Egy korábbi terjengős posztomban már foglalkoztam a témával, hogyan lehet és kell különböző jelszavakat elég egyszerűen gyártanunk Mac-en. (Röviden: célszerű minden site-on külön generált jelszavakkal dolgozni és azokat copy-pastelni.)
A gond ezzel az elképzeléssel már csak annyi, hogy hol tároljuk a jelszavainkat. Én például egy clear text szövegfileba teszem le. Biztonságos ez? Nem. Egyáltalán nem. Ha illetéktelenek kezébe jut a vinyőm, akkor elég egy spotlight search a “password” kifejezésre és máris első (!) találatként jön föl minden.
Megoldás: egy 128 bites kódolású AES diszk imázsban kell tárolni a szenzitív szövegfileokat és Excel dokumentumokat.
Lássunk is hozzá! Gyári szoftverrel szerelt Mac Leó elegendő lesz a továbbiakhoz, hiszen harcolnunk kell a shareware junkiezmus intézménye ellen — ahol lehet.
Első körben nyissuk meg a Disk Utility programot, majd ebben a File menü New – Blank Disk Image pontját. A felugró ablakban a lényeg a 128 bites titkosítás, a nevet tetszés szerint állítsuk be:
Jelszót is be kell írnunk, amit ha elfelejtünk, akkor annyi is volt az egész, nem tudunk a későbbiekben hozzáférni az itt tárolt fileokhoz. Bekapcsolhatjuk nyugodtan, hogy a keychain jegyezze meg. Kitétel: csak abban az esetben, ha bootoláskor kérünk jelszót a géphez, illetve sleep után is be van kapcsolva ugyanez.
Fontos: a user keychainjének a jelszava alapértelmezetten megegyezik a felhasználó bejelentkezési jelszavával, és a bejelentkezéssel egyben unlockolja. Ha a jelszavunkat nem tudják kitalálni, és nincs automata login, akkor a keychain tartalma biztonságos marad. Ha egy OSX lemezről bebootolna valaki és tetszőlegesre változtatná bármelyik user jelszavát, attól a keychain a régi jelszóval marad továbbra is kódolva.
Miután megvagyunk mindennel, az asztalon (vagy ahova mentettünk) megjelenik a DMG. Ezt dupla kattintással tudjuk megnyitni, bele fileokat dobni és vinni stb. Ha leakasztjuk az imázst, csak jelszóval tudjuk újra felmountolni a tartalmát. Abban az esetben, ha keychainezzük a jelszót hozzá, duplaklikkre mountolja az egészet, elég kényelmes. Sőt, ha shortcutokat helyezünk fontos fileokra, akkor keychainezett jelszó esetén szó nélkül felmountolja előtte az imázst és nyitja a file-t.
Szebb, jobb, biztonságosabb világ.
(NB, egyéb megoldás lehet filevaultozni a diszket, de ez szerintem performancia veszteséget jelent, illetve ha szükséges, akkor könnyedén nem férünk hozzá a saját tartalmainkhoz kívülről. Nem kedvelem ezt a megoldást, de Orosz például PowerPC-n is ezzel dolgozik.)
nagymamánál ugyanez: cetli a fiókban
En ugyanerre a TrueCryptet hasznalom. Windowsrol jottem, igy ez tunt esszeruenek
Úgy látom az pontosan ugyanerre való. Ettől függetlenül jó tipp Win-es kollégáknak.
Én ezt használom: http://www.acrylicapps.com/wallet/
Ugyan fizetős, de van iphone app is hozzá (sync), ha beírod az adott webcímen a master pass-t akkor automatikusan beírja a mezőkbe a user/pass-t, ha kell filet is tárol, tetszőleges groupokat és típusokat lehet benne létrehozni, van benne jelszógenerátor is. Nagyon kényelmes és biztonságos. És nem utolsó sorban gyönyörű letisztult guija van + gyors mint az állat.
1Password. Shareware, viszont minimum 2 dimenzióval a te szövegfájlos verziód használhatósága felett van. Szifonnal szinkronizál, regisztráláskor generálja és menti a jelszókat, gombnyomásra belép a honlapokra. Minden pénzt megér, adj neki egy esélyt!
Ne értsétek félre a dolgot. Egy kódolt diszk imázs sokkal többre használható, mint jelszavak tárolására. A posztban is elhangzik, bár nem hangsúlyosan, hogy szenzitív Excel fileokat, regisztrációs kódokat tartalmazó PDF-eket, házipornót, meg bármit húzhatunk bele.
Másrészt én nem annyira bíznám egy indie developer rendszerére ezeket a dolgokat — ez persze egyénenként változik.
Jópofa ez a titkosított dmg-ben tárolós dolog is.
Én egy teljesen ingyenes és szerintem jól használható programot használok: KeePassX. Multiplatformos (OSX,Win,Linux).
Érzésem szerint ezzel a dmg-vel osx-hez van kötve az ember.
Én egy pendrive-on hurcolom ezt a programot (persze osx-en is fent van) és annak adatbázisát is. Elég jó titkosítást használ.
efpe: TrueCrypt -et a hozzáértők elég sokat savazzák, több olyan vádat is hallottam, hogy valósznűleg a CIA/NSA/stb. fejleszti, és tele van backdorral.
Ezt alátámasztja, hogy semmit sem tudunk arról, hogy ki fejleszti, titokban tartják magukat.
Persze, senki sem állítja, hogy az NSA/CIA/stb. a Te encryptelt cuccaidra kíváncsi, azonban ha tényleg van benne backdoor (márpedig ez elég valószínű), akkor annak kihasználására a fejlesztőkön kívül valószínűleg már más is rájöhetett, talán gonosz blackhat emberkék úgy olvassák a truecrypt imageket, mint a plaintextet.
angelday: 256-bit AES akkormár.
Nagyon jó post! Köszönöm! Végre egy egyszerű, segédprogram nélküli megoldás.. már régóta kerestem hasonlót. Egyszerű és nagyszerű! Remélem a Things progim adatbázisát is bele tudom paszírozni..
Egyébként a keychainnel való integráció SZÖRNYEN kényelmessé teszi. Nekem például ki van húzva a dokkra, boot után még nincs mountolva, de az első kattintáskor megcsinálja automatikusan és ugyanúgy elérem a file-jaimat, mintha csak egy akármilyen mappában lennének.
Spotlightolni viszont nem lehet, ezt mindenki eldönti, hogy jóság, vagy rosszság. (Valamit valamiért.)
Ez most ide illik: http://xkcd.com/538/
Things adatbázisát letitkosítani?
Minek?
Ugyanerre a feladatra Windows alatt a Password Safe nevű alkalmazást használom (http://passwordsafe.sourceforge.net/). A linkje alapján azt feltételezem, hogy open source, tehát valószínű, hogy nincs benne back door. Nagyon kényelmesen használható, ingyenes (igaz, nem az OS része
), mindössze 1 db master password megjegyzését igényli. Szeretem.
@peti: mivel operációs rendszer szinten van kezelve a cucc, biztosan belemegy a Things adatbázisa.
Viszont ez a keychain password dolog borzasztó szívássá válhat. Történt egyszer, hogy user elfelejtette a jelszavát, mire és az admin accountommal módosítottam neki. A belépéssel nem is volt gond, de a keychain-hez nem fért hozzá, és egyfolytában nyavajgott is a érte a nyomorult
A vége az lett, hogy letöröltem a a régi adatbázist (ezzel elveszejtve a benne tárolt jelszavakat). Vagyis addig kényelmes a dolog, amíg nincs baj…
Bréking!
Bede Mártont lencsevégre kapták egy könnyűzenei fesztiválon!
http://pics.livejournal.com/kro1975/pic/001ss6y1
performancia, jaajjjj, nem lehetne pl.: teljesítmény.
Imázsra nincs jó ötletem
Ezt en sem vagtam, koszi!
Én Windowson KeePass-t használok.
A TrueCrypt ellenben opensource, szólva ha lenne benne backdoor akkor már kibukott volna, nem? (Feltéve, hogy titkosítási szakemberek átnyálazták a forráskódot, hogy megtalálják.)
Lehet hogy felreertettem valamit, de ha a keychainben tarolod a AES disk jelszavat, akkor miert vannak nagyobb biztonsagban az adataid, mintha siman a normal disken tarolnad? Ha valaki ellopja a notebookod, akkor siman hozzafer mindenhez.
slorinc:
a user keychainjének a jelszava alapértelmezetten megegyezik a felhasználó bejelentkezési jelszavával, és a bejelentkezéssel egyben unlockolja. Ha a jelszavunkat nem tudják kitalálni, és nincs automata login, akkor a keychain tartalma biztonságos marad. Ha egy OSX lemezről bebootolna valaki és tetszőlegesre változtatná bármelyik user jelszavát, attól a keychain a régi jelszóval marad továbbra is kódolva.
1Password. nem shareware, megvettem. nekem faja. fájlokat nem akarok titkosítgatni, de a jelszavakat faszán kezelgeti. meg lehet ilyen hitelkártyaazonosítós adatokat összerendelni, nem kell kézzel pötyögni és aki nem tudja a masterpasst az nem vásárol.
és miért nem a keychain-en van, note formában a sok jelszavad? kulcsokat, a kulcscsomóra… ha nem bököd, be hogy mindig magától nyissa ki az adott note-ot, akkor mindig jelszót kér, ha véletlen nem lenne lock-olva a géped amikor vki hozzáfér, akkor sem tudná megnézni jelszavad nélkül a kulcscsomón lévő note-okban lévő többi titkot…
Ez nagyon jó tipp volt, épp azt nézegettem, hogy miként kellene tárolni a jelszavaim. Köszi
Azt én sem értem kristálytisztán, hogy miért nem jó a keychain “secure note” funkciója. Pláne, ha a dmg jelszava úgyis a keychainben van tárolva.
Itt tenném hozzá, hogy az ilyen random sensitive adatok tárolására én a Sparse Bundle Disk Image verziót preferálom, a későbbi “töredezettséggel” ill. az azt követő disk image tömörítéssel járó időveszteség csökkentésére.
hdiutil compact /PATH/TO/DISK/IMAGE.sparseimage
Meg lehet átméretezni is:
hdiutil resize -size 2g /PATH/TO/DISK/IMAGE.dmg
Ja ja secure note a jelszavaknak szoveges okossagoknak. DMG meg a haziporesznak fajloknak.
k3y: “A TrueCrypt ellenben opensource, szólva ha lenne benne backdoor akkor már kibukott volna, nem?”
A truecrypt-tel alapvetően az a gond, hogy valójában nem tekinthető igazi opensource programnak.
Bűzlik a titkoszszolgálatok büdös szagától, akárcsak a Java Anon Proxy (http://en.wikipedia.org/wiki/Java_Anon_Proxy#Privacy)
Le kellene fordítani a truecryptet a lefordított kiadással azonos compiller-opciókkal, és összehasonlítva az eredményt kiderülne, hogy van-e turpisság.
De! Reméljük, hogy -ha csak nem mi magunk nézzük át a forrást- az oss közösség nem úgy ellenőrzi a truecrypt forrását, mint a debianos openssl-t. (http://hup.hu/cikkek/20080516/par_gondolat_a_debian_ssl_bugrol)
Van egy csomó nyitott kérdés a truecrypt-tel kapcsolatban, amik egy igazi oss programnál, amennyiben nincs susmus benne, nem kéne hogy nyitott kérdések legyenek:
- kik a fejlesztői?
- a Truecrypt foundation hol van bejegyezve?
- eredetileg a truecrypt.org domain miért az antarktiszra lett bejegyezve, s újabban miért a Network Solutions rejtett domain reg. szolgáltatását veszik igénybe?
(http://www.who.is/website-information/truecrypt.org/)
- a truecrypt trademark egy magánszemély nevére van bejegyezve egy prágai címre, s állítólag ez a magá yszemély nem is lakik ott, mindez miért? (http://www.wipo.int/ipdl/en/madrid/key.jsp?KEY=925625)
- sokat bírálják őket, hogy a fórumaikon sajátos moderálási elveket alkalmaznak. Miért? Bizonyos témák kényesek? (http://www.wilderssecurity.com/showthread.php?t=220139)
Szóval ez az egész truecrypt nagyon bűzlik, nem véletlen nem kerül be ez a software komoly helyekre, max. Pistike és Társa Bt.-hez.
Ha fontos a privacy, nem ajánlott, nem tekinthető 100%-ban megbízható szoftvernek.
(Ellenpéldaként nézd meg mondjuk a PGP fejlesztőit: nem bújkálnak, nem titkolóznak, a PGP igazi oss software, bűszkék a művükre, hagyják, hagy nyálazza át a community a forrást, stb.stb., nem direkt binárisan van terjesztve minden platformra, hanem te magad fordíthatod a rendszered hivatalos repóiból, ami elvileg át van nyálazva a community által.)
Az OKÉ hogy nem fogják tudni elolvasni a jelszavaimat ha ellopták a macbookot, de az én kérdésem az, hogy ÉN honnan fogom újra összekaparni ezt a sok infót?
Nem hiszem hogy különlegesen bonyolult életet élnék, de a jelszó/infó fájlom százas nagyságrendű tételt tartalmaz.
És ha simán Google Docs-ban tartom a jelszavakat? Igy legalabb mindenhonnan elerem (telefon, vagy akar netkavezo Zanzibaron)…
gyuz: Google Docs? Ha nem baj, hogy nem csak Te tudod a jelszavaidat…
Egyébként már Lenin is megmondta: backupnyik, backupnyik, i backupnyik!
gyuz: me.com is your friend.
Most nem azert, de nem pont a keychain valo a jelszavak tarolasara? Ha akarod csinalj egy uj keychaint a login melle mas passworddel, aztan tedd abba a homoszadopornosite loginjaidat.
Most nem azert, de nem pont a keychain valo a jelszavak tarolasara? Ha akarod csinalj egy uj keychaint a login melle mas passworddel, aztan tedd abba a homoszadopornosite loginjaidat.
TrueCrypt. Az OSX titkosított DMG-nél jóval erősebb titkosításra képes, modernebb hash algoritmusokkal. Nyílt forráskódú, a céggel kapcsolatos titkolózás pedig nem véletlen: a világ sok országában illegális a használata a programnak – például Angliában is.
_psc_: thx az összeszedett linkekért. (a debian openssl-re emlékeztem is) – annyiban vitáznék, hogy a truecrypt forrása letölthető és átnyálazható, azaz egy ilyen compile és diff nem áll semmiből, nem?
az igazi security és crypto freakek között szerintem foglalkozási ártalom a paranoia, simán lehet hogy a TrueCrypt fejlesztők is csak azért titkolóznak ennyire – a user is paranoid, ő meg azt hiszi hogy azért mert az NSA/KGB/MI6/Men in Black áll mögötte
de ugye attól hogy paranoiás vagy még el akarhatnak kapni.
En mar mindenhol implementalom a regisztralgatos baszas melle is, hiszem pl railsben +1 plugin, atirom a scaffoldolt viewokat es kesz. Nem tudom miert nem terjed. Ja, lehet mert a facebook itt is bevezette a sajat faszsagat (facebook auth), komolyan, ezek a szerencsetlenek a web sony-jai.
Pusztuljanak el. Sztenderdek a jovoert!
pigeon, nem kimondottan a web sony-jai miatt, de azért is.
k3y: “a truecrypt forrása letölthető és átnyálazható, azaz egy ilyen compile és diff nem áll semmiből, nem?”
Hát, a baj csak annyi, hogy nem tudjuk, a bináris disztribúciót milyen kapcsolókkal, opciókkal fordították, így nem tudunk diffelni.
És a truecrypt forrása valóban letölthető, de mégiscsak binárisként van terjesztve widowsra, linuxra, stb.-re is.
Az OSS community pont ezért mondja, hogy nem tekinthető igazán nyílt soft-nak.
Sőt, én azt mondom, hogy az OSS community-ban sem bízhatunk, hogy ha estleg át is nyálazza a truecrypt kódját, akkor minden tuti – lásd a debianos openssl esetét.
De mondom mégegyszer, ha át is nyálazza a kódot, és nem talál benne semmit, az sem garancia semmire, mivelhogy a gépedre letöltött bináris disztribúció egyáltalán nem biztos, hogy ugyan arra a kódbázisra épül, mint amit kitettek a honlapjukra.
köszi a júzfull postot.
egy kérdés. meg tudom valahogy akadályozni, hogy ne lehessen a dmg-met letörölni, max egy login jelszó segítségével, vagy mégjobb, a dmg nyitási jelszó segítségével?
tudom, hogy paranoiás vagyok, de ha eldugom, nehéz mindig bemountolni, ha kint van az asztalon, véletlen letörlöm (vagy méginkább pl a barátnőm – tudom, külön login)… a lock funkció kb semmire nem jó, mert csak megkérdi törlés előtt, hogy bizti?
dugjam el, és rakjak egy shortcutot a dockba? vagy van valami elegánsabb megoldás fájlok igazi lockolására törlés ellen?
Chris Borbas, fds írja: nyiss meg egy terminal ablakot Leopard alatt és írd be chmod +a 'everyone deny delete' majd húzd bele az ablakba az állományt, ami válaszul beírja oda pontosan az elérési útvonalát. Enterrel nyugtázd. (az idézőjelek simák, azt javítsd ki, csak WordPress átírja)
hibátlan, köszönöm!