Salasanamangeri usealle plattikselle?

[Samu Wikstedt]

Tuli otettua käyttöön F-securen Keys salasana manageri aikanaan. Siinä viehätti melkoisen suuri turvataso. Nykyään on pakko todeta, että se on omaan käyttöön hiukan vajavainen koska käytössä on melkoinen plattojen sekamelska:
Linux (useassa koneessa), Android-tabletti, Win7-työkone, WinPhone, Ipad. Näistä keys ei tue linuxia ja WinPhonea.
Varsinkin linux-tuen puute rassaa, pitäisi siirtyä toiseen, mieluummin open-sourceen. Ja myös tuossa win-koneessa keys pätkii chromen kanssa auto-type, sensijan linuxin puoellla ainakin yhdistelmä chromium ja keepassX autotypettää varsin luotettavasti.

Haarukoinnissa nousi pari hyvää kandidaattia: keepass ja keepassX, joista jälkimmäinen on portattu nähtävästi kaikille kuviteltavissa oleville alustoille, lisäcrediittinä se on vakiona TAILS issa, joka kertonee jotain sen tietoturvan tasosta. Sitä voisi hyvinkin harkita.

Nyt sitten ongelmaksi jää, miten synkata helposti database laitteiden välillä. Yksi tapa olisi  käyttää dropboxia, joka on myös hyvin tuettu eri alustoilla, mutta hiukan vie ideaa turvallisuudesta pitää näin kriittistä dataa pilvipalvelussa, vaikakkin keepassx :n database on cryptattu.
Onko muita ideoita manageriksi tai sitten ehdotuksia tuohon tiedonsiirtoon. Itsellä on kevyttä osaamista scriptailuun, pythoniin ja oman serverin ylläpitoon.

Laitoin tälle alueelle vaikka kyseessä ei (välttämättä) ole ohjelmointi. Täällä kuitenkni löytynee ihmisiä jotka tedennäköäisesti miettivät myös tämänkaltaisia tietoturvaratkaisuja. Mutta siirtäkää vapaasti toiselle alueelle jos sopii premmin.

-Samu 

[spark]

Ilmainen Lastpass on varmaan 5v ollut käytössä ja toimii mainiosti. Android versio taisi hitusen maksaa, mutta muuten ilmainen ja toimii yleisimmissä selaimissa.

https://lastpass.com/fi/

[AimoE]

Viimeksi kun pohdin samaa, päädyin pysymään KeePass2:n käyttäjänä, koska ainoassa puhelimessani on S60, joka ei ole tuettu enää missään. Mutta nyt kun asia tuli esiin, päätin taas tehdä kierroksen netissä.

Ensinnäkin, yleishuomio on että synkkaus puhelimien ja tietokoneiden välillä vaatii joka tapauksessa jonkun pilvipalvelun, joko salasanamanagerin osana, kuten LastPassin tapauksessa, tai sitten omana karvalakkitoteutuksena, kuten Samu aikoo tehdä. Kumpi näistä on turvallisempi on ihan spekulaatiota. Esimerkiksi LastPassin lähdekoodi on täysin suljettu, eikä asiakkaalla ole mitään keinoa tietää onko NSA pakottanut firman johonkin sopimukseen vai ei. Spekulaatioita näyttää syntyneen myöskin siitä että LogMeIn osti LastPassin viime lokakuussa.

Kun spekulaatiot jätetään sikseen, KeePass-perheen lisäksi LastPass näyttää edelleen olevan ainoa jossa on mukana myös Linux-tuki. Nyt on sentään markkinoille tullut F-Secure Keynn rinnalle muitakin, esimerkiksi Kaspersky Password Manager ja Norton Identity Safe. Mutta mikään niistä ei lupaa Linux-tukea ainakaan pian.

Mekein kaikissa tarjolla olevissa tuotteissa ohjelma on ilmainen niin kauan kun sitä käyttää paikallisesti yhdellä koneella, ja maksullinen kun synkataan pilven kautta useita laitteita. Ikävämpi hinnoittelu on tuotteissa joita ei voi ollenkaan käyttää paikallisesti.

LastPassin suuri suosio takaa sen että sen turvallisuus on jatkuvasti kyttäyksen alla. Wikipedia kertoo siitä vain viime kesään asti. Lokakuun LogMeIn-kaupan jälkeen on tullut esiin muita turva-aukkoja, kuten Even the LastPass Will be Stolen, Deal with It! ja sean cassidy : LostPass. Ensimmäisen raportoija on sama kuin kesäkuisen ongelman, ja hän vakuuttaa että LastPass on reagoinut ongelmaraportteihin juuri niin kuin pitääkin, nopeasti ja vakavissaan. Jälkimmäisen raportoija ei ole ihan yhtä tyytyväinen vastauksiin, ja joutui julkistamaan tietonsa ennen kuin LastPass reagoi korjauksilla.

Mikään ongelmaraportti ei ole paljastanut perustavanlaatuisia vikoja, jotka olisivat asettaneet kaikki asiakkaat ehdottomasti vaaraan. Mutta kannattaa kuitenkin seurailla tilannetta koko ajan eikä tuudittautua siihen että viiden vuoden käyttöhistoria takaa onnellisen tulevaisuuden. Ja kuten Cassidy huomauttaa, ei kannata luottaa selaimen lisäosiin, vaan käyttää salasanamanageria sen omalla käyttöliittymällä suoraan; varsinkin Google Chrome tekee phishing-yritykset ihan liian helpoiksi.

[Samu Wikstedt]

Ensinnäkin, yleishuomio on että synkkaus puhelimien ja tietokoneiden välillä vaatii joka tapauksessa jonkun pilvipalvelun, joko salasanamanagerin osana, kuten LastPassin tapauksessa, tai sitten omana karvalakkitoteutuksena, kuten Samu aikoo tehdä. Kumpi näistä on turvallisempi on ihan spekulaatiota.

Juu, tällä hetkellä Keepass -variaatiot tuntuvat yleisyytensä takia turvallisimmilta vaihtoehdoilta jatkuvuus -mielessä. Lisäksi lähes kaikki muut managerit osaavat importoida keepass -tietokannat.

Yksi mahdollisuus tietokannan siirtelyyn, joka tupsahti mieleen, on usb -tikku. Uusimmat puhelimet tukevat usb:n käyttöä tikun kanssa. Ja ne mobiililaitteet jotka eivät, voi synkata bluetoothin yli. Ei ihan hirveän näppärää, mutta ei noita salasanojakaan ihan joka viikko tule vaihdettua.

-Samu

[matsukan]

usb tikku on nyt vain varmuuskopioiden tai tietojen siirtoon kahden koneen välillä. Tai sitten kun pitää tehdä linux asennus.  Jotenkin se on nyt katoavaa kansanperinnettä.

[nm]

Kyllä USB-tikku on edelleen hyvä ja usein käytetty ratkaisu kryptausavainten ja muun tietoturvakriittisen aineiston siirtoon.

[AimoE]

Jaa, minä kun ajattelin että syrtek66 tarkoitti sen sarkasmiksi. Tai ironiaksi. Tai jotain sinne päin.

[matsukan]

  Ehkä kuitenkin usb tikku on nyt hidas ja epävarma tallennusväline. Ja kallis hinta per giga tavu. Mutta joo kaikki taplaa tyylillään.

[Samu Wikstedt]

Jaa, minä kun ajattelin että syrtek66 tarkoitti sen sarkasmiksi. Tai ironiaksi. Tai jotain sinne päin.

Sarkasmi on vaikea laji, ja viestintä epäonnistuu aina, paitsi sattumalta -ja jos se onnistuu, kyseessä on todennäköisesti väärinkäsitys... :-)

Tuo tikku-vaihtoehto alkaa kiinnostamaan eniten, sillä sen tietoturva on kohtalaisen kova. Siihen pääsy edellyttää jo fyysisiä toimia allekirjoittaneen fyysisen koskemattomuuden loukkaamiseksi ja silloin meikäläisellä lienee muutakin murehdittavaa kuin tietoturva...

KeepassX näemmä tukee linux versiossa keepass 1 formaattia kun taas win versiossa keepass2 formaattia. Lienee kuitenkin aika turvallista olettaa että vaikka jälkimmäiseen siirryttäisiinkin enenevässä määrin, pystyy koversion näin välillä tekemään vielä vuosien ajan?

[AimoE]

En tiedä mitä KeePassX tukee, mutta KeePass2 osaa jos ei suoraan lukea, niin ainakin impata 1-muodosta 2-muotoon. Voit siis pitää tietokantaa yllä 1-muodossa ja tarvittaessa impata sen 2-muotoon.

[AimoE]

Niin, ja winukalla voi tietty käyttää KeePass 1-versiota, jos X-versio ei sellaisenaan palvele. Kyllä kai niille joku yhteensopivuusmatriisi jostain löytyy. 1:n ja 2:n välille ainakin löytyy - ahaa, ja KeePass2 osaa myös exportata 1-muotoon.