
KeePass - bezpecnost
Dobrý večer, používam KeePass na správu hesiel. Medzi nimi Gmail, FB, Shutt... či dokonca aj IB.
Tak som rozmýšľal, že čo ak sa mi dostane do PC/mobilu keylogger a zistí tak moje heslo databázi aj súbor keyfile. Co si myslíte vy?
A nie, nie som paranoidny :) len chcem, aby moje dôležité dáta aj peniaze boli v bezpečí.
Ďakujem za každú odpoveď, príjemný zvyšok dňa prajem
Nic v zlom, ale ty si budici americky prezident, ci preco si myslis, ze si niekto bude davat tu namahu hodit ti do pc keyloger a este ti aj ukradne data z KeePassu?
Ale ok, mozno si super dolezita osoba a musis si chanit svoje hesla.
Riesenie proti keylogerom je pomerne trivialna...virtualna klavesnica, obsahuje kazdy slusny OS priamo v sebe. Ak sa ti chce pri kazdom spsuteni KeePassu "trtkat" s virtualom tak to pouzivaj.
fleg: instalace keyloggeru je nejběžnější v rodině, mezi manžely.
návštěvu hackera považuju též za nepravděpodobnou, ale tazatel/ka neupřesňuje, proč má z keyloggeru obsesi.
Brtnik mam osobnu skusenost...uz som takto par parom "pomahal" riesit problemy. Respektive ja som keylogger v ich pc objavil, obom som im to oznamil a nechal ich nech si to riesia medzi sebou, kedze ani jeden sa k tomu nechcel hned z fleku priznat.
Jeden si dokonca kupil plateny a inak velmi dobry keylogger, ktory som pri prvej kontrole dokonca prehliadol a pritom som mal hint od manzelky, ze ma pocit, ze je sledovana. Shame on me.
Neviete prosím vas ako zapnem na android KeePasse to auto. doplnovanie?
Ďakujem
Copak? Google Ti stávkuje?
http://www.maketecheasier.com/auto-fill-password-i n-android/
Dakujem, snad to tam najdeme.
Este by ma zaujimal nazor vas vsetkych na KeePass. Su tam podla vas nejake rizika?
Já myslím, že vše už bylo řečeno výše. KeePass taky používám. A protože taky používám mozek(*), virů a podobných svinstev se nebojím(**).
(*)
- pracuji pod účtem s omezenými právy
- nestahuji a nepoužívám žádný warez
- mám zakázán autostart z vyjímatelných médií (zabránění nákaze z přinesené flešky)
- pokud něco instaluji, tak nikoli s defaultním nastavením, ale hezky proklikám všechny volby, abych zabráníl samoinstalaci případných nechtěných doplňků programu v podobě toolbarů apod.
- hlídám si programy a služby spouštěné po startu, doplňky v prohlížečích, ...
- pravidelně (cca 1x za 2-3 měsíce) kontrolně projedu SuperAntiSpywarem, AdwCleanerem (za poslední 3 roky bez jediného nálezu)
(**)
Ale mám před nimi respekt - proto ta popsaná opatření.
Ďakujem
Tak z tychto tvojích opatrení sa stotožňujem asi len so 4 a mozno aj 5 :D
Ookud se neztotoznujes s tim warezem, tak vez, ze z tech bodu je to jedna z nejdulezitejsich veci.
Ja ti verim. Inak ten ucet s obmedzenymi pravami sa mi paci. Asi to zacnem pouzivat.
Jiným slovy, nedodržuješ dva nejpodstatnější body.
Ano, ja viem.
Dam si kontrolu tym programom na keyloggery, co mi niekto vyssie poslal a uvidime ako som na tom.
Kolko tipujes potencionalnych hrozieb?
V januari (prvy mesiac v poradi) som naposledy preinstalovaval Win.
Antivirus nepouzivam, no mal som ho asi 3x v priebehu roka nainstalovany na asi 4 hodiny som s nim dal hlbkove cistenie, po cistne ni som ho odinstaloval (ESET a Avast)
Naposlefy som daval kontrolu v juni.
Kolik toho to hloubkové čištění našlo?
Presne si uz nepamatam, ale priblizne ESET mi nasiel najskor nejakych 15, odinstaloval som ESET, skusil AVAST a ten nasiel vela...vyse 60.
Zaujimave, ze take rozdiely v najdeni potencionalnych hrozieb. :) Ja tym Anyivirom vobec neverim, preto ich aj nepouzivam. Viem, zer su aj na nieco dobre, ale snad si vystacim aj bez nich. Par krat do roka si dam kontrolu.
Ale inak PC mi stale ide ako novy.
I ten nejlepší antivir toho najde tak 90-95 %, takže si můžeš být jistý, že i po vyčištění tam něco zbylo. A spousta malwaru stahuje do systému další kousky, takže pár hodin po vyčištění jsi klidně mohl být na původním počtu.
Mohol, ako nič v zlom, no mňa moc takéto hypoteticke odpovede nezaujímajú. :)
Čítal som, že malware od NSA prežije aj formatovanie HDD a pochopiteľne aj reinstall.
Co ak su takto sofistikované aj iné malware? Takže takto konspirovat by sme mohli dlho :)
Ako som písal mne PC ide ako nový a keyloggerov sa už hádam báť nemusím. :)
To není nic hypotetického, to je krutá realita.
Nevěř všemu, co čteš.
:D takže ani tebe nemám teraz veriť?
Tak ako sa mám teda proti tomu braniť?
Psal jsem, že nemáš věřit všemu, ne že nemáš věřit ničemu.
Radu jak se bránit, už jsi přece dostal. To jsou ty body, které nedodržuješ.
No ok :)
Este by som sa chcel niečo spýtať ohladom KeePassu. Viem, že je to Open Source, ale nalejme si cisteho vina, kontroluje to niekto ? Respektive co ak je zdrohovy kod na ich stranke odlisny od binarky?
A ted si vem, ze Keepass na Windows je od jineho autora nez keepass na Android, takze aby to bylo bezpecne, musel by nejaky tobe duveryhodny clovek prohlednout oba.
Ak je ten zdrojovy kod odlisny, mozu byt hesla niekam odosielane.
Preco ma to trapi? Ved aj tak nedodrzujem zakkadne bezpecnostne opatrenia - napr. navstevujem pravidelne Torrentove stranky...
Ved aj ako Wikan pisal:
No ale co taky Zdenal a kopu inych ?
Zdenal si stanovil opatrenia, ktore dodrziava a aj tak jeho hesla nebudu v bezpeči?
Co se tyka Keepassu ve Windows, tak staci mit nainstalovany nejaky personal firewall a kdyby Keepass chtel neco odesilat, tak ti to ten firewall da vedet a snad mu to teda nepotvrdis a odesilani zakazes. Takze pak Keepass moc sanci neco nekam poslat nema.
To ze navstevujes torrentove stranky tvou bezpecnost nijak nesnizuje, k tomu dojde az kdyz si pres torrent stahnes nejaky ten warez a nasledne ho jdes nainstalovat.
Dakujem velmi pekne
S tym odlisnym zdrojovym kodom v binarke a ktory prezentuju vyvojari ako skutocny zdrojovy kod k svojim Open Source programom som myslel aj trochu vsobecne pre vsetky Open Source programy.
Tak sa pytam :)
Da sa zistit, ze je odlisny kod v binarke ako ten, ktory sa da stiahnut oficialne na internete?
Myslim to pre vsetky Open Source.
Ano to viem, len som to nechcel priammo napisat, lebo tvoj kolega Karel mi uz par krat take prisoevky zablokoval resp. odstranil.
Ale ked "niekto" stahuje od overenych prispievatelov warezu, tak vraj riziko nehrozi. Co si o tom myslis ty?
Tvůj problém spočívá v tom, že chceš zároveň krást, být admin a cítit se v bezpečí. U open source programů bývá na jejich stránkách většinou uveden nějaký kontrolní součet, takže si to po stažení můžeš ověřit. Když to nestačí, kontroluj a kompiluj sám.
Dakujem ti velmi pekne.
O kontrolnom súčte som doteraz nevedel, takže ešte raz diky a dakujem všetkým, ktorí tu so mnou stracali čas :D
Pekný večer prajem
Kontrolní součet ti řekne jenom to, jestli někdo nezměnil binárku. Ale nic o tom, jestli binárka odpovídá zdrojákům.
Ok, tak sa ta pytam, existuje sposob ako zistit ci sa zdrojovy kod zhoduje alebo je odlisny?
Ok, inak.
Povedzme, že mám podozrenie, že nejaký Open Source program napr. už ten KeePass odosiela moje heslá niekam.
(Viem, že mi tu už niekto písal, že sa to dá zisiť resp. zbarániť tomu nejakým Firewallom, ale chcem si zistiť či sa to dá aj cez zdrojový kod)
Takźe stiahnem si z oficialnej stránky KeePassu zdrojový kód, skompilujem ho a dostanem na prvý aj na druhý pohlad rovnaky KeePass. Ale ako možem zistiť, že ten prvý KeePass nemá o pár prikazov viac ako ten mnou skompilovaný?
Ja také podozrenie samozrejme nemám. KeePass som uviedol ako priklad.
Ja vidim len jediné riešenie pokial by som nejaký program chcel využivať a bolo by podozrenie, že robí niečo "navyše".
Stiahnut si zdrojovy kod, skompilovat si ho a použivať iba ten.
Čiže keď je program open source neznamená to, že je bezpečný.
Jednoduše porovnáš binárky ne? Pokud je to zkompilované ze stejných zdrojových kódů, tak musí být stejné.
Tim bych si nebyl az tak jisty, nebude zalezet i na pouzitem kompilatoru?
Rekl bych, ze vyhoda open source je, ze tazatel ma moznost si zdrojovy kod projit a nasledne zkompilovat sam bez jakyhkoli dalsich nakladu krome tim straveneho casu nebo proste si cas usetri a bude verit tomu, co mu je predkladano.
To jistě bude, ale není přece problém použít stejný.
Aha, ale nemení to nič na fakte, že Open Source je zaručene bezpečný, pretože si to može eventuelne ktokoľvek overiť, nie?
Čo sa týka tej bezpečnosti Open Source ma dosť zmiatlo toto: https://www.facebook.com/zivesk/posts/101523984640 07805
Toľka nedovera ludi voči tomu Open Source programu. Pozrite tie komentáre.
Zaručeně bezpečný rozhodně není.
Nikdy nemáš jistotu, že to někdo kontroloval.
Nikdy nemáš jistotu, že i když to kontroloval, tak něco nepřehlédl.
Nikdy nemáš jistotu, že i když to nepřehlédl, tak je dostatečně schopný, aby odhalil potenciálně špatný kód.
Nikdy nemáš jistotu, že i když to odhalil, tak si to nenechal pro sebe, aby toho mohl sám zneužít.
Já bych řekl, že ta diskuse je ovlivněna především dvěma fakty:
) a je poměrně dobře známo, že na facebooku se vyskytují falešné linky.
- SW prezentovalo živě.sk (to je považováno za takový "PC bulvár")
- je to na Facebooku (taky v podstatě bulvár
Pro porovnání se podívej na komentáře ke zprávě o tomto SW na Lupě (sice taky se někdo ozval, ale obratem dostal poměrně rozumné odpovědi). Za přečtení taky stojí i samotný článek na Lupě, který - na rozdíl od zprávy na Živě.cz - uvádí i spyware, který by měl tento program detekovat. A na rozdíl od Živě se na Lupě dozvíš i velice podstatný fakt - Detekt pouze detekuje, neodstraňuje.
Aha dakujem, takze ten Detekt by mal byt bezpecny.