Şifre yöneticisi kullanılmalı mı?

Ceasar128 · Bugün 00:39

Dutchman dedi:
Atılan makaleleri okudunuz mu? Sorunun otomatik doldurmanın kapatılarak çözüldüğünü mü sanıyorsunuz? Tarayıcı içerisine kurulu bir eklentinin config dosyasının değiştirilmesinin ne kadar kolay olduğundan haberiniz var mı? Muhtemelen yok.

Benim bildigim Bitwarden ayarlarinin degismesi icin Server tarafina login olmaniz lazim.

En azindan ben PBKDF2'den Argon2id algoritmasina gecerken boyleydi.

Config dosyasi degismesi ile ayar degisiyorsa sikinti orada da basliyor.

Dutchman · Bugün 01:17

Ceasar128 dedi:
Benim bildigim Bitwarden ayarlarinin degismesi icin Server tarafina login olmaniz lazim.

En azindan ben PBKDF2'den Argon2id algoritmasina gecerken boyleydi.

Config dosyasi degismesi ile ayar degisiyorsa sikinti orada da basliyor.

Hayır, client-side tarafında tutuluyor. En azından en son kontrolümde öyleydi, autofill otomatik kapalı geldiği için o ayar sync edilmez, edilmesi ekstra bir katmanı devre dışı bırakır.
SpookJS gibi ataklara karşı da zafiyet istismar edilebilir. Chrome'un site isolation özelliğinin her zaman mükemmel çalışmadığını bilmekte fayda var.

BursaliEfsane · Bugün 01:26

Sizin kadar fareyi fil yapan başka kimseyi görmedim. Basit bir sorunu o kadar büyüttünüz ki gören sanacak çok çok kritik bir açık. Bu sorun oto doldurma açıkken yaşanıyor. Bundan etkilenmeniz için şifre yöneticisi kullanmak bile gerekmiyor. Herkes sahte sitelere girebilir ve farkında olmadan eliyle doldurabilir. Örnek veriyorum www.microsoft yerine www.rnicrosoft sitesine girdiniz ve bilgileri elinizle girdiniz hop gitti bilgiler. Bunun için şifre yöneticisi kullanmanız gerekmiyor. Kötü niyetli bir siteye denk gelirsen bilinçsiz bir kullanıcıysan her hesap bilgilerin karşı tarafa gitmiş oluyor zaten. Yıllardır denemediğim şifre yöneticisi kalmadı ve Reddit'te 1password, Bitwarden, Proton dahil olmak üzere birçok şifre yöneticisinin subunu takip ederim 1 kere bile bu sorundan dert yanan görmedim. Yazmayayım diyorum ama abarttığınızı görünce yazmadan duramıyorum. Tamam zihnimizde tutmak en sağlıklısı anladık. Yüzlerce sitenin şifresini artık zihnimizde tutacağız tamam. Hatta zihnimizde tuttuğumuz şifreye salt ekleyip karıştıracağız tamam. Bu sefer gerçekten daha da yazmıyorum artık konuyu sessize alıyorum.

Ceasar128 · Bugün 01:33

@BursaliEfsane Olay phising'e kanmak degil, Kriptografi iceren herhangi bir yazilim yapiyorsan olabildigince en ayrintisina kadar dusunulup aciklar kapatilmali, buyuk bir sorumluluk altina giriyosunuz. Yoksa 2FA Kodunu da verebilirsin phising'e kanip olay o degil zaten.

Don't roll your own crypto kavrami gibi dusunebilirsiniz bunu ikisi de buyuk sorumluluk.

BursaliEfsane · Bugün 15:39

Ceasar128 dedi:
@BursaliEfsane Olay Phising'e kanmak degil, Kriptografi iceren herhangi bir yazilim yapiyorsan olabildigince en ayrintisina kadar dusunulup aciklar kapatilmali, buyuk bir sorumluluk altina giriyosunuz. Yoksa 2FA Kodunu da verebilirsin Phising'e kanip olay o degil zaten.

Don't roll your own Crypto kavrami gibi dusunebilirsiniz bunu ikisi de buyuk sorumluluk.

Kusursuz yazılım yoktur. Şifre yöneticileri sihirli bir güç değildir. Senin yerine güçlü şifreler oluşturan ve bunları aklında tutmak zorunda kalmadığın yazılımlardır. Cihazına keylogger veya rootkit girdiyse şifreleriniz çalınabilir. Aynı şekilde sahte bir siteye girdiyseniz otomatik doldurma kapalıyken bile kullanıcı "Allah Allah neden doldurmuyor dur kendim kopyala yapıştır yapayım" diyerek doldurabilir. Otomatik doldurmayı kaldırabilirler elbette bu bir seçenek ancak varsayılan olarak kapalı geliyor zaten.

Ceasar128 · Bugün 17:53

BursaliEfsane dedi:
Kusursuz yazılım yoktur. Şifre yöneticileri sihirli bir güç değildir. Senin yerine güçlü şifreler oluşturan ve bunları aklında tutmak zorunda kalmadığın yazılımlardır. Cihazına keylogger veya rootkit girdiyse şifreleriniz çalınabilir. Aynı şekilde sahte bir siteye girdiyseniz otomatik doldurma kapalıyken bile kullanıcı "Allah Allah neden doldurmuyor dur kendim kopyala yapıştır yapayım" diyerek doldurabilir. Otomatik doldurmayı kaldırabilirler elbette bu bir seçenek ancak varsayılan olarak kapalı geliyor zaten.

Anlamak istemiyorsunuz e o halde yapabilecegim cok bir sey kalmiyor iyi gunler.

BursaliEfsane · 58 dakika önce

Ceasar128 dedi:
Anlamak istemiyorsunuz e o halde yapabilecegim cok bir şey kalmiyor iyi gunler.

Benim anlattıgımı siz anlamıyorsunuz. Her yönünden kusursuz bir yazılım yapamazsınız. Kullandığınız web tarayıcısı bile durmadan güvenlik açıkları ortaya çıkıyor ve sonradan yamalanıyor. Eklenti kurmadan sadece yerel çalışan bir şifre yöneticisi kullansanız bile bilgisayarına sokacağınız virüsle zaafiyet yaşarsınız. Herhangi bir kötü amaçlı siteye giriyorsanız sadece o siteye girdiğiniz şifre sorun yaşar. Eklentiye ulaşma gibi bir durum yok. Böyle bir şey olsa zaten bütün şifre yöneticisi kullananların kasaları patlatılır değil mi? Olay sadece bitwarden, 1password kullanıcısı değil milyarlarca insan tarayıcıların yerleşik şifre yöneticisini kullanıyor.

Şifre yöneticisi kullanılmalı mı?

Ayrıntılı düzenleme

Ceasar128

Hectopat

Dutchman

Terapat

BursaliEfsane

Picopat

Ceasar128

Hectopat

BursaliEfsane

Picopat

Ceasar128

Hectopat

BursaliEfsane

Picopat

Benzer konular

Bu konuyu görüntüleyen kullanıcılar

Technopat Haberler

Yeni konular

Yeni mesajlar

Gizliliğinize önem veriyoruz