KeePass - bezpecnost
Dobrý večer, používam KeePass na správu hesiel. Medzi nimi Gmail, FB, Shutt... či dokonca aj IB.
Tak som rozmýšľal, že čo ak sa mi dostane do PC/mobilu keylogger a zistí tak moje heslo databázi aj súbor keyfile. Co si myslíte vy?
A nie, nie som paranoidny :) len chcem, aby moje dôležité dáta aj peniaze boli v bezpečí.
Ďakujem za každú odpoveď, príjemný zvyšok dňa prajem
https://cs.wikipedia.org/wiki/Advanced_Encryption_ Standard
AES jen tak neprolomis, nicmene hesla na ib v tom zapsana nemam. Takze si pamatuju hesla na ib a do keepass, zbytek mam ulozenej v nem.
Ďakujem, s tým IB máš asi pravdu. Ale nepochopil si ma celkom presne.
Viem, že 256-bitovu. AES sifru nie je jednoduche prelomiť, preto som písal keylogger. Dostane sa mi do PC keylogger a tak sa dá zistiť heslo mojej databázi KeePassu, nie?
Ano moze, preto si do PC nemas instalovat keyloggery so zavirenymi warezmi alebo inymi skvelymi virmi typu faktura.pdf.vbs z emailov apod :)
Co sa tyka stranok tak vzdy lepsie je mat v hlave nejaky postup ako su tie hesla poskladane podla toho jaka je to stranka, a nepisat ich nikam. Na nejake nepodstatne stranky ktore nijak spolu nesuvisia ani nie su nijak prepojene loginom (prihlasovacie meno) mozes pouzit aj stejne heslo, ptz ta stranka ktora ma heslo nevie login meno na tu inu stranku tak jej je heslo nahovno.
Ja osobne si nedavam ani zapamatavat hesla v prehliadaci (vypinam okamzite po instalacii Firefoxu, nechapem ktory dementny imbecil v mozille to tam defaultne dal na enabled)
Neexistuje nejaký spôso, aby keylogger to heslo nezistil?
pod omezeným účtem nemáš šanci si do systému nic nainstalovat - nemá k tomu práva.
na instalaci a servis pc používám admina s heslem, ale automatické přihlášení mám do pracovního omezeného účtu, ve kterém funguju 98% času.
Aha, dakujem. Ked niekto stahuje pravidelne z Torrentovych stranok je velka sanca, ze ma v PC keylogger?
Nezáleží odkud, ale co stahuješ a jestli stažené věci instaluješ.
), můžeš být celkem v klidu.
Pokud se jedná jen o hudbu, filmy (tedy nikoli programy) nebo linuxové distribuce (
Pokud stahuješ (a následně instaluješ) warez - (tj. cracknuté programy či hry, programy s keygeny apod.), tak na 99,99% máš v PC breberky. Jestli máš zrovna keygeny, to se nedá obecně říct, ale může jít např. o backdoor, kterým se do PC dostane právě keygen.
aha, tak mne uz ostave verit len v to 0,1% :(
dakujem teda
A nebylo by lepší prostě nekrást?
Blbě počítáš - 0,01 %
Ale zařídil bych se dle Wikana.
Nic v zlom, ale ty si budici americky prezident, ci preco si myslis, ze si niekto bude davat tu namahu hodit ti do pc keyloger a este ti aj ukradne data z KeePassu?
Ale ok, mozno si super dolezita osoba a musis si chanit svoje hesla.
Riesenie proti keylogerom je pomerne trivialna...virtualna klavesnica, obsahuje kazdy slusny OS priamo v sebe. Ak sa ti chce pri kazdom spsuteni KeePassu "trtkat" s virtualom tak to pouzivaj.
Dakujem velmi pekne... Ja sa budem pre istotu trtkat s virtualom, ked to pomoze... A som tak rozmyslal, ze keyfile si dam na ext. media a budem sa prihlasovat iba z nich.
Este by som mal jednu otazku ohladom KeePassu.
Da sa zmenit sposob sifrovania databazi? Aktualne tam je AES 256-bitova
lol a zevraj niesi paranoidny. Mozno uz mesiac v pc keylogger mas, ako to zistis? no nijak, ak ho jeho autor dobre spravil. nezdetekujes ho nicim. Takze? hm?
Nic nieje 100%, ani vo svete PC.
Zmenu algoritmu sifrovania mas v file-database settings. Ale je tam na vyber iba AES 256.
No OK,
este jedna otazka. Na android aplikacii KeePass neviem ako zapnem automaticke doplnovanie, neviete?
dakujem
Neviete prosím?
otestuj PC
www.keylogger-detector.com
nainštaluj si Zemana Antilogger, nastav obmedzenia in/out manuálne.
Ďakujem, rozhodne to skúsim, no neviem či by dokázal detekovat tie sofistikovanejsie keyloggery
sofistikované? Nemlétezig. Však sú to iba triviálne programy.
Potom si daj pred TV husté, kovové mreže, pri sledovaní horroru natočeného podľa skutočností, aby ti nejaká zombí príšera nevliezla do obývačky a nepokúsala ťa.
Skontroluj si porty IN/OUT: Tcpview.exe
Ďakujem
Takže ak to chápem správne, pokiaľ bude test na Keyloggery negatívny resp. nenájde žiadne hrozby, tak je moj PC na 100% bez keyloggeru?
Ne, 100% jistota neexistuje.
Ešte som nevidel experta, ktorý by nepozorovateľne implementoval (dekompilovaním) škodlivý kód v prípade Windowsu 7 a viac do systémových súborov a knihovní, aby protokolmi TCP/UDP/TCPv6/TCPu6 nepozorovateľne odosielal dáta o stisknutí kláves.
Každý odoslaný bit je možné detekovať a odsledovať.
Neželané spúšťateľné súbory je možné vopred eliminovať niekoľkými softvérovými, prípadne posilnenými, hardvérovými prostriedkami.
fleg: instalace keyloggeru je nejběžnější v rodině, mezi manžely.
návštěvu hackera považuju též za nepravděpodobnou, ale tazatel/ka neupřesňuje, proč má z keyloggeru obsesi.
No keyloggery nechajme tak. Neviete radšej ako zapnúť automatické doplnovanie na KeePass android aplikácii?
Brtnik mam osobnu skusenost...uz som takto par parom "pomahal" riesit problemy. Respektive ja som keylogger v ich pc objavil, obom som im to oznamil a nechal ich nech si to riesia medzi sebou, kedze ani jeden sa k tomu nechcel hned z fleku priznat.
Jeden si dokonca kupil plateny a inak velmi dobry keylogger, ktory som pri prvej kontrole dokonca prehliadol a pritom som mal hint od manzelky, ze ma pocit, ze je sledovana. Shame on me.
Neviete prosím vas ako zapnem na android KeePasse to auto. doplnovanie?
Ďakujem
Copak? Google Ti stávkuje?
http://www.maketecheasier.com/auto-fill-password-i n-android/
Dakujem, snad to tam najdeme.
Este by ma zaujimal nazor vas vsetkych na KeePass. Su tam podla vas nejake rizika?
Já myslím, že vše už bylo řečeno výše. KeePass taky používám. A protože taky používám mozek(*), virů a podobných svinstev se nebojím(**).
(*)
- pracuji pod účtem s omezenými právy
- nestahuji a nepoužívám žádný warez
- mám zakázán autostart z vyjímatelných médií (zabránění nákaze z přinesené flešky)
- pokud něco instaluji, tak nikoli s defaultním nastavením, ale hezky proklikám všechny volby, abych zabráníl samoinstalaci případných nechtěných doplňků programu v podobě toolbarů apod.
- hlídám si programy a služby spouštěné po startu, doplňky v prohlížečích, ...
- pravidelně (cca 1x za 2-3 měsíce) kontrolně projedu SuperAntiSpywarem, AdwCleanerem (za poslední 3 roky bez jediného nálezu)
(**)
Ale mám před nimi respekt - proto ta popsaná opatření.
Ďakujem
Tak z tychto tvojích opatrení sa stotožňujem asi len so 4 a mozno aj 5 :D
Ookud se neztotoznujes s tim warezem, tak vez, ze z tech bodu je to jedna z nejdulezitejsich veci.
Ja ti verim. Inak ten ucet s obmedzenymi pravami sa mi paci. Asi to zacnem pouzivat.
Jiným slovy, nedodržuješ dva nejpodstatnější body.
Ano, ja viem.
Dam si kontrolu tym programom na keyloggery, co mi niekto vyssie poslal a uvidime ako som na tom.
Kolko tipujes potencionalnych hrozieb?
V januari (prvy mesiac v poradi) som naposledy preinstalovaval Win.
Antivirus nepouzivam, no mal som ho asi 3x v priebehu roka nainstalovany na asi 4 hodiny som s nim dal hlbkove cistenie, po cistne ni som ho odinstaloval (ESET a Avast)
Naposlefy som daval kontrolu v juni.
Kolik toho to hloubkové čištění našlo?
Presne si uz nepamatam, ale priblizne ESET mi nasiel najskor nejakych 15, odinstaloval som ESET, skusil AVAST a ten nasiel vela...vyse 60.
Zaujimave, ze take rozdiely v najdeni potencionalnych hrozieb. :) Ja tym Anyivirom vobec neverim, preto ich aj nepouzivam. Viem, zer su aj na nieco dobre, ale snad si vystacim aj bez nich. Par krat do roka si dam kontrolu.
Ale inak PC mi stale ide ako novy.
I ten nejlepší antivir toho najde tak 90-95 %, takže si můžeš být jistý, že i po vyčištění tam něco zbylo. A spousta malwaru stahuje do systému další kousky, takže pár hodin po vyčištění jsi klidně mohl být na původním počtu.
Mohol, ako nič v zlom, no mňa moc takéto hypoteticke odpovede nezaujímajú. :)
Čítal som, že malware od NSA prežije aj formatovanie HDD a pochopiteľne aj reinstall.
Co ak su takto sofistikované aj iné malware? Takže takto konspirovat by sme mohli dlho :)
Ako som písal mne PC ide ako nový a keyloggerov sa už hádam báť nemusím. :)
To není nic hypotetického, to je krutá realita.
Nevěř všemu, co čteš.
:D takže ani tebe nemám teraz veriť?
Tak ako sa mám teda proti tomu braniť?
Psal jsem, že nemáš věřit všemu, ne že nemáš věřit ničemu.
Radu jak se bránit, už jsi přece dostal. To jsou ty body, které nedodržuješ.
No ok :)
Este by som sa chcel niečo spýtať ohladom KeePassu. Viem, že je to Open Source, ale nalejme si cisteho vina, kontroluje to niekto ? Respektive co ak je zdrohovy kod na ich stranke odlisny od binarky?
a co spravis ak je alebo nieje odlisny? ako to ovplyvnis? Nespravis nic a nijak to neovplyvnis, pokial niesi sikovny programator, ktory sa vyzna = zbytocne taketo blbiny vobec riesit.
Trochu připomínáš člověka, který má pochybnosti, jestli jsou jsou okna v bytě tak bezpečná, jak tvrdí jeho výrobce, ale přitom má neustále otevřené vstupní dveře.
A ted si vem, ze Keepass na Windows je od jineho autora nez keepass na Android, takze aby to bylo bezpecne, musel by nejaky tobe duveryhodny clovek prohlednout oba.
Ak je ten zdrojovy kod odlisny, mozu byt hesla niekam odosielane.
Preco ma to trapi? Ved aj tak nedodrzujem zakkadne bezpecnostne opatrenia - napr. navstevujem pravidelne Torrentove stranky...
Ved aj ako Wikan pisal:
No ale co taky Zdenal a kopu inych ?
Zdenal si stanovil opatrenia, ktore dodrziava a aj tak jeho hesla nebudu v bezpeči?
Nikdy nic nebude 100% v bezpečí, to ale neznamená, že nemá smysl to nebezpečí snižovat.
Velice zvlastni odpoved, tak trosku schizofrenni. Proc teda radis a cela poradna taky, ze antiviry se nemaji pouzivat? Ses jen stejne ubohej picmulinek jako ostatni "radci a admini" z teto poradny. Proc radite bfu aby si nepouzivanim antiviru snizovali bezpecnost jejich pc?
Nijak nevidím, že bych tu tvrdil, že antivir nemá smysl.
Nepamatuju se, ze by tu jen jednou zaznela nejaka rada, jak vypnout z Windows 8 antivir (Windows Defender)? Naopak, co si pamatuju, tak i do Windows 7 se tu radi nainstalovat Microsoft Security Essentials (obdoba Defenderu z Win8).
Nicmene pokud ti spravne nastaveni uzivatelskych prav ve Windows muze zabranit treba 95% pruniku do systemu a antivir se pohybuje, jak jsem onehdy cetl (snad od nekoho z Nortonu nebo nejake podobne kapacity) nekde okolo 50%, tak je snad jasne co z toho je mnohem dulezitejsi a co je jen doplnkova ochrana.
Co se tyka Keepassu ve Windows, tak staci mit nainstalovany nejaky personal firewall a kdyby Keepass chtel neco odesilat, tak ti to ten firewall da vedet a snad mu to teda nepotvrdis a odesilani zakazes. Takze pak Keepass moc sanci neco nekam poslat nema.
To ze navstevujes torrentove stranky tvou bezpecnost nijak nesnizuje, k tomu dojde az kdyz si pres torrent stahnes nejaky ten warez a nasledne ho jdes nainstalovat.
Dakujem velmi pekne
S tym odlisnym zdrojovym kodom v binarke a ktory prezentuju vyvojari ako skutocny zdrojovy kod k svojim Open Source programom som myslel aj trochu vsobecne pre vsetky Open Source programy.
Tak sa pytam :)
Da sa zistit, ze je odlisny kod v binarke ako ten, ktory sa da stiahnut oficialne na internete?
Myslim to pre vsetky Open Source.
Ano to viem, len som to nechcel priammo napisat, lebo tvoj kolega Karel mi uz par krat take prisoevky zablokoval resp. odstranil.
Ale ked "niekto" stahuje od overenych prispievatelov warezu, tak vraj riziko nehrozi. Co si o tom myslis ty?
Nic ti přece nebrání v tom, aby sis ty zdrojové kódy zkompiloval sám.
Tvůj problém spočívá v tom, že chceš zároveň krást, být admin a cítit se v bezpečí. U open source programů bývá na jejich stránkách většinou uveden nějaký kontrolní součet, takže si to po stažení můžeš ověřit. Když to nestačí, kontroluj a kompiluj sám.
Dakujem ti velmi pekne.
O kontrolnom súčte som doteraz nevedel, takže ešte raz diky a dakujem všetkým, ktorí tu so mnou stracali čas :D
Pekný večer prajem
Kontrolní součet ti řekne jenom to, jestli někdo nezměnil binárku. Ale nic o tom, jestli binárka odpovídá zdrojákům.
Ok, tak sa ta pytam, existuje sposob ako zistit ci sa zdrojovy kod zhoduje alebo je odlisny?
Jestli on ale vi co to je ten zdrojovy kod.
---
(To je prave to, ze je to open source. To znamena, ze je k dispozici zdrojovy kod programu a kazdy si ho muze stahnout, podivat se do nej, muze si tam doprogramovat neco vlastniho, proste cokoli a na konec si to zkompiluje na vlastni program (ve windows neco.exe), to ze autori obvykle kompilaci provedou za tebe a ty si stahnes jen hotovy exe je zase jen jejich dobra vule, stejne jako ze napsali ten program a zpristupnili ho vsem.)
Ok, inak.
Povedzme, že mám podozrenie, že nejaký Open Source program napr. už ten KeePass odosiela moje heslá niekam.
(Viem, že mi tu už niekto písal, že sa to dá zisiť resp. zbarániť tomu nejakým Firewallom, ale chcem si zistiť či sa to dá aj cez zdrojový kod)
Takźe stiahnem si z oficialnej stránky KeePassu zdrojový kód, skompilujem ho a dostanem na prvý aj na druhý pohlad rovnaky KeePass. Ale ako možem zistiť, že ten prvý KeePass nemá o pár prikazov viac ako ten mnou skompilovaný?
Ja také podozrenie samozrejme nemám. KeePass som uviedol ako priklad.
Ja vidim len jediné riešenie pokial by som nejaký program chcel využivať a bolo by podozrenie, že robí niečo "navyše".
Stiahnut si zdrojovy kod, skompilovat si ho a použivať iba ten.
Čiže keď je program open source neznamená to, že je bezpečný.
Jednoduše porovnáš binárky ne? Pokud je to zkompilované ze stejných zdrojových kódů, tak musí být stejné.
Aha, no konečne sme sa k tomu dopracovali :D To ma nenapadlo, že to takto pojde :D
Tak Ďakujem teda veľmi pekne
Dobrú noc :D
Tim bych si nebyl az tak jisty, nebude zalezet i na pouzitem kompilatoru?
Rekl bych, ze vyhoda open source je, ze tazatel ma moznost si zdrojovy kod projit a nasledne zkompilovat sam bez jakyhkoli dalsich nakladu krome tim straveneho casu nebo proste si cas usetri a bude verit tomu, co mu je predkladano.
To jistě bude, ale není přece problém použít stejný.
Aha, ale nemení to nič na fakte, že Open Source je zaručene bezpečný, pretože si to može eventuelne ktokoľvek overiť, nie?
Čo sa týka tej bezpečnosti Open Source ma dosť zmiatlo toto: https://www.facebook.com/zivesk/posts/101523984640 07805
Toľka nedovera ludi voči tomu Open Source programu. Pozrite tie komentáre.
Zaručeně bezpečný rozhodně není.
Nikdy nemáš jistotu, že to někdo kontroloval.
Nikdy nemáš jistotu, že i když to kontroloval, tak něco nepřehlédl.
Nikdy nemáš jistotu, že i když to nepřehlédl, tak je dostatečně schopný, aby odhalil potenciálně špatný kód.
Nikdy nemáš jistotu, že i když to odhalil, tak si to nenechal pro sebe, aby toho mohl sám zneužít.
Já bych řekl, že ta diskuse je ovlivněna především dvěma fakty:
) a je poměrně dobře známo, že na facebooku se vyskytují falešné linky.
- SW prezentovalo živě.sk (to je považováno za takový "PC bulvár")
- je to na Facebooku (taky v podstatě bulvár
Pro porovnání se podívej na komentáře ke zprávě o tomto SW na Lupě (sice taky se někdo ozval, ale obratem dostal poměrně rozumné odpovědi). Za přečtení taky stojí i samotný článek na Lupě, který - na rozdíl od zprávy na Živě.cz - uvádí i spyware, který by měl tento program detekovat. A na rozdíl od Živě se na Lupě dozvíš i velice podstatný fakt - Detekt pouze detekuje, neodstraňuje.
Aha dakujem, takze ten Detekt by mal byt bezpecny.