KeePass z poważną luką bezpieczeństwa [ENG]

KeePass z poważną luką bezpieczeństwa [ENG]

gHacks Technology News
Federalny zespół ds. cybernetycznych Belgii, cert.be, wydał ostrzeżenie dotyczące KeePass. Według imformacji, napastnicy posiadający dostęp do zapisu w pliku konfiguracyjnym KeePass mogą go zmodyfikować za pomocą wyzwalaczy, aby wyeksportować całą bazę haseł w cleartext bez potwierdzenia użytkownika. Solucją na ten moment jest korzystanie z forka KeePass - KeePassXC lub używanie wersji 1x, które nie są podatne na lukę.
#security #bezpieczenstwo #keepass

Komentarze (29)

Adishone

Jeśli napastincy posiadają możliwość modyfikacji pliku konfiguracyjnego Keepassa, to Keepass jest Twoim najmnijeszym zmartwieniem

HackYouToo

@Adishone z jedne strony tak a z drugiej mamy administratorow AD do ktorych sa podlaczone sluzbowe komputery, moga sobie eksportowac hasla userow bez ich wiedzy

mk9

@HackYouToo na służbowych kompach nie trzyma się haseł, a już szczególnie prywatnych. Zresztą do usług admini mogą zresetować hasła a więc i mają dostęp.

HackYouToo

@mk9 do pracy w srodowisku klienta potrzebuje ponad 200 hasel, jak mam niby pracowac na sluzbowym kompie bez nich? Administrator domeny nie musi resetowac twojego hasla zeby przegladac pliki z twojego sluzbowego kompa.

mk9

@HackYouToo a kto ci każe pracować bez haseł? Po prostu umieszczasz je w archiwum zip/rar na hasło i otwierasz tylko jak potrzebujesz odczytać lub zapisać hasło. A hasło do archiwum pamiętasz.

HackYouToo

@mk9 Przy otwieraniu takiego archiwum plik musi byc gdzies rozpakowany, to jeszcze gorsze niz keepass z ta podatnoscia.

dsol17

@HackYouToo @mk9

Trzymacie hasła na komputerach ?

dsol17

@HackYouToo no popatrz. A ja głupi mam ich mniej bo uczę się ich na pamięć i stosuję w kombinacjach

HackYouToo

@dsol17 czyli uzywasz tylko kilku hasel do wszystkiego? to chyba nie jest rozsadne podejscie

mk9

@HackYouToo No rzeczywiście, 50 ms to strasznie długi czas.

mk9

@dsol17 oczywiście! Ja w ten bezpieczny sposób - nie w KeePass, nie w archiwum.

HackYouToo

@mk9 pomijajac juz fakt, ze mozna napisac prosy skrypt ktory bedze "czekal" na rozpakowanie twojego pliku i nawet 5 ms nie pomoze, wystarczy jedna twoja pomylka i mozesz gdzies zostawic swoj plik z haslami

mk9

@HackYouToo nooo, jak się ciągle mylisz, to nie jest rozwiązanie dla ciebie. Zatem spisuj hasła na kartce.

HackYouToo

@mk9 nie mam jak sie pomylic bo hasla w keepassxc i spie spokojnie

wojtek-x

super zajebiście bezpieczny produkt........

mk9

@HackYouToo a, czyli oddajesz je obcym bezproblemowo. Good job!

cendre

@mk9 zip jest podatny na atak rar nie znalazłem co nie znaczy, że nie jest. podobnie z 7z

cendre

@HackYouToo ewentualnie szablon (z kluczem we własnej pamięci) + (salt)

mk9

@cendre wszystko jest podatne na atak jeżeli ma hasło, algorytm albo konkretną liczbę bitów. Wszystkie trzy formaty są crackowalne.

dsol17

@HackYouToo Dlaczego ? To nie są hasła słownikowe tylko stringi na bazie pwgena (pwgen -s) - to raz. Dwa - w zasadzie to odrębne do sprzętu elektronicznego a odrębne do portali zakupowych.


Zapytasz o bankowość elektroniczną oczywiście: nie korzystam.Wcale. Tylko gotówka.


Ale zakładając,że jednak musiałbym to stara dobra książka kodowa (powiedzmy wierszyk) + odpowiednio dobrana kolejność kosztować mnie będzie tylko odrobinę czasu. A i to do czasu gdy nauczę się "bezsensownego" ciągu znaków. Znaki specjalne w haśle? Mnemonizcja jako cyferki, pamiętać o alcie.


W praktyce string 1 + sól do niego.


@cendre: właśnie o tym mu mówię.


Keepass to byłby mi potrzebny może jakbym był sysadminem.Ale nie jestem.


@mk9 : wszystko jest teoretycznie i matematycznie podatne na atak,lecz niektóre rzeczy mogą zająć więcej czasu niż trwa wszechświat. Dla mnie osobiście 200 lat to rozsądny margines.

HackYouToo

@cendre

@dsol17

Tylko po co sie meczyc z recznym zapisywaniem hasel czy z wymyslaniem wlasnych algorytmow jak mozna uzyc generatora hasel. Zakladasz nowe konto i ustawiasz max tyle znakow ile pozwala portal. Haslo wpada do kpxc i po temacie. Wszedzie haslo dlugie i unikalne. Proste i skuteczne.

cendre

@HackYouToo no cóż. przepis na bigos znasz jeden i możesz go zastosować wiele razy, mało tego mając ten sam przepis różni kucharze przygotują potrawę o różnych smakach. to jest analogia do mojej wypowiedzi twoja propozycja to mając jeden garnek, te same składniki ale ciągle kombinować różne potrawy

co kto lubi jestem sysopem i gdybym miał za każdym razem odpalać program aby wklepać hasło w nim zapisane, albo podejrzeć co program stworzył, czy też instalować dodatkowe biblioteki do obsługi różnych apek...

mam ciekawsze rzeczy do roboty a szczególnie gdy muszę 20km od biura z komputera klienta zalogować się na firmowym serwerze

każdy jakąś metodę zna i ją będzie stosować. która lepsza? każda ma swoje plusy i minusy

HackYouToo

@cendre Polecam sprawdzic jakis manager hasel (uzywam keepassxc) bo to jest wlasnie w druga strone, zycie staje sie prostsze Moze sam uzupelniac hasla w przegladarce. Jak chcesz haslo skopiowac recznie to nawet nie musisz go podgladac, klikasz dwa razy i wpada na 10s. do schowka. Szybko i bezpiecznie. Jedny mocne haslo ktore musisz znac to to do managera ktorego minusow ciezko sie dopatrzec

dsol17

@HackYouToo Po to właśnie,żeby uniknąć problemu noszeniem wszędzie pliku do menagera hasałek/samego menagera i ryzyka,że w menagerze hasełek będzie dziura - albo że czysto teoretycznie padnie on ofiarą nadpisania w pamięci systemu operacyjnego przez wirusa. Ja wiem,że są mechanizmy ochrony przed tym o czym piszę zaszyte w system,ale to jest teoretycznie wykonalne.


PO PROSTU ZAKŁADAM,ŻE NIE BĘDĘ MIAŁ KAŻDORAZOWO LUKSUSU KORZYSTAĆ Z W MIARĘ PEWNEGO URZĄDZENIA.


2.Po to żeby poza wpisaniem z klawiatury we właściwym miejscu hasło nie istniało na ŻADNYM cyfrowym nośniku.


Menager haseł to dobry cel dla hackerów szukajacych bugów.Zakładam,że wielu szuka w nich dziur i to raczej nie dla bug bounty. Trzymanie pieniędzy w sejfie będzie bezpieczne tak długo jak długo nie próbuje cię okraść artysta od sejfów.

cendre

@HackYouToo Używałem KeePass, PassDepot, LockWise. Każdy mnie wspaniale rozleniwił Żaden mnie nie uszczęśliwił Śmiało, używaj menadżerów haseł, ja mm ich po dziurki w nosie Używam bo klienci akurat takie wybory zastosowali. W przypadku gdyby mi się coś stało

cendre

@mk9 w zasadzie przenosisz dyskusję na obszar postawy filozoficznej praktycznie rzecz ujmując. jak złamanie hasła zajmuje nie akceptowalny przedział czasu, tzn, że system zabezpieczeń jest skuteczny

mk9

@cendre a gdzie mam przenosić jak gadam z betonem? Jeżeli wyższe wartości nie trafiają to niestety nie mam możliwości wpierdolić za głupotę chociaż jawnie jest taka potrzeba.

cendre

@mk9 ale, że beton to ja? Hmm, no przepraszać za to nie mam zamiaru Chociaż w dyskusji widać polaryzację nt. rozwiązań. Chociaż u ciebie akurat wyczuwam głównie ironię popartą doświadczeniem

Zaloguj się aby komentować