KeePass z poważną luką bezpieczeństwa [ENG]
gHacks Technology News#security #bezpieczenstwo #keepass
Jeśli napastincy posiadają możliwość modyfikacji pliku konfiguracyjnego Keepassa, to Keepass jest Twoim najmnijeszym zmartwieniem
@Adishone z jedne strony tak a z drugiej mamy administratorow AD do ktorych sa podlaczone sluzbowe komputery, moga sobie eksportowac hasla userow bez ich wiedzy
@HackYouToo na służbowych kompach nie trzyma się haseł, a już szczególnie prywatnych. Zresztą do usług admini mogą zresetować hasła a więc i mają dostęp.
@mk9 do pracy w srodowisku klienta potrzebuje ponad 200 hasel, jak mam niby pracowac na sluzbowym kompie bez nich? Administrator domeny nie musi resetowac twojego hasla zeby przegladac pliki z twojego sluzbowego kompa.
@HackYouToo a kto ci każe pracować bez haseł? Po prostu umieszczasz je w archiwum zip/rar na hasło i otwierasz tylko jak potrzebujesz odczytać lub zapisać hasło. A hasło do archiwum pamiętasz.
@mk9 Przy otwieraniu takiego archiwum plik musi byc gdzies rozpakowany, to jeszcze gorsze niz keepass z ta podatnoscia.
@HackYouToo @mk9
Trzymacie hasła na komputerach ?
@dsol17 jeszcze jak
@HackYouToo no popatrz. A ja głupi mam ich mniej bo uczę się ich na pamięć i stosuję w kombinacjach
@dsol17 czyli uzywasz tylko kilku hasel do wszystkiego? to chyba nie jest rozsadne podejscie
@HackYouToo No rzeczywiście, 50 ms to strasznie długi czas.
@dsol17 oczywiście! Ja w ten bezpieczny sposób - nie w KeePass, nie w archiwum.
@mk9 pomijajac juz fakt, ze mozna napisac prosy skrypt ktory bedze "czekal" na rozpakowanie twojego pliku i nawet 5 ms nie pomoze, wystarczy jedna twoja pomylka i mozesz gdzies zostawic swoj plik z haslami
@HackYouToo nooo, jak się ciągle mylisz, to nie jest rozwiązanie dla ciebie. Zatem spisuj hasła na kartce.
@mk9 nie mam jak sie pomylic bo hasla w keepassxc i spie spokojnie
super zajebiście bezpieczny produkt........
@HackYouToo a, czyli oddajesz je obcym bezproblemowo. Good job!
@mk9 zip jest podatny na atak
@HackYouToo ewentualnie szablon (z kluczem we własnej pamięci) + (salt)
@cendre wszystko jest podatne na atak jeżeli ma hasło, algorytm albo konkretną liczbę bitów. Wszystkie trzy formaty są crackowalne.
@HackYouToo Dlaczego ? To nie są hasła słownikowe tylko stringi na bazie pwgena (pwgen -s) - to raz. Dwa - w zasadzie to odrębne do sprzętu elektronicznego a odrębne do portali zakupowych.
Zapytasz o bankowość elektroniczną oczywiście: nie korzystam.Wcale. Tylko gotówka.
Ale zakładając,że jednak musiałbym to stara dobra książka kodowa (powiedzmy wierszyk) + odpowiednio dobrana kolejność kosztować mnie będzie tylko odrobinę czasu. A i to do czasu gdy nauczę się "bezsensownego" ciągu znaków. Znaki specjalne w haśle? Mnemonizcja jako cyferki, pamiętać o alcie.
W praktyce string 1 + sól do niego.
@cendre: właśnie o tym mu mówię.
Keepass to byłby mi potrzebny może jakbym był sysadminem.Ale nie jestem.
@mk9 : wszystko jest teoretycznie i matematycznie podatne na atak,lecz niektóre rzeczy mogą zająć więcej czasu niż trwa wszechświat. Dla mnie osobiście 200 lat to rozsądny margines.
@cendre
@dsol17
Tylko po co sie meczyc z recznym zapisywaniem hasel czy z wymyslaniem wlasnych algorytmow jak mozna uzyc generatora hasel. Zakladasz nowe konto i ustawiasz max tyle znakow ile pozwala portal. Haslo wpada do kpxc i po temacie. Wszedzie haslo dlugie i unikalne. Proste i skuteczne.
@HackYouToo no cóż. przepis na bigos znasz jeden i możesz go zastosować wiele razy, mało tego mając ten sam przepis różni kucharze przygotują potrawę o różnych smakach. to jest analogia do mojej wypowiedzi
co kto lubi
mam ciekawsze rzeczy do roboty
każdy jakąś metodę zna i ją będzie stosować. która lepsza? każda ma swoje plusy i minusy
@cendre Polecam sprawdzic jakis manager hasel (uzywam keepassxc) bo to jest wlasnie w druga strone, zycie staje sie prostsze
@HackYouToo Po to właśnie,żeby uniknąć problemu noszeniem wszędzie pliku do menagera hasałek/samego menagera i ryzyka,że w menagerze hasełek będzie dziura - albo że czysto teoretycznie padnie on ofiarą nadpisania w pamięci systemu operacyjnego przez wirusa. Ja wiem,że są mechanizmy ochrony przed tym o czym piszę zaszyte w system,ale to jest teoretycznie wykonalne.
PO PROSTU ZAKŁADAM,ŻE NIE BĘDĘ MIAŁ KAŻDORAZOWO LUKSUSU KORZYSTAĆ Z W MIARĘ PEWNEGO URZĄDZENIA.
2.Po to żeby poza wpisaniem z klawiatury we właściwym miejscu hasło nie istniało na ŻADNYM cyfrowym nośniku.
Menager haseł to dobry cel dla hackerów szukajacych bugów.Zakładam,że wielu szuka w nich dziur i to raczej nie dla bug bounty. Trzymanie pieniędzy w sejfie będzie bezpieczne tak długo jak długo nie próbuje cię okraść artysta od sejfów.
@HackYouToo Używałem KeePass, PassDepot, LockWise. Każdy mnie wspaniale rozleniwił
@mk9 w zasadzie przenosisz dyskusję na obszar postawy filozoficznej
@cendre a gdzie mam przenosić jak gadam z betonem? Jeżeli wyższe wartości nie trafiają to niestety nie mam możliwości wpierdolić za głupotę chociaż jawnie jest taka potrzeba.
@mk9 ale, że beton to ja? Hmm, no przepraszać za to nie mam zamiaru
Zaloguj się aby komentować