» KeePass Password Safe

WildGoblin
получается, он так и не ответил?

papama

Цитата:

левый или скомпрометированный генератор пользует

Имхо, для генератора паролей пофиг - случайные там числа или не совсем.
А для параноиков есть специальная галочка - "Collect additional entropy".

WildGoblin

Цитата:

оставил в открытом виде в базе счётчик записей

А это интересно...

papama

Цитата:

получается, он так и не ответил?

Получается, что так.

xChe

Цитата:

Имхо, для генератора паролей пофиг - случайные там числа или не совсем.

Вы так говорите из-за того, что вам знаний в этой теме не хватает.

Free13man

Цитата:

А это интересно...

Отсюда начинайте читать.

0utC4St (12:43 04-10-2013)
Цитата:

Конечно, напишите автору - он отзывчивый.

WildGoblin, специально для тебя буду пользоваться теперь конструкцией [ИРОНИЯ]...[/ИРОНИЯ]

WildGoblin

Цитата:

Отсюда начинайте читать.

Спасибо, да я припоминаю этот ваш пост. Давно за веткой слежу, но это как-то подзабыл. И что вы для себя решили или используете что-то другое? (не для холивара вопрос)

WildGoblin
Ну на месте автора я бы тоже тебе не ответил, потому что ты сам нашёл ответ в мане по заголовку базы
А что именно смущает? Количество групп и записей в открытом виде? Ну так предложи схему, которая облегчит расшифрование при условии знания этих данных

Free13man

если беспокоят утечки данных, используйте шифрование разделов и/или полнодисковое шифрование и криптоконтейнеры. в последнем случае не исключена возможность определения их наличия в системе.

Цитата:

Имхо, для генератора паролей пофиг - случайные там числа или не совсем.
А для параноиков есть специальная галочка - "Collect additional entropy".

благодарствую за галочку. посмотрю.

ну не для всех генераторов пофиг. Вон некоторые товарищи пользовались генератором, а оказалось, что генератор имеет так, сказать, дырень. Получается, что лучше бы им и не пользовались бы.


Добавлено:

Цитата:

используете что-то другое

старое решение pwsafe от Шнайера - вот реальная альтернатива

Добавлено:

Цитата:

если беспокоят утечки данных, используйте шифрование разделов и/или полнодисковое шифрование и криптоконтейнеры. в последнем случае не исключена возможность определения их наличия в системе.

если беспокоят утечки - то лучше вообще компом не пользоваться.

кстате, тот же Шнайер, как старый параноик пользовал комп, который ни разу не подключал к сети. Трупараноик.

0utC4St

Цитата:

специально для тебя буду пользоваться теперь конструкцией [ИРОНИЯ]...[/ИРОНИЯ]

Да - так будет гораздо лучше.

Free13man

Цитата:

И что вы для себя решили или используете что-то другое?

Password Safe

gjf

Цитата:

Ну на месте автора я бы тоже тебе не ответил, потому что ты сам нашёл ответ в мане по заголовку базы

В новых версиях автор убрал из мана эту инфу...

Цитата:

Ну так предложи схему, которая облегчит расшифрование при условии знания этих данных

С чего ты решил, что это я должен чего-то предлагать чтобы что-то облегчать?

mleo

Цитата:

в последнем случае не исключена возможность определения их наличия в системе.

Не "не исключена", а 100% вероятна (не забывайте только, что понятия "найти контейнер" и "доказать, что это именно контейнер" не равнозначны )

WildGoblin
Дело в том, что имхо знание этой информации никак не облегчает задачу расшифровки. А в таком случае - информация безопасна.

Ну вот есть у тебя 20 зашифрованных одним ключом файлов - какая тебе разница, что ты знаешь эту цифру 20?

gjf

Цитата:

Дело в том, что имхо знание этой информации никак не облегчает задачу расшифровки. А в таком случае - информация безопасна.
Ну вот есть у тебя 20 зашифрованных одним ключом файлов - какая тебе разница, что ты знаешь эту цифру 20?

В этом посте содержится потаённый ответ на мой вопрос - "Зачем хранить открыто количество записей?"?

Цитата:

старое решение pwsafe от Шнайера - вот реальная альтернатива

смотрим что пишет Шнайер

mleo

Цитата:

смотрим что пишет Шнайер

Звучит так как будто бы Шнайер там написал что-то плохое про Password Safe, но ничего плохого про Password Safe он там не написал!

Специально сейчас обновил Password Safe до актуальной версии и погонял. Сравнил функционал из коробки с аналогичным из KeePass. Нет слов. Настолько неудобный PS в сравнении с KP. По ощущением это как пытаться писать левой рукой правше.
Беспорно есть несколько плюсов, например, касаемо вкладки с генератором паролей.
Но всё же PS (по крайне мере версия под Windows) отстал от KS в развитии на несколько лет.

оффтоп

WildGoblin

вообще то просто дал ссылку)) решение то не старое и датируется "As of September 24, 2013, the latest Windows"
м-да, может звучит типа "скандалы, интриги, расследования!!" ))

мне так ближе
Цитата:

*NIX порт - KeePassX (KeePass/L)

с репозитария. все просто.

0utC4St

Цитата:

Но всё же PS (по крайне мере версия под Windows) отстал от KS в развитии на несколько лет.

Да, действительно - не хватает сторонних плагинов (работающих с сетью!!!) и скинов!

mleo

Цитата:

м-да, может звучит типа "скандалы, интриги, расследования!!" ))

Ага

WildGoblin, речь шла о базовом комплете так сказать из коробки (для обоих продуктов)
Очень удобно использовать автонабор в KP с помощью глоб. горячих клавиш Ctrl+Alt+A
В PS реализован автонабор неудобно. Ввод мастер-пароля во 2ой версии KS осуществляется в защищённом режиме (наипростейшие кейлогеры - сосут).

0utC4St

Цитата:

речь шла о базовом комплете так сказать из коробки (для обоих продуктов)

Ну да, согласный - из коробки в кипасе свистелок гораздо больше (да и вообще гораздо больше ).

Цитата:

Очень удобно использовать автонабор в KP с помощью глоб. горячих клавиш Ctrl+Alt+A

У вас база всегда открыта?

Цитата:

Ввод мастер-пароля во 2ой версии KS осуществляется в защищённом режиме (наипростейшие кейлогеры - сосут).

Это как если бы поросёнок из сказки горделиво промолвил: "Мой домик из веточек не убоиться даже самого наилегчайшего ветерка! ".

На форуме можно умных людей почитать и детальное описание ральной атаки связанной с функцией восстановления:

http://sourceforge.net/p/keepass/discussion/329220/thread/f2257039/

после чего автор принял определенные меры на странице и в самой программе, а также обдумывает (с подачи того кто описал атаку) об использовании иных/стандартных решений шифрования:

http://keepass.info/help/base/repair.html

А тут чесслово, сказки про поросят

makarei

в чем реальность атаки?

Цитата:

With regards to the first capability this is not an unlikely scenario.
I note that many users synchronise their KeePass files across a
network, and use cloud storage services for storing these files

здорово. то есть вы считаете нормальным синхронизацию базы паролей через сеть и хранение ее в облаках?


Цитата:

With regards to the second capability, all new KeePass files have a
similar structure and records are added in a predictable fashion. A
malicious network engineer could, for example, monitor a user's
internet activity

вторая угроза как бэ, вытекает из первой.точнее из способов пользования сабжем.

другой вопрос, что злоумышленник может иметь прямой доступ к машине. но это другая история. и для защиты от этого и было предложено убирать сабж в контейнер или на зашифрованый раздел/диск.

Добавлено:
тут http://keepass.info/help/base/repair.html вообще идет речь о возможности повреждения файла базы данных и про резервное копирование ))

или мой инглиш вери бэд? ))

WildGoblin (20:01 07-10-2013)
Цитата:

У вас база всегда открыта?

Когда компьютер включён, не заблокирован, не переключён пользователь, не изменен режим рабочего стола, бездействие в KS менее 300 сек или общее бездействие менее 600 сек.


WildGoblin (20:01 07-10-2013)
Цитата:

Это как если бы поросёнок из сказки горделиво промолвил: "Мой домик из веточек не убоиться даже самого наилегчайшего ветерка! ".

Ну а это вообще просто детский лепет. Напиши чем PS принципиально безопаснее KS. За число вхождений эл-тов базы в открытом виде - писал, что ещё?

mleo
То, что я привел это пример, и да реальный (мне не надо ничего считать, как и сказал автор примера атаки, - это НЕ немоловероятный сценарий, да и вообще вероятность тут не важна, - важен принцип), как следует критиковать программу, - детально, конкретно и без ссылко на сказки. Я сильно сомневаюсь, что автор пишет программу в то в ремя как ребенку рассказывает сказки на ночь, все таки это серьезный проект на который полагаются многие тысячи людей и смежные проекты (нативные не-Mono порты на другие системы, минимум).


Цитата:

или мой инглиш вери бэд? ))

Об этом судить не могу, но внимательности не хватило:

http://keepass.info/help/base/repair.html


Цитата:

In repair mode, the integrity of the data is not checked (in order to rescue as much data as possible). When no integrity checks are performed, corrupted/malicious data might be incorporated into the database. Thus the repair functionality should only be used when there really is no other solution. If you use it, afterwards you should thoroughly check your whole database for corrupted/malicious data.

makarei

согласен. не дочитал. ибо после двух обзацев не понял к чему был приведен пример (в разрезе обсуждения здесь).

ковырять можно и нужно программное обеспечение такого назначения, но каждый для себя определяет какая модель угроз подходит для него.
по мне так, так я такое программное обеспечение не доверил проприетарной системе, т.е. инсталяция в Винду. максимум портабльный вариант и то, 33 раза проверить где и что он пишет.
и приведенные примеры атак, лично для меня, не понятны.

[offtop]

а так можно удивлятся, что на тротуаре оставил 1000 руб и кто-то ВДРУГ их взял (это я про облачные хранилища и передачи баз в открытом виде посредствои инета). дескать воспитание у народа неподходящие.. Конфуция на них нет ))

[/offtop]

0utC4St

Цитата:

Ну а это вообще просто детский лепет.

Детский лепет это:

Цитата:

Ввод мастер-пароля во 2ой версии KS осуществляется в защищённом режиме (наипростейшие кейлогеры - сосут).

Цитата:

Напиши чем PS принципиально безопаснее KS.

В нём нет сторонних плагинов и он не вселяет в юзеров ложную уверенность в безопасности как это делает сабж продвигая свой "защищённый режим".

makarei

Цитата:

...все таки это серьезный проект на который полагаются многие тысячи людей...

Вы считаете, что только лишь использование сабжа тысячами людей (и даже более - они на него полагаются!) делает его серьёзным проектом?!

Цитата:

...т.е. инсталяция в Винду. максимум портабльный вариант...

Оно имеет какие-то принципиальные различия? К контексте винды?

Цитата:

...(это я про облачные хранилища и передачи баз в открытом виде посредствои инета)...

Так вроде как база совсем не открытая, а совсем супер защищённая?!

WildGoblin

Цитата:

Вы считаете, что только лишь использование сабжа тысячами людей (и даже более - они на него полагаются!) делает его серьёзным проектом?!

Вопрос не понятен. Вы вообще хотите подискутировать о критериях серьезности, или же вы подразумеваете, что в вашем видении этот проект все же не серьезен?

WildGoblin
Тогда можно без лишних слов я вам задам вопрос о сравнении надежности Keepass и Lastpass, вот мы думаем перейти, причем всей организацией на Lastpass, но я почему-то доверяю больше Keepass.

makarei

Цитата:

Вы вообще хотите подискутировать о критериях серьезности, или же вы подразумеваете, что в вашем видении этот проект все же не серьезен?

Я всего лишь хотел сказать, что ваше заявление о "серьёзности" проекта нелепо.

Free13man
А как именно на уровне организации вы собираетсь внедрять использование менеджера паролей? Какова схема использования? И если LastPass, - то вы будете внедрять LastPass Enterprise?

WildGoblin
Понятно.

Free13man

Цитата:

огда можно без лишних слов я вам задам вопрос о сравнении надежности Keepass и Lastpass...

Не нужно мне задавать такой вопрос - так как я даже не знаю что такое Lastpass!

Цитата:

...но я почему-то доверяю больше Keepass.

"Почему-то доверяю" звучит почти как "верю"...