Mest säkra Password Manager som finns?

Bitwarden med https://github.com/dani-garcia/bitwarden_rs
Så kan du hosta allt själv samt köra alla bitwarden appar

Keepass har jag kört i många år, och gör precis det den ska. Har inte min databas i något moln, endast lokalt/offline.

Mest säkra är väl att köra helt egen "hosted" password manager? Jag kör själv en bitwarden på min server i docker. Med andra ord sparas all lösen på hårddisken i hemmet. Kommer åt dem vart som helst med tvåstegs verifiering. Även det är open source och krypterat end-to-end

Jag håller med fullständigt, som jag sa, intressant läsning, inte mer än så.

Problemet med Apple / App Store är att även om det nu skulle släppas öppen källkod, hur kan man sen verifiera att källkoden dom släppt faktiskt är den som kompilerats och skickats ut på App Store?

Det man då i extremfallet kan göra är att köpa sig ett eget dev-konto för 1000:- per är och sen sitta och ”sideloada” apparna själv, varje uppdatering. Smidigt...

https://protonvpn.com/blog/open-source/
Dom har precis det problemet. Jag har flera gånger frågat hur man ska kunna verifiera att en viss version på Appstore är byggd av en viss source men inte fått något svar.
Någon här kanske vet?

Ja, självklart var det intressant läsning Jag gillar sådana artiklar som är detaljerade och utförliga. Det är därför jag gillar Kasperskys blogg

Om man förstår sig på källkoden, så kan man sitta och jämföra den med det som finns i appen/tjänsten. Om båda överrensstämmer med varann, så är appen/tjänsten lika uppdaterad som källkoden.

Men om man inte kan förstå sig på källkoden, så kan man läsa vad andra säger, som förstår sig på den. Personer i öppen källkod-community'n tenderar till att vara väldigt ärliga av sig. En del till och med bygger om/vidare och förbättrar källkoden så att andra kan ta del av den på bästa möjligaste sätt (åtgärdar buggar, täpper till säkerhetshål, tar bort eventuella trackers, med mera). Det är därför jag älskar öppen källkod.

Jag jämför oftast World of Warcraft med stängd källkod och EVE Online med öppen källkod, då båda delar samma innebörd. World of Warcraft är begränsat gällande vad man kan göra, samma som med stängd källkod: man får det utvecklarna gör åt en. EVE Online är öppen och låter spelarna göra det de själva vill göra och spelet är även community-baserat (spelarna avgör hur berättelsen och konsekvenserna i spelet ska vara - inte utvecklarna).

Helt säker kan man inte vara. Stängda appar kan ha fördelar ur säkerhetssynpunkt, men även Open Source. Men så länge man inte kan gå igenom koden helt och kompilera själv så är Open Source kanske bara lite säkrare. Det är fler som kan hitta buggar i koden helt enkelt. Man vet inte om Keepass eller Bitwardens program är säker om man laddar ner dom på deras sida.

Precis som alla andra program på datorn eller telefonen så måste man till viss del lita på säkerheten. Steam eller microsoft kan också bli hackade och det kan då finnas malware i dessa som då i sin tur kan lyssna av din dator.

Password Manager är till för att kunna ha unika lösenord på varje sida.

Så PM är inte något som säkrar dina lösenord till 100% utan dess främsta funktion är att säkra dina andra konton om någon databas blir hackad på en hemsida. Om din PM blir hackad så är det ju otroligt jobbigt, men att det händer är mindre risk än att en databas på en hemsida sprider ditt återanvända lösenord.

Prova Bitwarden eller någon annan och lägg in lite lösenord och prova. Jag provade de flesta vi pratat om här men kom tillbaka till Keepass. T.ex. Bitwarden eller Keepass är ju riktiga program där man kan trycka en hotkey när man ska logga in på en sida, detta har ju fördelen att man slipper ha plugin till sin webbläsare som då känns mer osäkert.

Kör bitwarden efter att ha kört 1password i många år.
Gillade 1password, men inte subscription modellen. Saknar inget därifrån med bitwarden dock så är nöjd.

https://hometechblogger.com/how-to-install-bitwarden-with-doc...
Kör den med min synology nas. Samt så kör jag med en synology.me domän då de har inbyggt stöd för let's encrypt. Riktigt nöjd med setupen

Okej?

Vad säger att dom inte lagt till 1 rad kod som skickar upp ditt master-password till deras server, så dom i sin tur kan sitta och läsa din databas?

Det jag är ute efter är nått i stil med att Apple visar upp någon typ av checksumma på den kompilerade binären, så att man på egen hand kan kompilera upp källkoden och verifiera att det är 100% av den angivna källkoden som faktiskt är det som jag laddar ner och kör.

Som jag redan skrev: community'n

Om Bitwarden nu har ändrat en rad som skickar ens huvudlösenord till deras server i klartext, så skulle folk se det i källkoden (som alltid ska vara up to date (en tumregel)) och klassa Bitwarden som osäker och varna andra. Plus, om Bitwarden skulle lägga in den raden i källkoden och inte skulle ladda upp ändringen till GitHub, så skulle de gå emot deras Terms of Service (sektion B, kapitel 3 (User Account Security)), vilket säger att det är du som ansvarar för säkerheten av ditt konto - inte dom.

Personligen gillar jag inte Apple. När jag skulle konfigurera morsans första iPhone förra månaden, så var hon tvingad till att logga in på hennes Apple ID-konto. Gjorde hon inte det, så förbjöd Apple henne att använda produkten. Det var lite som med tangentbordsappen SwiftKey, som jag konfigurerade åt henne i går. För att slutföra konfigureringen och göra så att hon kunde använda förutsägelser om nuvarande och nästa ord, så var hon tvingad att ge Microsoft full tillgång till hennes inmatningar. Jag är väldigt allergisk mot sånt sedan upptäckten att Microsoft har en keylogger i Windows 10 (bevis).

Men tilbaka till Apple nu då. När jag ringde till Apples support i våras i och med uppköpet av Dark Sky, så var jag tvungen att ange förnamn, efternamn, telefonnummer och e-postadress. Gjorde jag inte det, så skulle jag inte få någon hjälp alls. Fick senare veta att mina uppgifter kommer att vara kvar i deras system i minst 90 dagar, men lyckades övertala supporten att åtminstone ta bort mitt telefonnummer (phew).

Jag gillar dock Apples produkter. iOS är jävulskt stabilt. Men de får mig att vilja fly från dom på grund av att de vill ha järnkoll på en! Det är därför jag älskar Android: det är öppet och tvingar inte en till att göra saker på Googles villkor. Jag kan använda min telefon till fullo, utan att ens vara inloggad på mitt Google-konto, vilket är mitt mål efter att jag har lämnat in min telefon på lagning och fått tillbaka den.

Google är som EVE Online, för att dra den jämförelsen igen, medan Apple är som World of Warcraft, om inte värre till och med.

Mycket sidospår i det här inlägget, men hoppas det godtas ändå, haha!

På jobbet Keepass, privat Keepass2Android offline.

Om jag tillåts flyta lite utanför trådens huvudsyfte:

Kravet på kunskap för att säkerställa sina lösenord i ettor och nollor är så ofantligt hög att det inte fungerar för en absolut majoritet. För att göra detta måste man personligen ha full förståelse för alla lager, från hårdvara och maskinkod hela vägen upp till mjukvarulagret i form av det grafiska gränssnittet. Dessutom bör du även tillverka all hårdvara själv för att säkerställa att inga bakdörrar byggs in under tillverkning.

Således är din fråga kanske bättre ställd på följande vis:
Hur stor kompromiss är du villig att göra med säkerheten för dina lösenord. Hur tungt väger användarvänligheten mot fler lager av säkerhet osv.

Sen har jag en fundering om inte det är så att man gör sig själv till en större måltavla ju fler lager säkerhet man bygger på. Vad är det du har som gör det befogat med en viss nivå av säkerhet?

Keepass

Så fort en Password manager fyller i och loggar in automatisk så blir det inte lika säkert längre. Tror inte att lastpass är mer osäkert än andra som använder sig av plugin till webbläsare. Alla program/os har sina brister och både webbläsaren och Windows har säkert haft ännu farligare sårbarheter än de som har upptäckts i Lastpass. Både 1password och bitwarden borde stödja det också kan jag tycka.

Jag kör ju Keepass och skippar plugin alls, känns mer säkert att jag trycker ctrl+alt+a och den fyller i webbläsaren auto. Tror Bitwarden också har den funktionen, så man slipper webbläsarplugin alls. Fördelen är också att jag kan använda detta till Steam och andra program som jag använder också.

Då skulle jag testa om Bitwarden med plugin har samma funktion och om den inte har det skulle jag använda lastpass och sedan ha 2-vägs verifiering på lastpass och mailkonton så ingen kan komma in på dessa om de på något sätt lyckas hacka din bitwarden/lastpass. old-school.txt är rätt dåligt, papper och penna är bättre än det