Hejto.pl
Dodaj post

Wpisz coś do wyszukania (minimum 2 znaki)

KeePass z poważną luką bezpieczeństwa [ENG]

Tytan

w Bezpieczeństwo

36piorunów

Federalny zespół ds. cybernetycznych Belgii, cert.be, wydał ostrzeżenie dotyczące KeePass. Według imformacji, napastnicy posiadający dostęp do zapisu w pliku konfiguracyjnym KeePass mogą go zmodyfikować za pomocą wyzwalaczy, aby wyeksportować całą bazę haseł w cleartext bez potwierdzenia użytkownika. Solucją na ten moment jest korzystanie z forka KeePass - KeePassXC lub używanie wersji 1x, które nie są podatne na lukę.

Komentarze (29)

Kompan0piorunów

@mk9 ale, że beton to ja? Hmm, no przepraszać za to nie mam zamiaru :smiley: Chociaż w dyskusji widać polaryzację nt. rozwiązań. Chociaż u ciebie akurat wyczuwam głównie ironię popartą doświadczeniem :smiley:

Sum0piorunów

@cendre a gdzie mam przenosić jak gadam z betonem? Jeżeli wyższe wartości nie trafiają to niestety nie mam możliwości wpierdolić za głupotę chociaż jawnie jest taka potrzeba.

Kompan0piorunów

@mk9 w zasadzie przenosisz dyskusję na obszar postawy filozoficznej :smiley: praktycznie rzecz ujmując. jak złamanie hasła zajmuje nie akceptowalny przedział czasu, tzn, że system zabezpieczeń jest skuteczny :smiley:

Kompan1piorunów

@HackYouToo Używałem KeePass, PassDepot, LockWise. Każdy mnie wspaniale rozleniwił :smiley: Żaden mnie nie uszczęśliwił 😛 Śmiało, używaj menadżerów haseł, ja mm ich po dziurki w nosie :smiley: Używam bo klienci akurat takie wybory zastosowali. W przypadku gdyby mi się coś stało :smiley:

Fenomen1piorunów

@HackYouToo Po to właśnie,żeby uniknąć problemu noszeniem wszędzie pliku do menagera hasałek/samego menagera i ryzyka,że w menagerze hasełek będzie dziura - albo że czysto teoretycznie padnie on ofiarą nadpisania w pamięci systemu operacyjnego przez wirusa. Ja wiem,że są mechanizmy ochrony przed tym o czym piszę zaszyte w system,ale to jest teoretycznie wykonalne.

PO PROSTU ZAKŁADAM,ŻE NIE BĘDĘ MIAŁ KAŻDORAZOWO LUKSUSU KORZYSTAĆ Z W MIARĘ PEWNEGO URZĄDZENIA.

2.Po to żeby poza wpisaniem z klawiatury we właściwym miejscu hasło nie istniało na ŻADNYM cyfrowym nośniku.

Menager haseł to dobry cel dla hackerów szukajacych bugów.Zakładam,że wielu szuka w nich dziur i to raczej nie dla bug bounty. Trzymanie pieniędzy w sejfie będzie bezpieczne tak długo jak długo nie próbuje cię okraść artysta od sejfów.

Debiutant0piorunów

@cendre Polecam sprawdzic jakis manager hasel (uzywam keepassxc) bo to jest wlasnie w druga strone, zycie staje sie prostsze :grinning: Moze sam uzupelniac hasla w przegladarce. Jak chcesz haslo skopiowac recznie to nawet nie musisz go podgladac, klikasz dwa razy i wpada na 10s. do schowka. Szybko i bezpiecznie. Jedny mocne haslo ktore musisz znac to to do managera ktorego minusow ciezko sie dopatrzec 😉

Kompan1piorunów

@HackYouToo no cóż. przepis na bigos znasz jeden i możesz go zastosować wiele razy, mało tego mając ten sam przepis różni kucharze przygotują potrawę o różnych smakach. to jest analogia do mojej wypowiedzi :smiley: twoja propozycja to mając jeden garnek, te same składniki ale ciągle kombinować różne potrawy :smiley:
co kto lubi :smiley: jestem sysopem i gdybym miał za każdym razem odpalać program aby wklepać hasło w nim zapisane, albo podejrzeć co program stworzył, czy też instalować dodatkowe biblioteki do obsługi różnych apek...
mam ciekawsze rzeczy do roboty :smiley: a szczególnie gdy muszę 20km od biura z komputera klienta zalogować się na firmowym serwerze :smiley:
każdy jakąś metodę zna i ją będzie stosować. która lepsza? każda ma swoje plusy i minusy :smiley:

Debiutant0piorunów

@cendre
@dsol17
Tylko po co sie meczyc z recznym zapisywaniem hasel czy z wymyslaniem wlasnych algorytmow jak mozna uzyc generatora hasel. Zakladasz nowe konto i ustawiasz max tyle znakow ile pozwala portal. Haslo wpada do kpxc i po temacie. Wszedzie haslo dlugie i unikalne. Proste i skuteczne.

Fenomen1piorunów

@HackYouToo Dlaczego ? To nie są hasła słownikowe tylko stringi na bazie pwgena (pwgen -s) - to raz. Dwa - w zasadzie to odrębne do sprzętu elektronicznego a odrębne do portali zakupowych.

Zapytasz o bankowość elektroniczną oczywiście: nie korzystam.Wcale. Tylko gotówka.

Ale zakładając,że jednak musiałbym to stara dobra książka kodowa (powiedzmy wierszyk) + odpowiednio dobrana kolejność kosztować mnie będzie tylko odrobinę czasu. A i to do czasu gdy nauczę się "bezsensownego" ciągu znaków. Znaki specjalne w haśle? Mnemonizcja jako cyferki, pamiętać o alcie.

W praktyce string 1 + sól do niego.

@cendre: właśnie o tym mu mówię.

Keepass to byłby mi potrzebny może jakbym był sysadminem.Ale nie jestem.

@mk9 : wszystko jest teoretycznie i matematycznie podatne na atak,lecz niektóre rzeczy mogą zająć więcej czasu niż trwa wszechświat. Dla mnie osobiście 200 lat to rozsądny margines.

Sum0piorunów

@cendre wszystko jest podatne na atak jeżeli ma hasło, algorytm albo konkretną liczbę bitów. Wszystkie trzy formaty są crackowalne.

Kompan0piorunów

@HackYouToo ewentualnie szablon (z kluczem we własnej pamięci) + (salt) :smiley:

Kompan0piorunów

@mk9 zip jest podatny na atak 😛 rar nie znalazłem co nie znaczy, że nie jest. podobnie z 7z

Sum0piorunów

@HackYouToo a, czyli oddajesz je obcym bezproblemowo. Good job!

Koneser0piorunów

super za⁎⁎⁎⁎ście bezpieczny produkt........

Debiutant0piorunów

@mk9 nie mam jak sie pomylic bo hasla w keepassxc i spie spokojnie

Sum0piorunów

@HackYouToo nooo, jak się ciągle mylisz, to nie jest rozwiązanie dla ciebie. Zatem spisuj hasła na kartce.

Debiutant0piorunów

@mk9 pomijajac juz fakt, ze mozna napisac prosy skrypt ktory bedze "czekal" na rozpakowanie twojego pliku i nawet 5 ms nie pomoze, wystarczy jedna twoja pomylka i mozesz gdzies zostawic swoj plik z haslami

Sum0piorunów

@dsol17 oczywiście! Ja w ten bezpieczny sposób - nie w KeePass, nie w archiwum.

Sum0piorunów

@HackYouToo No rzeczywiście, 50 ms to strasznie długi czas.

Debiutant1piorunów

@dsol17 czyli uzywasz tylko kilku hasel do wszystkiego? to chyba nie jest rozsadne podejscie 😉

Fenomen1piorunów

@HackYouToo no popatrz. A ja głupi mam ich mniej bo uczę się ich na pamięć i stosuję w kombinacjach

Debiutant6piorunów

@mk9 Przy otwieraniu takiego archiwum plik musi byc gdzies rozpakowany, to jeszcze gorsze niz keepass z ta podatnoscia.

Sum0piorunów

@HackYouToo a kto ci każe pracować bez haseł? Po prostu umieszczasz je w archiwum zip/rar na hasło i otwierasz tylko jak potrzebujesz odczytać lub zapisać hasło. A hasło do archiwum pamiętasz.

Debiutant2piorunów

@mk9 do pracy w srodowisku klienta potrzebuje ponad 200 hasel, jak mam niby pracowac na sluzbowym kompie bez nich? Administrator domeny nie musi resetowac twojego hasla zeby przegladac pliki z twojego sluzbowego kompa.

Sum1piorunów

@HackYouToo na służbowych kompach nie trzyma się haseł, a już szczególnie prywatnych. Zresztą do usług admini mogą zresetować hasła a więc i mają dostęp.

Debiutant3piorunów

@Adishone z jedne strony tak a z drugiej mamy administratorow AD do ktorych sa podlaczone sluzbowe komputery, moga sobie eksportowac hasla userow bez ich wiedzy

Twórca19piorunów

Jeśli napastincy posiadają możliwość modyfikacji pliku konfiguracyjnego Keepassa, to Keepass jest Twoim najmnijeszym zmartwieniem 😉