KeePass z poważną luką bezpieczeństwa [ENG]

Jeśli napastincy posiadają możliwość modyfikacji pliku konfiguracyjnego Keepassa, to Keepass jest Twoim najmnijeszym zmartwieniem

@Adishone z jedne strony tak a z drugiej mamy administratorow AD do ktorych sa podlaczone sluzbowe komputery, moga sobie eksportowac hasla userow bez ich wiedzy

@HackYouToo na służbowych kompach nie trzyma się haseł, a już szczególnie prywatnych. Zresztą do usług admini mogą zresetować hasła a więc i mają dostęp.

@mk9 do pracy w srodowisku klienta potrzebuje ponad 200 hasel, jak mam niby pracowac na sluzbowym kompie bez nich? Administrator domeny nie musi resetowac twojego hasla zeby przegladac pliki z twojego sluzbowego kompa.

@HackYouToo a kto ci każe pracować bez haseł? Po prostu umieszczasz je w archiwum zip/rar na hasło i otwierasz tylko jak potrzebujesz odczytać lub zapisać hasło. A hasło do archiwum pamiętasz.

@mk9 Przy otwieraniu takiego archiwum plik musi byc gdzies rozpakowany, to jeszcze gorsze niz keepass z ta podatnoscia.

@HackYouToo @mk9

Trzymacie hasła na komputerach ?

@dsol17 jeszcze jak

@HackYouToo no popatrz. A ja głupi mam ich mniej bo uczę się ich na pamięć i stosuję w kombinacjach

@dsol17 czyli uzywasz tylko kilku hasel do wszystkiego? to chyba nie jest rozsadne podejscie

@HackYouToo No rzeczywiście, 50 ms to strasznie długi czas.

@dsol17 oczywiście! Ja w ten bezpieczny sposób - nie w KeePass, nie w archiwum.

@mk9 pomijajac juz fakt, ze mozna napisac prosy skrypt ktory bedze "czekal" na rozpakowanie twojego pliku i nawet 5 ms nie pomoze, wystarczy jedna twoja pomylka i mozesz gdzies zostawic swoj plik z haslami

@HackYouToo nooo, jak się ciągle mylisz, to nie jest rozwiązanie dla ciebie. Zatem spisuj hasła na kartce.

@mk9 nie mam jak sie pomylic bo hasla w keepassxc i spie spokojnie

super zajebiście bezpieczny produkt........

@HackYouToo a, czyli oddajesz je obcym bezproblemowo. Good job!

@mk9 zip jest podatny na atak rar nie znalazłem co nie znaczy, że nie jest. podobnie z 7z

@HackYouToo ewentualnie szablon (z kluczem we własnej pamięci) + (salt)

@cendre wszystko jest podatne na atak jeżeli ma hasło, algorytm albo konkretną liczbę bitów. Wszystkie trzy formaty są crackowalne.

@HackYouToo Dlaczego ? To nie są hasła słownikowe tylko stringi na bazie pwgena (pwgen -s) - to raz. Dwa - w zasadzie to odrębne do sprzętu elektronicznego a odrębne do portali zakupowych.

Zapytasz o bankowość elektroniczną oczywiście: nie korzystam.Wcale. Tylko gotówka.

Ale zakładając,że jednak musiałbym to stara dobra książka kodowa (powiedzmy wierszyk) + odpowiednio dobrana kolejność kosztować mnie będzie tylko odrobinę czasu. A i to do czasu gdy nauczę się "bezsensownego" ciągu znaków. Znaki specjalne w haśle? Mnemonizcja jako cyferki, pamiętać o alcie.

W praktyce string 1 + sól do niego.

@cendre: właśnie o tym mu mówię.

Keepass to byłby mi potrzebny może jakbym był sysadminem.Ale nie jestem.

@mk9 : wszystko jest teoretycznie i matematycznie podatne na atak,lecz niektóre rzeczy mogą zająć więcej czasu niż trwa wszechświat. Dla mnie osobiście 200 lat to rozsądny margines.

@cendre

@dsol17

Tylko po co sie meczyc z recznym zapisywaniem hasel czy z wymyslaniem wlasnych algorytmow jak mozna uzyc generatora hasel. Zakladasz nowe konto i ustawiasz max tyle znakow ile pozwala portal. Haslo wpada do kpxc i po temacie. Wszedzie haslo dlugie i unikalne. Proste i skuteczne.

@HackYouToo no cóż. przepis na bigos znasz jeden i możesz go zastosować wiele razy, mało tego mając ten sam przepis różni kucharze przygotują potrawę o różnych smakach. to jest analogia do mojej wypowiedzi twoja propozycja to mając jeden garnek, te same składniki ale ciągle kombinować różne potrawy

co kto lubi jestem sysopem i gdybym miał za każdym razem odpalać program aby wklepać hasło w nim zapisane, albo podejrzeć co program stworzył, czy też instalować dodatkowe biblioteki do obsługi różnych apek...

mam ciekawsze rzeczy do roboty a szczególnie gdy muszę 20km od biura z komputera klienta zalogować się na firmowym serwerze

każdy jakąś metodę zna i ją będzie stosować. która lepsza? każda ma swoje plusy i minusy

@cendre Polecam sprawdzic jakis manager hasel (uzywam keepassxc) bo to jest wlasnie w druga strone, zycie staje sie prostsze Moze sam uzupelniac hasla w przegladarce. Jak chcesz haslo skopiowac recznie to nawet nie musisz go podgladac, klikasz dwa razy i wpada na 10s. do schowka. Szybko i bezpiecznie. Jedny mocne haslo ktore musisz znac to to do managera ktorego minusow ciezko sie dopatrzec

@HackYouToo Po to właśnie,żeby uniknąć problemu noszeniem wszędzie pliku do menagera hasałek/samego menagera i ryzyka,że w menagerze hasełek będzie dziura - albo że czysto teoretycznie padnie on ofiarą nadpisania w pamięci systemu operacyjnego przez wirusa. Ja wiem,że są mechanizmy ochrony przed tym o czym piszę zaszyte w system,ale to jest teoretycznie wykonalne.

PO PROSTU ZAKŁADAM,ŻE NIE BĘDĘ MIAŁ KAŻDORAZOWO LUKSUSU KORZYSTAĆ Z W MIARĘ PEWNEGO URZĄDZENIA.

2.Po to żeby poza wpisaniem z klawiatury we właściwym miejscu hasło nie istniało na ŻADNYM cyfrowym nośniku.

Menager haseł to dobry cel dla hackerów szukajacych bugów.Zakładam,że wielu szuka w nich dziur i to raczej nie dla bug bounty. Trzymanie pieniędzy w sejfie będzie bezpieczne tak długo jak długo nie próbuje cię okraść artysta od sejfów.

@HackYouToo Używałem KeePass, PassDepot, LockWise. Każdy mnie wspaniale rozleniwił Żaden mnie nie uszczęśliwił Śmiało, używaj menadżerów haseł, ja mm ich po dziurki w nosie Używam bo klienci akurat takie wybory zastosowali. W przypadku gdyby mi się coś stało

@mk9 w zasadzie przenosisz dyskusję na obszar postawy filozoficznej praktycznie rzecz ujmując. jak złamanie hasła zajmuje nie akceptowalny przedział czasu, tzn, że system zabezpieczeń jest skuteczny

@cendre a gdzie mam przenosić jak gadam z betonem? Jeżeli wyższe wartości nie trafiają to niestety nie mam możliwości wpierdolić za głupotę chociaż jawnie jest taka potrzeba.

@mk9 ale, że beton to ja? Hmm, no przepraszać za to nie mam zamiaru Chociaż w dyskusji widać polaryzację nt. rozwiązań. Chociaż u ciebie akurat wyczuwam głównie ironię popartą doświadczeniem