Безопасность Keepass 2

← →
DayGaykin © (2016-05-01 22:02) [0]

Я уже достаточно давно использую Keepass 2 и уникальные пароли на всех сайтах.

На меня наводит ужас мысль о том, вдруг кто-нибудь все-таки украдет и расшифрует файл. Там у меня вообще всё!
Изучал вопрос, нашел интересную мысль: хранить в нем только уникальные части пароля, а общую держать в голове. Т.е. на всех сайтах пароль заканчивается одинаково.
Например, храним пароль для ВК "mY??rongPas2vopd", а для ОК: "df#fisj#sdj03s". А реальные пароли: mY??rongPas2vopd1234 и df#fisj#sdj03s1234, где 1234 - та самая общая часть.
Есть еще идеи?

И второй вопрос: http://keepass.ru/index.php?id=35&doc=bezopasnost - тут сказано, что у keepass 2 имеется защита памяти процесса и описано как она работает? Как это возможно, учитывая, что он написан на .Net-е?

← →
DayGaykin © (2016-05-01 22:03) [1]

P.S. Мысли про неуловимого Джо прошу оставить при себе. Спасибо.

← →
Dimka Maslov © (2016-05-01 22:46) [2]

Лично я доверяю исключительно бумажному носителю в деле хранения паролей.

← →
DayGaykin © (2016-05-01 22:53) [3]

> Dimka Maslov © (01.05.16 22:46) [2]
>

У меня 114 паролей (включая пароли от хостингов клиентов). Как это на бумаге содержать?

← →
Inovet © (2016-05-02 00:54) [4]

> [3] DayGaykin © (01.05.16 22:53)
> У меня 114 паролей

У мея так же, в тм же КипАсс.:) Поддерживаю тему, но без паранои насчёт воровства - мы все умрём, в этом я оптимист.

← →
Kerk © (2016-05-02 11:16) [5]

Сделай себе карточку с токенами. Или что-то типа этого https://www.passwordcard.org/ru :)

Сам слишком ленив, чтоб такое использовать, правда. Храню пароли в clipperz.is

← →
DayGaykin © (2016-05-02 11:28) [6]

> Сам слишком ленив, чтоб такое использовать, правда. Храню
> пароли в clipperz.is

Интересно, надо изучить вопрос :)

> Kerk © (02.05.16 11:16) [5]

114, увы, не запомню даже с карточкой

← →
pavelnk © (2016-05-02 11:40) [7]

Я храню в записной книжке, ещё ни разу не жалел

← →
Dimka Maslov © (2016-05-02 13:26) [8]

> не запомню

Нет ничего зазорного в вводе пароля из записной книжки.

← →
Kerk © (2016-05-02 13:27) [9]

Можно еще стикеры на монитор лепить.

← →
Kerk © (2016-05-02 13:29) [10]

Бывают еще девайсы вроде этого https://www.yubico.com/
Но по-моему перебор

← →
Inovet © (2016-05-02 14:07) [11]

> [10] Kerk © (02.05.16 13:29)
> Бывают еще девайсы вроде этого https://www.yubico.com/

Чёт у меня, глядя на слово yubico, русское матерное словосочетание приходит на ум - ну что же - согласен, ум у меня не туда повёрнут. Да, это тот самый Фройд виноват.

А девайс, может быть, совсем не плохой.

← →
Smile © (2016-05-02 14:58) [12]

> DayGaykin © (01.05.16 22:53) [3]

> У меня 114 паролей (включая пароли от хостингов клиентов).

На мой, далеко непрофессиональный взгляд, перебор.
У меня на рабочем столе всего 12 ярлыков и 8 папок. Рискну предположить, что у ТС их больше. Основная масса ярлыков размещена на панели задач. Ну, а кроме того, достаточно существенное количество линков, требующих ввода логина и пароля, находятся в меню "Автозаполнение" браузера (там всегда можно посмотреть свои логины и пароли, не запоминая и записывания их, это естественно зависит от используемых браузеров).
Не вижу проблемы ТС.

← →
DayGaykin © (2016-05-02 15:39) [13]

> Smile © (02.05.16 14:58) [12]

См [1], пожалуйста.

> Dimka Maslov © (02.05.16 13:26) [8]
> Нет ничего зазорного в вводе пароля из записной книжки.

Не безопасно: может прочесть любой, кто увидит + легко потерять.

← →
Inovet © (2016-05-02 15:44) [14]

> [12] Smile © (02.05.16 14:58)
> "Автозаполнение" браузера (там всегда можно посмотреть свои
> логины и пароли, не запоминая и записывания их

До первого слетания хотя бы того же браузера. Я уж не говорю о системе или компьютере.

← →
Smile © (2016-05-02 15:45) [15]

> DayGaykin © (02.05.16 15:39) [13]

What about browser?

← →
Smile © (2016-05-02 15:46) [16]

> Inovet © (02.05.16 15:44) [14]

Здесь ты прав. Дома не единственный компьютер ...

← →
DayGaykin © (2016-05-02 15:50) [17]

> Inovet © (02.05.16 15:44) [14]
> > [12] Smile © (02.05.16 14:58)
> > "Автозаполнение" браузера (там всегда можно посмотреть
> свои
> > логины и пароли, не запоминая и записывания их
>
> До первого слетания хотя бы того же браузера.

Хром (и хромиум) заботливо хранит пароли у себя на сервере.

> [17] DayGaykin © (02.05.16 15:50)
> Хром (и хромиум) заботливо хранит пароли у себя на сервере.

Виндоус 10 даже весь клавиатурный ввод, местополежение и ещё 7 параметров может заботливо хранить на серверах МС, для улучшения сервиса, по-умлочканию.

> может прочесть любой, кто увидит

Ну так надо воспользоваться старым пиратским способом: записывать со сдвижкой по символам, а сдвижку держать в уме.

> Как это возможно, учитывая, что он написан на .Net-е?

Так же, как если б он был написан на плюсах.

> Так же, как если б он был написан на плюсах.

Насколько я понимаю, в .Net приложении нет контроля над памятью. И если какой-либо буфер превратить в строку, то эту строку уничтожит только сборщик мусора, а может и оставит.
А, следовательно, при какой-либо манипуляции над паролем (вставка в буфер обмена, Drag&Drop, Autotype) положит в память расшифрованный пароль.
Сужу по Java, полагая, что Java и .Net принципиально одинаково устроены.

Буду признателен за поправки.

DayGaykin © (02.05.16 21:22) [21]

Я не совсем понимаю, ты положишь свой пароль в набранном виде в буфер обмена, а виноват будет .Net ?

> Игорь Шевченко © (02.05.16 23:08) [22]
> DayGaykin © (02.05.16 21:22) [21]
>
> Я не совсем понимаю, ты положишь свой пароль в набранном
> виде в буфер обмена, а виноват будет .Net ?

Оставим пока буфер обмена.
Разве в случае с Drag&Drop, Autotype внутри .Net программы не нужно получить пароль в виде строки?

В случае с Autotype наверняка можно, если слать буквы по одной.
А в случае с Drag&Drop?

Ты чего выяснит то хочешь? Расшифровывает она или затирает расшифрованное?
Если первое - то расшифровывает, если второе - ну возьми любую утилиту и по памяти процесса поиск сделай на предмет остались ли хвосты или нет. За три дня уж всяко мог это проверить.

Безопасность Keepass 2 Найти похожие ветки