Fórum Root.cz
Hlavní témata => Software => Téma založeno: DragonMaster 01. 11. 2018, 18:24:46
-
Jaký mi autor software může dát záruky, že má uložená hesla a hesla ostatních uživatelů neukradne? Nevěřím totiž softwaru, který si sám nevyrobím. Databáze hesel by se mi skutečně hodila, ale představa, že má hesla na emaily, facebook, banku, paypal apod. budou naservírována na jednom místě a ještě v programu, jehož vnitřní strukturu neznám, je pro mne dost děsivá.
Jaký máte názor vy? Co vás přesvědčí, že programu můžete věřit na 100 %.
-
Já do Keepassu dávám hesla na různé "náhodné" weby, na to je dobrý, ale opravdu důležitá hesla (PayPal, banka, Google účet) bych tam nikdy nedal. Ty holt můžeš svěřit jen svojí paměti.
-
No ale ta hesla ti dnes přece může klidně ukradnout i úplně jiná aplikace přes zneužití chybu v procesoru, nebo i sám výrobce procesoru/desky přes nějaký management chip na desce, když může přímo do RAM...
A to je jenom příklad toho, co se už dávno ví...
-
Já do Keepassu dávám hesla na různé "náhodné" weby, na to je dobrý, ale opravdu důležitá hesla (PayPal, banka, Google účet) bych tam nikdy nedal. Ty holt můžeš svěřit jen svojí paměti.
U banky a Google mám dokonce dvoufázové ověření, tam se nespokojí jenom s heslem.
-
Co je to za hloupost? Vždyť je to opensource. Zrovna to, že to někam vynáší informace by bylo vidět v kódu na první pohled.
-
KeePassX nepotřebuje přístup k síti. Si ho poustej v dockeru bez sítě a máš vyřešeno. I kdyby chtěl něco vynášet, nebude mít kudy. (Pokud jsi hodně paranoidní, zamysli se nad tím, co mu vůbec povolit. Zvukovky, speakery a podobně)
-
A co takhle používat správce hesel, který si můžeš sám ověřit?
https://github.com/keepassx/keepassx
-
A co takhle používat správce hesel, který si můžeš sám ověřit?
https://github.com/keepassx/keepassx
To jako fakt? To bych musel študovat asi rok ten systém, abych ho pochopil a přesvědčil se, že je skutečně bezpečný.
-
Otázku jsi položil: "Jaký mi autor software může dát záruky" ... "co vás přesvědčí..."
Pokud to nechceš rok studovat, pak buď věř, nebo jednoduše nepoužívej. Přijde mi to jako další trollící dotaz.
-
Otázku jsi položil: "Jaký mi autor software může dát záruky" ... "co vás přesvědčí..."
Pokud to nechceš rok studovat, pak buď věř, nebo jednoduše nepoužívej. Přijde mi to jako další trollící dotaz.
Já si myslím, že je to dobrý dotaz, kor v dnešní době...
-
Co je to za hloupost? Vždyť je to opensource. Zrovna to, že to někam vynáší informace by bylo vidět v kódu na první pohled.
Fun fact: jednu dobu (cca 2014-2016) jsem se zabýval tím, že jsem zkoumal, jaké informace vynášejí různé open-source projekty. Objevil jsem i několik fakt zajímavých věcí (např. posílání obsahu schránky přes nešifrované HTTP na server do Číny, bonzování seznamu kontaktů a jejich přibližné polohy na server projektu) a typicky si toho předtím nevšiml nikdo, nebo jsem na to našel starý opuštěný bug v bugzille a nikoho to netrápilo.
https://brmlab.cz/user/jenda/et
-
Ok, Jendo, najdeš něco nehezkého pro https://keepassxc.org/ ? Já jsem z nich nadšen, tu práci odvádějí opravdu dobře.
-
Jaký máte názor vy? Co vás přesvědčí, že programu můžete věřit na 100 %.
Zadny takovy program neexistuje....
-
tak porad muzes mit keepass na offline pocitaci a hesla prepisovat....
-
tak porad muzes mit keepass na offline pocitaci a hesla prepisovat....
To ich už môžeš mať aj na papieri v zamknutom šuflíku...
-
A co takhle používat správce hesel, který si můžeš sám ověřit?
https://github.com/keepassx/keepassx
To jako fakt? To bych musel študovat asi rok ten systém, abych ho pochopil a přesvědčil se, že je skutečně bezpečný.
No pokud věříte aspoň GPG, tak přejděte na pass. To je obyčejný shellový skript a jeho kontrola vám zabere 5 minut.
Synchronizaci na další zařízení si vyřešíte snadno sám a doplňky pro browsery taky existují. Mi to takto vyhovuje, používal jsem nejdříve KpassX, pak Enpass a teď jsem šťastný s pass.
-
Pokud si nechceš doma vyrábět tranzistory, stejně dojdeš do místa, že budeš muset důvěřovat, že tě část počítače nešmíruje. Je jen na tobě a tvojí paranoie, kdy důvěřovat začneš.
Nemusíš autorovi software věřit. Můžeš si zdrojáky projít a zkompilovat sám. Nojo, ale co když dostaneš cinknutý kompilátor? Můžeš se pokusit bootstrapovat (https://www.root.cz/clanky/muzeme-verit-prekladacum-projekty-resici-schema-duverive-duvery/). Ale co když budeš mít štěnici na procesoru/ram/síťovce...
Co se týče banky a podobných institucí, tak je heslo stejnak nejslabší článek řetězce a měl by ses přihlašovat zkrz dvoufaktor, mít dobře nastavené limity a upozorňování.
-
Diky teto diskusi jsem zjistil, ze existuje vubec nejaky "KeePassX" ... a po chvilce googleni, on existuje i "KeePassXC"! Roky pouzivam "KeePass" a nikdy jsem nemel pocit, ze je to tak spatny kus sw.
- https://keepass.info/
- https://www.keepassx.org/
- https://keepassxc.org/
??? ... jeste neco?
-
KeePass není vůbec špatný, jen na Linuxu vyžaduje Mono, což není každému po chuti.
Jinak KeePassXC je pokračování KeePassX, který se v podstatě přestal vyvíjet.
-
A jak víš, že ti CIA už hesla nedávno neukradla přes nějaký chip na desce?
-
A co takhle používat správce hesel, který si můžeš sám ověřit?
https://github.com/keepassx/keepassx
To jako fakt? To bych musel študovat asi rok ten systém, abych ho pochopil a přesvědčil se, že je skutečně bezpečný.
Ve svém dotazu doslova píšeš, že nevěříš softwaru, který si sám nevyrobíš, a teď tady prskáš, že se ti nechce ani zkoumat kód cizího softwaru, což je k té vlastní implementaci nejblíž. Takže tě neuspokojí naprosto žádný software, který napsal někdo jiný, a tohle trollení sis mohl úplně odpustit.
-
Co je to za hloupost? Vždyť je to opensource. Zrovna to, že to někam vynáší informace by bylo vidět v kódu na první pohled.
Ako vies? Bez skumania zdrojakov konkretneho programu - z vlastnej praxe poznam kopu pripadov, ked pride na support nieco, na co pozera cely tim kvanta casu a tvrdi, ze program nic take nemoze urobit. Samozrejme, presli to viaceri riadok po riadku :-) Podotykam, ze je to neumyselna chyba a nie chyba, ktoru chcel niekto cielene zasit. A hladaju ju s tym, ze maju dokaz na to, ze je tam. Nereviewuju zdrojaky s tym, ze hladaju hypoteticky problem.
-
Otázku jsi položil: "Jaký mi autor software může dát záruky" ... "co vás přesvědčí..."
Pokud to nechceš rok studovat, pak buď věř, nebo jednoduše nepoužívej. Přijde mi to jako další trollící dotaz.
Může ale existovat nějaká potenciálně důvěryhodná autorita, která provede audit a ten pak může sloužit uživatelům, kteří nechtějí nebo neumí číst zdrojáky. Je to stále kompromis, ale lepší než nic. Pak není dotaz trollení ale hledání, podle jaké autority se orientovat.
-
Jako sorry, ale na jednu stranu se zabýváte bezpečností nějaké binárky, případně zdrojového kódu, někdo tady pak zmiňuje HW, ale co třeba ten SW, skrz který ta hesla zadáváte? Co taková klávesnice? A kolik lidí zadává svá citlivá hesla na cizích počítačích?...
-
https://keepass.info/ratings.html ty prvni tri bud mohou znamenat ze je to opravdu secure (ke dni testovani) a nebo to dana agentura umi otevrit na pozadani, to zalezi na uhlu pohledu kazdeho jednotlivce
-
ja mam ulozeny hesla na svym vps webdav serveru a keepass2 je jediny sw, ktery to umi nacist a synchronizovat. keepasxc vypada cool, ale ve features o synchronizaci pomoci webdav nic nepisou.