» KeePass Password Safe

campoviy
аааа)
ну я ставил опыт на 2.19
скачаю первую версию. фрамеворк не люблю, кушать не могу.
если там все тип-топ, отпишу.
нет, значит нет

folta

Цитата:

ну, для вас красавица неписанная...

Я использую Password Safe.

Цитата:

то жу, разность вкусов и восприятия. всего то

Тут дело совсем не во вкусах.

WildGoblin

Цитата:

Я использую Password Safe

да. посмотрел. те же пасхальные, только сбоку.
все кроме буферообмена и клавиатуры на входе, палится.
вообще клава хорошая вещь, но почему её забили только на входе в контейнер, а в самой, вызова нет. или я не нашел.
ну а если входить в контейнер по старинке, то и мастер-пароль слизывается.

а вообще, я бухчу не потому что все плохо и куда катится этот мир
просто бы хотелось более объемного решения в защите информации.
антивирусы и антишпионы, это хорошо.
но разве для всеобщего блага будет хуже, что менеджер паролей обрастет:
1.антишпонами клавы и мыша.
2.защита окн с паролями (api функции)
3.защита памяти.
4.защита буфера обмена.
5.защита от эмуляторов
6.вменяемую, безопасную клавиатуру хотя бы.

ну разве плохо, что "бдительных и чотких" антивирусов, подстрахует сама программа. это не паранойя. но элементарная защита во время работы менеджера паролей должна существовать.
а то получается, его функции, красиво войти через мастер-пароль, удобно потрясти паролями и жостко зарыть все в контейнер. а то что в процессе работы программы все может уплыть, никого не волнует.
меня, лично, это не устраивает.
но и навязывать мнение не буду и не хочу.
такие программы не имеют право называться "менеджерами паролей" - максимум, "хранители архивов паролей".

Можете скинуть образец ваших кейлоггеров для теста?

MERCURY127
та три в вареза достал:
и раз
http://forum.ru-board.com/topic.cgi?forum=35&topic=30292#1
и два
http://forum.ru-board.com/topic.cgi?forum=35&topic=24424&start=400#lt
и три
http://forum.ru-board.com/topic.cgi?forum=35&topic=36584&start=140#lt
три не дам.
я с ними топором-олей, сам работаю.

вот будет время, эти посмотрю.
тут гроза, свет выбило, в трехстах метрах молнией накрыло чего-то.
http://forum.ru-board.com/topic.cgi?forum=35&topic=10003&start=360#lt
http://forum.ru-board.com/topic.cgi?forum=35&topic=28412&start=420#lt

Достаточно бум пробовать

Да Master Keystroke Logger Pro перехватывает. Но даже Comodo, с включенным только одним фаерволом столько предупредительных окошек повыкидывал, что пришлось его отключить на время. Так что, не так страшен кейлогер, хотя конечно это вполне реальная уязвимость.

stanikkk

Цитата:

Но даже Comodo....

ну ясен пень, что программы мягко говоря специфические и во всех нужды "надлежащие" настройки. все три настраиваются и никакие комоды и буфеты не реагируют.
настраивал, добавлял в исключения, все тихо шуршит.
эти программы не из тех, кинул и забыл.

а вот внедряемые кейлогеры, это уже другое.
у меня есть перехватчики, которые никакими проактивками или тем более сигнатурно не детектятся. да, их можно увидеть в avz, powertool, xuetr'е и еще в каких. вручную расправиться можно.
но это не отменяет того, что они будут собирать лог (а с отправкой, спалятся))
показывать их, глупо. так что ненужных вопросов задавать не надо.
лучше остаться стоять надувши щоки)

меня интересует вот чего, punto switcher перехватывает?
у кого есть сие детище, может поделитесь чего да как.

Цитата:

меня интересует вот чего, punto switcher перехватывает?

Еще как, да еще и мастер пароль. Вот это уже действительно проблема.

folta

Цитата:

но разве для всеобщего блага будет хуже, что менеджер паролей обрастет:
1.антишпонами клавы и мыша.
2.защита окн с паролями (api функции)
3.защита памяти.
4.защита буфера обмена.
5.защита от эмуляторов
6.вменяемую, безопасную клавиатуру хотя бы.

Честное слово - просто смешно! Если на ваш комп, у кого-то, есть возможность поставить кейлогер (а стало быть и руткит и всё что угодно), то никакой защиты у вас, ни от чего, не может быть в принципе!

Цитата:

ну разве плохо, что "бдительных и чотких" антивирусов, подстрахует сама программа. это не паранойя.

Вы просто не понимаете что говорите - антивирь перехватывает обращения (ко всякому разному) и контролирует их как тут его должна "подстраховывать" программа?

Цитата:

а то получается, его функции, красиво войти через мастер-пароль, удобно потрясти паролями и жостко зарыть все в контейнер. а то что в процессе работы программы все может уплыть, никого не волнует.

Так и есть - в этом и заключается функция всех менеджеров паролей. (Ведь вы же не сетуете на то, что ваш дверной замок не контролирует все окна в доме - для этого есть сигнализация.)

Цитата:

у меня есть перехватчики, которые никакими проактивками ... не детектятся.

Да неужели! То есть я вот сейчас запущу присланный вами файл и у меня на компе будет жить-поживать и инфу собирать кейлогер?

Цитата:

показывать их, глупо. так что ненужных вопросов задавать не надо.

Я вам тоже не покажу свой крякер интернета!

stanikkk

Цитата:

Еще как, да еще и мастер пароль. Вот это уже действительно проблема.

Это вы так шутите?

А еще если к его компьютеру получает доступ злоумышленник, то ставится аппаратный кейлоггер между клавиатурой и системником, после чего все программные средства защиты курят в углу. Давайте это тоже запишем в недостатки программ

Dart Raiden

Цитата:

А еще если к его компьютеру получает доступ злоумышленник, то ставится аппаратный кейлоггер между клавиатурой и системником, после чего все программные средства защиты курят в углу.

Даже двойная обфускация не поможет?

Кейлогера обнаружит антивирус, фаервол не пустит его в интернет . Нужно только помнить, что комп, какой бы он не был навороченный, всё равно зависит от пользователя. Если Вашу технику обслуживает мастер с нехорошими намерениями, то он вам воткнет какую-нибудь бяку, пропишет ей разрешения в средствах зашиты и тогда вся информация утечёт. Так для этого Вы и нужны, чтоб .... не хлопать.
А снаружи поставить такого зверя может ну очень хороший спец и то при вашей невнимательности. Так думаю.

WildGoblin

Цитата:

Это вы так шутите?

Нет. Ставите вести дневник, и убираете галку с "Не сохранять записи короче 2 слов" и все, перехватывается мастер пароль, добавление новых записей.

WildGoblin

Цитата:

Вы просто не понимаете что говорите - антивирь перехватывает обращения...

да ладно рассказывать сказки об абсолюте вендеров антивирусной индустрии.
как были вечно непоспевающими причмочками для сруба бабла, так ими и останутся.
инициатива никогда не была и не будет в их руках.
так что кейлогеры, трояны, вирусы и локеры, живы и будут жить дальше.
а эти баблорубу будут только рапортовать о супер-пупер детектах их детищ.


Цитата:

Да неужели! То есть я вот сейчас запущу присланный вами файл и у меня на
компе будет жить-поживать и инфу собирать кейлогер?

ну вам никто его не пришлет
останусь со сваими щОками
и я не изобретаю ничего нового, беру "доброе-вечное", потыкаю (иногда даже больше наугад). смотрю работает оно или нет))
если да, то смотрю детект на сканерах. установленных нету,возможно там косяки,скорее всего. но эт не столь важно, я не изобретатель суперкряков интернета, мне нужно нечто и оно меня устраивает.
так что лавров и караваев с солонками, не надо.

а что касатся "менеджеров паролей"
KeePass Password Safe
Password Safe
Sticky Password
Boss там чего-то
их посмотрел....пардон, такое в систему не пущу.
LSN Password Safe
вот. некрасивенький, но Менеджер Паролей.
который знает с чем он работает и для чего его держат.
а если у псины можно миску с едой отобрать, ходить туды-сюды по двору, стянуть наконец с ошейника связку ключей, которую он должен охранять и денно и нощно, то под волосатую сраку подбрюшье ногой и вон со двора!
и пусть не скулит!

Цитата:

хозяин! выб заборчик наростили, вышки по углам, надолбы и выдолбы по периметру

ключи доверили??! будь добр, охраняй!! а не превращайся в уютненький придаток связки, который только "жрат и спат", остальное он непонимайн. его дело скрая.

Добавлено:
да и возвращаясь к теме кейлогеров.
как они-то живут и здравствуют, ныне и присне?!
никто не задумывался?
ответ простой.
пользователь сам разрешает ему жить и не тужить.
я вот посмел на родственниках проверить)
еще до того, как прочел и усвоил, что главное не сокрыть малварь, а преподнести так, чтобы пользователь сам разрешил этой программе все.
главное, чтобы на сканирование не было детекта, потом, при запуске, пользователь разрешит ей все что угодно, невзирая на всплывающие окна.
дарю.
в самораспаковывающийся архив с названием "мои пороли" или "мае пароли"
каждый хочет всунуть нос
а сколько еще наколок существует!
повторю, главное чтобы не было первичного детекта на скан. на это у пользователя стойкий рефлекс. а дальше будет все как по маслу. разрешат все.
попробуйте на девушке или на младшем брате.

folta
Вопрос, даже вопросы:
1. Кто склепал LSN Password Safe? Погуглил, не нашел. Не подскажете? Если ребята из роиссии- 100% какая-нить около фээсбэшная контора ибо как же без лицензирования и прочая.
2. LSN Password Safe бесплатная- да, но код закрытый? Судя по соглашению (нельзя декомпилировать и прочая)- код закрытый. Сразу мыслишка: а бэкдор в эту супер прогу не засунули?
Ну вот хотя бы на два вопроса ответов не найдется?

mocelet2011
вопрос интересный и в то же время, очень сложный.
и я как старший лейтенант обыкновенный пользователь, пока прояснить ничего не могу.
мы создадим тему и вы пройдете с нами для пустяковой формальности.
для вашей безопастности, вас будут придерживать с обеих сторон.

расходитесь граждане, расходитесь.

Aleks07

Цитата:

Кейлогера обнаружит антивирус, фаервол не пустит его в интернет . Нужно только помнить, что комп, какой бы он не был навороченный, всё равно зависит от пользователя. Если Вашу технику обслуживает мастер с нехорошими намерениями, то он вам воткнет какую-нибудь бяку, пропишет ей разрешения в средствах зашиты и тогда вся информация утечёт. Так для этого Вы и нужны, чтоб .... не хлопать.

Некоторые думают, что все эти функции должен выполнять менеджер паролей!

stanikkk

Цитата:

Ставите вести дневник, и убираете галку с "Не сохранять записи короче 2 слов" и все, перехватывается мастер пароль, добавление новых записей.

и где тут проблема и уязвимость?

folta

Цитата:

так что кейлогеры, трояны, вирусы и локеры, живы и будут жить дальше.

Если пользователь ламер, то да - у него на компе это всё будет жить в здравии.

Цитата:

вот. некрасивенький, но Менеджер Паролей.
который знает с чем он работает и для чего его держат.

Где можно глянуть исходники сей чудо проги? Где можно почить про формат контейнера? Сырцов, говорите, нету?

mocelet2011

Цитата:

Ну вот хотя бы на два вопроса ответов не найдется?

Не найдётся у него ответов - он просто троллит.

WildGoblin

Цитата:

Если пользователь ламер, то да - у него на компе это всё будет жить в здравии.

по вашему все должны быть ассами высшего пилотажа??

рассказываю предисторию.
с чего я так взъелся на эти "менеджеры паролей".
у одного человека, ревнивый муж стянул все пароли из "менеджера паролей".
кейлогером.
ставил программы я, так что вина тяготила. где недосмотрел?
вот я и полез проверять, до этого никогда не задумывался.
и мне надо, чтобу у "ламеров", никто ничего не крал!


Цитата:

Не найдётся у него ответов - он просто троллит.

я попытаюсь найти вопросы на ответы.
честно говоря, не задумывался об обратной стороне, поэтому, уж почешусь.
не стоит клепать выводы поспешно.
толкиенизмом не увлекаюсь.

Джентельмены- не ссорьтесь. Я вопросы задал не для того, что бы кого бы то ни было под....ть. Имею три обыска, столько же изъятий компов и прочая сопутствующие прелести. Но при юзаниии проги, у которой в теле контейнера нет возможности определить принадлежность к конкретной проге- щифровальщику- все обошлось. Ну плюс криворукость проверяющих. Однако вышеозвученные вопросы актуальны, ибо лично мне LSN Password Safe понравилась. Чем? А вот хотябы тем, что сейф создала на WUALA. Да и снес я расширение файла- все равно работает. Вот бы еще узнать, что ваяли ее не под ФСБшным оком- тогда все Ок.

WildGoblin

Цитата:

и где тут проблема и уязвимость?

Это опаснее даже чем кейлогеры на которые антивирусы ругаются. А ситуаций в которых это может привести к плачевным результатам, можно привести сколько угодно, вон кстати, товарищ выше уже написал.

В общем проверил Password Commander, KeePass 2.19, Password Safe 3.29 В дневник Punto попадают все данные при создании новой записи, и мастер пароль у первых двух. И это уже огромный плюс Password Safe, не знаю как это реализовано, но неужели это такое супер секретное ноухау, что такой метод невозможно реализовать и KeePass?

Цитата:

1. Кто склепал LSN Password Safe? Погуглил, не нашел. Не подскажете? Если ребята из роиссии- 100% какая-нить около фээсбэшная контора ибо как же без лицензирования и прочая.
2. LSN Password Safe бесплатная- да, но код закрытый? Судя по соглашению (нельзя декомпилировать и прочая)- код закрытый. Сразу мыслишка: а бэкдор в эту супер прогу не засунули?
Ну вот хотя бы на два вопроса ответов не найдется?

Автор LSN был на форуме. В 2009 году в программе были проблемы с шифрованием базы, в частности здесь об этом
http://forum.ru-board.com/topic.cgi?forum=5&topic=2265&start=300
Что изменилось с тех пор - не знаю, не пользуюсь.

WildGoblin
Мне очень приглянулся тот менеджер паролей что вы выше давали Password Safe, сегодня начал разбираться, вроде простой и понятный, жаль муторно мне туда перенести все из ластпаса (порядка 150 записей, нет никаких костылей?). Насколько я понимаю Password Safe, как более легкий аналог этого KeePass Password Safe?

folta

Цитата:

и мне надо, чтобу у "ламеров", никто ничего не крал!

Тогда нужно сделать их не ламерами - по иному не бывает.

Цитата:

не стоит клепать выводы поспешно.

ок

stanikkk

Цитата:

В дневник Punto попадают все данные при создании новой записи...

Так вы же сами поставили Punto и сами же разрешили ему записывать - где тут уязвимость?

Цитата:

И это уже огромный плюс Password Safe, не знаю как это реализовано, но неужели это такое супер секретное ноухау, что такой метод невозможно реализовать и KeePass?

Там нет никакого ноухау - PS следит за вводимым текстом и в соответствии с ситуацией копирует его с помощью стандартных виндовых функций - Password Safe такими же стандартными средствами запрещает копировать текст из поля ввода пароля. Вот и все дела. (В KeePass даже формат контейнера не продуман и раскрывает информацию о числе записей в базе - что уж говорить про копирование пароля.)

MrPerfect

Цитата:

Автор LSN был на форуме.

Ага - появился, отрекламировал свою программу и пропал навсегда.

Free13man

Цитата:

...жаль муторно мне туда перенести все из ластпаса (порядка 150 записей, нет никаких костылей?).

Я не знаю что такое ластпас - возможно можно автоматизировать перенос паролей.

Цитата:

Насколько я понимаю Password Safe, как более легкий аналог этого KeePass Password Safe?

Не знаю можно ли называть Password Safe более лёгким аналогом KeePass - Password Safe это самостоятельный проект от уважаемых в области криптографии людей.

от перехвата punto switcher-ом главного пароля сильно помогает галка настройки->безопасность->"вводить основной пароль в защищенном режиме" при этом в дневнике punto записи отсутствуют.

а от перехвата при автозаполнении помогает "двойное усложнение автонабора" (обфускация) - в дневнике punto каша из обрывков логина и пароля.

ctrl+b, ctrl+c punto с радостью заносит в дневник.

P/S/ для любителей Opera ввод пароля по ключу в дневнике punto тишина, но wand.dat не защищён и пароли взламываются на раз.
Если в настройках Opera используется пароль для защиты сохраненых паролей - wand.dat защищён, но мастер пароль перехватывается punto switcher-ом =)

MQlQHhvXBU5sZPm
про мастер-пароль в безопасном режиме, это понятно. никакая хрень не видет, покрайне мере, я не наблюдал такого.
но
в keepass'е 2.19 в упор не вижу "двойное усложнение автонабора" , чую что оно должно быть на вкладке настройки>политика, но тама нету.
это плагин, или не ту версию стянул?!
сумлевающемс что нету и картинки сделаю, если надо.

да простят меня те, кто говорил ранее про "двойное усложнение автонабора".
ткнулся - нету.
а потом из головы вылетело.

folta
"двойное усложнение автонабора" находится в самой записи, во вкладке Автонабор.
Как то ее не удобно они реализовали, для каждой записи отдельно надо включать.

whitelime

Цитата:

Как то ее не удобно они реализовали, для каждой записи отдельно надо включать.

к сожалению, действительно работает не для всех окон, хотя от кнопки в политиках не отказался бы.

Двойное усложнение автонабора - работает как то странно. Бывает, что пропускает символы и в логине и в пароле, помогает перезапуск браузера, но не всегда.
На некоторых сайтах вообще никак не хочет работать эта обфускация - приходится отключать.

Цитата:

Двойное усложнение автонабора

да, работает, пока ты носишь в буфере. а уж когда передаешь браузеру(вставив и нажав ввод), то вся ответственность слагается с кеепаса и соответственно ложится на браузер(или куда там вставляли)

Цитата:

мавр сделал свое дело, мавр может уходить

скачал плагин виртуальной клавиатуры, надеялся....не то.
вобщем, главное не править пароли-явки, любое касание клавиатуры, ну и пусть пасс будет вводится под звездами, палится.
так понимаю, проверились хорошо, отрубились от интернета, создали базу.
а уж потом можно копипастить и быть спокойным(за кеепасс, не за браузер!).
главное не лезть в правку-коррекцию-добавление паролей.

вот такой параноидальный вывод)
не сочтите снова, что я усложняю и навешиваю не те функции на кеепасс.
совет по безопасности, не более.
по умолчанию антивирус с хорошей проактивкой и чтобы никто из близких(и неблизких тоже) не шарился в системе.

Добавлено:
вот эта мелюзга не дает работать кейлоггерам Anti-Keylogger
посмотрел пока только на двух, родил идею)