id: Гость   вход   регистрация
текущее время 13:02 28/03/2024
Автор темы: tatarnikoff, тема открыта 18/05/2007 06:25 Печать
https://www.pgpru.com/Форум/ПрактическаяБезопасность/Keepass-ПочЕмуНетВПрограммах
создать
просмотр
ссылки

KeePass – почему нет в программах?


Почему в разделе "софт" нет странички о программе хранения паролей KeePass? Это надежная программа, или всё же лучше использовать Password Safe?


 
Комментарии
— Elk (18/05/2007 16:24)   профиль/связь   <#>
комментариев: 73   документов: 1   редакций: 0
1. Prerequisites – Microsoft . NET Framwork 2.0. http://keepass.info/compare.html
2. Масса ненужных фич усложняет чтение кода.
3. Одноплатформенность.
— Почкин (24/05/2007 05:21)   <#>
Первая версия программы не требует . Net. Переход на вторую версию опционален. Сама программа отлично справляется с возложенными на неё функциями. Надёжна.
— Почкин (24/05/2007 19:01)   <#>
Пожалуй стоит дополнить мой ответ. Заинтересовавшись программой Password Safe, скачал и поковырялся в ней. Более спартанская программа, хотя памяти занимает немного больше, чем KeePass.

Не понятно, есть ли в Password Safe защита контролов в которые вводятся пароли и защита паролей в памяти. Скорее всего, нет. В отличии от.

Ещё в KeePass есть средства для значительного замедления простых брут-форс атак. Автоввод информации KeePass'ом в формы также удобнее, глобальный хук поставлен на хоткей. После установки курсора в первое поле формы и нажатия хоткея, программа сама находит нужное окно по части заголовка и выполняет команды автоввода. Даже генератор паролей, и тот цивилизованней реализован в KeePass, да, мелочь, но куда же без мелочей.

В завершении теста я попытался использоваться предусмотренную опцию и импортировать в Password Safe файл экспортированный из KeePass в нескольких форматах. Все попытки неизменно приводили к вылетанию Password Safe с эксепшеном. Констатирую полное фиаско.

Не знаю, как насчёт кроссплатформенности, но в Windows пользоваться Password Safe просто неблагоразумно. Бранч KeePass, с цифрой версии начинающейся с единицы, это совсем другое дело. Тоже OSI certified приложение, между прочим, но какой контраст.
— Почкин (24/05/2007 19:08)   <#>
Забыл добавить, информация про одноплатформенность KeePass не совсем соответсвует реальному положению вещей. Есть билды для Linux, MacOS X, PocketPC и смартов.
— tatarnikoff (24/05/2007 19:11)   профиль/связь   <#>
комментариев: 10   документов: 5   редакций: 2
Мне обе программки нравятся, но KeePass удобнее. В то же время слышал, что Password Safe надёжнее... Если верить слухам, приходится выбирать между удобством и надежностью. Хотя если KeePass не менее надёжен чем Password Safe, то он в фаворитах однозначно.
— SATtva (24/05/2007 19:19)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Ещё в KeePass есть средства для значительного замедления простых брут-форс атак.

Цитирую отсюда:

... PRTK способна тестировать только 900 паролей Password Safe 3.0 в секунду.
— Почкин (24/05/2007 19:23)   <#>
За счёт чего это достигается?
— Почкин (24/05/2007 19:27)   <#>
Кстати, у меня на расшифровку и зашифровку файла KeePass уходит примерно 1 секунда. Скорость подбора паролей будет помедленнее, чем 900 в секунду.
— SATtva (24/05/2007 19:33)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
За счёт чего это достигается?

За счёт итеративного хэширования введённого пароля, это общепринятая методика.

Кстати, у меня на расшифровку и зашифровку файла KeePass уходит примерно 1 секунда.

Есть разница: расшифровать и отобразить всю базу или только проверить правильность ключа. Хотя ничто не мешало действительность замедлить процесс ещё больше.
— Почкин (24/05/2007 20:04)   <#>
Ясно, спасибо. В KeePass можно установить количество итераций хэширования ключа (у меня например 700тыс. итераций, примерно на секунду расчётов), а в Password Safe видимо что-то по умолчанию прописано.

А что насчёт защиты памяти программы? Тоже есть что-то неафишированное, или сочтено избыточным?
— sentaus (24/05/2007 21:54)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Не понятно, есть ли в Password Safe защита контролов в которые вводятся пароли и защита паролей в памяти. Скорее всего, нет. В отличии от.

И что, даже от кйлоггеров, засунутых в ядро ОС защитит? Или всё таки пора бы уже понять, что это просто snake oil.


Автоввод информации KeePass'ом в формы также удобнее

А безопасных автовводов, как мы знаем, не бывает. К сожалению.
— Почкин (24/05/2007 22:41)   <#>
Защитит, не защитит, но хотелось бы, чтобы программа хотя бы не записала пароли открытым текстом в page file. Специальные computer forensic программы заточены на составление словарей для брут-форса из найденной на диске информации, и, говорят, делают это с успехом. В общем, мелочь, конечно, но почему бы и не позаботиться об этом. Может, в Password Safe такая защита предусмотрена, но упоминание об этом как-то не бросается в глаза.

Про автоввод, я, если честно, не понял. Просто мне удобнее, когда программа выполняет операцию по одному нажатию хоткея, нежели заставляет открывать её окно, отыскивать нужную запись, нажимать автоввод и прятать окно обратно.
— sentaus (24/05/2007 23:55)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
но хотелось бы, чтобы программа хотя бы не записала пароли открытым текстом в page file.

Во многих ОС программа, запущенная с правами обычного пользователя, не может предотвратить сброс страниц из памяти в своп. Например, под linux для этого необходимы права root. А под windows pgpшники вообще свой драйвер виртуального устройства писали :)

тут вменяемое решение одно – адекватный объём RAM и отключенный своп.
— sentaus (25/05/2007 14:35)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
...
или прозрачное шифрование всего свопа, конечно.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3