» KeePass Password Safe

Serebranka
у меня и опера и лиса, увы для оперы он один - https://addons.opera.com/ru/extensions/details/keepass-auto-type/?display=en

Цитата:

версия 2.21

Перестала работать вставка паролей в другие окна по CTRL+V. Выдает какое-то сообщение "Операция успешно завершена", раньше его не было. А логин и пароль в другие окна не вводит.

lucky_Luk

Цитата:

Перестала работать вставка паролей в другие окна по CTRL+V.

В какие окна? С Firefox, CoolNovo (используется двойное усложнение автонабора) нормально работает. С вводом пассов в TrueCrypt тоже проблем нет. В случае с TrueCrypt усложнение пасса не используется.

savant_a

Цитата:

В какие окна?

В Firefox.

Добавлено:
И в IE.

Добавлено:
Это был какой-то глюк. Может потому, что ставил сабж поверх предыдущей версии. Снес, поставил опять (настройки сохранились) - теперь все работает.

А что дают компоненты оптимизации быстродействия при работе и при загрузке?

lucky_Luk

Цитата:

Может потому, что ставил сабж поверх предыдущей версии.

Может просто система затупить. Большинство сабж поверх обновляют.

Цитата:

А что дают компоненты оптимизации быстродействия при работе и при загрузке?

Выше писали, что быстрее работает, может еще что-то, я как-то не вникал в такие тонкости. В истории версий KeePass читал, что начиная с какой-то версии программы, при установленном Фрэймворк 4 сабж будет работать получше, нежели при установленной 2-ой версии MFW. Возможно оптимизация быстродействия как-то с этим связана.

Опишу свою проверку на возможность кражи логина и пароля через буфер обмена. Тут обрывочные и разбросанные сведения по этому вопросу и непонятно к какой версии относятся.
У меня последняя версия keep 2.21 . Проверял, включив журнал на запись содержимого буфера и клавиатурного ввода в яндексовском Punto.

1) При вводе основного пароля при открытии файла с базой - пароль "не читается" из буфера лишь в режиме "Вводить основной пароль в защищенном режиме (подобно UAC в Windows Vista и выше)";


В браузере (Opera 12.13)

2) При копировании логина и пароля через буфер все отлично читается и записывается в журнал Punto;

3) При копировании через автонабор (Ctrl+Alt+A) и с отключенной функцией "Двойное усложнение автонабора" также все читается через буфер;

4) По пункту 3 , но с включенной функцией "Двойное усложнение автонабора" - читается, но далеко не все. Скажем 2-й символ, потом 6-й, потом 8.... Закономерности в интервалах не заметил. Причем, при неоднократном вводе тех -же самых данных читаются одни и те же символы, без перебора новых вариантов. То есть, как бы выловить все символы не получается. Также некоторые символы заменяются буквами и почти каждый отловленный punto символ в журнале записывался с новой строки, что затрудняет определение конца логина и начала пароля.

5) на страницах, где функция "Двойное усложнение автонабора" не срабатывает и не позволяет регистрироваться, логин и пароль можно поочередно перетащить мышью (Drag&Drop). В этом случае буфер остается чистым.


Вывод: чтобы заткнуть дыру в виде буфера обмена необходимо включить режим "Вводить основной пароль в защищенном режиме (подобно UAC в Windows Vista и выше)" и осуществлять ввод логина и пароля с помощью мыши (Drag&Drop). Либо через автонабор (Ctrl+Alt+A) с включенной функцией "Двойное усложнение автонабора" (некоторые символы попадут в буфер).

nfn
1. Проблема известна при наличии любого кейлогера. Решается использованием экранной клавиатуры. Не решается при наличии включенного функционала записи с экрана (экзотично, легко отслеживаемо, но технически возможно).

2. Проблема известна. Решение - не пользоваться буфером для таких целей. Есть нормальные плагины и есть глаза.

3-4-5. Извините, буду повторять старые фразы - но Оперу KeePass поддерживает хуже всего. Поставьте Firefox. Либо вывести окно KeePass поверх всех окон и отобразить пароли, ввод в окне браузера выполнять ручками.

Чем больше автоматизации внедряется - тем больше шансов выдрать из этой автоматизации ценную информацию.

Цитата:

3-4-5. Извините, буду повторять старые фразы - но Оперу KeePass поддерживает хуже всего. Поставьте Firefox. Либо вывести окно KeePass поверх всех окон и отобразить пароли, ввод в окне браузера выполнять ручками.

не понял... Если ручками , то как раз кейлогером ловится. А если не ручками набивать, а перетаскивать мышью, то данные в буфер не попадают. В чем смысл перехода на Ff ?? Что плагинов больше? Я то как раз стараюсь избегать сторонних плагинов, в связи с большим риском утечки информации. Функционала Кеер для оперы хватает.

gjf

Цитата:

Чем больше автоматизации внедряется - тем больше шансов выдрать из этой автоматизации ценную информацию.

Я пользуюсь стандартным CTRL+V без всяких плагинов, в этом случае логин/пароль где-нибудь сохраняется? Это безопасно?

Цитата:

Я пользуюсь стандартным CTRL+V без всяких плагинов, в этом случае логин/пароль где-нибудь сохраняется? Это безопасно?

это же команда вставки из буфера, а буфер может что угодно читать

nfn
Если есть кейлоггер - он наверняка мониторит буфер обмена. Так что тут не обольщайтесь, а следите за безопасностью и чистотой компьютера.

При работе на FF есть отличный плагин KeeFox. Понятно, что не панацея - но в его случае пароль хотя бы не проходит стандартные, всеми мониторенные пути.

5
См. выше.

Цитата:

nfn Если есть кейлоггер - он наверняка мониторит буфер обмена. Так что тут не обольщайтесь, а следите за безопасностью и чистотой компьютера.

не понял, а причем тут буфер обмена ?? Я то как раз описал варианты ввода логина и пароля без использования буфера обмена. Ввода в оперу, без всяких дополнительных сторонних плагинов...

nfn (15:09 06-02-2013)
Цитата:

не понял, а причем тут буфер обмена

nfn (13:31 06-02-2013)
Цитата:

Опишу свою проверку на возможность кражи логина и пароля через буфер обмена.

nfn (13:31 06-02-2013)
Цитата:

включив журнал на запись содержимого буфера

nfn (13:31 06-02-2013)
Цитата:

При копировании логина и пароля через буфер

Кто о чём говорит?

nfn (14:30 06-02-2013)
Цитата:

А если не ручками набивать, а перетаскивать мышью, то данные в буфер не попадают.

Видимо, это Вы имели в виду под своим безопасным способом. Какая у Вас версия KeePass и как Вы перетаскиваете логины-пароли мышью? Я, например, на своём 2.21 этого сделать никак не смог.

Цитата:

Видимо, это Вы имели в виду под своим безопасным способом. Какая у Вас версия KeePass и как Вы перетаскиваете логины-пароли мышью? Я, например, на своём 2.21 этого сделать никак не смог.

Цитата:

У меня последняя версия keep 2.21 . Проверял, включив журнал на запись содержимого буфера и клавиатурного ввода в яндексовском Punto.  ................   В браузере (Opera 12.13)

Цитата:

Вывод:  чтобы заткнуть дыру в виде буфера обмена необходимо включить режим "Вводить основной пароль в защищенном режиме (подобно UAC в Windows Vista и выше)" и осуществлять ввод логина и пароля с помощью мыши  (Drag&Drop).  Либо через автонабор  (Ctrl+Alt+A) с включенной функцией "Двойное усложнение автонабора" (некоторые символы попадут в буфер).

Что конкретно не получилось ??? Настроить, проверить записи в журнале буфера и клавиатуры, или вводить логины и пароли мышью ?

если только мышь, то все просто.. Прямо с нужной записи (в основном окне кеер) мышью сначала тянется логин (мышь на логин-левая кнопка-тянем), затем также тянем пароль (или наоборот). Тянем в поля логина и пароля страницы браузера... и все

приличный (да и не приличный тоже) кейлоггер не только за нажатием клавиш и буфером обмена следит
вот портабельный примерчик с реализацией:
Anti-Keylogger Tester
http://rghost.ru/43594220
воткните и возрадуйтесь)

ммм...только как мне объяснили, менеджер паролей - это всего менеджер паролей, бишь, удобная закладочка с автоматикой. ничего кроме.
то есть, канклеты отдельно, мухи отдельно.
если по вашей коклете ползает бриллиантовая муха, то виноваты вы. не уследили.
а коклета неприделах.
я не согласен с этим. у мене особое мнение.
вкратце, всё.

Цитата:

приличный (да и не приличный тоже) кейлоггер не только за нажатием клавиш и буфером обмена следит

конкретики бы... что еще надо проверить ?? так то тут давили на то, что именно в буфере дыра. Я этот момент и проверил.



Цитата:

вот портабельный примерчик с реализацией: Anti-Keylogger Tester http://rghost.ru/43594220 воткните и возрадуйтесь)

а пробовать это я не рискнул :D:D

nfn (15:45 06-02-2013)
Цитата:

если только мышь, то все просто.. Прямо с нужной записи (в основном окне кеер) мышью сначала тянется логин (мышь на логин-левая кнопка-тянем), затем также тянем пароль (или наоборот). Тянем в поля логина и пароля страницы браузера... и все

Именно это и не получилось.

Цитата:

Именно это и не получилось.

странно, у всех получается ...
Там , главное, точное расположение мыши.. Сначала выделяем всю строку (НЕ открываем окно ее редактирования), затем мышь устанавливаем на логин (не на название, не на пароль, сайт и т.д.) .. Левой кнопкой тянем.. Потом мышь устанавливаем на пароль и также тянем в нужное место.

nfn
Ладно, не буду накалять страсти и издеваться. Простите - тут только что прочитал одну статью и воцарилось игривое настроение.

На самом деле эта функция отключаема. И я её отключил в рамках безопасности. Если "тянуть", то вот что получится:


Цитата:

Операция запрещена политикой приложения. Попросите администратора разрешить эту операцию.

Необходимо установить следующий флаг политики:
* Функциональность: Перетаскивание
* Описание: Разрешать передачу информации в другие окна перетаскиванием мышью.

Вообщем я использую это:


Цитата:

Нажимаете комбинацию клавиш Ctrl+V (либо Правый клик мыши по записи->Начать автонабор). После этого, программа автоматом переключается на браузер и вводит логин, затем пароль, и осуществляет вход на сайт.

Значит вирусня может увести мои пароли?
Наверное опять придется возвращаться на Стики пассворд, с его ужасными плагинами..

Цитата:

nfn Ладно, не буду накалять страсти и издеваться. Простите - тут только что прочитал одну статью и воцарилось игривое настроение.   На самом деле эта функция отключаема. И я её отключил в рамках безопасности. Если "тянуть", то вот что получится:

И ??? Мы вообще-то говорим о краже содержимого буфера.. Причем тут отключено перетаскивание мышью или нет? Хотелось бы услышать - откуда кейлоггер может стащить пароль кеера при перетаскивании данных мышью ?? Клавиатура не нажимается, буфер не заполняется, снимок экрана ниче не дает, так как пароль закрыт звездочками...

nfn
не хотите - не пускайте.
качайте и выковыривайте сами.
http://www.snapfiles.com/get/antikeyloggertester.html
там, потому что у Guillaume Kaddouch бесполезно.

о кеепасе говорилось на 51 и далее страницах. всё сказано, повторять не вижу смысла.
о методах работы кейлоггеров - отдельно.
да прибудет с вами сила.

Цитата:

Вообщем я использую это:


Цитата: Нажимаете комбинацию клавиш Ctrl+V (либо Правый клик мыши по записи->Начать автонабор). После этого, программа автоматом переключается на браузер и вводит логин, затем пароль, и осуществляет вход на сайт.

Значит вирусня может увести мои пароли?
Наверное опять придется возвращаться на Стики пассворд, с его ужасными плагинами..

nfn
всё проще, гораздо проще.
байты из кеепасины до браузера передаются не через космоэфир.
а методов отслеживания памяти хватает.
можете часть примеров на том же aklt посмотреть.

Цитата:

nfn всё проще, гораздо проще. байты из кеепасины до браузера передаются не через космоэфир. а методов отслеживания памяти хватает. можете часть примеров на том же aklt посмотреть.

folta, да абстрактные примеры не интересуют. Интересуют конкретные дыры кеера, так как пользоваться надо и туманные выражения ничего не проясняют.... И поэтому тогда начну с нуля -- ваши заявления на чем основываются ?? Вы изучали открытый код кеера и увидели там дыру ??? Вы проверяли его во всех режимах защиты данных, предусмотренных кеером ?? Тут в теме в ваших сообщениях я не видел конкретики ни на стр 51, ни позднее.. Все поверхностно, поэтому сам и провел эксперимент насчет буфера.
Сейчас вижу, что к буферу у вас претензий уже нет ?? А к чему осталось ?? Про космоэфир не надо. Есть что сказать по дырам кеера - будет интересно. Если в коды никто не лазил и этих дыр не видел, то нафига нам тут эта санта-барбара ?

nfn
я жувать ничего никому не собираюсь.

всё что я делал, как и чем. написано.
остальное дочитывается и догугливается.
а лучше, проводится самостоятельная работа "Нюансы защиты данных в KeePass Password Safe" и вы нам докладываете. что, чего, почём.
мы заседаем, совещаемся и выставляем балл за материал.


давай ещо эксперименту с пунтой забабахай, авось вопросы рассосутся

Цитата:

nfn я жувать ничего никому не собираюсь.   всё что я делал, как и чем. написано.

Ну понятно, раз конкретики о дырах в кеер нет, то жувать про космоэфир не надо - неинтересно.
А то, что вы писали с 51-й страницы, я внимательно прочитал. Там вам неоднократно указывали на промахи в эксперименте. Пришлось проверить самому, что и как. Оказалось, что ваши оппоненты действительно были правы.

Цитата:

nfn

Такие люди как
Цитата:

krserv

(с 66 стр., который вообще считает что слабое место это кипасс и нужно пользоваться смарт-картой, а сам небось хранит пароли в блокноте))) и
Цитата:

folta

когда заканчиваются аргументы и им сказать нечего начинают что то придумывать. Последний их аргумент в небезопастности кипаса будет - прилетят инопланетяне и прочтут мои мысли.
Поэтому считаю что доказывать свою правоту - потеря своего времени. До простого эксперимента они не могут додуматься, а писать свои измышления им времени хватает. Эти люди непонятно почему тусуются в таких темах, скорее всего просто чутка потролить. Так что в ИГНОР их- и точка.

Никто ругать не будет? Подправил в шапке ссылку на русский языковый файл для 1 ветки программы (версия 1.25).

nfn
очень рад и всё такое.
мне непонятно что за "промахи" втираются в меня, но это не так важно. совсем не важно.
каждый выбирает согласно своим запросам и требованиям.
так что, навязывать, некорректно.

Цитата:

Пришлось проверить самому, что и как.

вот не поверите. честное пионерское.
если вы огласите и раскроете результат ваших экспериментов, вам поаплодируют стоя, ну или прочитают сотни. примя ваш опыт к сведению.
за что вам действительно уважение. кто не согласен, можете поправить.

по кеепасине - был слив паролей на чужом компьютере. я, как немножко встрявшее лицо, разбирал весь этот бардак.
оказалось, простенький кейлоггер спилил данные для чужого человека, у которого был доступ к компьютеру.
то есть, программа как-бы не при чём.
а то что нет реализации дополнительных мер безопасности, это не её вина.
а того, кто её утвердил. несмотря на имеющиеся аналоги с отсутствием подобных недочётов.