Форум: "Прочее";
Текущий архив: 2017.05.21;
Скачать: [xml.tar.bz2];
ВнизБезопасность Keepass 2 Найти похожие ветки
← →
DayGaykin © (2016-05-01 22:02) [0]Я уже достаточно давно использую Keepass 2 и уникальные пароли на всех сайтах.
На меня наводит ужас мысль о том, вдруг кто-нибудь все-таки украдет и расшифрует файл. Там у меня вообще всё!
Изучал вопрос, нашел интересную мысль: хранить в нем только уникальные части пароля, а общую держать в голове. Т.е. на всех сайтах пароль заканчивается одинаково.
Например, храним пароль для ВК "mY??rongPas2vopd", а для ОК: "df#fisj#sdj03s". А реальные пароли: mY??rongPas2vopd1234 и df#fisj#sdj03s1234, где 1234 - та самая общая часть.
Есть еще идеи?
И второй вопрос: http://keepass.ru/index.php?id=35&doc=bezopasnost - тут сказано, что у keepass 2 имеется защита памяти процесса и описано как она работает? Как это возможно, учитывая, что он написан на .Net-е?
← →
DayGaykin © (2016-05-01 22:03) [1]P.S. Мысли про неуловимого Джо прошу оставить при себе. Спасибо.
← →
Dimka Maslov © (2016-05-01 22:46) [2]Лично я доверяю исключительно бумажному носителю в деле хранения паролей.
← →
DayGaykin © (2016-05-01 22:53) [3]
> Dimka Maslov © (01.05.16 22:46) [2]
>
У меня 114 паролей (включая пароли от хостингов клиентов). Как это на бумаге содержать?
← →
Inovet © (2016-05-02 00:54) [4]> [3] DayGaykin © (01.05.16 22:53)
> У меня 114 паролей
У мея так же, в тм же КипАсс.:) Поддерживаю тему, но без паранои насчёт воровства - мы все умрём, в этом я оптимист.
← →
Kerk © (2016-05-02 11:16) [5]Сделай себе карточку с токенами. Или что-то типа этого https://www.passwordcard.org/ru :)
Сам слишком ленив, чтоб такое использовать, правда. Храню пароли в clipperz.is
← →
DayGaykin © (2016-05-02 11:28) [6]
> Сам слишком ленив, чтоб такое использовать, правда. Храню
> пароли в clipperz.is
Интересно, надо изучить вопрос :)
> Kerk © (02.05.16 11:16) [5]
114, увы, не запомню даже с карточкой
← →
pavelnk © (2016-05-02 11:40) [7]Я храню в записной книжке, ещё ни разу не жалел
← →
Dimka Maslov © (2016-05-02 13:26) [8]
> не запомню
Нет ничего зазорного в вводе пароля из записной книжки.
← →
Kerk © (2016-05-02 13:27) [9]Можно еще стикеры на монитор лепить.
← →
Kerk © (2016-05-02 13:29) [10]Бывают еще девайсы вроде этого https://www.yubico.com/
Но по-моему перебор
← →
Inovet © (2016-05-02 14:07) [11]> [10] Kerk © (02.05.16 13:29)
> Бывают еще девайсы вроде этого https://www.yubico.com/
Чёт у меня, глядя на слово yubico, русское матерное словосочетание приходит на ум - ну что же - согласен, ум у меня не туда повёрнут. Да, это тот самый Фройд виноват.
А девайс, может быть, совсем не плохой.
← →
Smile © (2016-05-02 14:58) [12]> DayGaykin © (01.05.16 22:53) [3]
> У меня 114 паролей (включая пароли от хостингов клиентов).
На мой, далеко непрофессиональный взгляд, перебор.
У меня на рабочем столе всего 12 ярлыков и 8 папок. Рискну предположить, что у ТС их больше. Основная масса ярлыков размещена на панели задач. Ну, а кроме того, достаточно существенное количество линков, требующих ввода логина и пароля, находятся в меню "Автозаполнение" браузера (там всегда можно посмотреть свои логины и пароли, не запоминая и записывания их, это естественно зависит от используемых браузеров).
Не вижу проблемы ТС.
← →
DayGaykin © (2016-05-02 15:39) [13]
> Smile © (02.05.16 14:58) [12]
См [1], пожалуйста.
> Dimka Maslov © (02.05.16 13:26) [8]
> Нет ничего зазорного в вводе пароля из записной книжки.
Не безопасно: может прочесть любой, кто увидит + легко потерять.
← →
Inovet © (2016-05-02 15:44) [14]> [12] Smile © (02.05.16 14:58)
> "Автозаполнение" браузера (там всегда можно посмотреть свои
> логины и пароли, не запоминая и записывания их
До первого слетания хотя бы того же браузера. Я уж не говорю о системе или компьютере.
← →
Smile © (2016-05-02 15:45) [15]> DayGaykin © (02.05.16 15:39) [13]
What about browser?
← →
Smile © (2016-05-02 15:46) [16]> Inovet © (02.05.16 15:44) [14]
Здесь ты прав. Дома не единственный компьютер ...
← →
DayGaykin © (2016-05-02 15:50) [17]
> Inovet © (02.05.16 15:44) [14]
> > [12] Smile © (02.05.16 14:58)
> > "Автозаполнение" браузера (там всегда можно посмотреть
> свои
> > логины и пароли, не запоминая и записывания их
>
> До первого слетания хотя бы того же браузера.
Хром (и хромиум) заботливо хранит пароли у себя на сервере.
← →
Inovet © (2016-05-02 16:00) [18]> [17] DayGaykin © (02.05.16 15:50)
> Хром (и хромиум) заботливо хранит пароли у себя на сервере.
Виндоус 10 даже весь клавиатурный ввод, местополежение и ещё 7 параметров может заботливо хранить на серверах МС, для улучшения сервиса, по-умлочканию.
← →
Dimka Maslov © (2016-05-02 18:16) [19]
> может прочесть любой, кто увидит
Ну так надо воспользоваться старым пиратским способом: записывать со сдвижкой по символам, а сдвижку держать в уме.
← →
jack128 © (2016-05-02 19:21) [20]
> Как это возможно, учитывая, что он написан на .Net-е?
Так же, как если б он был написан на плюсах.
← →
DayGaykin © (2016-05-02 21:22) [21]
> Так же, как если б он был написан на плюсах.
Насколько я понимаю, в .Net приложении нет контроля над памятью. И если какой-либо буфер превратить в строку, то эту строку уничтожит только сборщик мусора, а может и оставит.
А, следовательно, при какой-либо манипуляции над паролем (вставка в буфер обмена, Drag&Drop, Autotype) положит в память расшифрованный пароль.
Сужу по Java, полагая, что Java и .Net принципиально одинаково устроены.
Буду признателен за поправки.
← →
Игорь Шевченко © (2016-05-02 23:08) [22]DayGaykin © (02.05.16 21:22) [21]
Я не совсем понимаю, ты положишь свой пароль в набранном виде в буфер обмена, а виноват будет .Net ?
← →
DayGaykin © (2016-05-04 14:07) [23]
> Игорь Шевченко © (02.05.16 23:08) [22]
> DayGaykin © (02.05.16 21:22) [21]
>
> Я не совсем понимаю, ты положишь свой пароль в набранном
> виде в буфер обмена, а виноват будет .Net ?
Оставим пока буфер обмена.
Разве в случае с Drag&Drop, Autotype внутри .Net программы не нужно получить пароль в виде строки?
В случае с Autotype наверняка можно, если слать буквы по одной.
А в случае с Drag&Drop?
← →
Rouse_ © (2016-05-04 14:21) [24]Ты чего выяснит то хочешь? Расшифровывает она или затирает расшифрованное?
Если первое - то расшифровывает, если второе - ну возьми любую утилиту и по памяти процесса поиск сделай на предмет остались ли хвосты или нет. За три дня уж всяко мог это проверить.
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2017.05.21;
Скачать: [xml.tar.bz2];
Память: 0.5 MB
Время: 0.002 c