Rosenfeld, Вам бы специалистом по защите информации работать спасибо, отлично все расписали.

Отредактировано bnZ (21-02-2010 14:13:00)

Не обижайтесь - слабый раздел.

Особенно про удаление критичных данных, так как там рассматриваются и предлагаются проприетарные программы.

Особенно сомнительно написано "Удаление конфиденциальных данных в Интернет", в котором внушается мысль, что достаточно удалить накопленные temporary-данные встроенными средствами браузеров - и все будет в полном порядке.

Да вот я тоже смотрю - как-то синхронно две ссылки сразу появились в разных темах. Хотя первая была по делу.

Rosenfeld, спасибо Вам огромное!
Благодаря вашим постам уже несколько месяцев пользуюсь вот такой связкой:
Dropbox -> TrueCrypt. В криптоконтейнере у меня лежит база от KeePass'a и зашифрованная база от Mirand'ы (специальный драйвер поставил вместо стандартного).
Теперь я счастлив

Отредактировано dewevle (05-03-2010 17:11:12)

Недавно писал в блоге об этом менеджере паролей. Эта удобная и функциональная программа действительно помогает не забыть пароли, и защитить их. Я доволен KeePass, и различные отзывы пользователей, которые мне попадались, также по большей части были положительны. Но недавно довелось прочесть статью из журнала ComputerBild №08 за 2010 (называется она «За шестью замками»), в которой описаны результаты тестирования восьми программ для хранения паролей. Если верить написанному (присутствует большая таблица результатов), проводились грамотные и обстоятельные тесты. Так вот, KeePass занял там 5-е место.

Мотивация заниженной оценки:

Впереди оказались такие программы, как Steganos Password Manager 11 (Free), Rony Shapiro Password Safe 3.2 (Free) — к ним также были предъявлены некоторые претензии. Второе место у Steganos Password Manager 12 (Trial, 1050 руб.), а первое у Acebit Password Depot 4 (Trial, 1350 руб.) — у этих двух программ выявили лишь такие недостатки, как «допускает использование простых паролей» и «возможно изменение настроек без ввода главного пароля».

Вот такие результаты. Однако KeePass Password Safe привлекателен не только в силу своего удобства и функциональности, но и в силу того, что является opensource-приложением (причём, сертифицированным OSI). Конкуренты же — проприетарные и платные…
Как же быть? Наверное, всё же хранить пароли в KeePass, но спрятанном в контейнер FreeOTFE; а вводить символы с безопасной виртуальной клавиатуры?

А в статье написано, что использовали версию 2, в цитате это присутствует. И, как я понял, в оперативной памяти остаётся не главный пароль к базе, а отдельные пароли, которые копируются в защищённый буфер, например. Впрочем, от себя мне нечего добавить — процесс «добывания» таких данных из оперативной памяти я весьма смутно представляю, не знаком с действиями и ПО подобного рода.
А по сути, для меня эти тесты ещё не повод перестать пользоваться KeePass

Кстати да, правда ваша, в статье написано, что среди описанных программ, возможность запуска с флэшки есть лишь у Steganos Password Manager 12.

Кстати, в средах, где нет явного управления памятью, это далеко не всегда возможно.

Что скрывается под этим, можно только гадать.

Это snake oil, а не защита

Ни в какой мере не делает. Никто не мешает атакующему просто написать переборщик паролей, в котором этой задержки не будет. Замедлить перебор не меняя собственно алгоритма шифрования невозможно - это либо некомпетентность разработчиков, либо намеренное введение пользователей в заблуждение.

Snake Oil - термин означает меры защиты, по факту оказывающиеся уязвимыми или вовсе бесполезными.

Отредактировано sentaus (09-12-2010 13:25:24)

Ну так это ж не временная задержка, а кратное шифрование. Да, в принципе при правильной реализации это может улучшить защиту, только вовсе не от "грубой силы", а от словарной атаки.

Кстати, я недавно читал в учебнике, что подбор пароля из шести цифр на процессоре с частотой, если мне не изменяет память, 800 МГц занимает 6 секунд, а подбор пароля из десяти различных символов (то есть букв разных алфавитов, цифр, других знаков) — более трёх миллиардов лет! В обоих случаях не учитывалась возможность использования словаря. Использование суперкомпьютера типа "Эльбрус" ускоряет подбор в 10 тысяч раз.

Отредактировано Радик245 (09-12-2010 16:02:55)

Под взломом "грубой силой" обычно понимают взлом непосредственно ключа шифрования, а не пароля, из которого он генерируется. Хотя, мне вообще странной кажется идея усиливать практически самую сильную часть в системе.