id: Гость   вход   регистрация
текущее время 11:34 29/03/2024
Автор темы: tatarnikoff, тема открыта 20/02/2007 19:32 Печать
создать
просмотр
ссылки

KeePass и Password Safe


Какая программа лучше KeePass или Password Safe. И почему KeePass убрали из раздела "софт"?
Мне лично KeePass больше нравится, т.к. она удобная. Это дело вкуса. Но как на счет безопасности?


 
Комментарии
— SATtva (20/02/2007 20:52)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
И почему KeePass убрали из раздела «софт»?

А он там разве когда-то был?

Но как на счет безопасности?

В пользу Password Safe: разработку начинал Шнайер (и по сей день рекламирует её довольно активно), программа компактная, простая и весьма популярная, что позитивно сказывается на безопасности кода.
— Гость (20/02/2007 21:23)   <#>
KeePass компактнее, файлы с паролями не светят так откровенно сигнатурами, генератор паролей удобнее,.
— tatarnikoff (21/02/2007 06:05)   профиль/связь   <#>
комментариев: 10   документов: 5   редакций: 2
А он там разве когда-то был?


Да, я там его и нашел и скачал... а хотя по моему там в комментах к Password Safe его отрекламировал кто-то. В любом случае я думаю KeePass стоит добавить в "софт".
— Павел (16/05/2009 17:40)   <#>
сам искал ответ на вопрос безопасности, так как выбирал эту программу. Ответ нашёл по ссылке: http://www.computerbild.ru/soft/5356/. Настоящий тест программ.
— Гость (16/05/2009 20:00)   <#>
Клинически безграмотная статья, поскольку выбраны полностью неправильные критерии оценки. Рассмотрим несколько журноламерских перлов:

Программы сохраняют введенные данные с использованием различных технологий шифрования. На сегодняшний день надежной считается технология AES (Advanced Encryption Standard).

AES – алгоритм шифрования, а не какая-то там технология. И использовать его можно по-разному, в том числе и небезопасным способом.

При использовании программ Data Guardian 1.1.7, Codemeter Password Manager Light 3.20b, Password Manager 2007 9.0.1 и Password Max 5.34 после открытия базы данных главный пароль можно было прочитать в открытом, незашифрованном виде в оперативной памяти тестового компьютера. Для опытных мошенников пароль в «оперативке» – легкая добыча. С помощью специальных программ, которыми представители компьютерного андеграунда обмениваются на специальных сайтах, можно без проблем «выудить» из оперативной памяти любой пароль.

Извините, но если злоумышленник имеет возможность чтения памяти, то любое шифрование бессмысленно! Если программа хранит пароль в памяти в зашифрованном виде, то его можно расшифровать, ведь ключ хранится в той же памяти! Написать ПО для этого может любой начинающий реверсер. Поэтому бессмысленно рассматривать защиту от вредоносного ПО имеющего рутовые привилегии, а подход "наворотить всякой фигни, авось враг не поймет" ненаучен и неэффективен, практика показывает что 100% таких защит были взломаны при первой же серьезной атаке, а значит зачем их делать?

Гораздо лучше зарекомендовали себя при отражении атак на главный пароль победитель тестирования (Password Depot 3.3.1)... Эти программы, не получившие штрафных баллов, в настройке по умолчанию используют технологии шифрования, которые эксперты классифицировали как надежные (Blowfish и AES).

Точно используют? А что, если нет? Как это проверялось (особенно для проприетарной программы)? Какие используются режимы шифрования? Используется ли salt и pkcs5 с замедлением? Где вообще какое-либо исследование?


Наименьшее число попыток разрешил победитель тестирования Password Depot – максимум 0,8 пароля можно было ввести за секунду, после чего программа «включала» принудительную паузу. Этот способ значительно препятствует проведению «словарных атак». Так, например, для взлома даже очень простого пароля из восьми букв, злоумышленникам потребуется 649 дней, чтобы перепробовать все комбинации в ходе «словарной атаки».

Детский сад "штаны на лямках", это бля курам на смех. Да разве взломщика волнуют ихние принудительные паузы? Он напишет свой код для перебора, в котором никаких пауз не будет, и будет смеяться над тупыми разработчиками, считающими это защитой, и еще более тупыми пользователями, понадеявшимися на такую защиту. Если стоит задача замедления перебора паролей, то паузы должны быть не принудительными, а естественно вытекающими из алгоритма, для чего в серьезных системах используется многократное хеширование пароля. Например есть хороший стандарт PKCS PKDBF.2, из которого задержки не выкинуть.

1 место Password Depot 3 3.1 ... Цена: $29

А это еще что-за херня? Хотя всё понятно, статья заказная. Правило криптопараноика №1: нигде, никогда и ни при каких обстоятельствах не использовать криптософт с закрытым кодом, несмотря на любые мыслимые и немыслимые его достоинства. Это правило является обобщением десятилетий опыта специалистов-безопасников, и его нарушение может дорого обойтись. Слишком часто оказывалось, что закрытый софт небезопасен, и пользователи всегда узнают об этом последними, когда их массово начинают иметь.


Вывод: статья дерьмо, какое-либо исследование отсутствует, результат заказной. Аффтар — пей яд и не пиши больше.
— Гость (16/05/2009 20:45)   <#>
Хорошая программа Password Safe, но, к сожалению, видимо так никогда и не избавится от мелких досадных багов в интерфейсе, которые тянутся как сопли от версии к версии, и которые никто не собирается исправлять. Да и версии под Linux нет. В Linux пользуюсь KeePassX
— SATtva (16/05/2009 20:58)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Хорошая программа Password Safe, но, к сожалению, видимо так никогда и не избавится от мелких досадных багов в интерфейсе

Напишите багрепорт разработчикам.
— sentaus (16/05/2009 22:40)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Есть MyPasswordSafe, который совместим с Password Safe по формату хранилища.
— Гость (19/05/2009 16:27)   <#>
Есть MyPasswordSafe, который совместим с Password Safe по формату хранилища

Что-то я смотрю, здесь последний релиз от 2006-12-16. Этот продукт еще поддерживается?
— Гость (19/05/2009 20:58)   <#>
Есть еще "KisKis". Программа написана на Java и алгоритм шифрования удовлетворяет стандарту OpenPGP.
— SATtva (20/05/2009 08:19)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
алгоритм шифрования удовлетворяет стандарту OpenPGP.

OpenPGP — это не алгоритм шифрования, а формат сообщений. На сайте программы та же ошибка. Судя по всему, база паролей шифруется и пакуется в OpenPGP-сообщение.
— прохожий (22/05/2009 12:36)   <#>
есть еще кроссплатформенная Gorilla .

http://www.fpx.de/fp/Software/Gorilla/

Password Gorilla is designed to be compatible with the Password Safe program, which was originally developed by Counterpane Labs, and is now maintained as an Open Source project at Sourceforge. All credit for the idea and the technology behind Password Gorilla belong to the authors and maintainers of Password Safe.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3