Конференция "Прочее" » Безопасность Keepass 2
 
  • DayGaykin © (01.05.16 22:02) [0]
    Я уже достаточно давно использую Keepass 2 и уникальные пароли на всех сайтах.

    На меня наводит ужас мысль о том, вдруг кто-нибудь все-таки украдет и расшифрует файл. Там у меня вообще всё!
    Изучал вопрос, нашел интересную мысль: хранить в нем только уникальные части пароля, а общую держать в голове. Т.е. на всех сайтах пароль заканчивается одинаково.
    Например, храним пароль для ВК "mY??rongPas2vopd", а для ОК: "df#fisj#sdj03s". А реальные пароли: mY??rongPas2vopd1234 и df#fisj#sdj03s1234, где 1234 - та самая общая часть.
    Есть еще идеи?

    И второй вопрос: http://keepass.ru/index.php?id=35&doc=bezopasnost - тут сказано, что у keepass 2 имеется защита памяти процесса и описано как она работает? Как это возможно, учитывая, что он написан на .Net-е?
  • DayGaykin © (01.05.16 22:03) [1]
    P.S. Мысли про неуловимого Джо прошу оставить при себе. Спасибо.
  • Dimka Maslov © (01.05.16 22:46) [2]
    Лично я доверяю исключительно бумажному носителю в деле хранения паролей.
  • DayGaykin © (01.05.16 22:53) [3]

    > Dimka Maslov ©   (01.05.16 22:46) [2]
    >

    У меня 114 паролей (включая пароли от хостингов клиентов). Как это на бумаге содержать?
  • Inovet © (02.05.16 00:54) [4]
    > [3] DayGaykin ©   (01.05.16 22:53)
    > У меня 114 паролей

    У мея так же, в тм же КипАсс.:) Поддерживаю тему, но без паранои насчёт воровства - мы все умрём, в этом я оптимист.
  • Kerk © (02.05.16 11:16) [5]
    Сделай себе карточку с токенами. Или что-то типа этого https://www.passwordcard.org/ru :)

    Сам слишком ленив, чтоб такое использовать, правда. Храню пароли в clipperz.is
  • DayGaykin © (02.05.16 11:28) [6]

    > Сам слишком ленив, чтоб такое использовать, правда. Храню
    > пароли в clipperz.is

    Интересно, надо изучить вопрос :)


    > Kerk ©   (02.05.16 11:16) [5]

    114, увы, не запомню даже с карточкой
  • pavelnk © (02.05.16 11:40) [7]
    Я храню в записной книжке, ещё ни разу не жалел
  • Dimka Maslov © (02.05.16 13:26) [8]

    > не запомню


    Нет ничего зазорного в вводе пароля из записной книжки.
  • Kerk © (02.05.16 13:27) [9]
    Можно еще стикеры на монитор лепить.
  • Kerk © (02.05.16 13:29) [10]
    Бывают еще девайсы вроде этого https://www.yubico.com/
    Но по-моему перебор
  • Inovet © (02.05.16 14:07) [11]
    > [10] Kerk ©   (02.05.16 13:29)
    > Бывают еще девайсы вроде этого https://www.yubico.com/

    Чёт у меня, глядя на слово yubico, русское матерное словосочетание приходит на ум - ну что же - согласен, ум у меня не туда повёрнут. Да, это тот самый Фройд виноват.

    А девайс, может быть, совсем не плохой.
  • Smile © (02.05.16 14:58) [12]
    > DayGaykin ©   (01.05.16 22:53) [3]

    > У меня 114 паролей (включая пароли от хостингов клиентов).

    На мой, далеко непрофессиональный взгляд, перебор.
    У меня на рабочем столе всего 12 ярлыков и 8 папок. Рискну предположить, что у ТС их больше. Основная масса ярлыков размещена на панели задач. Ну, а кроме того, достаточно существенное количество линков, требующих ввода логина и пароля, находятся в меню "Автозаполнение" браузера (там всегда можно посмотреть свои логины и пароли, не запоминая и записывания их, это естественно зависит от используемых браузеров).
    Не вижу проблемы ТС.
  • DayGaykin © (02.05.16 15:39) [13]

    > Smile ©   (02.05.16 14:58) [12]

    См [1], пожалуйста.


    > Dimka Maslov ©   (02.05.16 13:26) [8]
    > Нет ничего зазорного в вводе пароля из записной книжки.

    Не безопасно: может прочесть любой, кто увидит + легко потерять.
  • Inovet © (02.05.16 15:44) [14]
    > [12] Smile ©   (02.05.16 14:58)
    > "Автозаполнение" браузера (там всегда можно посмотреть свои
    > логины и пароли, не запоминая и записывания их

    До первого слетания хотя бы того же браузера. Я уж не говорю о системе или компьютере.
  • Smile © (02.05.16 15:45) [15]
    > DayGaykin ©   (02.05.16 15:39) [13]

    What about browser?
  • Smile © (02.05.16 15:46) [16]
    > Inovet ©   (02.05.16 15:44) [14]

    Здесь ты прав. Дома не единственный компьютер ...
  • DayGaykin © (02.05.16 15:50) [17]

    > Inovet ©   (02.05.16 15:44) [14]
    > > [12] Smile ©   (02.05.16 14:58)
    > > "Автозаполнение" браузера (там всегда можно посмотреть
    > свои
    > > логины и пароли, не запоминая и записывания их
    >
    > До первого слетания хотя бы того же браузера.

    Хром (и хромиум) заботливо хранит пароли у себя на сервере.
  • Inovet © (02.05.16 16:00) [18]
    > [17] DayGaykin ©   (02.05.16 15:50)
    > Хром (и хромиум) заботливо хранит пароли у себя на сервере.

    Виндоус 10 даже весь клавиатурный ввод, местополежение и ещё 7 параметров может заботливо хранить на серверах МС, для улучшения сервиса, по-умлочканию.
  • Dimka Maslov © (02.05.16 18:16) [19]

    > может прочесть любой, кто увидит


    Ну так надо воспользоваться старым пиратским способом: записывать со сдвижкой по символам, а сдвижку держать в уме.
  • jack128 © (02.05.16 19:21) [20]

    > Как это возможно, учитывая, что он написан на .Net-е?

    Так же, как если б он был написан на плюсах.
  • DayGaykin © (02.05.16 21:22) [21]

    > Так же, как если б он был написан на плюсах.

    Насколько я понимаю, в .Net приложении нет контроля над памятью. И если какой-либо буфер превратить в строку, то эту строку уничтожит только сборщик мусора, а может и оставит.
    А, следовательно, при какой-либо манипуляции над паролем (вставка в буфер обмена, Drag&Drop, Autotype) положит в память расшифрованный пароль.
    Сужу по Java, полагая, что Java и .Net принципиально одинаково устроены.

    Буду признателен за поправки.
  • Игорь Шевченко © (02.05.16 23:08) [22]
    DayGaykin ©   (02.05.16 21:22) [21]

    Я не совсем понимаю, ты положишь свой пароль в набранном виде в буфер обмена, а виноват будет .Net ?
  • DayGaykin © (04.05.16 14:07) [23]

    > Игорь Шевченко ©   (02.05.16 23:08) [22]
    > DayGaykin ©   (02.05.16 21:22) [21]
    >
    > Я не совсем понимаю, ты положишь свой пароль в набранном
    > виде в буфер обмена, а виноват будет .Net ?

    Оставим пока буфер обмена.
    Разве в случае с Drag&Drop, Autotype внутри .Net программы не нужно получить пароль в виде строки?

    В случае с Autotype наверняка можно, если слать буквы по одной.
    А в случае с Drag&Drop?
  • Rouse_ © (04.05.16 14:21) [24]
    Ты чего выяснит то хочешь? Расшифровывает она или затирает расшифрованное?
    Если первое - то расшифровывает, если второе - ну возьми любую утилиту и по памяти процесса поиск сделай на предмет остались ли хвосты или нет. За три дня уж всяко мог это проверить.
 
Конференция "Прочее" » Безопасность Keepass 2
Есть новые Нет новых   [134434   +28][b:0][p:0.001]