Şifre Yöneticilerindeki Şifreyi Ekstra Koruma Yöntemi

Bitwarden salting ve diğer şifrelemelerle birlikte yeterince güvenli ama yine de şifrelerin bulutta tutulduğunu bilip emanete ihanet edebileceğini düşünenler ya da LastPass gibi güvenliği meçhul hizmetten faydalananlar ekstra güvenlik önlemi almak için rehbere bakabilir.

Bitwarden’da kayıtlı her şifrenizin sonuna aklınızda bulunan bir kelimeyi koyup ilgili platformdaki şifreyi o şekilde güncelleyin. Bu şekilde Bitwarden bile sizin esas şifrelerinizi bilemez çünkü Bitwarden’daki şifrelerin sonuna bir kelime ekleyip kullanıyorsunuz ve bu kelime sizin zihninizde.

En basit anlatımı şu şekilde:

Instagram’da abc123 şifresini kullanıyorsunuz.
Bitwarden’a da abc123 şifresini kaydettiniz ve benim üstte yazdığımı okudunuz.

Aklınızdan bir kelime olarak “xyz” kelimesini seçtiniz.

Instagram’daki şifrenizi abc123xyz olarak güncellediniz fakat bitwarden kasasını güncellemediniz ve hala abc123 şeklinde depolanıyor.

Instagram’a giriş yaparken “otomatik doldur ama giriş yapma” seçeneğini seçip abc123 şifresini otomatik doldurmasını sağladınız, aklınızdaki “xyz” kelimesini de otomatik doldurulan şifrenin sonuna siz yazıp giriş yaptınız.

Sonuç:
Instagram şifreniz: abc123xyz
Bitwarden’da tutulan şifre: abc123

Twitter şifreniz: def456xyz
Bitwarden’da tutulan şifre: def456

Mail şifreniz: ghi789xyz
Bitwarden’da tutulan şifre: ghi789
Gibi gibi…

Tabii bu kelime ekleme olayını tüm şifreler için uyguluyoruz. Kelime 1 tane olacağından dolayı ezberlik bir durum da yok. Kelime yerine sayı da ekleyebilirsiniz.

Bu kelime ekleme yöntemini tüm şifreleriniz için yaparsanız basit bir ev yapımı salting işlemi uygulamış olursunuz. Eğer Bitwarden’daki tüm şifreleriniz çalınsa dahi, şifrelerin sonuna eklediğiniz kelime yüzünden çalınma olayından etkilenmezsiniz.

Şifrenizi rastgele büyük küçük harfler, sayılar, özel karakterler ile uzunca Bitwarden şifre oluşturucuyu kullanarak oluşturmanızı ve kafada tuttuğunuz kelimeyi de sayıyla birlikte kullanmanızı öneririm: paraboLx2, xaNax873 gibi.

6 Likes

Güzel taktik sanırım Can Değer de aynısını söylemişti, bir başka yöntem ise KeePass kullanmak, şifreleri localde tutuyor direkt.

Localde tutmak daha mantıksız bence.

Bence local de tutmak daha mantıklı çünkü sen eyer bilinç li bir kullanıcıysan zaten virus falan yemessin saldırıya daha kapalı olursun ve local de tutmak bence daha fazla kontrol sağlıyor.

1 Like

@Oyuncu isimli arkadaşa tamamen katılıyorum, localde tutmak her türlü daha güvenli, zaten localdeki db’ye erişmen için de master password soruyor o olmadan erişemiyorsun.

1 Like

Ekşi sözlükte okumuştum. Bitwarden pano okuyabilen virüslere karşı bir güvenlik açığı bulunduruyor. Windows’ta panoya tüm uygulamar ulaşabildiği için Bitwarden’dan kopyaladığınız şifreleri pano okuyabilen virüsler ele geçirebiliyor.
Bu yüzden Keepass’in daha güvenli olduğunu düşünüyorum. Keepass bu durumu engellemek için bir araç geliştimiş.

1 Like

Bitwarden’de panodaki veriyi otomatik silme özelliği var diye biliyorum. Zahmet olmazsa entry’yi atar mısınız?

Bu entry’den bahsediyor sanırım @Telemetri : https://eksisozluk1923.com/entry/154928564

İlginç. Umarım düzeltirler.

Ama bilgisayarında kaydettiğin şifreyi nasıl telefonunda kullanıcaksın.

Claud daki veride calınsa master passworld olmadan bir işe yaramazki.

Ben KeePass kullanıyorum KeePass şifreleri tek bir dosya halinde şifrelenmiş olarak bilgisayarda saklıyor tek yaptığım kablo ile aynı dosyayı telefonda atmak.

Keepass kullanmak çok mantıklı ve güvenli ama telefonda yada iş bilgisayarı, ev bilgisayarından erişmek istediğinizde yine kendi paylaşımınız bir serviste yada USB bellekte saklamak gibi bir çözüm bulmak gerekiyor, sanırım parolayı kopyaladıktan sonra belirli bir saniye sonra panodan silme gibi bir seçenek vardı. Yada kopyalamak yerine tek tek bakarak yazmak da çözüm.

Çözüm: Syncthing.

3 Likes

Şifreler Lastpass’da bile saltlanıyor, elle saltlama yapmak mantıksız.

Bitwarden zaten şifrenizi bilemez. Şifreler şifreleniyor, ve saltlanıyor. Güvenen olmaz ise Bitwarden açık kaynak ve 3. parti şirketler tarafından kod bakılıyor.

Bir de bir hacker şifre yöneticinizin encryptionunu kırmayı başarabilirse zaten sonuna koyduğunuz birkaç harf sadece birkaç saniye/dakika geciktirir olayı, tamamen gereksiz olduğunu düşünüyorum.

Eğer bu konularda aşırı paranoyaksanız Vaultwarden gibi bir yazılım kullanarak Bitwarden’ı kendiniz hostlayabilirsiniz, ya da Keepass kullanabilirsiniz diğer cevaplarda dendiği gibi.

Ya şifrelemeyi kırmadıysa ama senin şifreni ele geçirdiyse? Ne bileyim herkese açık alanda yazarken kaydetmiştir vs. Bence bir şeye direkt gereksiz deyip kesip atmak iyi değil ama bana sorarsan sen yapıyor musun diye yapmıyorum. Bir de ek olarak otomatik doldur özelliğini kullanırken her seferinde şifre girmek istemem.

1 Like

Herkese açık alanda şifreni yazdıysan şifreni değiştirirsin, bu kadar basit.
Bunu “salt” olsa bile yapman daha mantıklı, şifrenin bir bölümü herkese açık durumda çünkü, tamamı olmasa bile.

1 Like