja wybierałem ponad 5 lat temu (a może z 10 :P).
Któryś z tych managerów można było też postawić na swoim serwerze, ale to też dodatkowa komplikacja.
U mnie baza się synchronizuje od razu po zapisaniu, więc auto-sync de facto jest. Gorzej byłoby, gdybym potrzebował jej w postaci współdzielonej - są na to jakieś metody, ale więcej zachodu.
Ale ogólnie to tak, nie chcę się dzielić z chmurowymi rozwiązaniami przez ich appki etc. Plik w chmurze, który jest bezpieczny, i mam nad nim władzę, jest dla mnie lepszym podejściem, ale to nie jest też tak, że neguję inne rozwiązania, akurat to mi pasuje najbardziej. Żonie na razie poleciłem ProtonPassa, żeby w ogóle zaczęła czegoś używać w tej dziedzinie. :D
"Żonie na razie poleciłem ProtonPassa, żeby w ogóle zaczęła czegoś używać w tej dziedzinie. :D"
W sumie, gdybym miał wybierać coś chmurowego, to też najpierw pomyślałbym o Protonie.
Za:
- w miarę solidna reputacja
- brak znaczących wpadek w przeszłości
- zalety rozwiązań chmurowych.
Przeciw:
- rozwiązanie dość młode w porównaniu z konkurencją, więc nie wiadomo, jakie tam kwiatki wyjdą, chociaż, jak wspomniałem, dotąd wpadek nie mieli
- Proton to trochę wkładanie wszystkich jajek do jednego kosza: szyfrowany e-mail, dysk, "office", kalendarz, VPN... Widzę tu potencjalny single point of failure; jak już jakimś cudem ktoś się dobierze do konta, to do wszystkiego.
Via Tenor
Analogowe.
GRYOnline.pl:
tvgry.pl:
