Fórum Root.cz

Hlavní témata => Software => Téma založeno: DragonMaster 01. 11. 2018, 18:24:46

Název: Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: DragonMaster 01. 11. 2018, 18:24:46
Jaký mi autor software může dát záruky, že má uložená hesla a hesla ostatních uživatelů neukradne? Nevěřím totiž softwaru, který si sám nevyrobím. Databáze hesel by se mi skutečně hodila, ale představa, že má hesla na emaily, facebook, banku, paypal apod. budou naservírována na jednom místě a ještě v programu, jehož vnitřní strukturu neznám, je pro mne dost děsivá.

Jaký máte názor vy? Co vás přesvědčí, že programu můžete věřit na 100 %.
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: L. 01. 11. 2018, 18:50:31
Já do Keepassu dávám hesla na různé "náhodné" weby, na to je dobrý, ale opravdu důležitá hesla (PayPal, banka, Google účet) bych tam nikdy nedal. Ty holt můžeš svěřit jen svojí paměti.
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: Honza 01. 11. 2018, 19:03:46
No ale ta hesla ti dnes přece může klidně ukradnout i úplně jiná aplikace přes zneužití chybu v procesoru, nebo i sám výrobce procesoru/desky přes nějaký management chip na desce, když může přímo do RAM...
A to je jenom příklad toho, co se už dávno ví...
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: DragonMaster 01. 11. 2018, 19:14:27
Já do Keepassu dávám hesla na různé "náhodné" weby, na to je dobrý, ale opravdu důležitá hesla (PayPal, banka, Google účet) bych tam nikdy nedal. Ty holt můžeš svěřit jen svojí paměti.

U banky a Google mám dokonce dvoufázové ověření, tam se nespokojí jenom s heslem.
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: Archimedes 01. 11. 2018, 19:15:48
Co je to za hloupost? Vždyť je to opensource. Zrovna to, že to někam vynáší informace by bylo vidět v kódu na první pohled.
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: Martin Mlynář 01. 11. 2018, 19:19:32
KeePassX nepotřebuje přístup k síti. Si ho poustej v dockeru bez sítě a máš vyřešeno. I kdyby chtěl něco vynášet, nebude mít kudy. (Pokud jsi hodně paranoidní, zamysli se nad tím, co mu vůbec povolit. Zvukovky, speakery a podobně)
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: beqq 01. 11. 2018, 19:20:54
A co takhle používat správce hesel, který si můžeš sám ověřit?
https://github.com/keepassx/keepassx
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: DragonMaster 01. 11. 2018, 19:48:59
A co takhle používat správce hesel, který si můžeš sám ověřit?
https://github.com/keepassx/keepassx

To jako fakt? To bych musel študovat asi rok ten systém, abych ho pochopil a přesvědčil se, že je skutečně bezpečný.
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: beqq 01. 11. 2018, 19:54:21
Otázku jsi položil: "Jaký mi autor software může dát záruky" ... "co vás přesvědčí..."
Pokud to nechceš rok studovat, pak buď věř, nebo jednoduše nepoužívej. Přijde mi to jako další trollící dotaz.
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: DragonMaster 01. 11. 2018, 20:30:37
Otázku jsi položil: "Jaký mi autor software může dát záruky" ... "co vás přesvědčí..."
Pokud to nechceš rok studovat, pak buď věř, nebo jednoduše nepoužívej. Přijde mi to jako další trollící dotaz.

Já si myslím, že je to dobrý dotaz, kor v dnešní době...
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: Jenda 01. 11. 2018, 22:50:13
Co je to za hloupost? Vždyť je to opensource. Zrovna to, že to někam vynáší informace by bylo vidět v kódu na první pohled.
Fun fact: jednu dobu (cca 2014-2016) jsem se zabýval tím, že jsem zkoumal, jaké informace vynášejí různé open-source projekty. Objevil jsem i několik fakt zajímavých věcí (např. posílání obsahu schránky přes nešifrované HTTP na server do Číny, bonzování seznamu kontaktů a jejich přibližné polohy na server projektu) a typicky si toho předtím nevšiml nikdo, nebo jsem na to našel starý opuštěný bug v bugzille a nikoho to netrápilo.

https://brmlab.cz/user/jenda/et
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: Archimedes 01. 11. 2018, 23:03:00
Ok, Jendo, najdeš něco nehezkého pro https://keepassxc.org/ ? Já jsem z nich nadšen, tu práci odvádějí opravdu dobře.
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: xhamsterr 02. 11. 2018, 00:46:31
Jaký máte názor vy? Co vás přesvědčí, že programu můžete věřit na 100 %.
Zadny takovy program neexistuje....
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: kkt1 02. 11. 2018, 07:26:48
tak porad muzes mit keepass na offline pocitaci a hesla prepisovat....
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: grg 02. 11. 2018, 10:01:26
tak porad muzes mit keepass na offline pocitaci a hesla prepisovat....
To ich už môžeš mať aj na papieri v zamknutom šuflíku...
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: TKL 02. 11. 2018, 11:37:59
A co takhle používat správce hesel, který si můžeš sám ověřit?
https://github.com/keepassx/keepassx

To jako fakt? To bych musel študovat asi rok ten systém, abych ho pochopil a přesvědčil se, že je skutečně bezpečný.

No pokud věříte aspoň GPG, tak přejděte na pass. To je obyčejný shellový skript a jeho kontrola vám zabere 5 minut.
Synchronizaci na další zařízení si vyřešíte snadno sám a doplňky pro browsery taky existují. Mi to takto vyhovuje, používal jsem nejdříve KpassX, pak Enpass a teď jsem šťastný s pass.
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: Ravise 02. 11. 2018, 11:52:41
Pokud si nechceš doma vyrábět tranzistory, stejně dojdeš do místa, že budeš muset důvěřovat, že tě část počítače nešmíruje. Je jen na tobě a tvojí paranoie, kdy důvěřovat začneš.

Nemusíš autorovi software věřit. Můžeš si zdrojáky projít a zkompilovat sám. Nojo, ale co když dostaneš cinknutý kompilátor? Můžeš se pokusit bootstrapovat (https://www.root.cz/clanky/muzeme-verit-prekladacum-projekty-resici-schema-duverive-duvery/). Ale co když budeš mít štěnici na procesoru/ram/síťovce...

Co se týče banky a podobných institucí, tak je heslo stejnak nejslabší článek řetězce a měl by ses přihlašovat zkrz dvoufaktor, mít dobře nastavené limity a upozorňování.
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: z 02. 11. 2018, 12:15:47
Diky teto diskusi jsem zjistil, ze existuje vubec nejaky "KeePassX" ... a po chvilce googleni, on existuje i "KeePassXC"! Roky pouzivam "KeePass" a nikdy jsem nemel pocit, ze je to tak spatny kus sw.

- https://keepass.info/
- https://www.keepassx.org/
- https://keepassxc.org/

 ??? ... jeste neco?
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: Ptr 02. 11. 2018, 12:49:24
KeePass není vůbec špatný, jen na Linuxu vyžaduje Mono, což není každému po chuti.

Jinak KeePassXC je pokračování KeePassX, který se v podstatě přestal vyvíjet.
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: Anonym 02. 11. 2018, 13:08:02
A jak víš, že ti CIA už hesla nedávno neukradla přes nějaký chip na desce?
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: O 02. 11. 2018, 13:11:46
A co takhle používat správce hesel, který si můžeš sám ověřit?
https://github.com/keepassx/keepassx

To jako fakt? To bych musel študovat asi rok ten systém, abych ho pochopil a přesvědčil se, že je skutečně bezpečný.

Ve svém dotazu doslova píšeš, že nevěříš softwaru, který si sám nevyrobíš, a teď tady prskáš, že se ti nechce ani zkoumat kód cizího softwaru, což je k té vlastní implementaci nejblíž. Takže tě neuspokojí naprosto žádný software, který napsal někdo jiný, a tohle trollení sis mohl úplně odpustit.
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: xxx 02. 11. 2018, 14:38:43
Co je to za hloupost? Vždyť je to opensource. Zrovna to, že to někam vynáší informace by bylo vidět v kódu na první pohled.
Ako vies? Bez skumania zdrojakov konkretneho programu - z vlastnej praxe poznam kopu pripadov, ked pride na support nieco, na co pozera cely tim kvanta casu a tvrdi, ze program nic take nemoze urobit. Samozrejme, presli to viaceri riadok po riadku :-) Podotykam, ze je to neumyselna chyba a nie chyba, ktoru chcel niekto cielene zasit. A hladaju ju s tym, ze maju dokaz na to, ze je tam. Nereviewuju zdrojaky s tym, ze hladaju hypoteticky problem.
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: Ondrej Nemecek 02. 11. 2018, 16:25:50
Otázku jsi položil: "Jaký mi autor software může dát záruky" ... "co vás přesvědčí..."
Pokud to nechceš rok studovat, pak buď věř, nebo jednoduše nepoužívej. Přijde mi to jako další trollící dotaz.

Může ale existovat nějaká potenciálně důvěryhodná autorita, která provede audit a ten pak může sloužit uživatelům, kteří nechtějí nebo neumí číst zdrojáky. Je to stále kompromis, ale lepší než nic. Pak není dotaz trollení ale hledání, podle jaké autority se orientovat.
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: Sinuhet 02. 11. 2018, 16:47:17
Jako sorry, ale na jednu stranu se zabýváte bezpečností nějaké binárky, případně zdrojového kódu, někdo tady pak zmiňuje HW, ale co třeba ten SW, skrz který ta hesla zadáváte? Co taková klávesnice? A kolik lidí zadává svá citlivá hesla na cizích počítačích?...
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: hajpa 02. 11. 2018, 17:04:03
https://keepass.info/ratings.html ty prvni tri bud mohou znamenat ze je to opravdu secure (ke dni testovani) a nebo to dana agentura umi otevrit na pozadani, to zalezi na uhlu pohledu kazdeho jednotlivce
Název: Re:Keepass, kde je záruka, že má hesla nebudou zneužita?
Přispěvatel: kk 03. 11. 2018, 09:58:52
ja mam ulozeny hesla na svym vps webdav serveru a keepass2 je jediny sw, ktery to umi nacist a synchronizovat. keepasxc vypada cool, ale ve features o synchronizaci  pomoci webdav nic nepisou.