Bezpieczne hasła/klucze do portfeli/giełd

[BitcoinOnFire]

Cześć, chciałbym się podzielić apką, którą napisałem ponad rok temu, a ostatnio zoptymaliwoałem pod kątem user experience.

Przyda się każdemu kto na poważnie traktuje bezpieczeństwo w sieci, tym bardziej ludziom, którzy przechowują kryptowaluty w portfelach z hasłem, albo potrzebują bezpieczne hasło do giełdy.

Cel apki (dla mnie) - 1. ułatwienie sobie życia z hasłami + 2. maksymalne bezpieczeństwo (niezależność od tzw stron trzecich).

1. Ułatwienie sobie życia = nie muszę pamiętać haseł + łatwo je zmienić (to założenie spełnia każdy menedżer haseł)
2. Maksymalne bezpieczeństwo (dla mnie) to kiedy hasła nie są przechowywane, trwale gdzieś zapisane, a tym bardziej wysyłane (synchronizacja) gdzieś przez internet (choćby w postaci zaszyfrowanej). Powód chyba jasny. Jak deweloper aplikacji się pomyli przy aktualizacji aplikacji, hasła "gdzieś wysyłane" mogą wyciec. Efekt tego założenia - standardowy menedżer haseł odpada.

Rezultat przemyśleń jest taki, żeby zrobić aplikację typu master password -> https://en.wikipedia.org/wiki/Master_Password

Moja osobista implementacja (używana od roku) -> https://haslowygaslo.pl/

Są też inne np. lesspass -> https://lesspass.com/

Zalety:
1. brak przechowywania haseł!!!
2. wszystkie obliczenia (poszczególne hasła są za każdym razem obliczane) wykonywane lokalnie w przegladarce (żadne dane nie są wysyłane nigdzie przez internet)
3. łatwo pozyskać nowe hasło
4. stosunkowo łatwe użytkowanie (o to starałem się w implementacji)
5. poręczne 3 typy haseł dla szybszego efektu
6. 100% odpowiedzialności za hasła po stronie użytkownika (hasła mogąwyciec tylko z winy użytkownika - jeśli złapie wirusa albo opublikuje je sam w necie)
7. Muszę pamiętać tylko 1 hasło nazwane w aplikacji SuperPIN'em

Wady:
1. 100% odpowiedzialności za hasła po stronie użytkownika (wymagana świadomość tego co się robi i jak działa aplikacja)
2. trzeba trochę dbać o metadane - są one bardzo istotne (samemu synchronizować je pomiędzy aplikacjami na różnych urządzeniach/przeglądarkach)
3. zasadę działania aplikacji i to dlaczego jest bezpieczniejsza od menedżera haseł mogą zrozumieć tylko nieliczni :/

W praktyce jak zmieniłem swoje 30 haseł na serio mam łatwiejsze życie z hasłami. Muszę pamiętać tylko 1 hasło, które jest kluczem do generowania całej reszty.
Nie muszę się np. martwić jak w sytuacji gdy miałem hasła w pliku - jeśli komputer się spali - tracę dostęp, lub jeśli się uszkodzi i dam do naprawy, że w naprawie ktoś mi przeskanuje dysk i zyska dostęp do haseł, albo w przypadku używania menedżera haseł, że programista się pomyli i hasła wyciekną / co się zdarzyło jak gdzieś czytałem.
Jedyne o co muszę odrobinę dbać to archiwizacja i synchronizacja metadanych, któe same w sobie nawet gdyby wyciekły nie dają dostępu do haseł, bo klucz główny/SuperPIN mam w głowie

Polecam używać wtyczki Chrome, a gdy to nie możliwe - wersji lokalnej pobieranej jako plik zip (na fanpage'u jest link do skanu oraz hasze md5 i sha256, żeby rozpoznać zgodność). Wersji "online" tylko w ostateczności po upewnieniu sięże mamy https, ale wiadomo do wersji online lepiej mieć ograniczone zaufanie, dlatego lepiej wtyczka Chrome albo zestaw zip.

Wtyczka Chrome jest na razie za free w Chrome Web Store.

Może komuś się przyda, pozdro

[1714023532]

1714023532

[1714023532]

1714023532

[1714023532]

1714023532

[1714023532]

1714023532

[wgd]

Jaka jest gwarancja ze srodki z portfeli nagle nie znikna? Wszystkie tego typu aplikacje wiaza sie z porownywalnym ryzykiem jak trzymanie walletow na komp ;] // moje osobisite zdanie

[BitcoinOnFire]

Jaka jest gwarancja ze srodki z portfeli nagle nie znikna? Wszystkie tego typu aplikacje wiaza sie z porownywalnym ryzykiem jak trzymanie walletow na komp ;] // moje osobisite zdanie

Jeśli pytasz o samą aplikację Hasło Wygasło - to jest w zasadzie "kalkulator haseł" który działa lokalnie w twojej przeglądarce. Jeśli odróżniasz przeglądarkę od internetu to już masz odpowiedź.

Jeśli chodzi o generowane w niej hasła -> są na tyle bezpieczne na ile jest bezpieczne twoje hasło główne (SuperPIN) + jeśli nie masz wirusów/trojanów na kompie + nie używasz hasła głównego nigdzie indziej (np login do facebooka:) + nikt nie shakuje twojego hasłą jakoś inaczej (korzystasz z kafejek internetowych? korzystasz z różnych urządzeń których nie kontrolujesz - laptop w pracy? korzystasz z internetu w miejscu gdzie są kamery i ktoś widzi co piszesz na klawiaturze? albo nie wyłączyłeś w windows keylogera

W HasłoWygasło żadne info nie są wysyłane przez internet. No ale czemu masz w to wierzyć?
-> kod jest otwarty, jeśli masz znajomego programistę html/js moze on zerknąć w kod i sprawdzić że to co piszę to prawda - nie ma nigdzie wysyłania informacji - wszystko dzieje się lokalnie w przeglądarce
-> sam używam tej aplikacji i nie chciałbym żeby moje dane wysyłało, bo napisałem ją też z myślą o sobie a samo wysyłanie (nawet w bezpieczną lokację) wiąrze sięz ryzykiem
-> to samo pytanie "czemu mam ufać" możesz zadać do każdej aplikacji którą masz na kompie; każda aplikacja może czytać twoją klawiaturę i wysyłać dane przez internet, nawet jak masz steam do grania, to duża apka, skąd wiesz co programiści tam zrobili? Ok może to nie do końca to samo i aplikacji do haseł trzeba ufać bardziej (dlatego kod Hasło Wygasło jest otwarty), ale niemniej jeśli masz crypto na kompie to musisz być wyczulony na każdą nawet oficjalnie znaną aplikację, bo jeśli programista sam złapał wirusa, może i jego aplikacja być niebezpieczna (niedawno czytałem jak wykryto wirusy u programistów core linuxa!).

Natomaist jeśli pytasz o bezpieczeństwo portfeli -> to nawet jak masz bezpieczne hasło nie ma żadnej gwarancji. Prawdopodobieństwo że ktoś przypadkiem wylosuje taki klucz jak twój jest znikome, ale zawsze większe od zera

Więc jeśli chcesz czuć się bezpieczny polecam mieć np 2 portfele na 2 różnych systemach operacyjnych (linux + windows) , uruchamiać je oddzielne z hasłami z oddzielnych aplikacji. System dla paranoika, ale masz poczucie bezpieczeństwa

Można też rozproszyć swoje zasoby w portfelach na wielu różnych kantorach walut, ale to pod warunkiem, że do każdego masz inne hasło; to i tak nie będzie bardziej bezpieczne niż własny komp, ale przy spełnieniu odpowiednich warunków może być dostatecznie dobre - upadek lub hak na jednej giełdzie nie spowoduje utraty całych środków, tylko części.

[tumis]

Jakoś tak trudno zaufać programiście. Jaką mam mieć niby pewność że nie mam w kodzie jakiegoś syfu? Nie wiem , może się mylę ale z jakiegoś powodu te programy powstają a nie wszyscy mają dobre intencje.

Wytłumacz mi to dlaczego miałbym to pobrać  ?

[BitcoinOnFire]

Jakoś tak trudno zaufać programiście. Jaką mam mieć niby pewność że nie mam w kodzie jakiegoś syfu? Nie wiem , może się mylę ale z jakiegoś powodu te programy powstają a nie wszyscy mają dobre intencje.

Wytłumacz mi to dlaczego miałbym to pobrać  ?

I słusznie - nie ufaj - jeśli masz znajomego programistę poproś aby sprawdził kod pakietu zip -> https://haslowygaslo.pl/HasloWygaslo20180309.zip?103

W przeciwnym razie lepiej używaj zwykłego managera haseł (o ile jemu ufasz). Lub napisz własną aplikację do haseł, lub znajdź lepszy sposób.

W HasłoWygasło polecam pakiet zip, jak wrzucam aktualizację pojawia się też na fanpagu Facebook wraz z linkiem do skanu virustotal -> https://www.virustotal.com/pl/file/16a64e366810787dc9cc233ffaec0cd49a24fb32e5d58bfc10f1566f7990fce0/analysis/

Osobiście zachęcam do używania rozszerzenia Chrome oraz pakietu zip lokalnie (do tego nie jest potrzebny internet). Używanie wersji online wymaga dodatkowo zaufania do hostingu oraz sprawdzania, czy mamy połączenie https.

Wersję online proszę uznać jako testową (może jestem paranoikiem ale mam ograniczone zaufanie do hostingu), a radzę używać odpowiedniego pakietu z pliku zip oraz rozszerzenia Chrome.

Apka jest przeznaczona wyłącznie dla osób które:
1. po pierwsze DOBRZE rozumieją na czym polega jej działanie
2. potrafią odpowiedzialnie i odpowiednio jej używać
3. nie chcą przechowywać zapisanych haseł nigdzie
4. potrafią świetnie sobie radzić w obsłudze aplikacji/komputera, a najlepiej IQ 110+ reszta i tak nie zczai o co chodzi

Jeśli przechowywanie zapisanych haseł lokalnie na kompie lub w chmurze jest dla ciebie ok -> w takim przypadku możesz śmiało używać dowolnego managera haseł.


PS
Jeśli jest tu jakiś dobry programista js/html, który prowadzi swój blog i byłby gotów zrobić peer review oraz opublikować na swoim blogu raport to poproszę PM.

PS 2
Rozszerzenie Chrome na razie jest za free.

[BitcoinOnFire]

Tutaj ktoś dał ciekawy komentarz:

https://www.reddit.com/r/Polska/comments/85ahfo/bezpieczne_has%C5%82a_alternatywa_dla_mened%C5%BCer%C3%B3w_hase%C5%82/

mianowicie, że wystarczy używać managera haseł offline -> wtedy hasła też są bezpieczne, bo nie są nigdzie wysłane i synchronizowane.

To prawda, ale manager haseł offline - jeśli spalisz komputer - tracisz hasła.

Więc to bezpieczeństwo ma przynajmniej 4 niezależne konteksty:
1. odporność na wyciek haseł
2. odporność na włamy i hakowanie np bruteforce
3. odporność na błędy użytkownika
4. odporność na uszkodzenie urządzenia

W przypadku apki haslowygaslo utrata komputera nie oznacza utraty haseł, pomimo, że hasłą też nie są synchronizowane i wysyłane online. Żadne inne rozwiązanie niż master password nie ma takiej możliwości.

Można więc dodać kolejny punkt do zalet generatora haseł typu master password.

[DivecoLogistics]

To prawda, ale manager haseł offline - jeśli spalisz komputer - tracisz hasła.

Hasła można przecież umieścić na nośniku zewnętrznym (najlepiej kilku), wtedy żadna awaria sprzętu Ci nie straszna

[BitcoinOnFire]

To prawda, ale manager haseł offline - jeśli spalisz komputer - tracisz hasła.

Hasła można przecież umieścić na nośniku zewnętrznym (najlepiej kilku), wtedy żadna awaria sprzętu Ci nie straszna

Prawda, tylko jak zgubisz gdzieś taki nośnik... Szczególnie jak masz ich kilka i będziesz używał jak zwykłego pendrive'a?
Zgodzę się, że tak się da, jest to jakaś opcja, ale więcej zabawy jak dla mnie. I skoro nie trzeba pamiętać ani zapisywać haseł to wydaje mi się najoptymalniejszym rozwiązaniem.

[caex]

To prawda, ale manager haseł offline - jeśli spalisz komputer - tracisz hasła.

Hasła można przecież umieścić na nośniku zewnętrznym (najlepiej kilku), wtedy żadna awaria sprzętu Ci nie straszna

Prawda, tylko jak zgubisz gdzieś taki nośnik... Szczególnie jak masz ich kilka i będziesz używał jak zwykłego pendrive'a?
Zgodzę się, że tak się da, jest to jakaś opcja, ale więcej zabawy jak dla mnie. I skoro nie trzeba pamiętać ani zapisywać haseł to wydaje mi się najoptymalniejszym rozwiązaniem.

Przezorni którzy maja duże ilości BTC czy też innych krypto i obawiają się o utratę danych trzymają kopie haseł na CD,pendrive,dyski SSD i wszystko w kilku depozytowych skrytkach bankowych.

[Game.Revenue]

ja uzywam lastpassa do przechowywania hasel i nie boje sie ze cos sie stanie. najwazzniejsze zeby miec mocne haslo. Watpie ze ktos zlamie 20 znakowe haslo. i wiadomo ze jezeli sklada sie z przypadkowych znakow to tymbardziej trudniej je zlamac. gdzie mozna twoja apke sciagnac, z checia zobacze jak dziala

[BitcoinOnFire]

ja uzywam lastpassa do przechowywania hasel i nie boje sie ze cos sie stanie. najwazzniejsze zeby miec mocne haslo. Watpie ze ktos zlamie 20 znakowe haslo. i wiadomo ze jezeli sklada sie z przypadkowych znakow to tymbardziej trudniej je zlamac. gdzie mozna twoja apke sciagnac, z checia zobacze jak dziala

W temacie laspass i bezpieczeństwa managerów haseł: https://www.pcworld.com/article/3184153/security/lastpass-fixes-serious-password-leak-vulnerabilities.html

Czyli tak jak napisane wyżej - jeśli coś przechowuje hasła - mogą one wyciec na skutek zmiany przez programistę.

Jeśli hasła nie są przechowywane nie mogą wyciec nawet na skutek zmiany, bo nie są przechowywane, ...chyba że ktoś/hacker podmieni cały kod apki, ale takie coś może się zdarzyć w dowolnej aplikacji, ale to inny temat rzeka...

Zachęcam do świadomego wypróbowania generatora https://haslowygaslo.pl

Najlepiej pakiet zip (oraz sprawdzić zgodność haszy z virus total na fanpage'u) lub pakiet Chrome / rozszerzenie przegladarki w chrome web store.

Pakiet zip działa mi również na komóce, ale tu trzeba byćzaawansowanym userem, bo Chrome na androidzie nie zawsze dobrze uruchamia aplikacje w przegladarce, więc najlepiej używać lokalnie Firefox. Tylko trzeba umieć wpisać lokalną ścieżkę aplikacji.

Osobiście przerzuciłem ponad 30 (wszystkie) haseł/kont i używam ponad 1.5 roku. Po roku dorzuciłem kilka przydatnych opcji. Zmiana wszystkich haseł wymaga ok 30-60 minut, potem jest całkiem ok

Jedną z zalet jest fakt, że jak potrzebuję nowe hasło do nowego konta - mam od ręki, więc jak muszę się gdzieś rejestrować - to mniejszy ból z wymyślaniem i zapamiętywaniem nowego.

[Game.Revenue]

wiadomo ze jak dobry haker to Ci wykradnie wszystko. A co to malo razy bylo slychac ze okradli kogos jakas firme , a ile bylo przypadkow ze nie mowili wogole. no ale z czegos trzeba korzystac. A skad mam wiedziec czy Twoja aplikacja jest w 100% bezpieczna i nie zostana mi ukradzione hasla ?

[BitcoinOnFire]

wiadomo ze jak dobry haker to Ci wykradnie wszystko. A co to malo razy bylo slychac ze okradli kogos jakas firme , a ile bylo przypadkow ze nie mowili wogole. no ale z czegos trzeba korzystac. A skad mam wiedziec czy Twoja aplikacja jest w 100% bezpieczna i nie zostana mi ukradzione hasla ?

kod jest otwarty - w przeciwieństwie do wielu innych aplikacji każdy może wytknąć podejrzane rzeczy
oczywiście w praktyce trzeba być programistą żeby ocenić kod

w pierwszym wpisie wkleiłem też link do konkurencyjnej aplikacji - lesspass - można wypróbować tą jeśli ktoś woli
poza tym jak wpiszesz w google "master password" to wyskoczy pierwsza aplikacja tego typu nazwana właśnie master password

niemniej sądzę że haslowygaslo jest prawdopodobnie najlepsza pod względem użytkowym z tych trzech które znam
bo narzędzie typu "master password" to nie jest typowy menedżer haseł i żeby sprawnie tego używać trzeba dodać trochę opcji ułatwiających używanie (np przechowywanie metadanych)

[Game.Revenue]

Z checia zobacze jak dziala, programista nie jestem, potrafie tylko pisac w php i podstawy c++ ale zapytam znajomego niech rzuci okiem jezeli nie masz nic przeciwko.

[BitcoinOnFire]

Z checia zobacze jak dziala, programista nie jestem, potrafie tylko pisac w php i podstawy c++ ale zapytam znajomego niech rzuci okiem jezeli nie masz nic przeciwko.

Pewnie, jeśli znajomy ma dodatkowo bloga i mógłby napisać krótki raport z review to mogłbym mu rzucić jakiś napiwek

[Game.Revenue]

Wiesz co zapytam nie wiem co tam ten moj kolega robi czy zajmuje sie blogami ale mysle ze jezeli tak to moge zapytac. Ja zajmuje sie stronami i niedlugo bede puszczal niewielka strone z z ogloszeniami, dodawanie usuwanie , reklamowanie firm itp bez rejestracji wiec jezeli bede mial jakakolwiek ogladalnosc to moge wrzucic jakiegos banera w zamian za linka czy cos takiego.Pieniedzy nie chce :-)