Merhaba arkadaslar 2 gundur bu konuda arastirma yapiyorum. Bitwarden, 1Password, LastPass gibi bircok sifre yoneticisi var ama 1 gundur KeePassXC kullaniyorum ve gayet memnunum ama kafamda bazi konularda soru isaretleri var. Bunlari sizlere sormak ve fikirlerinizi almak istiyorum. Bu tarz sifre yoneticilerinin en guzel yani TOPT! Yani 2FA koruma kullaniyorsaniz cep telefonundan kodu bakmaniza gerek kalmiyor, hatta telefonunuzu kaybettiginizde dahi size alternatif cozum sagliyor.

Sistem su sekilde calisiyor. 1 key dosyasiniz bir database dosyaniz ve sifreniz var. Databasede sifreler var. Key dosyasi bir cesit guvenlik dosyasi, sifre ve key olmadan databaseyi acamiyorsunuz.

Baslayim.
Kafama takilanlar ve yapilmasi gereken mantikli adimlari konusalim.

1) Su an KeepassXC sifre yoneticisindeki sifreleri Android sistemde kullanmadim ama en mantikli uygulama Keepassdx geliyor. Sebebi acik kaynak kodlu olmasi Fdroid destegi var ve ne indirdiginizi biliyorsunuz.

Telefonumu kaybettigim durumu dusunuyorum. Su sekilde hareket etmeyi dusundum. https://www.google.com/android/find/?login adresinden telefon guvene alinabiliyor. Google hesaptan cikis yapiliyor ve cuzdanlar siliniyor. Istersek hard reset atabiliriz.

Bugun bir test yaptim. Kendi telefonumda Gmail acip Google Hesabimi yonetmek istedim ve sifre degistirmek istedim. Benden sifre istedi. Teli calan kisi bu sifreyi zaten bilemez. Bunun icin ornegin benden Authenticator kodu istendi. Eger telefonda parmak izi yoksa telefonu calan kisi bu kodu alip Google hesabi yonet kismindan authenticator kodu girse bile Google bunun icin 6 saat sonra size link gonderecegiz diyor. Sanirim diger yontemleri denesede bir bekleme zamani var. Ben 1-2 kere arka arkaya iptal edip sifremi degistirmek istedim ve bu sure 72 saate cikti. Yani siz telefonu kaybetseniz bile telefonu karsidan sifirlamaniz icin bir sure var. Ilk denemede 6 saat icinde kod gonderilir dedi ama 6 saat mi olur dahami kisa bilmiyorum ama yinede iyi oldugunu dusunuyorum. SMS veya BAckup Codede yine bu sure var midir? Vaerdir diye dusunuyorum cunku Auth kodunda bile beklemeye almisti. Bunu denemem lazim.Deneyecegim. Telefon sizin bile olsa gmail icinden sifre degistirme gibi islemleri hemen yapamiyorsunuz. Az once ekrana onay gonder diyip hesabin benim oldugunu onayladigim halde 6 saat icinde link gonderilecek demesi guzel birsey.

Kotu olan nedir?
Kisi bir sekilde Google Drive icindden key ve database dosyasini alsa bile sifreyi bilmedigi icin birsey yapamayacagini dusunuyorum. lakin Google Drive belgelere ulasabilir. Gmail acikken, Google Drive hic bir sey istemeden girilebilmesi bence cok kotu. Bunu arastirdim ama cozum yok. Eger KeePassXC kullaniyorsaniz, key ve database dosyalarini burda saklasanizda backup kodlari Google Drive'da saklamamak en iyisi.

2) Bilgisayarin calinsigi denaryoda yine kisi Onedrive veya Google Drive acip, KeePassXC ait key ve db dosyasini alabilir ama sifre olmadan bunu acamaz. Lakin sifre guvenligide cok onemli. Zor bir sifre yapmak lazim.
Benim su sekilde bir sorunum oldu. Eger online sync seklinde kullanmak istiyorsaniz, yani pcde yeni sifreler eklediniz bunu telefonda da kullanmak istediginizde bu db dosyasini bir clouda atmaniz gerekiyor. Dolayisiyla pc alan biri bu dosyalari hemen alabilir. Sanirim bizi guvene alan sey KeyPassXC sifremiz.

3) Ben Google Authenticator kodlarini kaybetmekten cok kortugum icin kare kod degil de artik kod seklinde aliyorum ve bunlari yedekliyorum. Bu kodu kaybettiniz mi elinizde Backup kodu yoksa hesabi geri alamiyorsunuz. Siteden siteye degisiyor. Mesela Gate.io'da Backupcode yoksa gecmis olsun. Lakin Gmail'de telefon tap bildirim onayi, Backupcode ise yariyor ama SMS olmuyor. Sistem diyor ki kardesim KeyPass (daha onceden olusturmustum) olusturmustum, Authenticator var, bakup code var, telefon bildirim onayi var SMS kullanamazsin diyor. Telefon calindigi durumlarda secenekler azaliyor. Gozlemledigim kadariyla Google Drive icinde Authcode bulundurmak cok tehlikeli. Cunku o kodu telefonda okutup sifre unuttumdan ilerleyebilir. Ben bunu denedigimde bu kez 1. ve 2. maile kod gonderiyor. E zaten o kisi pcdeyse gmail acik olduigu icin o maile sifre gonderme kodu gonderebilir.

4) KeePassXC key ve db dosyalarini sanirim farkli bulutsunucularda barindirmak daha mantikli. Ancak bunun mantigi sanirim bulut sunucuya sunan hackerler icin veya bulut sunucu sahiplerini tehlike gordugumuzde mantikli. Yoksa siz farkli bulutlar kullansaniz biule cepte veya pcde o 2 dosyaya direk zaten ulasabiliyorsunuz.

5) Burdan cikan sonuc Google Drive icinde Backup code veya Auth codu bulundurmamak gerekiyor.
Ayni zmanda KeePassXc db ve key dosyasini evde bir flashbellek icinde saklamak en guvenlisi. Insan tirsiyor dosya buzulurmu silinirmi diiye o yuzden belki backup code ve sitelere giris Authenticator kayit kodlarini saklamakta da fayda var.

Yubikey herkes cok oneriyor o konuda arastirmalara baslayacagim.
Su an her site giris sifrem 40 haneli ve hic sifre yazmakla ugrasmiyorum. Eglenceli lakin bu yedek db key kodunu iyi saklamak gerekiyor.

Sifre yonetimi ve KeePassXC ile ilgili gecmiste yorum atan arkadaslari da konuya davet etmek isterim.

@AndyCap;
@tanera;
@Ritimsizz;
@CloudHead;
@mugurlu;
@Kivima;
@kuklux;
@Zebercet;

Zaman harcayip okudugunuz icin tesekkur ederim.