Informacje, które dzisiaj dzisiaj przekazałeś w pigułce są bezcenne. Kilka lat temu zgłębiając temat szukałem jakiegoś sensownego opracowania tych wszystkich hashy, haseł, soli itp. - długo mi zajęło zanim skumałem o co chodzi. Dzisiaj dla mnie to nie tajemnica, ale chętnie obejrzałem odcinek i jestem pod wrażeniem. Nie pamiętam kto mi polecił Twój kanał (ktoś to zrobił na bank) - ale cieszę się, że to zrobił. Dobra robota kolega - tak trzymać!
Nagrasz film albo chociaż short o takich akcjach jak akcje Rumuna na wykopie? A tak poza tym to super kanał. Śledzę od coming outu u Klawitera 😃 Brawa dla całego zespołu
Właśnie skończyłem oglądać twój materiał na temat menadżerów haseł, który wypuściłeś kilka miesięcy temu, a tu pojawia się kolejny. Zabieram się do oglądania
Polecam Keypass Offline. Jest wersja na Windows oraz Android. Baza haseł jest zaszyfrowana hasłem głównym (wpisywanym przez użytkownika) oraz certyfikatem (plik txt, który tworzy sam użytkownik - może to być dowolnie długi ciąg znaków przypadkowych, ale też np. fragment książki, wiersz itp.). Do otwarcia bazy sama znajomość hasła głównego beż tego certyfikatu nic nie da. Plik z bazą haseł i certyfikatem można sobie trzymać na swojej chmurze i korzystać na dowolnym urządzeniu. IMHO najlepszy menadżer haseł.
Fajnie by było, jak byś zrobił jakieś porównanie menadżerów haseł. Sam siedzę od kilku lat na Bitwardenie ze względu między innymi na jego wersję dla Linuksa, opłacam roczną subskrypcję, ale wiele mu brakuje, możliwość przeszukiwania wpisów TYLKO po ich nazwach (!!!), bardzo wolne działanie...
Spoko materiał ale zabrakło trochę o ważnych dodatkowych rzeczach jak menadżer offline np keepass bo tylko o tym wspomniałeś. Oraz weryfikacja 2 etapowa czy to mniej bezpieczne TOTP czy bardziej bezpieczne standardy FIDO. Można też iść dalej i wspomnieć o własnych hostowaniu np bitwarena (choć wiem że to dla wielu nie najbezpieczniejsza opcja). O ile wspominałeś o wielu z tych rzeczy w innych materiałach warty by było o nich chociaż wspomnieć aby lepiej uświadomić widza. Trochę też mi zabrakło argumentacji czemu menadżerzy haseł są najlepsi i przez to na pewno znowu znajdzie się ktoś kto krzyknie "Mówiłem że karteczki są najlepsze!"
całkiem niegłupim (a przynajmniej tak na szybko) pomysłem byłoby wymyślenie sobie jakiegoś hasła stałego np. kotek123 potem dodanie do niego miejsca, gdzie ma być użyte np. kotek123-gmail i finalne użycie tego hasła, ale w postaci jego hasha... gdzie finalnym hasłem byłoby np. "4543C415234C5F71B7989D444881FFD42F53DD47D8D5C13A751217ABEDE7B345" przy sha256 :) bo potem i tak taki gmail zahashowałby hasha :) dzięki czemu metoda słownikowa odpada, a i brute force trochę by się zajechał ;) a dla nas problem żaden, bo pamiętamy pierwotne hasło, a generator hash (żeby uzyskać nasze finalne hasło) można wygooglać w 2 sekundy...
tldr; Bitwarden sie ociagal z ulepszeniami, ale dalej nie zaliczyl jeszcze zadnej wpadki. Bitwarden nadal jednym z najlepszych menadzerow hasel. Troche wiec bicie piany o nic, szczegolnie jak ma sie ustawione haslo logowania do menadzera ktore ma 20+ znakow.
Namawiam zachęcać do trzymania offlajnowych albo chociaż intranetowych baz danych (hue hue bo rodo) w firmach i krzywić się na digitalizowanie wszystkiego "bo inni tak robią" i "no bo wygodnie".
Zwykła przechowywarka do haseł, bez większych zabezpieczeń, więc w przypadku wycieku/włamania, mają dostęp do twoich haseł bez większego wysiłku. Polecam wyłączyć "zapisywanie haseł w przeglądarcę", to samo zrobić z płatnościami. Hasła przechowywać na zwykłej karcę a4, dodatkowo zgrać plik tekstowy na pendrive, bądź płytkę. Jeżeli mowa o solidnych menadżerach, to może Keepass & BitWarden, chodź nawet korzystanie z nich, nie gwarantuje 100% bezpieczeństwa. (:
Na telefonie z androidem zauważyłem ostatnio, że google pyta się mnie czy zapisać master password do jednego z wymienionych w materiale menadżerów haseł. Okazuje się że nie wiadomo kiedy przy aktualizacji chroma (którego nie mogę odinstalować z telefonu), włączył się menadżer haseł i zbiera sobie moje hasełka i przesyła je do chmury google
W kwestii rund: zrozumiałem, że wykonywanie wielokrotnego hashowania po stronie klienta nie ma sensu ponieważ końcowy wynik mógłby być wstrzyknięty z pominięciem procesu przy założeniu pełnej kontroli IO. Czy nie da się jednak zagwarantować wykonania tej pracy po stronie użytkownika? Czy z poziomu architektury jest możliwe wymuszenie pracy i gwarancji wyniku z TPM użytkownika? Czy istnieje też matematyczny proof of work dla potwierdzenia wykonania 10k rund? Odciążanie serwerów w tym przypadku brzmi bardzo sensownie o ile stoją za tym faktycznie bezpieczne koncepty.
mnie rozwaliło mózg, gdy zauważyłem, że w haśle master w bitwardenie można skutecznie używać znaków diakrytycznych - wiecie może, które inne menadżery dają taką możliwość?
zastanawiam się, czy istnieje jakiś prosty (dla chcącego zawsze jest zasymulowanie przez hashcut) sposób na oszacowanie, ile czasu potrzeba na złamanie utworzonego na podstawie danych warunków hasła?
Czyli podsumujmy. Mam ze 3 koparki po 100 kart graficznych. Jak podłączę to na lewo aby kraść prąd to mogę sobie co 180 dni wpadać po odszyfrowane hasła :) (Chiny lubią to)
Tylko LOKALNY manager hasel, nie trzymajcie SWOICH hasel na kompie kogos innego. Jedna kopia Kepasa (i nie na telefonie, bo ktos z palka was przekona do podania hasla) najlepiej na stacjonarnym PC (bo duze i ciezkie) i najlepiej na jakims Image z virtual desktop, ktory ladujecie tylko do hasel, i druga kopia na dysku SSD albo USB, zaszyfrowanym Truecryptem (z ukryta partycja na ktorej wlasnie jest backup kepas).
@@nmedokin ok, tutaj działa, ale rok jako jednostka czasu nie wymaga wyszczególnienia, że to o czas chodzi. Jest to pleonazm, na który mało kto zwraca uwagę, ale jako iż autor kanału zawsze tak pięknie się wysławia, pomyślałem że może chcieć znać ten językowy niuans 🙃
@@przymrozek jeśli zbadać semantykę tych słów to te połączenie nie jest pleonazmem, nawet nie jest to tautologia. Jest to nadmiarowość czyli redundancja co w tym kontekście nie jest błędem.
Po co ci NordPass (którego firma wszędzie się chamsko reklamuje) i inne korpo twory, skoro masz KeePassXC? Otwartoźródłowy menadżer, nad którym to ty masz pełną kontrolę i za którego nic nie płacisz. Tworzysz zaszyfrowany plik (a algorytm sam możesz wybrać między 256-bit AES, Twofish i ChaCha20) z hasłami, który wrzucasz na chmurę i synchronizujesz między urządzeniami. Obsługuje zarówno 2FA, jak i U2F. Czasem się zdarza, że menadżer nie wykrywa okna z hasłem, czy loginem, ale tu nie ma problemu, by wówczas ręcznie go wybrać na stronie.
Jako że nie jestem wielkim znawcą w tym temacie, to mam jedno pytanie w tej kwestii. Po dawno oglądanym filmie u Ciebie, oraz faktem iż jeden z moich wykładowców używał bjtwardena, skusiłem się na to rozwiązanie. Jednakże po tym filmie wnioskuje, że o wiele lepszym wyborem (aktualnie przynajmniej) jeśli chodzi o „bezpieczeństwo” haseł jest 1password, czy dobrze rozumiem?
Tak i nie. Bitwarden miał tą jedną wtopę z domyślną konfiguracją ale o ile nie doszło do wycieku (a wychodzi na to że nie) nie ma to znaczenia o ile się to naprawi w jego ustawieniach. 1Password na tym świetle wraz z tym secret key lepiej wygląda ale nie skresla to kompletnie bitwardena. Na minus 1Password jest to że nie jest otwarto źródłowe co ogranicza możliwości niezależnych audytów oraz postawiania własnego serwera. BItwardena możesz samemu hostować i jest to dość proste gotowe rozwiązanie. Wraz z połączeniem z VPN ryzyko wycieku spada bardzo bardzo. Wymaga to jednak pewnego researchu i zainteresowania się aby to zrobić prawidłowo
@Agrafka Agrafka Nie wiem skąd masz takie informacje ale gadasz głupoty. Jest dokładnie ten sam kod c# możliwy do hostowoania, są oficjalne instrukcje. Jest jeszcze nieoficjalny kompatybilny serwer napisany w rust więc jest wybór ale bardziej sprawdzany jest ten pierwszy (z drugiej strony rust jest bezpieczniejszym językiem)
@Agrafka Agrafka Teraz po prostu ułatwiają hostowane do jednego obrazu docker. Wcześniej też można było. Po prostu było to nieco bardziej skomplikowane. Sam to próbowałem. Jest taka opcja od bardzo dawna. Przeczytałeś po prostu pierwszą stronę w wyszukiwarce i to niedokładnie bo jest tam dosłownie: "The standard self-host deployment has been available since the beginning of Bitwarden". Jest dostępna znacznie starsza dokumentacja niż ten post
@Agrafka Agrafka aha ja zmieniłem temat no dobra ciekawe. Mówiłem o oficjalnym rozwiązaniu od bitwardena. Są i były obrazy docker co prawda osobno trzeba mieć serwer bazy (co oficjalnie teraz zmieniają tym jednym obrazem) ale dalej to proste i gotowe rozwiązanie wymagające małej konfiguracji. Ty natomiast twierdzisz że nie ma żadnego oficialnego sposobu hostowania bo tylko jakiś koleś coś przerobił. Jest to i od początku była nieprawda. Wersja w ruscie jest czymś innym i jak wspominałem jest alternatywnym nieoficialnym, nie tak audotywanym rozwiązaniem. Wspomniałem o nim bo myślałem że ty go pomyliłeś nie zdając sobie sprawy że zawsze był dostępny ten oryginalny kod serwera. Teraz jeszcze twierzisz że ja to pomyliłem gdzie jasno się wyraziłem co jest czym
@Agrafka Agrafka Nieco bardziej skomplikowany bo zamiast jednej komendy na pobranie obrazu są kilka plus ewentualne upewnienie się że kontenery działają i siebie widzą, 'Nieco' to idealne określenie bo to dalej proste podążanie za instrukcjami (z oficialnego źródła). Nie trzeba być 'geekiem' aby to zrobić ani nawet rozumieć jak to do końca działa. Dokładnie to miałem na myśli ale jak widać ty wiesz lepiej bo wspomniałem o alternatywnej wersji którą ludzie używają. Zastawania mnie co też jej się tak uczepiłeś. To naprawdę solidny kod z tą samą logiką i krytyczną implementacją (crypto czy auth) korzystającą z zaufanych sprawdzonych otwartych bibliotek. Ale jak wspomniałem zawsze lepiej mieć serwisy za VPN (jak już się tak rozpisuję to polecam do tego wireguarda), wtedy nawet luki 10/10 w vaultwardenie nie są zdalnie straszne naszemu serwerowi. Do tego też nie trzeba być geekiem. Dlatego też sporo osób go używa bo jest wygodny i z odpowiednią konfiguracją bardzo bezpieczny (O nie przyznałem to!) Jednocześnie dalej negujesz możliwość hostowania oficjalnej wersji serwera bo nie ma przycisku pobierz XD. Nie ma bo większość ludzie to nie interesuje wchodząc na stronę usługi chmurowej. Potrzebna dokumentacja dalej jest łatwo dostępna ale jak widać dla niektórych zbyt trudna. Wydawało mi się że moje wskazówki są wystarczające ale dalej wierzę że uda ci się to znaleźć. Zabawne też bo mi się wydaje że to ty teraz próbujesz obrócić kota ogonem nieudolnie zwalając cała winę na mnie przyczepiając się o słowka i dalej brnąc w swoje. Żeby nie było ja rozumiem że każdy może się mylić i czegoś nie wiedzieć ale jakakolwiek samorefleksja by się przydała. Lepiej będzie jak po prostu przestaniesz. Ale jak masz jakieś konstruktywne pytania to mogę odpowiedzieć (choć wyszukiwarka jest szybsza). Nauka w tych tematach na pewno by ci się przydała
Ta strona chyba jednak nie działa mail, którego miałem ponad 15 lat podawałem wszędzie codziennie przychodziło tyle spamu że skrzynka się nie ładowała i nic
Czy skonfigurowany drugi składnik logowania, np. klucz U2F, utrudni w jakikolwiek sposób robotę złodziejom w razie wycieku całego vaulta z popularnych menadżerów haseł? Chyba nie?
Drugi składnik logowania do menadżera na niewiele się zda w przypadku wycieku całego vaulta, natomiast skonfigurowanie uwierzytelniania dwuskładnikowego do poszczególnych kont zapisanych w menadżerze już bardzo utrudni dostęp do nich, mimo złamania haseł.
trochę sobie nie moge wyobrazić tego łamania haseł - ja po 3 razach - musze zresetować hasło/zasuwać do banku albo albo dzwonić na infolinie, a tu jakiś gość z kartą graficzną wpisuje tysiące możliwości(wiadomo automatycznie)?
Po wykradnięciu Twojej zaszyfrowanej bazy danych haseł, mogę z nią zrobić co tylko zechce. To co opisałeś nie jest wykradnięciem bazy danych jak w np. LastPass.
Zamknięty kod nie pozwala w pełni potwierdzić że jest bezpieczne (tak część jest otwarta ale np serwer nie co jest ważne w przypadku wycieków). Apple może twierdzić że jest ale ich słowo mało jest warte po wielu kłamstwach dotyczących bezpieczeństwa i prywatności oraz współpracach ze służbami. Jak nie można być pewnym bezpieczniej założyć że tak nie jest i używać pewniejszych bezpiecznych alternatyw
@@misoch właśnie to jest minus. Popatrz na statystyki. Otwarto źródłowe dobrze prowadzone projekty mają częściej wykrywane luki i błędy oraz szybsze lepszej jakości łatki. Jak nie znajdujesz błędów nie znaczy że one znikają a im jest ich mniej i bardziej jesteś ich świadomy tym lepiej
Czemu mam wrażenie że każde usunięcie jakiejś poddatności z oprogramowania powoduje powstanie więcej niż jednej nowej? W skutek czego walka z tym nie ma końca? Trochę w myśl anegdoty że komputer z którym można w szybki i łatwy sposób zrobić wszystko co chcemy/potrzebujemy oferuje 0% bezpieczeństwa informatycznego natomiast 100% bezpieczeństwa informatycznego jest wtedy kiedy w ogóle nie ma komputera :D Każde zabezpieczenie przesuwa funkcjonalność w stronę tej drugiej sytuacji.
Jest po prostu coraz więcej w tym interesu. Każdy używa systemów informatycznych do coraz bardziej poważnych rzeczy więc przestępcy mają w tym coraz większy interes. Bezpieczeństwa idzie cały czas do góry ale tak jest to nieustanna zabawa w kotka i myszkę i w zasadzie nie ma 100% bezpieczeństwa na wieczność. Brak użycia komputera w wielu rzeczach sprawia że coś jest jeszcze mniej bezpieczne. Prosty przykład podpisy cyfrowa korzystające z kryptografii asymetrycznej są dużo bardziej wygodne oraz bezpieczniejsze niż klasyczne podpisy długopisem, dlatego np nowe e-dowody mają taką funkcję
@@adam1709 Możliwość kryptograficznej weryfikacji dowodu fizycznie jak i zdalnie lub cyfrowego podpisu dokumentów. Można tak logować się na profil zaufany lub np załatwiać niektóre sprawy przez ePUAP. Możliwości jest sporo. Bo działa to podobnie jak np yubikey a klucz prywatny w dowodzie jest chroniony pinem
Mateuszu, zrób coś po pozbywaniu się fizycznych kard SIM i ukrywaniu numerów telefonów - coś jak to, tylko na polskim gruncie, w praktyce th-cam.com/video/HYNZKQZEHoU/w-d-xo.html
Mój sposób: Zapamiętuję wers z jakiegoś wiersza. Podczas wpisywania hasła recytuję ten wers i wpisuję pierwsze litery słów. Na końcu dodaję znak specjalny, miesiąc i dzień swoich imienin. Po pierwszym znaku dodaję pierwszą literę z adresu strony WWW, na której wpisuję hasło.
Baza danych Nasza zakuta pała na chwilę obecną jest najbezpieczniejsza jeśli chodzi o naszą wspaniałą pamięć krótkotrwałą, wystarczy łatwa kombinacja cyfr plus znaków zawsze takich samych plus prosty algorytm powiązany z nazwą serwera do którego chcemy się zalogować.
Tak nie jest. Sprawdź czym jest entropia. Jakiekolwiek powiązania i inna "łatwa kombinacja cyfr" czynią hasło dużo słabszym. O ile nie jesteś w stanie zapamiętać 15+ znakowe losowego hasła osobnego do każdego serwisu menadżer jest lepszą opcją
@@BxOxSxS Tak masz rację jeśli chodzi o bezpośredni atak taki algorytm jest łatwy do złamania. Jednak pamiętajmy że głównie chodzi o zwykłych użytkowników którzy są poza sensorem pożądanych przejęć.
@@heartblit Prawda mało prawdopodobne jest to że ktoś się do ciebie przyczepi ale właśnie robiąc tak zwiększasz na to prawdopodobieństwo bo jesteś łatwym i opłacalnym celem . Słowniki z algorytmami są już w użyciu nawet dla zwykłych osób. Atakujący może poznać twój algorytm z innego wycieku gdzie na przykład hasła nie były prawidłowo hashowane, następnie algorytm sprawdza milion możliwych kombinacji bo dalej stwierdza że się nie opłaca. I to wszystko automatycznie. Jest wysokie prawdopodobieństwo że uda mu się zgadnąć takie hasło. O ile teraz mało kto tak robi na większą skalę to raczej tylko kwestia niedalekiego czasu dlatego zawsze lepiej unikać tego typu technik hasłowych
Ciekaw jestem jakby tak do firm od menadżerów haseł przyszły służby, to jak by się one zachowały? xD Poszliby siedzieć za 5 usd miesięcznie, za nieujawnienie haseł klienta? xD
W dobie biometrii, elektronicznych kluczy U2F, a najlepiej FIDO2, używanie tekstowych haseł wydaje się jakimś nieporozumieniem. Niby 2023 rok, a dalej się w to trzeba bawić.
@@mbk5430 właśnie o to chodzi, że mało komu to się opłaca, albo chce wdrażać, dlatego tkwimy w tych tekstowych hasłach dalej 😉. Ale gdzie mogłem, to wdrożyłem. Taki klucz, szczególnie z NFC i biometrią zamiast pinu to fajna sprawa.
Fajny film ale nadal uważam że lepiej skorzystać ze starej sprawdzonej metoty? 100% nikt się nie włamie żaden włam nie straszy a i jeszcze darmowe Kartka z hasłami
Sposób nieszczególnie zły, ale nie bez wad. Pierwszy problem tkwi w generowaniu odpowiednio losowych haseł. Wymyślanie haseł z głowy jest mimo wszystko całkiem przewidywalne z perspektywy ich łamania. Jakimś sposobem na to jest metoda Diceware, czyli (w uproszczeniu) lista słów, z których budujemy frazę hasła za pomocą rzutów kostką. Włamy z internetu co prawda nie straszne, ale wystarczy że najzwyczajniej w świecie zgubisz taki notatnik / zostanie skradziony wraz z np. torbą. Jak jesteś przygotowany na taką sytuację? Masz kopie zapasowe? ;)
Oooo, jak rzadko słyszy się poprawnie użytego słowa "bynajmniej" :) normalnie muszę sobie zapisać ten fragment:D
Fajnie by było jak podałbyś która minuta w filmie.......
@@MarekCMZDJG 19:21
@@MarekCMZDJG pełen kontekst: th-cam.com/video/0he8Yqo38Z8/w-d-xo.html Czyli takie "wręcz przeciwnie"
Coś, zaraz po 19 minucie.
Ale za to "takie same hasło" we fragmencie około 8:30
Na tym kanale można dawać łapkę w górę w ciemno i na koniec filmiku, zostajesz z myślą, że i tak byś to zrobił
Informacje, które dzisiaj dzisiaj przekazałeś w pigułce są bezcenne. Kilka lat temu zgłębiając temat szukałem jakiegoś sensownego opracowania tych wszystkich hashy, haseł, soli itp. - długo mi zajęło zanim skumałem o co chodzi. Dzisiaj dla mnie to nie tajemnica, ale chętnie obejrzałem odcinek i jestem pod wrażeniem. Nie pamiętam kto mi polecił Twój kanał (ktoś to zrobił na bank) - ale cieszę się, że to zrobił. Dobra robota kolega - tak trzymać!
Nagrasz film albo chociaż short o takich akcjach jak akcje Rumuna na wykopie? A tak poza tym to super kanał. Śledzę od coming outu u Klawitera 😃 Brawa dla całego zespołu
WOW! Mega profesjonalne treści. Dzięki Mireczku!
Właśnie skończyłem oglądać twój materiał na temat menadżerów haseł, który wypuściłeś kilka miesięcy temu, a tu pojawia się kolejny. Zabieram się do oglądania
Już od jakiegoś czasu korzystam z menadżera haseł. Dzięki Tobie ;)
Polecam Keypass Offline. Jest wersja na Windows oraz Android. Baza haseł jest zaszyfrowana hasłem głównym (wpisywanym przez użytkownika) oraz certyfikatem (plik txt, który tworzy sam użytkownik - może to być dowolnie długi ciąg znaków przypadkowych, ale też np. fragment książki, wiersz itp.). Do otwarcia bazy sama znajomość hasła głównego beż tego certyfikatu nic nie da. Plik z bazą haseł i certyfikatem można sobie trzymać na swojej chmurze i korzystać na dowolnym urządzeniu. IMHO najlepszy menadżer haseł.
Dodaj do tego klucz sprzetowy YubiKey. Dziala to pod Windowsem jak i Linuxem ;)
O, jak ja lubię słuchać takich filmów!
Bardzo przystępnie przedstawione treści dla osób nietechnicznych jak ja. Dzięki. Leci sub bo warto
Fajnie by było, jak byś zrobił jakieś porównanie menadżerów haseł. Sam siedzę od kilku lat na Bitwardenie ze względu między innymi na jego wersję dla Linuksa, opłacam roczną subskrypcję, ale wiele mu brakuje, możliwość przeszukiwania wpisów TYLKO po ich nazwach (!!!), bardzo wolne działanie...
Nie używać menadżerów haseł chmurowych i z zamkniętym kodem źródłowym. Proste.
Jak zwykle top content, dzięki 🤌🏻
Spoko materiał ale zabrakło trochę o ważnych dodatkowych rzeczach jak menadżer offline np keepass bo tylko o tym wspomniałeś. Oraz weryfikacja 2 etapowa czy to mniej bezpieczne TOTP czy bardziej bezpieczne standardy FIDO. Można też iść dalej i wspomnieć o własnych hostowaniu np bitwarena (choć wiem że to dla wielu nie najbezpieczniejsza opcja). O ile wspominałeś o wielu z tych rzeczy w innych materiałach warty by było o nich chociaż wspomnieć aby lepiej uświadomić widza. Trochę też mi zabrakło argumentacji czemu menadżerzy haseł są najlepsi i przez to na pewno znowu znajdzie się ktoś kto krzyknie "Mówiłem że karteczki są najlepsze!"
Mówiłem że karteczki są najlepsze!
@@srocek3 Nice try. A przynajmniej mam taką nadzieję
@@BxOxSxS Karteczki hakier nie zhakuje.
Dzięki za ciekawy materiał.
😁
Dzięki za materiał!
Co myślicie o androidowym samsung pass, albo o menadżerach wbudowanych w przeglądarkę np. Firefoxa?
czemu ja tak późno odkryłem ten kanał ?? DLACZEGO !? ;)
Kajecik i ołówek to najlepszy menager haseł 😉
Pamietam kiedys BlackBerry i Password Keeper...najlepszy menadzer hasel jaki w zyciu uzywalem. Tulko mu ufalem :)
Hej, LastPass miał wcześniej wymógł masterpassa na 8 znaków - może być, że osoby wcześniej zakładające maja mniej bezpieczny maste
całkiem niegłupim (a przynajmniej tak na szybko) pomysłem byłoby wymyślenie sobie jakiegoś hasła stałego np. kotek123 potem dodanie do niego miejsca, gdzie ma być użyte np. kotek123-gmail i finalne użycie tego hasła, ale w postaci jego hasha... gdzie finalnym hasłem byłoby np. "4543C415234C5F71B7989D444881FFD42F53DD47D8D5C13A751217ABEDE7B345" przy sha256 :) bo potem i tak taki gmail zahashowałby hasha :)
dzięki czemu metoda słownikowa odpada, a i brute force trochę by się zajechał ;) a dla nas problem żaden, bo pamiętamy pierwotne hasło, a generator hash (żeby uzyskać nasze finalne hasło) można wygooglać w 2 sekundy...
Zalatwia mi to klucz sprzetowy YubiKey. Generuje ciag 40 znaków klucza stalego do ktorego dodaje wlasne haslo + nazwa pliku.
Ja od kilku lat używam Keepassa.
No właśnie … jeszcze się nie zdecydowałem
tldr; Bitwarden sie ociagal z ulepszeniami, ale dalej nie zaliczyl jeszcze zadnej wpadki. Bitwarden nadal jednym z najlepszych menadzerow hasel.
Troche wiec bicie piany o nic, szczegolnie jak ma sie ustawione haslo logowania do menadzera ktore ma 20+ znakow.
Namawiam zachęcać do trzymania offlajnowych albo chociaż intranetowych baz danych (hue hue bo rodo) w firmach i krzywić się na digitalizowanie wszystkiego "bo inni tak robią" i "no bo wygodnie".
Bez szans. Biznes jest biznes.
A co sądzisz o menadżerach i synchronizacji haseł w przeglądarkach takich jak Chrome, Opera, Firefox?
Zwykła przechowywarka do haseł, bez większych zabezpieczeń, więc w przypadku wycieku/włamania, mają dostęp do twoich haseł bez większego wysiłku. Polecam wyłączyć "zapisywanie haseł w przeglądarcę", to samo zrobić z płatnościami. Hasła przechowywać na zwykłej karcę a4, dodatkowo zgrać plik tekstowy na pendrive, bądź płytkę. Jeżeli mowa o solidnych menadżerach, to może Keepass & BitWarden, chodź nawet korzystanie z nich, nie gwarantuje 100% bezpieczeństwa. (:
Książka per sól
To ja w takim razie zapytam z czego Ty korzystasz i co byś polecał ? Ja od lat korzystam z KeePass ale może masz jakieś porady ?
Well done 👍✅
❤️❤️❤️
Może jakiś materiał o FIDO czy passkeys, passwordless. Zdaje się że 1password ogłosiło szybkie wdrozenie passkeys.
8:44 chyba się błędy w obliczeniach wkradły :)
Tylko KeePass, oczywiście minusem jest baza offline, ale przynajmniej bezpiecznie.
najbezpieczniejsza jest różowa czapka
Dużo osób poleca keepass 2. Nadal to aktualne ?
Keepass offline + odpowiednio skonfigurowany syncthing na swoich urządzeniach. Wydaje się bezpieczniejsze niż trzymanie bazy w cudzych chmurach.
Tak... Jak dodasz do tego klucz sprzetowy YubiKey.
Dobra to co nam się teraz pozmieniało z czego korzystać, przeglądarka to Brave oczywiście i korzystacie z tego generatora czy jakiegoś zewnętrznego ?
Na telefonie z androidem zauważyłem ostatnio, że google pyta się mnie czy zapisać master password do jednego z wymienionych w materiale menadżerów haseł. Okazuje się że nie wiadomo kiedy przy aktualizacji chroma (którego nie mogę odinstalować z telefonu), włączył się menadżer haseł i zbiera sobie moje hasełka i przesyła je do chmury google
Chyba najlepiej / najbezpieczniej używać czegoś w stylu keepassxc.
Ciekawy film, ale odgłosy tła trochę przeszkadzają.
W kwestii rund: zrozumiałem, że wykonywanie wielokrotnego hashowania po stronie klienta nie ma sensu ponieważ końcowy wynik mógłby być wstrzyknięty z pominięciem procesu przy założeniu pełnej kontroli IO. Czy nie da się jednak zagwarantować wykonania tej pracy po stronie użytkownika? Czy z poziomu architektury jest możliwe wymuszenie pracy i gwarancji wyniku z TPM użytkownika?
Czy istnieje też matematyczny proof of work dla potwierdzenia wykonania 10k rund?
Odciążanie serwerów w tym przypadku brzmi bardzo sensownie o ile stoją za tym faktycznie bezpieczne koncepty.
3:00 No ok a jak to się ma do haseł w przypadku WinRar czy 7z? póki co nie spotkałem się z informacją, że ktoś złamał hasło do tych archiwów 🤔
też nie wierzę że potrafi złamać 7zip, albo 7zip wygenerowanym w PeaZip z AES256 z np 20 znakowym pass
Gość jest mistrzem green screena.
To nie green screen 😉
@@winkoo_ też tak myślałem
mnie rozwaliło mózg, gdy zauważyłem, że w haśle master w bitwardenie można skutecznie używać znaków diakrytycznych - wiecie może, które inne menadżery dają taką możliwość?
zastanawiam się, czy istnieje jakiś prosty (dla chcącego zawsze jest zasymulowanie przez hashcut) sposób na oszacowanie, ile czasu potrzeba na złamanie utworzonego na podstawie danych warunków hasła?
Nie powiedziałeś czy cały czas używasz tego samego menadżera i jakiego 🤔
Czyli podsumujmy. Mam ze 3 koparki po 100 kart graficznych. Jak podłączę to na lewo aby kraść prąd to mogę sobie co 180 dni wpadać po odszyfrowane hasła :) (Chiny lubią to)
Czy ja Cię parę dni temu nie słyszałem przypadkiem w radiowej Trójce? :)
Tylko LOKALNY manager hasel, nie trzymajcie SWOICH hasel na kompie kogos innego. Jedna kopia Kepasa (i nie na telefonie, bo ktos z palka was przekona do podania hasla) najlepiej na stacjonarnym PC (bo duze i ciezkie) i najlepiej na jakims Image z virtual desktop, ktory ladujecie tylko do hasel, i druga kopia na dysku SSD albo USB, zaszyfrowanym Truecryptem (z ukryta partycja na ktorej wlasnie jest backup kepas).
0:46 "rok czasu" - a czy może być rok czegoś innego, niż czasu? 😉
rok przerwy, rok testów, rok jubileuszu... wymyśl sobie inne przykłady
13-sty rok miesięcznicy :P
@@nmedokin Tylko, że to wciąż określenie czasu. Jedyna sensowna odpowiedź w tym przypadku to: rok świetlny jako jednostka odległości.
@@nmedokin ok, tutaj działa, ale rok jako jednostka czasu nie wymaga wyszczególnienia, że to o czas chodzi. Jest to pleonazm, na który mało kto zwraca uwagę, ale jako iż autor kanału zawsze tak pięknie się wysławia, pomyślałem że może chcieć znać ten językowy niuans 🙃
@@przymrozek jeśli zbadać semantykę tych słów to te połączenie nie jest pleonazmem, nawet nie jest to tautologia. Jest to nadmiarowość czyli redundancja co w tym kontekście nie jest błędem.
Jak zawsze bardzo merytoryczny materiał... ale jak słyszę "rok czasu" 😮 Czy mówimy "kilogram wagi"?
A czy nie da się określić czasu między kolejnymi zgadywaniami hasła np do 0.5s?
KeePassXC ma taką opcję na max chyba do 5 sec :)
Co sądzisz o nordpass?
Po co ci NordPass (którego firma wszędzie się chamsko reklamuje) i inne korpo twory, skoro masz KeePassXC? Otwartoźródłowy menadżer, nad którym to ty masz pełną kontrolę i za którego nic nie płacisz. Tworzysz zaszyfrowany plik (a algorytm sam możesz wybrać między 256-bit AES, Twofish i ChaCha20) z hasłami, który wrzucasz na chmurę i synchronizujesz między urządzeniami. Obsługuje zarówno 2FA, jak i U2F. Czasem się zdarza, że menadżer nie wykrywa okna z hasłem, czy loginem, ale tu nie ma problemu, by wówczas ręcznie go wybrać na stronie.
Najlepszy menadżer, to karteczka i długopis. Trzeba być naiwnym żeby myśleć, że autorzy aplikacji nie mają dostępu do naszych kont
Ja korzystam z pęku kluczy w apple nie wiem czy dobre bo mam wszystkie produkty od apple
Jako że nie jestem wielkim znawcą w tym temacie, to mam jedno pytanie w tej kwestii. Po dawno oglądanym filmie u Ciebie, oraz faktem iż jeden z moich wykładowców używał bjtwardena, skusiłem się na to rozwiązanie. Jednakże po tym filmie wnioskuje, że o wiele lepszym wyborem (aktualnie przynajmniej) jeśli chodzi o „bezpieczeństwo” haseł jest 1password, czy dobrze rozumiem?
Tak i nie. Bitwarden miał tą jedną wtopę z domyślną konfiguracją ale o ile nie doszło do wycieku (a wychodzi na to że nie) nie ma to znaczenia o ile się to naprawi w jego ustawieniach. 1Password na tym świetle wraz z tym secret key lepiej wygląda ale nie skresla to kompletnie bitwardena. Na minus 1Password jest to że nie jest otwarto źródłowe co ogranicza możliwości niezależnych audytów oraz postawiania własnego serwera. BItwardena możesz samemu hostować i jest to dość proste gotowe rozwiązanie. Wraz z połączeniem z VPN ryzyko wycieku spada bardzo bardzo. Wymaga to jednak pewnego researchu i zainteresowania się aby to zrobić prawidłowo
@Agrafka Agrafka Nie wiem skąd masz takie informacje ale gadasz głupoty. Jest dokładnie ten sam kod c# możliwy do hostowoania, są oficjalne instrukcje. Jest jeszcze nieoficjalny kompatybilny serwer napisany w rust więc jest wybór ale bardziej sprawdzany jest ten pierwszy (z drugiej strony rust jest bezpieczniejszym językiem)
@Agrafka Agrafka Teraz po prostu ułatwiają hostowane do jednego obrazu docker. Wcześniej też można było. Po prostu było to nieco bardziej skomplikowane. Sam to próbowałem. Jest taka opcja od bardzo dawna. Przeczytałeś po prostu pierwszą stronę w wyszukiwarce i to niedokładnie bo jest tam dosłownie: "The standard self-host deployment has been available since the beginning of Bitwarden". Jest dostępna znacznie starsza dokumentacja niż ten post
@Agrafka Agrafka aha ja zmieniłem temat no dobra ciekawe. Mówiłem o oficjalnym rozwiązaniu od bitwardena. Są i były obrazy docker co prawda osobno trzeba mieć serwer bazy (co oficjalnie teraz zmieniają tym jednym obrazem) ale dalej to proste i gotowe rozwiązanie wymagające małej konfiguracji. Ty natomiast twierdzisz że nie ma żadnego oficialnego sposobu hostowania bo tylko jakiś koleś coś przerobił. Jest to i od początku była nieprawda. Wersja w ruscie jest czymś innym i jak wspominałem jest alternatywnym nieoficialnym, nie tak audotywanym rozwiązaniem. Wspomniałem o nim bo myślałem że ty go pomyliłeś nie zdając sobie sprawy że zawsze był dostępny ten oryginalny kod serwera. Teraz jeszcze twierzisz że ja to pomyliłem gdzie jasno się wyraziłem co jest czym
@Agrafka Agrafka Nieco bardziej skomplikowany bo zamiast jednej komendy na pobranie obrazu są kilka plus ewentualne upewnienie się że kontenery działają i siebie widzą, 'Nieco' to idealne określenie bo to dalej proste podążanie za instrukcjami (z oficialnego źródła). Nie trzeba być 'geekiem' aby to zrobić ani nawet rozumieć jak to do końca działa. Dokładnie to miałem na myśli ale jak widać ty wiesz lepiej bo wspomniałem o alternatywnej wersji którą ludzie używają. Zastawania mnie co też jej się tak uczepiłeś. To naprawdę solidny kod z tą samą logiką i krytyczną implementacją (crypto czy auth) korzystającą z zaufanych sprawdzonych otwartych bibliotek. Ale jak wspomniałem zawsze lepiej mieć serwisy za VPN (jak już się tak rozpisuję to polecam do tego wireguarda), wtedy nawet luki 10/10 w vaultwardenie nie są zdalnie straszne naszemu serwerowi. Do tego też nie trzeba być geekiem. Dlatego też sporo osób go używa bo jest wygodny i z odpowiednią konfiguracją bardzo bezpieczny (O nie przyznałem to!)
Jednocześnie dalej negujesz możliwość hostowania oficjalnej wersji serwera bo nie ma przycisku pobierz XD. Nie ma bo większość ludzie to nie interesuje wchodząc na stronę usługi chmurowej. Potrzebna dokumentacja dalej jest łatwo dostępna ale jak widać dla niektórych zbyt trudna. Wydawało mi się że moje wskazówki są wystarczające ale dalej wierzę że uda ci się to znaleźć.
Zabawne też bo mi się wydaje że to ty teraz próbujesz obrócić kota ogonem nieudolnie zwalając cała winę na mnie przyczepiając się o słowka i dalej brnąc w swoje. Żeby nie było ja rozumiem że każdy może się mylić i czegoś nie wiedzieć ale jakakolwiek samorefleksja by się przydała. Lepiej będzie jak po prostu przestaniesz. Ale jak masz jakieś konstruktywne pytania to mogę odpowiedzieć (choć wyszukiwarka jest szybsza). Nauka w tych tematach na pewno by ci się przydała
8:55 - Co to za herezje? Jedyne co się zgadza to 30 mod 11. 😱
A szyfrowanie zaszyfrowanych haseł coś da?
Ta strona chyba jednak nie działa mail, którego miałem ponad 15 lat podawałem wszędzie codziennie przychodziło tyle spamu że skrzynka się nie ładowała i nic
👍🏼
Czy skonfigurowany drugi składnik logowania, np. klucz U2F, utrudni w jakikolwiek sposób robotę złodziejom w razie wycieku całego vaulta z popularnych menadżerów haseł? Chyba nie?
Drugi składnik logowania do menadżera na niewiele się zda w przypadku wycieku całego vaulta, natomiast skonfigurowanie uwierzytelniania dwuskładnikowego do poszczególnych kont zapisanych w menadżerze już bardzo utrudni dostęp do nich, mimo złamania haseł.
A co z najpopularniejszym menadżerem haseł. Często ludzie nawet nie wiedzą że z niego korzystają. Mowa o Google Password manager.
Na GPM nie da się zarobić, to po co o nim opowiadać ;-)
@Mateusz Chrobok literówka ci się wkradła w tytule filmu :)
Moja żona to mój menadżer haseł
trochę sobie nie moge wyobrazić tego łamania haseł - ja po 3 razach - musze zresetować hasło/zasuwać do banku albo albo dzwonić na infolinie, a tu jakiś gość z kartą graficzną wpisuje tysiące możliwości(wiadomo automatycznie)?
Po wykradnięciu Twojej zaszyfrowanej bazy danych haseł, mogę z nią zrobić co tylko zechce. To co opisałeś nie jest wykradnięciem bazy danych jak w np. LastPass.
"Wtf" jest do tego fajny, tylko nie został wydany i nie zostanie wydany ponieważ owy program działa w domenie i nie można będzie go pobrać
Czy ma Pan albo ktoś z komentarzy opinie na temat NordPass-a?
Paczkarnia U Słowika rządzi 💪
A o KeePassium nic?
Niezły program, ale nie wiem czy Strongbox nie lepszy.
Brakuje mi informacji o często używanych menadżerach od Google i Apple
Wniosek jest zgodny z prawdą: nie są warte uwagi i lepiej unikać oraz korzystać ze sprawdzonych przeznaczonych do tego narzędzi
Jakie wnioski dla użytkowników Bitwarden? Zmieniać wszytskie hasła? Zmieniać menadżer?
Ja zostaje przy Bitwardenie. Mieli lekką wtopę ale wycieku danych nie.
Również zostaję. Dla zwykłego "Kowalskiego" nie był to incydent skreślający tego dostawcę, w dodatku do wszystkiego się przyznali i załatali podatność
Ja tam używam wbudowanego w konto Google menedżera haseł i Apple
Na wojnie nigdy nie wsadza się całej generalicji do jednego samolotu, just saying
Co gdyby zbudować odpowiednio potężny botnet na chociażby200/300 GPU? Można to przecież wykorzystać jako taki dekoder.
Dlatego czas jak ktos sie nie panoszy po swiecie notes to skarb
A jak bezpieczny jest pęk kluczy w Apple?
bardzo
Zamknięty kod nie pozwala w pełni potwierdzić że jest bezpieczne (tak część jest otwarta ale np serwer nie co jest ważne w przypadku wycieków). Apple może twierdzić że jest ale ich słowo mało jest warte po wielu kłamstwach dotyczących bezpieczeństwa i prywatności oraz współpracach ze służbami. Jak nie można być pewnym bezpieczniej założyć że tak nie jest i używać pewniejszych bezpiecznych alternatyw
Ja przez długi czas używałem na iPhonie Keepassium oraz Strongbox z bazą keepass, ale przerzuciłem się na apple'owe Keychain.
@@BxOxSxS zamknięty kod ma też zalety - nie można znaleźć luki przeglądając kod źródłowy.
@@misoch właśnie to jest minus. Popatrz na statystyki. Otwarto źródłowe dobrze prowadzone projekty mają częściej wykrywane luki i błędy oraz szybsze lepszej jakości łatki. Jak nie znajdujesz błędów nie znaczy że one znikają a im jest ich mniej i bardziej jesteś ich świadomy tym lepiej
Czy to oznacza, że przerzuciłeś się na 1password Mateusz? :P
Nie słyszałem o żadnej wpadce 😅
@@MateuszChrobok To znaczy, że dopiero usłyszysz 😆
Nigdy nie wierzyłem menadżerom haseł. Mam inny swój sposób na przechowywanie haseł.
1password aleś ty mi zaimponował teraz xd
Czemu mam wrażenie że każde usunięcie jakiejś poddatności z oprogramowania powoduje powstanie więcej niż jednej nowej? W skutek czego walka z tym nie ma końca? Trochę w myśl anegdoty że komputer z którym można w szybki i łatwy sposób zrobić wszystko co chcemy/potrzebujemy oferuje 0% bezpieczeństwa informatycznego natomiast 100% bezpieczeństwa informatycznego jest wtedy kiedy w ogóle nie ma komputera :D Każde zabezpieczenie przesuwa funkcjonalność w stronę tej drugiej sytuacji.
Jest po prostu coraz więcej w tym interesu. Każdy używa systemów informatycznych do coraz bardziej poważnych rzeczy więc przestępcy mają w tym coraz większy interes. Bezpieczeństwa idzie cały czas do góry ale tak jest to nieustanna zabawa w kotka i myszkę i w zasadzie nie ma 100% bezpieczeństwa na wieczność. Brak użycia komputera w wielu rzeczach sprawia że coś jest jeszcze mniej bezpieczne. Prosty przykład podpisy cyfrowa korzystające z kryptografii asymetrycznej są dużo bardziej wygodne oraz bezpieczniejsze niż klasyczne podpisy długopisem, dlatego np nowe e-dowody mają taką funkcję
@@BxOxSxS co daje ten podpis w dowodzie?
@@adam1709 Możliwość kryptograficznej weryfikacji dowodu fizycznie jak i zdalnie lub cyfrowego podpisu dokumentów. Można tak logować się na profil zaufany lub np załatwiać niektóre sprawy przez ePUAP. Możliwości jest sporo. Bo działa to podobnie jak np yubikey a klucz prywatny w dowodzie jest chroniony pinem
Czy lesspass nie jest rozwiązaniem na wszystkie te bolączki?
Albo analogowo na kartce zapisac
Od machania rękami komentatora, ręce mnie bolą. Czy tak musi być? :-(
4:34 szczecina trze o mica
Cześć
Menadżer haseł jest ok ale tylko w wersji offline. Te wszystkie które bazują na przechowywaniu haseł gdzieś w chmurze to dla mnie dziadostwo.
racja, wygoda za coś
keepassxc?
najlepszy, polecam :D nie rozumiem tych ludzi co korzystają z rozwiązań online dla celów osobistych.
Ktoś się orientuję jak z jakością szyfrowania "dashline"?
Mateuszu, zrób coś po pozbywaniu się fizycznych kard SIM i ukrywaniu numerów telefonów - coś jak to, tylko na polskim gruncie, w praktyce th-cam.com/video/HYNZKQZEHoU/w-d-xo.html
Stan na dzień dzisiejszy?
Mój sposób:
Zapamiętuję wers z jakiegoś wiersza. Podczas wpisywania hasła recytuję ten wers i wpisuję pierwsze litery słów. Na końcu dodaję znak specjalny, miesiąc i dzień swoich imienin. Po pierwszym znaku dodaję pierwszą literę z adresu strony WWW, na której wpisuję hasło.
Hhhaaa powodzenia w zapamiętywaniu tego jak masz tak jak ja 215 haseł. Serio.. Powodzenia.
@@knopigames może wszędzie ma takie samo ;)
Baza danych Nasza zakuta pała na chwilę obecną jest najbezpieczniejsza jeśli chodzi o naszą wspaniałą pamięć krótkotrwałą, wystarczy łatwa kombinacja cyfr plus znaków zawsze takich samych plus prosty algorytm powiązany z nazwą serwera do którego chcemy się zalogować.
Tak nie jest. Sprawdź czym jest entropia. Jakiekolwiek powiązania i inna "łatwa kombinacja cyfr" czynią hasło dużo słabszym. O ile nie jesteś w stanie zapamiętać 15+ znakowe losowego hasła osobnego do każdego serwisu menadżer jest lepszą opcją
@@BxOxSxS Tak masz rację jeśli chodzi o bezpośredni atak taki algorytm jest łatwy do złamania. Jednak pamiętajmy że głównie chodzi o zwykłych użytkowników którzy są poza sensorem pożądanych przejęć.
@@heartblit Prawda mało prawdopodobne jest to że ktoś się do ciebie przyczepi ale właśnie robiąc tak zwiększasz na to prawdopodobieństwo bo jesteś łatwym i opłacalnym celem . Słowniki z algorytmami są już w użyciu nawet dla zwykłych osób. Atakujący może poznać twój algorytm z innego wycieku gdzie na przykład hasła nie były prawidłowo hashowane, następnie algorytm sprawdza milion możliwych kombinacji bo dalej stwierdza że się nie opłaca. I to wszystko automatycznie. Jest wysokie prawdopodobieństwo że uda mu się zgadnąć takie hasło. O ile teraz mało kto tak robi na większą skalę to raczej tylko kwestia niedalekiego czasu dlatego zawsze lepiej unikać tego typu technik hasłowych
@@BxOxSxS Git👊
Ciekaw jestem jakby tak do firm od menadżerów haseł przyszły służby, to jak by się one zachowały? xD Poszliby siedzieć za 5 usd miesięcznie, za nieujawnienie haseł klienta? xD
W dobie biometrii, elektronicznych kluczy U2F, a najlepiej FIDO2, używanie tekstowych haseł wydaje się jakimś nieporozumieniem. Niby 2023 rok, a dalej się w to trzeba bawić.
Jedyny passwordless login na jaki w tej chwili możemy liczyć to prośba o reset hasła każdorazowo przy próbie logowania ;)
@@mbk5430 właśnie o to chodzi, że mało komu to się opłaca, albo chce wdrażać, dlatego tkwimy w tych tekstowych hasłach dalej 😉. Ale gdzie mogłem, to wdrożyłem. Taki klucz, szczególnie z NFC i biometrią zamiast pinu to fajna sprawa.
LastPass to tak średnio już.
Ciekawe czy da się złamać dane biometryczne
Da się je ukraść.
@@MrRekss1 💀
tylko mnie zastanawia co robią ci ludzie z tyłu?
Fajny film ale nadal uważam że
lepiej skorzystać ze starej sprawdzonej metoty?
100% nikt się nie włamie
żaden włam nie straszy
a i jeszcze darmowe
Kartka z hasłami
Wszystko ma minusy.
Sposób nieszczególnie zły, ale nie bez wad. Pierwszy problem tkwi w generowaniu odpowiednio losowych haseł. Wymyślanie haseł z głowy jest mimo wszystko całkiem przewidywalne z perspektywy ich łamania. Jakimś sposobem na to jest metoda Diceware, czyli (w uproszczeniu) lista słów, z których budujemy frazę hasła za pomocą rzutów kostką.
Włamy z internetu co prawda nie straszne, ale wystarczy że najzwyczajniej w świecie zgubisz taki notatnik / zostanie skradziony wraz z np. torbą. Jak jesteś przygotowany na taką sytuację? Masz kopie zapasowe? ;)
Ale o ssssso chodzi?