МС
Оригинальный KeePass взламывали с помощью программы KeeFarce. Путём DLL-иньекций. Но есть KeePass2 и KeePassXC. В последнем, если не ошибаюсь, даже есть защита от мониторинга оперативки запущенного приложения.
Size: a a a
2020 November 27
МС
Кроме того, нужно проследить, чтобы менеджер паролей не передавал пароли через буфер обмена. Иначе может его перехватить какой-нибудь KeyLoger. Поэтому, должен быть специальное расширение в браузере для заполнения полей.
МС
А в Android'е у хранителя паролей должна быть своя клавиатура. )
AS
Я считаю, что утечка даже хешей - это проблема с безопасностью компании. И конкретно у LastPass их было несколько. Легко гуглится. Вот пример, когда можно было выудить пароль в браузере - https://t.me/alexmakus/3054
Это не взлом это бага в клиенте. А еще у них был "взлом " когда они в мониторинге увидели 160 байт неизвестного сетевого траффика и из-за этого мигрировали всю инфраструктуру и сожгли старые галеры.
Вообще мне открытая политика нравится куда больше чем - "у нас все хорошо", потому что я не верю что все всегда может быть так радужно. Хипстеры могут рисовать красивый 1п дезайн и потягивать смузи, но это не значит что ничего не утекает. Куда хуже узнать из новостей вещи типа зум долгое время врал о приватности или е2е шифровании
Вообще мне открытая политика нравится куда больше чем - "у нас все хорошо", потому что я не верю что все всегда может быть так радужно. Хипстеры могут рисовать красивый 1п дезайн и потягивать смузи, но это не значит что ничего не утекает. Куда хуже узнать из новостей вещи типа зум долгое время врал о приватности или е2е шифровании
МС
Я кстати 1password даже в глаза не видел. Глянуть что-ли. Так расхваливаете его вид. ))
AS
Кроме того, нужно проследить, чтобы менеджер паролей не передавал пароли через буфер обмена. Иначе может его перехватить какой-нибудь KeyLoger. Поэтому, должен быть специальное расширение в браузере для заполнения полей.
Если у вас кейлоггер - это само по себе проблема, периферийные приложения вас не могут защитить от того что работает на другом уровне
МС
Ну почему не может? Может, если пароль не будет введён с клавы или через буфер обмена.
AS
Я кстати 1password даже в глаза не видел. Глянуть что-ли. Так расхваливаете его вид. ))
Ну посмотрите, мы на работе опять на него переходим - красиво но бестолково
МС
В самом деле хипстерский KeePass. ))
AS
Ну почему не может? Может, если пароль не будет введён с клавы или через буфер обмена.
А сам клиент вы как разлочиваете, телепатически, чтобы кейлоггер мастер парольне увидел?
МС
Тут да. Есть проблема, которую можно обойти файл-ключом или железным ключом.
AS
КееПасс не решает проблем групповой работы это велосипед на одного
МС
Кстати, а что происходит с ключами в облачных хранилищах ключей после окончания подписки?
МС
КееПасс не решает проблем групповой работы это велосипед на одного
Неа, он для этого не предназначен. Для группового хранения ключей я не знаю приложений, т.к. не сталкивался с этим. Ну может Hashicorp Vault, но это для сервера.
AS
Могу сказать про1пасс -они все также хранят мои пароли с 2018 года
МС
Могу сказать про1пасс -они все также хранят мои пароли с 2018 года
А их можно выкачать как-нибудь?
AS
Неа, он для этого не предназначен. Для группового хранения ключей я не знаю приложений, т.к. не сталкивался с этим. Ну может Hashicorp Vault, но это для сервера.
Ну тогда он бесполезен в современной разработке, роль парольного менеджера это совсем не про "тебя" это про команду уже лет 5 как
O
А сам клиент вы как разлочиваете, телепатически, чтобы кейлоггер мастер парольне увидел?
Пальцем же)
AS
А их можно выкачать как-нибудь?
Не пытался, возможно проще сжечь secret key и выкинуть их, но вдруг 1п не удалит их...