KeePass и Password Safe
Какая программа лучше KeePass или Password Safe. И почему KeePass убрали из раздела "софт"?
Мне лично KeePass больше нравится, т.к. она удобная. Это дело вкуса. Но как на счет безопасности?
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 11558 документов: 1036 редакций: 4118
А он там разве когда-то был?
В пользу Password Safe: разработку начинал Шнайер (и по сей день рекламирует её довольно активно), программа компактная, простая и весьма популярная, что позитивно сказывается на безопасности кода.
комментариев: 10 документов: 5 редакций: 2
Да, я там его и нашел и скачал... а хотя по моему там в комментах к Password Safe его отрекламировал кто-то. В любом случае я думаю KeePass стоит добавить в "софт".
AES – алгоритм шифрования, а не какая-то там технология. И использовать его можно по-разному, в том числе и небезопасным способом.
Извините, но если злоумышленник имеет возможность чтения памяти, то любое шифрование бессмысленно! Если программа хранит пароль в памяти в зашифрованном виде, то его можно расшифровать, ведь ключ хранится в той же памяти! Написать ПО для этого может любой начинающий реверсер. Поэтому бессмысленно рассматривать защиту от вредоносного ПО имеющего рутовые привилегии, а подход "наворотить всякой фигни, авось враг не поймет" ненаучен и неэффективен, практика показывает что 100% таких защит были взломаны при первой же серьезной атаке, а значит зачем их делать?
Точно используют? А что, если нет? Как это проверялось (особенно для проприетарной программы)? Какие используются режимы шифрования? Используется ли salt и pkcs5 с замедлением? Где вообще какое-либо исследование?
Детский сад "штаны на лямках", это бля курам на смех. Да разве взломщика волнуют ихние принудительные паузы? Он напишет свой код для перебора, в котором никаких пауз не будет, и будет смеяться над тупыми разработчиками, считающими это защитой, и еще более тупыми пользователями, понадеявшимися на такую защиту. Если стоит задача замедления перебора паролей, то паузы должны быть не принудительными, а естественно вытекающими из алгоритма, для чего в серьезных системах используется многократное хеширование пароля. Например есть хороший стандарт PKCS PKDBF.2, из которого задержки не выкинуть.
А это еще что-за херня? Хотя всё понятно, статья заказная. Правило криптопараноика №1: нигде, никогда и ни при каких обстоятельствах не использовать криптософт с закрытым кодом, несмотря на любые мыслимые и немыслимые его достоинства. Это правило является обобщением десятилетий опыта специалистов-безопасников, и его нарушение может дорого обойтись. Слишком часто оказывалось, что закрытый софт небезопасен, и пользователи всегда узнают об этом последними, когда их массово начинают иметь.
Вывод: статья дерьмо, какое-либо исследование отсутствует, результат заказной. Аффтар — пей яд и не пиши больше.
комментариев: 11558 документов: 1036 редакций: 4118
Напишите багрепорт разработчикам.
комментариев: 1060 документов: 16 редакций: 32
Что-то я смотрю, здесь последний релиз от 2006-12-16. Этот продукт еще поддерживается?
комментариев: 11558 документов: 1036 редакций: 4118
OpenPGP — это не алгоритм шифрования, а формат сообщений. На сайте программы та же ошибка. Судя по всему, база паролей шифруется и пакуется в OpenPGP-сообщение.
http://www.fpx.de/fp/Software/Gorilla/
Password Gorilla is designed to be compatible with the Password Safe program, which was originally developed by Counterpane Labs, and is now maintained as an Open Source project at Sourceforge. All credit for the idea and the technology behind Password Gorilla belong to the authors and maintainers of Password Safe.