انجمنهای فارسی اوبونتو
کمک و پشتیبانی => انجمن عمومی => نویسنده: { AliReaza } در 29 دی 1393، 02:21 بظ
-
سلام دوستان
من برنامه KeePass2 را نصب کردم و با KeeFox به بهش وصل شدم.
وقتی شما در KeePass نام کاربری و رمز عبور ذخیره کرده باشید، برنامه KeeFox اطلاعات ذخیره شده را برای شما پر میکند.
اما یک نکته امنیتی در این میان وجود دارد:
اگر شما نوع کادر رمزعبور را از password به text تغییر دهید، می توانید رمز ذخیره شده را مشاهده کنید.
آیا این ارتباط برای ارسال رمز از برنامه KeePass به مرورگر دارای امنیت کافی هست؟
در توزیعات GNU/Linux اگر مسائل امنیتی رعایت شده باشد، مشکلی نیست.
اما در Windows برنامه های جاسوسی می تونند از این ارتباط استفاده کنند و رمزها را بدزدن؟ ???
-
خب بحثش اینجا مطرح شد ..
چرا اصلا اینجور برنامه ها .. ؟ خود فایرفاکس پسورد هارو تو خودش ذخیره میکنه ( تو یه دیتابیس فکر کنم ) پس چه نکته ی امنیتی وجود داره که بعضیا به اینجور برنامه ها رو آوردن ؟
-
خب بحثش اینجا مطرح شد ..
چرا اصلا اینجور برنامه ها .. ؟ خود فایرفاکس پسورد هارو تو خودش ذخیره میکنه ( تو یه دیتابیس فکر کنم )
به نکته خوبی اشاره کردید ;)
چون طبق امتحاناتی که انجام دادم، Username و Password ذخیره شده در مرورگرها، بعد از Submit شدن اضافه میشه.
فقط در صورت دسترسی به قسمت " Saved Passwords " یا بانک داده مرورگر امکان مشاهده Username و Password ها وجود دارد، که با فعال کردن " Use a master password " می توان دسترسی به رمزها را محدود کرد.
مثل کاری که برنامه های مدیریت رمزعبور انجام میدهند.
پس چه نکته ی امنیتی وجود داره که بعضیا به اینجور برنامه ها رو آوردن ؟
من فقط برای امتحان کردن.
شما چطور؟ ???
-
اگر میخواید فرم ها براتون پر بشه، Last Pass فکر کنم گزینه مناسب تری برای این کار باشه.
-
به نکته خوبی اشاره کردید ;)
شما هم همینطور. ( با ایجاد تاپیک )
چون طبق امتحاناتی که انجام دادم، Username و Password ذخیره شده در مرورگرها، بعد از Submit شدن اضافه میشه.
خب اینکه واضحه اصلشم باید همین باشه .
فقط در صورت دسترسی به قسمت " Saved Passwords " یا بانک داده مرورگر امکان مشاهده Username و Password ها وجود دارد، که با فعال کردن " Use a master password " می توان دسترسی به رمزها را محدود کرد.
مثل کاری که برنامه های مدیریت رمزعبور انجام میدهند.
خب اینم که معلومه همینه ولی فکر کنم منظور شما از دسترسی ، دسترسی فرد دیگه ای ( هکر ) هست ، درسته ؟
مستر پسورد خیلی گزینه خوبیه . با این وجود نمیدونم چرا بعضیا میرن سمت نرم افزار های جداگانه .. استدلال امنیتی هم می آوردند ولی دلیل محکمی نبود .
من فقط برای امتحان کردن.
شما چطور؟ ???
من از این برنامه ها استفاده نمیکنم البته اگر دوستان دیگه دلیل خوبی برای استفاده بگن شاید نظرم عوض بشه .
-
به نظرم این مقاله بد نیست:
http://www.howtogeek.com/141500/why-you-should-use-a-password-manager-and-how-to-get-started
-
با تشکر از شما .
اینجا هم برای حرفش دلیلی نیوورده ..
However, Firefox’s password manager isn’t the ideal solution, either.
فقط گفته که پسورد بصورت Random نمیسازه .
Mozilla Firefox has a “master password” feature that allows you to encrypt your saved passwords with a single “master” password, storing them on your computer in an encrypted format.
خب مگه پسورد منیجر ها هم اینکارو نمیکنن ؟ اونا هم تو کامپیوتر فرد ، پسورد هارو انکریپت میکنن .
این موضوع بیشتر در مورد internet explorer و chrome صدق میکنه و نویسنده مقاله نتونسته دلیلی بیاره برای بد بودن پسورد منیجر داخلی خود فایرفاکس !
-
دوستان من یه مقدار تحقیق کردم در این باره و به این نتایج دست یافتم :
اگر میخوایید از پسورد منیجر فایرفاکس استفاده کنید حتما باید از Master Password استفاده کنید و فعالش کرده باشید .
خود رمزی که برای Master Password میذارید باید فوق العاده قوی باشه . چون با بروت فورس میشه کرکش کرد و اگه پسورد ضعیف باشه ، کرک میشه .
اگر بیشتر روی امنیت حساس هستید ، من توی مقالاتی که خوندم به یه افزونه ای رسیدم که برای این Master Password تایم اوت تعیین میکنه . مثلا بعد از x ثانیه بعد از اینکه Master Password رو زدید و به دیتابیس دسترسی داشتید ، مجددا دیتابیس lock (قفل) میشه .
افزونه :
https://addons.mozilla.org/en-us/firefox/addon/master-password-timeout/
به هر حال ، من جایی ندیدم که دلیلی بیاره که با رعایت این موارد ، امنیت از حالتی که از LastPass یا هرچیزی دیگه ای ، کمتر باشه .
شماهم تجربیاتتون رو به اشتراک بگذارید .
-
فقط در صورت دسترسی به قسمت " Saved Passwords " یا بانک داده مرورگر امکان مشاهده Username و Password ها وجود دارد، که با فعال کردن " Use a master password " می توان دسترسی به رمزها را محدود کرد.
مثل کاری که برنامه های مدیریت رمزعبور انجام میدهند.
خب اینم که معلومه همینه ولی فکر کنم منظور شما از دسترسی ، دسترسی فرد دیگه ای ( هکر ) هست ، درسته ؟
بله، منظورم افراد سودجو و نفوذگر بودند.
مستر پسورد خیلی گزینه خوبیه . با این وجود نمیدونم چرا بعضیا میرن سمت نرم افزار های جداگانه .. استدلال امنیتی هم می آوردند ولی دلیل محکمی نبود .
تا اونجایی که من تحقیق کردم، تمام استدلالهای امنیتی در مرورگرها هم رعایت میشه.
اما چون بیشتر افراد به تمام امکانات برنامه ای با آن کار میکنند آشنایی ندارند، میروند سراغ برنامه های اضافه.
من از این برنامه ها استفاده نمیکنم البته اگر دوستان دیگه دلیل خوبی برای استفاده بگن شاید نظرم عوض بشه .
این تاپیک را برای همین زدم ;)، تا شاید دوستان عزیز دیگر با دلیل، نظر افرادی مثل شما را عوض کنند.
به نظرم این مقاله بد نیست:
http://www.howtogeek.com/141500/why-you-should-use-a-password-manager-and-how-to-get-started
ممنون
من هم خواندم و دقیقا به نتایج دوست عزیز CodeR رسیدم.
با تشکر از شما .
اینجا هم برای حرفش دلیلی نیوورده ..
However, Firefox’s password manager isn’t the ideal solution, either.
فقط گفته که پسورد بصورت Random نمیسازه .
Mozilla Firefox has a “master password” feature that allows you to encrypt your saved passwords with a single “master” password, storing them on your computer in an encrypted format.
خب مگه پسورد منیجر ها هم اینکارو نمیکنن ؟ اونا هم تو کامپیوتر فرد ، پسورد هارو انکریپت میکنن .
این موضوع بیشتر در مورد internet explorer و chrome صدق میکنه و نویسنده مقاله نتونسته دلیلی بیاره برای بد بودن پسورد منیجر داخلی خود فایرفاکس !
دوستان من یه مقدار تحقیق کردم در این باره و به این نتایج دست یافتم :
اگر میخوایید از پسورد منیجر فایرفاکس استفاده کنید حتما باید از Master Password استفاده کنید و فعالش کرده باشید .
خود رمزی که برای Master Password میذارید باید فوق العاده قوی باشه . چون با بروت فورس میشه کرکش کرد و اگه پسورد ضعیف باشه ، کرک میشه .
قصد جسارت ندارم، اما در تکمیل گفته شما:
تمام بانک اطلاعات را میشه Crack کرد و فقط در مورد بانک اطلاعات مرورگرها نیست.
هرچقدر رمزی که روی بانک داده قرار داده میشه سخت تر / احتمال از دست رفتن رمزها کمتر. \\:D/ ( شعر از خودم در وکردم ;D )
اگر بیشتر روی امنیت حساس هستید ، من توی مقالاتی که خوندم به یه افزونه ای رسیدم که برای این Master Password تایم اوت تعیین میکنه . مثلا بعد از x ثانیه بعد از اینکه Master Password رو زدید و به دیتابیس دسترسی داشتید ، مجددا دیتابیس lock (قفل) میشه .
افزونه :
https://addons.mozilla.org/en-us/firefox/addon/master-password-timeout/
ممنون بایت معرفی افزونه
به هر حال ، من جایی ندیدم که دلیلی بیاره که با رعایت این موارد ، امنیت از حالتی که از LastPass یا هرچیزی دیگه ای ، کمتر باشه .
همچنین
شماهم تجربیاتتون رو به اشتراک بگذارید .
-
نظر افرادی مثل شما را عوض کنند.
احتمالا شما هم جزو همین دسته هستین :)
قصد جسارت ندارم، اما در تکمیل گفته شما:
تمام بانک اطلاعات را میشه Crack کرد و فقط در مورد بانک اطلاعات مرورگرها نیست.
درسته ، ولی بیشتر مطلب میبینم که آموزش بروت فورس Master Password فایرفاکس رو گذاشتن و چون موضوع هم همین بود . همونو مثال زدم و الا هر چیز که مربوط به پسورد و بدست آوردن پسورد بشه ، کرک میشه . پسورد ایمیل ها و اکانت های تو Froum ها و MasterPassword و هر چیزی که تو این دسته قرار میگیره .
هر چقدر هم قوی تر باشه کرک شدنش سخت تر هست و ماه ها طول میکشه . اونم با سرور های قدرتمند (سخت افزار ) نه با لپتاپ و personal computer :دی
ممنون بایت معرفی افزونه
خواهش میکنم .
-
اینجور مواقع بهترین کار خوندن قابلیت های (افزونه/برنامه/...) مدنظر و مقایسه کردن اون با ابزاری هست که استفاده میکنیم.
خیلی وقتها ابزاری که استفاده میکنیم نیازهامون رو برآورده میکنه خوب اون موقع اصلا نیازی به این مقایسه هم نیست.
من هم از LastPass استفاده کردم و هم KeePass اینجا به چند تا ویژگی LastPass اشاره میکنم:
LastPass
- اطلاعات شما (نامکابری/رمز/توضیحات/نوشتهها/فرمها) همه جا رو هر دستگاه و هر مرورگری در دسترس هستند.
- توانایی اخطار دادن پیرامون یکسان بودن رمز در سایتهای مختلف.
- ارائه جزئیات استفاده از هر رمز مثل آخرین زمان دسترسی، لاگین در یک سایت، یا لیست آخرین سایتهایی که لاگین کردید.
- از لایههای مختلف امنیتی برخوردار هست مثل Grid ،Fingerprint، Google Authenticator و...
- اطلاعات رو سیستم شما encrypt میشه و بعد به سرورهای LastPass انتقال داده میشه.
- دریافت ایمیل پیرامون جزییات تغییر در اطلاعات
- Password Generator
- میتونید از رمزهای یکبار مصرف بهره بگیرید و رو سیستم سایرین هم به رمزهاتون دسترسی امن داشته باشید.
- قابلیتهای مختلفی مثل ورود خودکار یا پرکردن خودکار فرمها رو دارید که تا حدی در مقابل Keyloggerها از اطلاعاتتون محافظت میشه.
- تعداد زیادی تنظیمات امنیتی مثلا محدود کردن دسترسی به اکانت از یک کشور خاص.
- مدیریت و گروه بندی اطلاعات (پوشه و...)
- قابلیت تعریف تعداد متفاوتی فرم آماده پر شدن شامل اطلاعات مختلف و سفارشی
- اعمال تنظیمات امنیتی متفاوت بر دسترسی و اعمال تغییرات در اطلاعات مثل زمان بندیها و نیاز به ورود رمز و...
- قابلیت import از تعداد زیادی ابزار متفاوت و خروجی استاندارد در export که بهتونید راحت مهاجرت کنید به ابزارهای دیگه...
- ارائه یک خلاصه از رمزها مثل: تعداد کل، رمزهای تکراری در سایتهای متفاوت و یکسان، رمزهای ضعیف یا آسیبپذیر، میانگین طول رمزهاو...
- واقعا یک مدیر رمز عبور هست، نه فقط محلی برا ذخیره اطلاعات.
- آخرین پسوردی که باید به خاطر بسپارید
- و...
ممکنه این امکانات برای همه قابلیت به شمار نیاد یا کسی علاقهای به استفاده یا نیازی بهشون نداشته باشه و...
لیست قابلیت های keepass:
http://keepass.info/features.htm
-
بعد به سرورهای LastPass انتقال داده میشه
مگه تو سیستم کاربر ذخیره نمیشه ؟ پس انتقال چیه دیگه
-
اطلاعات در سرورهای LastPass به صورت رمزنگاری شده نگه داری میشه.
-
اطلاعات در سرورهای LastPass به صورت رمزنگاری شده نگه داری میشه.
اونوقت این چطوری امنیتی هست که، اطلاعات در جای دیگری ذخیره میشه؟
حتی اگر رمزنگاری شده باشد، من به شخصه این روش را امن نمی دانم.
-
عرض کردم خدمتتون، بسته به شرایط افراد ممکنه برداشت متفاوتی از آیتمها داشته باشند، یکی این موارد براش به عنوان قابلیت محسوب میشه و برای یکی دیگه نقطه ضعف هست. این شما هستید که تصمیم میگرید ازش استفاده کنید یا نه؛ افراد هم با توجه به سطح آگاهیشون میتونند موضوعات رو مورد قضاوت قرار بدند و تصمیم بگیرند.
برای اینکه بتونید از امکاناتی مثل دسترسی به اطلاعاتتون در تمام اماکن و دیوایس ها و مرورگرها بهرمند باشید، قطعا باید این اطلاعات رو سرورهای سرویس دهنده نگهداری بشه تا بتونه با دیوایس شما همگام سازی صورت بگیره. این یک موضوع بدیهی هست.
اگر شما با این قابلیتها احتیاج دارید یا علاقمند به استفاده ازشون هستید، ناچارید از یک سرویس مشابه استفاده کنید و LastPass ظاهرا امن ترین (نه کاملا امن) سرویس هست که اطلاعات رو با کلید شما رمزنگاری میکنه و به سرورهای خودش انتقال میده و رمزعبور شما هم به هیچ محلی ارسال نمیشه.
جدا از لایههای امنیتی مختلفی که برخی از اونها رو پیش تر نام بردم، رمزعبورتون رو که فراموش کنید باید با اطلاعات هم خداحافظی کنید چون رمزشما رو هیچ کس جز شما نداره و نه میشه براتون ارسالش کرد، نه ریستش کرد و اطلاعات شما فقط با رمز عبورتون قابل رمزگشایی هست. البته روش هایی برای دسترسی به بازیابی اکانت پیشبینی شده ولی نه حالت های عادی که باهاش برخورد داریم.
اگر هم که کلا از این امکانات استفاده نمیکنید خوب دلیلی نداره از LastPass بهره بگیرید گزینههایی مثل KeePass و KeePassx قطعا انتخاب بهتری خواهند بود. یا اگر فقط میخواید رو یک مرورگر اطلاعات همگام سازی بشه از sync اون مرورگر میشه استفاده کرد ولی خوب از امکانات امنیتی که ابزاریهایی مثل LastPass ارائه میکنه برخوردار نیستند مثلا رو سیستم یک فرد غریبه که نمیشه اطلاعات رو sync کرد! ولی میشه با lastpass و یک رمز عبور یکبار مصرف به اطلاعات دسترسی داشت.
البته همیشه باید رمزهای مهم رو فقط به خاطر سپرد. ابزارهایی که معرفی میشند گزینه خوبی برای نگهداری رمزهایی کم اهمیت هستند.