@Dutchman Kişisel şifrelerimizi defterde saklama durumu hakkında görüşünüz nedir peki? Sizin yorumlarınızı gerçekten önemsiyorum. Bu güne kadar başıma bir veri sızıntısı vesair gelmedi ancak bazen benim de kafamı karıştırıyor bu şifre yöneticisi durumu. Kendim tercih etmiyorum ancak pratik bir yol olması bazen cazip geliyor.
Oldukça yanlış bir yöntem. Fiziksel olarak sizin erişiminiz olsa da başkasının eline geçmeyeceğinin garantisi yok kesinlikle. Böyle bir durum yerine Bitwarden, Keeper gibi servisleri kullanmak dahi çok daha sağlıklı. Evet çok daha pratiktir şifre yöneticileri, fakat deftere açık açık yazmaktan da kat kat daha güvenlidir. O defterin güvenliği, korunması tartışılır.
Sayfaların en başına gidiyorum ve zihinde tutmanın şifre yöneticisi kullanmaktan daha iyi olduğunu söylediğiniz mesajlara bakıyorum. Şimdi farklı bir şey söylüyorsunuz.
Evet, zihinde tutacağınız şey 1 adet keyword. Sizin gerçekten bu konu hakkında o kadar bilginiz yok ki, hala daha şifrelerin tamamını zihinde tutmayı kastettiğimi zannediyorsunuz, ki defalarca 50 farklı şekilde açıklamama rağmen.
" Uçtan uca güvenliği öven arkadaşlar olduğunu gördüm, her söylenen ve taahhüt edilene inanmak bu sektördeki en büyük yanlışlardan biri." sayfa 2 de bu cümleniz dolaylı yoldan bu anlama geliyor.
Pardon da, nasıl dolaylı yoldan şifreleme yapmaz demeye geliyor bu? Bu sistemlerin bypass edilebileceğini söylemek, Bitwarden'ın şifreleme yapmadığını söylemek mi oluyor? Şu anda kendinizi haklı çıkarmak için komik bir açıklama yapıyorsunuz. Yapmayın. Kaldı ki söylemediğim şeyi söylemişim gibi yazıyorsunuz, bu da iftiraya giriyor. Yakışmıyor.
En başından beri güvenlikle ilgili konuşmuyor muyuz? 2 adımlı doğrulama hikaye diyen sizsiniz. "2FA masalını okumaya gerek yok, çok rahatlıkla bypass edilebildiğini bilmeyen yok sanırım. Hedef alınmanız yeterli." diyorum ki gelin madem masal madem hikaye geçin diyorum bu kadar basit.
Yubikey sahibiyim şifremi bilseniz bile donanım anahtarıma sahip olmadığınız sürece giremeyeceksiniz.
Ha isterseniz Google Authenticator ayarlayabilirim. 6 haneli kodu 30 saniyede tahmin etmeye çalışır durursunuz bir yerden sonra size süre limiti koyar.
Tek bildiğiniz 2 adımlı doğrulama yönteminin SMS olduğuna adım kadar eminim.
15 demiştim, muhtemelen 12 yaşından fazla değilsiniz.
Halihazırda bu sektörde hukuki olarak, resmi olarak varlığını sürdüren biriyim. Bir forumdaki 12 yaşındaki bir gencin "gel beni hackle görelim" demesiyle, yasa dışı bir saldırı yapacağımı mı düşünüyorsunuz? Mr.Robot izlemeyi bırakın. Bireysel saldırı ve o hack senaryoları yalnızca filmlerde olur. Toplu bir zero day zafiyetiyle verileriniz dark webde paylaşıldığı vakit de gelir burada yardım ararsınız sonra.
Birçok firmaya yapan birisinin bu cümleleri kurması gerçekten çok garip.
Garip olan kısmı, firmaların hala beni tercih edip sektör standartlarını uygularken sizin tüm sektörün inkar etmediği şeyleri inkar etmeniz ve aksini iddia etmeniz.
Nasıl yapıyorlar mesela anlatır mısın? RUHI123 diye şifre koymuyorsam, entropisi yüksek bir şifrem varsa nasıl sızdıracaklar merak ettim. Mesela yıllar önce 2 kez veri ihlaline uğrayan Lastpass'ta çoğu kullanıcının hesaplarına hala daha girilemedi. Üstelik o zamanlar yanlış hatırlamıyorsam varsayılan hash 10 bin idi. Şimdi ise varsayılan 600 bin. Ayrıca argon2ID gibi çok daha güçlü standartlar kullanma seçeneği sunuyor bize. Bu işler o kadar kolay mı sanıyorsunuz.
Sizin gerçekten okuduğunuzu anlamadığınızı veya unuttuğunuzu düşünüyorum. İşteyim ve size bu kadar vakit ayıramam çünkü bir yere varamıyoruz. Bunun nasıl gerçekleştiğini CVE dökümanında anlattım. Girip okursunuz bu kadar basit. IFRAME zafiyetinden bahsettim, yüksek entropinin hiçbir anlam ifade etmediğini zira Bitwarden'ın kendi eliyle şifreyi çözüp yapıştırdığını bahsettim. Quantum PC getirin, Bitwarden'da o açık varsa yine çözüp kendi eliyle yapıştıracak. Komik olmaya başladınız. Yazılanları okumuyor ve aksini iddia ediyorsunuz.
Bitwarden da oto doldurmayı kapatma seçeneği mevcut diyorum bunun nesini anlamıyorsunuz? Hatta bildiğim kadarıyla varsayılan açık bile gelmiyor.
Autofill servisinin eklentide kurulu olması dahi bunun istismar edilebileceğinin göstergesi. Token hijacking session hijackingler nasıl yapılıyor? Tarayıcının verilerinin sızdırılması nasıl yapılıyor? Bunların yapılabilitiesi bir eklentinin config ayarlarına erişimi nasıl açık hale getiriyor? Güvenliği güçlü şifreden ibaret sanıyorsunuz, dediğim gibi sektörde sıfır bilgisi olanların genelde düştüğü bir yanılgı. Kaldı ki bu zafiyeti Bitwarden dahi inkar etmezken siz ediyorsunuz.... Yorum yok....
Evet sızdırılıyor çünkü sizin gibi "şifreleri zihnimde tutarım şifre yöneticileri gereksiz ya" diyenler dolu. Her siteye aynı şifreleri girip sonra birisinde patlayınca diğer sitelerdeki şifreleri de patlıyor. Veya bir sitenin veri tabanına sızılıyor hesapların şifrelenmemiş şekilde saklanmasıyla bu şekilde açığa çıkıyor. Bu bambaşka bir olay.
Yok, Dark web üstünden bakarsanız Bitwarden, Keeper, LastPass gibi kullanıcıların dataları dolu. Şifresini güvenli bir offline sunucuda izole tutup herhangi bir bulut ortamına yüklemeyenlerin, genelde bireysel hataları olmadığı müddetçe şifrelerini göremezsiniz. Çünkü dışarıdan bir saldırganın ne fiziksel ne de teorik olarak o katmana erişimi yoktur. 2+2=4. Bu kadar basit.
Tekrar anlamayacak ve tekrar aynı şeyleri yazacaksınız biliyorum. Yine de insanların kimin doğruyu bildiğini anlaması adına yazıyorum bunları. Yoksa sizin bu konuda aynı devam edeceğinizi biliyorum.