Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » KeePass Password Safe (Часть 1)

Модерирует : gyra, Maz

gyra (11-12-2020 07:18): KeePass Password Safe (Часть 2)  Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

   

mcs



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


KeePass Password Safe
Официальный сайт: keepass.info
Официальный сайт проекта: SourceForge.net/projects/keepass

KeePass — это бесплатный менеджер паролей с открытым исходным кодом (open source). Программа не нуждается в установке и (помимо прочих языков) имеет русский интерфейс. С её помощью вы можете хранить все свои пароли в единой базе данных, защищённой паролем и/или ключевым файлом. Таким образом, чтобы открыть всю базу данных, требуется запомнить только один пароль и/или выбрать один ключевой файл. База данных зашифрована лучшими и самими стойкими на сегодня алгоритмами шифрования (AES и Twofish).
Полное описание | Описание на английском



Новейшая версия в ветке v1: 1.38 (13 января 2020) Что нового (англ.)
Скачать:
переносная версия (ZIP) | устанавливаемая версия (EXE) | модуль русского языка (v1.38+)
 
Новейшая версия в ветке v2: 2.46 (10 сентября 2020) Что нового (англ.)
Скачать:
переносная версия (ZIP) | устанавливаемая версия (EXE) | модуль русского языка (v2.45+)
NB! Для KeePass ветки v2 необходим Microsoft .NET Framework 2.0 или выше (установлен по умолчанию в Windows Vista и новее) либо Mono 2.6 (или выше).
 
Установка русского языка в KeePass
Дополнительно:
Сравнение веток 1.х и 2.х
Советы по настройке и оптимизации работы менеджера паролей KeePass от bamboleylo - рекомендуется к прочтению новичкам и не только.
Эффективно используем KeePass 2: Часть 1 | Часть 2 | Часть 3
Обзор KeePass
Приемы использования KeePass 2.x
Подключаемые модули(плагины)

Всего записей: 453 | Зарегистр. 30-01-2003 | Отправлено: 17:30 18-07-2006 | Исправлено: DimmY, 19:39 10-09-2020
DimmY



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KismetT_v3
Оказывается, иногда бывает полезна документация.

Всего записей: 4686 | Зарегистр. 22-04-2002 | Отправлено: 22:56 10-05-2019
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Оказывается, иногда бывает полезна документация.

Задним умом мы все крепки.
 
 
Добавлено:
Особенно убедительно выглядит объяснение всего этого безобразия:

Цитата:
For performance reasons, the process memory protection only applies to sensitive data; sensitive data here includes for instance the master key and entry passwords, but not user names, notes and file attachments.

Ну да, мы же всё на калькуляторах обсчитываем, конец 20 века на дворе.

----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2471 | Зарегистр. 08-04-2016 | Отправлено: 23:06 10-05-2019
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KismetT_v3
Имхо удивительнее всего противоположное — что KeePass 1.x умудряется-таки затирать пароли в памяти после их просмотра. По крайней мере, я сейчас поигрался и сделал такой вывод. Хотя возможно, это какой-то ненамеренный сайд-эффект...
Дело в том, что недавно Доминик отбивался от претензий насчет оседания паролей в памяти тем, что проблематично затирать в памяти элементы гуя, даже для «низкоуровневого» KeePass'а 1.x:
https://sourceforge.net/p/keepass/discussion/329220/thread/3141433d14/#04b0

Цитата:
Using a low-level programming language doesn't help solving the primary issues. For example, KeePass 1.x is written in C++/MFC and KeePass 2.x is written in C#/.NET, but both editions in the end are using standard Windows controls/APIs and thus have the same limitations (displaying or transferring a password makes it visible in the process memory and Windows' copies cannot be erased). In fact, this applies to all password managers that are using standard Windows controls/APIs, independent of the programming language.

 
То ли дело KeePass 2.x, который из-за неизменяемости строк в принципе не способен очистить не то что элементы гуя, а даже данные, которые никому не показывались. Зато 2.x предоставляет для «сильно конфиденциального» защищенные многострочные поля. Но и они все равно палятся при синхронизации.

Всего записей: 967 | Зарегистр. 18-12-2011 | Отправлено: 23:46 10-05-2019 | Исправлено: emhanik, 00:01 11-05-2019
Djual



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
кто боролся с телеметрией Win 10 - ваше мнение - сможет она утянуть пароли ? ведь клипборд тут тоже используется ?

Всего записей: 428 | Зарегистр. 05-01-2016 | Отправлено: 08:33 11-05-2019
drondo



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Djual
мое мнение - сможет без проблем. При желании. Кому как не разработчикам знать все, что творится у них под капотом, вдобавок МС не раз ловили за недокументированные функции. Остается надеяться что тут сработает правило неуловимого Джо, и то, что у МС этой телеметрии со всего мира хоть жопой жуй, терабайты разного информационного хлама и роботы и парсеры настроены на извлечение данных, направленных именно на улучшение ОС, борьбу с крашами и ловить пароли от вконтакта им совсем не вперлось.

Всего записей: 461 | Зарегистр. 28-10-2005 | Отправлено: 09:19 11-05-2019
Djual



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
drondo

Цитата:
ловить пароли от вконтакта им совсем не вперлось

или от банк. кабинетов и кредиток
+ ещё такое соображение http://forum.ru-board.com/topic.cgi?forum=5&topic=48142&start=1120#11
ээ ?

Всего записей: 428 | Зарегистр. 05-01-2016 | Отправлено: 10:11 11-05-2019 | Исправлено: Djual, 10:13 11-05-2019
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Отпишусь, как и обещал.
Снова был сбой в сабже версии 1.37, посмотрел дамп памяти, который при этом делает Windows. Пароли зашифрованы - остальные поля в явном виде, в общем ж..па.

----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2471 | Зарегистр. 08-04-2016 | Отправлено: 11:35 15-05-2019
VitalyVitaly



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KeePass.config.xml от 2.38 можно подкинуть KeePass-2.42.1? Или лучше заново настроить.
Спасибо.

Всего записей: 984 | Зарегистр. 27-11-2004 | Отправлено: 13:29 18-05-2019
xChe



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KismetT_v3
Цитата:
 Пароли зашифрованы - остальные поля в явном виде, в общем ж..па.

Да уж... А у меня там тоже в заметках и номера карточек и cvv.
Выходит, что ни для чего кроме паролей от сайтиков программка не катит.
 
 

Всего записей: 4007 | Зарегистр. 07-05-2006 | Отправлено: 14:04 18-05-2019
banaji



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Пароли зашифрованы - остальные поля в явном виде, в общем ж..па.
 
Да уж... А у меня там тоже в заметках и номера карточек и cvv.  
Выходит, что ни для чего кроме паролей от сайтиков программка не катит.  

У меня где пароли от сайтов - в комментариях ответы на фразы для восстановления забытого пароля...
 
Так что там разработчик отвечает? Надо шум поднимать. Понятно, что защита от кейлоггеров - это проблема пользователей, но раз уж кейлоггер по умолчанию  в операционную систему у каждого встроен, надо как-то ограничивать обмен информацией с системой. А то даже то, что кто-то будет знать, какие именно логины на каком сайте принадлежат именно этому пользователю - это уже плохо...

Всего записей: 2253 | Зарегистр. 22-09-2010 | Отправлено: 16:12 18-05-2019 | Исправлено: banaji, 16:20 18-05-2019
Apollo2k4



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
banaji, вообще странная идея в комментариях хранить что-то критически важное, для этого есть дополнительные поля, в которых можно выставить защиту в памяти. (это если что про v2 про v1 я не в курсе)

Всего записей: 439 | Зарегистр. 13-08-2009 | Отправлено: 16:48 18-05-2019
Dart Raiden



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Djual
Двойное усложнение автонабора в помощь.
 
banaji
Защита в памяти в помощь. Создавайте дополнительные строковые поля и помечайте их как защищённые - для этого есть специальная опция при создании поля. Делать защиту комментариев нецелесообразно - сильно бьёт по производительности. Проще сказать пользователю, чтобы использовал функции программы по назначению, а комментарии не предназначены для хранения конфиденциальных данных. Контрольный вопрос практически так же важен, как пароль, никому ведь в здравом уме не придёт сунуть пароль в комментарии, когда для пароля есть максимально защищённое поле?

Всего записей: 5608 | Зарегистр. 20-10-2006 | Отправлено: 16:51 18-05-2019 | Исправлено: Dart Raiden, 17:02 18-05-2019
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
banaji 16:12 18-05-2019
Цитата:
Надо шум поднимать

Что-то поздно вы все спохватились...
Шум поднимался 3 месяца назад, когда вышел отчет ISE насчет незатертых данных в памяти по разным парольным менеджерам. Потом на Хабре стали публиковать, как выковыривать данные из памяти (вроде не KeePass'а)
Инструменту KeeThief вообще несколько лет уже.
 
Позицию Доминика я привел выше: затереть данные гуя невозможно, затереть строки (в случае 2.x) невозможно.
 
Обмен информацией с системой вы не ограничите.
Можно защитить разве что от непривилегированных приложений с помощью DACL
 
Dart Raiden 16:51 18-05-2019
Цитата:
Создавайте дополнительные строковые поля и помечайте их как защищённые - для этого есть специальная опция при создании поля

Раскрывается все

----------
Всем спасибо.

Всего записей: 967 | Зарегистр. 18-12-2011 | Отправлено: 17:11 18-05-2019 | Исправлено: emhanik, 17:12 18-05-2019
xChe



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Проще сказать пользователю, чтобы использовал функции программы по назначению, а комментарии не предназначены для хранения конфиденциальных данных

Ну пользователь то справедливо полагает, что коль уж программа предназначена для хранения конфиденциальной инфы, то в ней вся инфа конфиденциальна, а не выборочно...
А если с производительностью проблемы, то лучше бы ограничили длину комментариев чтобы это не сильно сказывалось на скорости.
 
Иначе непонятно в чём смысл - блокнот внутри TrueCrypt-a ничем не хуже.

Всего записей: 4007 | Зарегистр. 07-05-2006 | Отправлено: 17:35 18-05-2019
Apollo2k4



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Иначе непонятно в чём смысл - блокнот внутри TrueCrypt-a ничем не хуже.

Не хуже вопрос удобства.

Цитата:
А если с производительностью проблемы, то лучше бы ограничили длину комментариев чтобы это не сильно сказывалось на скорости.  

А потом объяснять почему пользовательский "Война и мир" не поместились в заметку. Путём не сложных логических выводом наверное можно сделать вывод, что все поля не скрытые звёздами мапятся в память из файла на прямую т.ч. ещё раз, не стоит в поле заметки хранить что либо, что может вас скомпрометировать.

Цитата:
Ну пользователь то справедливо полагает, что коль уж программа предназначена для хранения конфиденциальной инфы, то в ней вся инфа конфиденциальна, а не выборочно...  

Пока база закрыта, вся ваши информация в безопасности.
 
Защиту любого парольного менеджера можно пробить, не бывает "серебреной пули", вводя мастер пароль ты в любом парольном менеджере ставишь себя под угрозу.

Всего записей: 439 | Зарегистр. 13-08-2009 | Отправлено: 17:46 18-05-2019 | Исправлено: Apollo2k4, 17:57 18-05-2019
Dart Raiden



Gold Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
xChe

Цитата:
Иначе непонятно в чём смысл - блокнот внутри TrueCrypt-a ничем не хуже.

Либо это стёб (и разговор смысла не имеет), либо пользователь не знает про развитую систему плагинов и кучу возможностей сабжа (и разговор смысла не имеет - человек, забивающий гвозди микроскопом, коим является использование сабжа в качестве всего лишь шифрованного блокнота, не поймёт человека, пользующегося микроскопом по назначению).
 
Остальные претензии на уровне "почему я, живя в Матрице, никак не могу от неё защититься". У ОС всегда будет тотальное преимущество перед любой программой, работающей в юзерспейсе. Если настолько сильное недоверие ОС - надо начинать со смены ОС.

Всего записей: 5608 | Зарегистр. 20-10-2006 | Отправлено: 17:50 18-05-2019 | Исправлено: Dart Raiden, 17:56 18-05-2019
KismetT_v3



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Пока база закрыта, вся ваши информация в безопасности.

Пока база закрыта, она ни для чего не годна, просто файл на диске, весь цимес, когда она открыта.


----------
Это я .... И это тоже я .... Мы из этих

Всего записей: 2471 | Зарегистр. 08-04-2016 | Отправлено: 18:02 18-05-2019
Apollo2k4



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Пока база закрыта, она ни для чего не годна, просто файл на диске, весь цимес, когда она открыта.  

Читайте выше. Таким способом можно поймать любой парольный менеджер, используйте дополнительным поля для хранения чувствительной информации.

Всего записей: 439 | Зарегистр. 13-08-2009 | Отправлено: 18:07 18-05-2019
emhanik

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
KismetT_v3 18:02 18-05-2019
Цитата:
Пока база закрыта, она ни для чего не годна, просто файл на диске, весь цимес, когда она открыта.  

В 1.x — может быть. В 2.x — память программы «годна» и после закрытия базы.
 
Apollo2k4 18:07 18-05-2019
Цитата:
используйте дополнительным поля для хранения чувствительной информации

Еще 100500-й раз: при синхронизации палится все.

Всего записей: 967 | Зарегистр. 18-12-2011 | Отправлено: 18:33 18-05-2019 | Исправлено: emhanik, 18:33 18-05-2019
xChe



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
пользователь не знает про развитую систему плагинов и кучу возможностей сабжа

Что за волшебные возможности то - автонабор и всякие синхронизации что-ли?
Так я их и не использую. Пароли от сайтиков в браузере храню ибо восстановлю если они и утекут, а в серьёзные места не по сто раз на дню логинюсь чтобы заморачиваться с макросами для подстановки в нужные поля... Да так оно и безопаснее.
Синхронизация таких вещей - штука стрёмная, а бэкапить базу я и сам умею.

Всего записей: 4007 | Зарегистр. 07-05-2006 | Отправлено: 18:37 18-05-2019
   

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200

Компьютерный форум Ru.Board » Компьютеры » Программы » KeePass Password Safe (Часть 1)
gyra (11-12-2020 07:18): KeePass Password Safe (Часть 2)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru