Wręcz przeciwnie. To żadna paranoja tylko poważne podejście do sprawy. Nie mogę sobie pozwolić na to aby moje dane przypadkowo popłynęły gdzieś dalej, a ja potem spędzę kolejny tydzień na zmianie wszystkiego. Dlatego takie rozwiązanie wybrałem. Raz, a dobrze. Kosztowne ale też bez przesady. To tak jak niektórzy używają tokena do Battleneta. Ja raczej uważam, że to jest zwiększenie świadomości niż paranoja. Poza tym przy sprzętowym kluczu jest jeszcze fajne to, że jest zgodny z Fido i ten jest wspierany przez Chrome. Zwróć uwagę, że wszyscy zalecają używanie losowych haseł, więc ja się do tego dostosowałem przy okazji zachowując względną użyteczność.
Nigdy nie masz gwarancji co twój Windows robi w tle, nie wiesz co w telemetrii wysyła, nie wiesz co jedzie w pakietach, nie wiesz czy aktualnie Chińczycy nie przekierowali na chwilę ruchu internetowego przez swoje DNSy, nie wiesz co autor aplikacji podmontował albo jaką furtkę zostawił. Przypomnij sobie historię Paula Le Roux czyli twórcy TrueCrypta który okazał się gangsterem i handlarzem bronią etc. Mógł się zabezpieczyć na czarną godzinę. Pasy w samochodzie też zapinasz z myślą, że Ci życie uratują ale nigdy nie wiesz czy jakiś robotnik w fabryce nie miał gorszego dnia i nie dokręcił jakiejś śrubki albo spłatał innego psikusa. Gość zakładający alarm w twoim nowym wypasionym aucie też mógł zrobić kopię kluczyka i pilota do alarmu tudzież coś źle podłączyć ale mimo wszystko mu zaufałeś i zgodziłeś się na usługę. Dlatego każdy menadżer haseł jest okraszony pewną dozą niebezpieczeństwa, a także formą zaufania obu stronom. Ja wyznaję zasadę, że jeżeli ktoś uważa się za profesjonalistę, zarabia na tym kasę, wpycha to do firm to raczej wie co robi i stosownie się zabezpieczył przed ewentualną wtopą. Ta wtopa zakończy się dla niego smutno i raczej będzie w tym biznesie skończony. Testowałem kilka programów i zostałem przy Lastpassie, bo nie mam ochoty spędzać dni na kombinowaniu jak coś przestanie działać albo jak autor czegoś nie zrobi. Tu mam wszystko od jednych ludzi i ma to działać. Jak nie działa to jest komu ryć beret, a nie czekać na dobrą wolę twórcy. Poza tym jest kasa, a kasa pozwala wdrażać nowe rozwiązania i udoskonalać stare. Wydanie 12$ rocznie to mniej niż jedna gra z mainstreamu, więc dramatu nie ma. To tak na marginesie
.
Tak jak napisałeś nie doszło do naruszenia baz danych i nic z wrażliwych informacji nie poszło w świat. Natomiast zmiana wszystkich haseł to standardowa procedura. Robią tak wszyscy jak tylko dochodzi do podejrzenia naruszenia bezpieczeństwa.
W Lastpassie jest sporo rzeczy darmowych. Ja w zasadzie płace za weryfikację kluczem Yubi i dostęp do urządzeń mobilnych. Możesz skorzystać z darmowych opcji np. LastPass Authenticator, Google Authenticator, Toopher, Duo Security, Transakt, Grid. Z płatnych: YubiKey, Fingerprint / Smart Card, Sesame oraz dla firm: Salesforce Authenticator. Także jest w czym wybierać.
Porównań, wojenek, filmów na YT, recenzji, blogów na temat KeePass vs Lastpass naczytałem/oglądałem się mnóstwo. Nie ma też tego za wiele. To coś jak wojna między AMD vs NV. Nie dojdziesz do ładu. W pewnym momencie musisz się na coś zdecydować i być przekonany o tym, że dobrze wybrałeś. Ja tak zrobiłem. Cały czas podkreślam, że żadne z oferowanych rozwiązań nie jest idealne i w 100% bezpieczne. Nic też nie zastąpi zdrowego rozsądku. Przykład z ostatniego tygodnia kwietnia u mnie w firmie jak jedna pani odpaliła załącznik niby z fakturą, a tak naprawdę z Cryptolockerem którego wersja nie była w żadnych definicjach antywirusów. Nawet Kaspersky go jeszcze nie wyniuchał. W trzy godziny zeżarł cztery pamięci masowe i to go zatrzymało, bo było dużo małych plików. W przeciwnym wypadku było by po kompach w firmie (przynajmniej w obrębie jednej sieci). Zawiódł czynnik ludzki. Apka też ciekawie pomyślana, bo w środku tylko dwa niegroźne pliki z javascript. Przy wypakowaniu archiwum do folderu nic się nie dzieje ale po dwukliku za nim ściąga się plik .exe i zaczyna bruździć.
Wracając do meritum. Nie mam zamiaru namawiać Cię na LastPassa, na KeePassa ani na inny podobny program. Nie będę Ci udowadniał na siłę wyższości jednego nad drugim. Musisz sam podjąć decyzję. Jedynie co mogę to napisać co mnie skłoniło do takiego wyboru i jak to działa po rocznym testowaniu. Jedynie co szwankuje w LP to klient windowsowy do przechwytywania haseł w programach. U mnie się gubił i nie zawsze uzupełniał hasła w programach. Skype działała, a np. Steam nie, ale w zasadzie można go sobie darować, bo większość haseł do tych programów jest taka sama jak do logowania się na stronach, więc szybko można się do nich dokopać. Jedynie co mogę zaproponować to abyś stworzył sobie jakiś swój system przechowywania passełek i żeby się sprawdził
.
Antyloggerów nie używam (a to niby ja jestem paranoik
)), bo raczej na kompie mam pewny soft i nie czuję potrzeby instalowania go. Zawsze to oszczędność zasobów. Nie mam tez nawyku szyfrowania dysków, kart pamięci ale za to przekonałem się do korzystania z osobnych przeglądarek do bankowości internetowej
.
Andegdota.
4 lata minęły od czasu jak oddałem serwery pod opiekę nowemu "adminowi". Przed przekazaniem zresetowałem hasła na 1qaz2wsx coby moich nie poznał. Niech sobie człowieczek zmieni. Nie dalej jak tydzień temu prosił o pomoc. Podczas zdalnej pomocy potrzebowałem dostać się na roota, że człowiek leniwy to po tel nie chciało mi się sięgać. su - prośba o pass, i oczywiście "zgadłem" za pierwszym podejściem.
4 lata, to tyle jeżeli chodzi o świadomość
A co było ostatnio z hostingiem 2be.pl. Jakiś czas temu jakiś admin w którymś ministerstwie też się popisał w podobny sposób
.
Prędzej czy później się nauczy zmieniać hasła i robić backupy. To kwestia czasu
.
