Forum

Güvenli Parola Depo...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Güvenli Parola Depolama Programı

7 Yazılar
4 Üyeler
3 Reactions
140 Görüntüleme
(@mustafadagistanli)
Gönderiler: 117
Estimable Member
Konu başlatıcı
 

Merhabalar.

Dün sabahtan beri hesaplarımda şüpheli işlemler oluyor; Twitter tekrar giriş istedi, Instagram profilime 100+ takip eklendi, LinkedIn profil fotoğrafım kaldırıldı, Hotmail hesaplarımda IMAP eşitlemesi yapıldı, Gmail hesaplarıma giriş yapıldı vs ama hiç bir hesabım ele geçirilmedi.

Şifre değiştiriyorum, 2FA etkin olmayanlarda etkinleştiriyorum.

LastPass kullanıyorum, daha önce KeePass kullanıyordum uzun süre önce bıraktım ve yakın zamanda KeePass yazılımcısının verileri koklayabilmesini sağlanana backdoor olduğunu duydum.

Çevrenizde hack dalgalanması var mı?

Önerebileceğiniz KeePass benzeri offline parola depolama uygulaması var mı?

 
Gönderildi : 19/05/2024 22:26

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33070
Illustrious Member Yönetici
 

Merhaba, Bitwarden, 1password, KeePassXC, Enpass gibi uygulamalar kullanabilirsiniz.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 21/05/2024 17:42

(@mustafadagistanli)
Gönderiler: 117
Estimable Member
Konu başlatıcı
 

Teşekkür ederim hocam. LastPass'ta korkunç bir sızıntı olmuştu, "kimse zarar görmedi" açıklaması yapmışlar ama bir site, 150 kişinin toplam 35 milyon Dolar Bitcoin'inin çalındığını yazmış. Bir firmada çalışırken KeePass kullanmam yasaklanmıştı; KeePass yazılımcısının verileri çaldığına inanılıyordu. Herkes yüzlerce, binlerce şifreyi nerede tutuyor, LastPass ve KeePass'ta mağdur olan var mı merak ediyorum.

 
Gönderildi : 21/05/2024 20:43

ibrahim yildiz
(@ibrahimyildiz)
Gönderiler: 4385
Co-Helper
 

Bu forumdan mağdur bulmanız zor, bence bulsanız da bulmasanız da belirleyici olmaması lazım.:) Güvenlik haberlerini takip ediyorsanız sızıntıları duyduysanız iş bitmiştir. Bahsettiğiniz 2 uygulamanın da haberleri daha önce düşmüştü. Ki globalde çok çok yaygın olmayanların haberleri globale de düşmüyor olabilir kendi community'lerini takip etmek lazım. Sadece buna özel değil int. üzerinden kolaylık sağlayan tümü için geçerli sayılar büyük adetlere ulaşmadıkça ve satış konusu olmadıkça sorun yaşayanlar dışında kimsenin haberi bile olmayabilir. Odaklı saldırıların hedefi içinde kalabilir kişiler. Mesela yıllar yıllar önce güvenliyiz dedikleri ve hiç vaka yaşanmadığı dönemde teamviewer da benim cihazlarıma girişimde bulunuldu hiç yaygın haber felan da düşmedi o günden sonra da bir daha o tip yazılımları service/operator olarak tanımlamadım hiçbir yere. Sonra ki vakalardan da ben etkilenmemiş oldum.:)

Yani bu kolaylıktan faydalanmak istiyorsanız riski alacaksınız yada hiçbirşey kullanmayacaksınız.:) Şirketlerin söylemi önemli değil bence burada, yaşanmışlıkta değil bir kere yaşayabilir ve bin pişman olabilirsiniz.:) Tamamen risk gözetimi ve hayat tercihleriyle ilgili. 
İlla kullanmak istiyorsanız ben şöyle yapardım kurumsala da hitap eden en yüksek yıllık ücretli, en az kullanıcılı hangisiyse varsa şayet öyle birşey gider onu alır kullanırdım. Free her zaman ucuz etin yahnisidir hedef tahtasına renk olmaktır.

Bu iş risk gözalımı gerektiriyor çünkü vpn'ler gibi hedeflilik içerisinde, mevcut dünyada devasa gelir üretiyor o yüzden de o kadar attacker üretiyor. Browserlar ve bu tip uygulamalar hedef alan içerisinde.

Bana göre cloud'a teslim etmektense cihazında notepad de açık tutmak bile daha güvenli olabilir.:P 
Şifrelerini şifreli excel de tutup onu da uzun şifreli rar da tutan insanlar biliyorum.:) Kimisi çıldıracak pozisyonda. Bu da çağın sorunları içerisinde kolay bir çözümü yok. Kimisi apple'a güvenip sync ile iphone'larından yönetiyordu sonra apple'dan da sızdığı anlaşıldı.:)
Bilgisayarlara bulaşıp dikkate değer hiçbirşey yapmayıp browserlar ve bu tip uygulamaları tarayıp kırmaya çalışıp dosyaları bir yerlere gönderen trojanlar ve illegal browser yapışkanları var. Yani güvenlik ve güvenirlik uçsuz bir dünya size hapı seçmek kalıyor.

'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 22/05/2024 01:29

(@serkanates)
Gönderiler: 1294
Üye
 

Merhaba;

Ben konuya farklı bir noktadan yaklaşmak istiyorum. Söz konusu yazılım olunca "Güvenli" diye bir şey yoktur. Bugün milyon dolar ar-ge yapan yazılım firmalarının ürünlerinde açıklar çıktığını görürsünüz. Bu başarısızlık değil işin doğası gereğidir. Meşhur anonim söz ile paragrafı kapatayım, "Açığı olmayan yazılım yoktur, açığı tespit edilmemiş yazılım vardır"

Peki ne yapacağız? Ben de @ibrahimyildiz ın sözlerine katılıyorum. Bazı drumlarda şifreleri bir uygulamaya kaydetmektense txt dosyada tutmak daha güvenli olabilir. Bu içerisinde bulunduğunuz networke göre değişiklik gösterir. Peki bir çok hesap var, belirli periyotlarda şifre değişimi istiyor, her birinin şifre algoritması farklı! Bu noktada merkezi kimlik yönetimi konusu devreye girer. Kimlik yönetimi için bir merkeziniz olur, diğer uygulamalarınız bu merkez üzerinden kimliklerini doğrular. En basit hali ile Windows ekosisteminiz varsa büyük ihtimalle Active Directory'de vardır. Bugün bilinen uygulamaların tamamına yakını Active Directory ile entegre çalışabilir. Merkezi kimlik yönetimi sayesinde şifre politikalarının yönetim ve işletme maliyetleri düşer. Active directory üzerinden hesabı pasif yaptığınızda kullanıcının entegre olmuş tüm uygulamalara erişimi sonlanmış olur vs. ERP sisteminizin yanında, firewall, switchleriniz için de Active Directory ile entegrasyon yapabilirsiniz.

Peki tek başına active directory yeterli mi? İyi uygulamalara (best practice) baktığınızda yetersiz olduğunu siz de hemen fark edeceksiniz. Yapılandırmaya mutlaka 2FA, MFA vb. (çok faktörlü kimlik doğrulama) eklenmeli. Bu sayede kimlik bilgileri ele geçirilse bile sistem ikinci bir yöntem ile (genelde token) sizi doğrulama yapmak zorunda bırakır. Bankacılık uygulamalarında bunu SMS veya uygulama onayı şeklinde görürüz.

Toparla Serkan. Bana göre şifrelerimizi bir uygulamada tutmak, şifrelerimizi başkasına emanet etmekten farksız. Merkezi kimlik yönetimi ile ilgili forumda bir çok başlık mevcuttur, merkezi kimlik yönetimi konu başlığını incelemenizi önerir iyi çalışmalar dilerim.

Anahtar Kelimeler: LDAP, Active Directory, Entegrasyon

 
Gönderildi : 22/05/2024 08:28

(@mustafadagistanli)
Gönderiler: 117
Estimable Member
Konu başlatıcı
 

Gönderen: @ibrahimyildiz

Şifrelerini şifreli excel de tutup onu da uzun şifreli rar da tutan insanlar biliyorum.:)

Şifreli Excel dosyasını, şifre deneyerek tutturmak dışında açmanın yolu yok diye biliyorum. 90'lara dönebiliriz.

Keylogger kapmadıysak ya da metrobüste dosyayı açmazsak güvende sayılırız 😊 

 

 
Gönderildi : 22/05/2024 12:10

(@mustafadagistanli)
Gönderiler: 117
Estimable Member
Konu başlatıcı
 

Gönderen: @serkanates

Merhaba;

Ben konuya farklı bir noktadan yaklaşmak istiyorum. Söz konusu yazılım olunca "Güvenli" diye bir şey yoktur. Bugün milyon dolar ar-ge yapan yazılım firmalarının ürünlerinde açıklar çıktığını görürsünüz. Bu başarısızlık değil işin doğası gereğidir. Meşhur anonim söz ile paragrafı kapatayım, "Açığı olmayan yazılım yoktur, açığı tespit edilmemiş yazılım vardır"

 

"Benimki iPhone olduğu için virüs kapmıyor" diyenlere söyliyeyim bunu, güzel söz 😊 

(Gerçi Pegasus ile iPhone'ların nasıl izlendiğini anlattığımda umursamıyorlar)

 

 
Gönderildi : 22/05/2024 12:16

Paylaş: