KeePass – почему нет в программах?
Почему в разделе "софт" нет странички о программе хранения паролей KeePass? Это надежная программа, или всё же лучше использовать Password Safe?
Ссылки
[link1] https://www.pgpru.com/biblioteka/statji/sovremennajatehnikavzlomaparolejj
1. Prerequisites – Microsoft . NET Framwork 2.0. http://keepass.info/compare.html
2. Масса ненужных фич усложняет чтение кода.
3. Одноплатформенность.
Первая версия программы не требует . Net. Переход на вторую версию опционален. Сама программа отлично справляется с возложенными на неё функциями. Надёжна.
Пожалуй стоит дополнить мой ответ. Заинтересовавшись программой Password Safe, скачал и поковырялся в ней. Более спартанская программа, хотя памяти занимает немного больше, чем KeePass.
Не понятно, есть ли в Password Safe защита контролов в которые вводятся пароли и защита паролей в памяти. Скорее всего, нет. В отличии от.
Ещё в KeePass есть средства для значительного замедления простых брут-форс атак. Автоввод информации KeePass'ом в формы также удобнее, глобальный хук поставлен на хоткей. После установки курсора в первое поле формы и нажатия хоткея, программа сама находит нужное окно по части заголовка и выполняет команды автоввода. Даже генератор паролей, и тот цивилизованней реализован в KeePass, да, мелочь, но куда же без мелочей.
В завершении теста я попытался использоваться предусмотренную опцию и импортировать в Password Safe файл экспортированный из KeePass в нескольких форматах. Все попытки неизменно приводили к вылетанию Password Safe с эксепшеном. Констатирую полное фиаско.
Не знаю, как насчёт кроссплатформенности, но в Windows пользоваться Password Safe просто неблагоразумно. Бранч KeePass, с цифрой версии начинающейся с единицы, это совсем другое дело. Тоже OSI certified приложение, между прочим, но какой контраст.
Забыл добавить, информация про одноплатформенность KeePass не совсем соответсвует реальному положению вещей. Есть билды для Linux, MacOS X, PocketPC и смартов.
Мне обе программки нравятся, но KeePass удобнее. В то же время слышал, что Password Safe надёжнее... Если верить слухам, приходится выбирать между удобством и надежностью. Хотя если KeePass не менее надёжен чем Password Safe, то он в фаворитах однозначно.
Цитирую отсюда[link1]:
За счёт чего это достигается?
Кстати, у меня на расшифровку и зашифровку файла KeePass уходит примерно 1 секунда. Скорость подбора паролей будет помедленнее, чем 900 в секунду.
За счёт итеративного хэширования введённого пароля, это общепринятая методика.
Есть разница: расшифровать и отобразить всю базу или только проверить правильность ключа. Хотя ничто не мешало действительность замедлить процесс ещё больше.
Ясно, спасибо. В KeePass можно установить количество итераций хэширования ключа (у меня например 700тыс. итераций, примерно на секунду расчётов), а в Password Safe видимо что-то по умолчанию прописано.
А что насчёт защиты памяти программы? Тоже есть что-то неафишированное, или сочтено избыточным?
И что, даже от кйлоггеров, засунутых в ядро ОС защитит? Или всё таки пора бы уже понять, что это просто snake oil.
А безопасных автовводов, как мы знаем, не бывает. К сожалению.
Защитит, не защитит, но хотелось бы, чтобы программа хотя бы не записала пароли открытым текстом в page file. Специальные computer forensic программы заточены на составление словарей для брут-форса из найденной на диске информации, и, говорят, делают это с успехом. В общем, мелочь, конечно, но почему бы и не позаботиться об этом. Может, в Password Safe такая защита предусмотрена, но упоминание об этом как-то не бросается в глаза.
Про автоввод, я, если честно, не понял. Просто мне удобнее, когда программа выполняет операцию по одному нажатию хоткея, нежели заставляет открывать её окно, отыскивать нужную запись, нажимать автоввод и прятать окно обратно.
Во многих ОС программа, запущенная с правами обычного пользователя, не может предотвратить сброс страниц из памяти в своп. Например, под linux для этого необходимы права root. А под windows pgpшники вообще свой драйвер виртуального устройства писали :)
тут вменяемое решение одно – адекватный объём RAM и отключенный своп.
...
или прозрачное шифрование всего свопа, конечно.