РегистрацияМожно ли использовать один пароль в нескольких местах?
Допустимо ли с точки зрения безопасности использовать одинаковый (супер-стойкий) пароль в различных серьезных криптографических приложениях? ...конечно можно сказать это упирается в криптостойкость применяемых алгоритмах, архитектуры и реализации. Но все же, чем необходимо руководствоваться в данном случае? Вот например, как вам ситуация использования одинакового пароля для PGP, Password Safe и trueCrypt?
комментариев: 11558 документов: 1036 редакций: 4118
Прелполается что все три криптоприложения установлены на одной машине, так что если допустить утечку пароля уже собственно говоря не важно где.
Если я не ошибаюсь, криптостойкость TrueCrypt теоретически выше чем у Password Safe (что стоит сказать про 1000-раз хеширование пароля для торможение атак перебором) и т.д, а любая построенная криптосистема где есть эффект "бутылочного горлышка" неверна.
комментариев: 11558 документов: 1036 редакций: 4118
Полагаю, Вам исходя из этого и ответили. Теоретически, утечка может произойти и через само приложение тем или иным образом (ну, там, своп... да не важно что в конечном счёте). Короче, если для всех программ использовать хоть и суперсложный, но единственный пароль, его утечка в одном месте поставит под угрозу все секретные данные во всех программах. (О таких вещах, как использование одного пароля для локальных приложений и удалённых сервисов, я вообще молчу.)
Обоснуйте. Что Вы понимаете под "криптостойкостью"?
Это общепринятая стандартная практика. Итеративное хэширование применяется как в Password Safe, так и в TrueCrypt.
Непонятно, о чём Вы.
Если вы хотите повысить реальную безопасность, то первым делом вам надо отказаться от Windows.
комментариев: 11558 документов: 1036 редакций: 4118
Если сравнивать для примера два криптоприложения – Password Safe и TrueCrypt то я подразумевал такие критерии криптостойкости: В TC например кол-во циклов итеративного хэширования = 1000, в Password Safe число цеклов итерация мне неизвестно, кстати где такое тех инфо. можно просмотреть не исходники же листать? Шифрование заголовка файла в TC, что в принципе не помешало бы в Password Safe. Если сравнивать Password Safe c PGP например версии >9.x то в PGP для ввода пароля (ключевой фразы) используются "хитрые" поля, что затрудняет например сторонней программе из них вытащить пароли. В TC и PS используются стандартные поля ввода (ресурс PE-00 c флагом поля Pass) что в принципе легко перехватывается. На утверждение: А почему криптоприложение должно заботится о сохранности данных в своих полях на случай если машина инфицирована, я бы ответил так, а зачем такую защиту реализовали в pgp...?
Я имел ввиду что если ИМХО предположить что криптостойкость Password Safe ? Меньше? Чем у trueCrypt то смысл сохранения паролей в Password Safe для TrueCrypt пропадает, а также если атаки перебором на Password Safe будут более успешным (в случае например если кол-во циклов итеративного хеширования у Password Safe ниже чем у TrueCrypt).
Большую часть работы я провожу в slaxware и что? Причем тут Windows?! Как и Windows так и в Linux багов хватает, моя точка зрения что плохому артисту что-то там мешает. Если использовать одинаковые приложении что под Linux что windows такие как Password Safe, GnuPG, TrueCrypt и т.д. то скорее всего что в windows что в Linux при неправильно сконфигурированной O/S уровень безопасности будет что и там и там относительно одинаковый.
Г-н SATtva, глючит форматирование конечных (опубликованных сообщений) с bbcode, вот например на воспринимается комментария от пользователя, пример публикуемого форматированног кода:
Для галочки. В коммерческих продуктах всегда делают много лишнего. Грош цена такой "защите", снять вводимые пароли сможет даже малограмотный школьник начитавшийся "хакерских" статей.
NSA отдает приказ и на все windows системы устанавливается специальный апдейт от Microsoft, который передает куда следует все ваши пароли. Ваша безопасность гарантирована честным словом американской корпорации. Или вы настолько им верите, что способны доверить даже свою свободу? Я всегда пользовался Slackware и упаси меня бог от этой ужасной Windows.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Апдейт будет как обычно глючный, из-за него половина компов начнут перезагружаться, Микрософту плевать, а NSA станет обидно, когда над ним все смеяться будут, престиж уронят, потом ещё финансирования урежут. Не будет оно такой приказ отдавать и с MSсофтом связываться.
комментариев: 11558 документов: 1036 редакций: 4118
Порядка 65 тысяч, кажется.
Не шифрование, а отбеливание. Это феничка для deniable encryption, что для хранителя паролей ну совсем не первостепенное свойство. (Не говоря о том, что сама концепция "отрицаемого шифрования" оставляет много вопросов, которые здесь не раз обсуждались.)
Маркетинг? :-) Если машина заражена, то пароли и шифроключи можно извлечь и напрямую из памяти, никакие трюки против руткита не спасут. Нет, это хорошо, что PGPCorp сделали такой наворот, площадь поражения он сокращает, но это не значит, что всем стоит следовать такому примеру. Сравните объём кода PGP и Password Safe, сравните объём инвестиций в обе разработки. Надеюсь, Вы достаточно здравомыслящий человек, чтобы понимать, какие из этого следуют выводы. Впрочем, всё это уже далёкий оффтопик.
– Доктор, когда я так делаю, у меня болит.
– Тогда не делайте так.
:-) Имя пользователя — это только буквы и цифры. Если используете что-то ещё, тогда цитата и не получается.
Кстати, когда выделяете что-то тэгами [code], имейте в виду, что русская "эс" и английская "си" имеют одинаковое начертание.
LOL
Неа. Это Роман, а может и не Роман. Но его имя точно не Патрик.
И сложно говорить про спасение.
Ну да, хотя бы вот даже этот сайт взять ;)