Důvěryhodnost programu KeePass

Důvěryhodnost programu KeePass
« kdy: 20. 02. 2021, 14:29:18 »
Ahoj, jako laik mam dotaz na keepass, pokud ho stahnu odtud https://keepass.info/download.html

tak ten exe soubor co mi to naistaluje to je primo open source a jde to nejak zauditovat a da se tomu verit, nebo to je jen u nejake linuxove verze ?

existuje prosim nejaky nastroj pomoci ktereho lze zabranit programum na windows aby komunikovaly se svetem? (vytahovat kabel anebo vypinat sit je neprakticke)
diky moc.
« Poslední změna: 20. 02. 2021, 16:52:03 od Petr Krčmář »


Re:keepass-duvera
« Odpověď #1 kdy: 20. 02. 2021, 15:28:58 »
Mozes si porovnat checksum tu: https://keepass.info/integrity.html

Re:keepass-duvera
« Odpověď #2 kdy: 20. 02. 2021, 15:38:44 »
Ve Windows Firewallu se da zabranit *.exe souboru, aby mel pristup na internet. Pripadne to lze udelat jednoduseji programem OneClickFirewall.

Re:Důvěryhodnost programu KeePass
« Odpověď #3 kdy: 21. 02. 2021, 01:33:04 »
Případně si stáhnout zdrojáky
https://sourceforge.net/projects/keepass/files/KeePass%202.x/
vyházet všechny věci zavánějící síťovinou a zkompilovat si vlastní binárku.
S trochou štěstí ten binár bude i fungovat.


Re:Důvěryhodnost programu KeePass
« Odpověď #4 kdy: 27. 02. 2021, 21:01:21 »
Případně si stáhnout zdrojáky
https://sourceforge.net/projects/keepass/files/KeePass%202.x/
vyházet všechny věci zavánějící síťovinou a zkompilovat si vlastní binárku.
S trochou štěstí ten binár bude i fungovat.


Takze kdyz 100 lidi udela ze zdrojovych souboru, ke kterym tam je vlsatne taky hash ten exe tak vyjde pokazde stejny hash ? potom bych tomu veril.


Re:Důvěryhodnost programu KeePass
« Odpověď #5 kdy: 27. 02. 2021, 23:59:00 »
Případně si stáhnout zdrojáky
https://sourceforge.net/projects/keepass/files/KeePass%202.x/
vyházet všechny věci zavánějící síťovinou a zkompilovat si vlastní binárku.
S trochou štěstí ten binár bude i fungovat.


Takze kdyz 100 lidi udela ze zdrojovych souboru, ke kterym tam je vlsatne taky hash ten exe tak vyjde pokazde stejny hash ? potom bych tomu veril.
Nepřeháníte to trochu?

Re:Důvěryhodnost programu KeePass
« Odpověď #6 kdy: 28. 02. 2021, 00:51:08 »
Citace
Takze kdyz 100 lidi udela ze zdrojovych souboru, ke kterym tam je vlsatne taky hash ten exe tak vyjde pokazde stejny hash ? potom bych tomu veril.
Pokud se nejedná o tzv. reproducible build, tak vám stejný hash s největší pravděpodobností nevyjde kvůli použité verzi a nastavení překladače.

Hash (či hlavně digitální podpis) se u binárek uvádí zejména pro ověření, že soubor nebyl neautorizovaně změněn, ať už na serveru či někde cestou k vám.

Re:Důvěryhodnost programu KeePass
« Odpověď #7 kdy: 28. 02. 2021, 01:00:00 »
 :)

A co to nainstalovat na nějaké offline zařízení?
Na nějaký starý vyřazený comp nebo noťas, který bude sloužit jen pro tento účel.


Re:Důvěryhodnost programu KeePass
« Odpověď #8 kdy: 28. 02. 2021, 09:23:28 »
A co to nainstalovat na nějaké offline zařízení?
Na nějaký starý vyřazený comp nebo noťas, který bude sloužit jen pro tento účel.
Jako že když se chcete přihlásit na nějakou stránku, pustíte vedle starý počítač, počkáte, než naběhne, vyhledáte heslo a pak konečně slavnostně dvacetiznakové heslo přepíšete do phishingového webu, protože jste si nevšiml, že v URL je jeden znak jinak?

Správce hesel má dvě stejně důležité funkce – umožňuje používat unikátní silná hesla a vyplňuje hesla jenom tam, kam ta hesla patří. Aby mohl plnit tu druhou funkci, musí být integrován s webovým prohlížečem (protože to je aplikace, kam se hesla zadávají nejčastěji a kde nejvíc hrozí phishing).

Re:Důvěryhodnost programu KeePass
« Odpověď #9 kdy: 28. 02. 2021, 11:30:52 »
O důvěryhodnosti exe se dá polemizovat. Zrovna teď průser s bitcoin offline peněženkama (tzv. paper wallet), kde byl backdoor, protože původní majitel stránky prodal a nová firma si tak přišla na miliony dolarů. Pořád to teda byla blbost těch lidí, že si na takové sumy nekoupili třeba trezor nebo jinou hardware wallet (ten trezor má mimochodem taky správce hesel). 

Re:Důvěryhodnost programu KeePass
« Odpověď #10 kdy: 28. 02. 2021, 13:25:16 »
O důvěryhodnosti exe se dá polemizovat. Zrovna teď průser s bitcoin offline peněženkama (tzv. paper wallet), kde byl backdoor, protože původní majitel stránky prodal a nová firma si tak přišla na miliony dolarů. Pořád to teda byla blbost těch lidí, že si na takové sumy nekoupili třeba trezor nebo jinou hardware wallet (ten trezor má mimochodem taky správce hesel).

Vlastně... teď mě napadlo. Když autor chce prověřovat správce hesel kvůli transparentnosti, tak úplně nevím proč chce tazatel něco takového používat na tak [airquotes] důvěryhondém [/airquotes] jako je Windows.

Re:Důvěryhodnost programu KeePass
« Odpověď #11 kdy: 28. 02. 2021, 15:13:23 »
Citace
O důvěryhodnosti exe se dá polemizovat. Zrovna teď průser s bitcoin offline peněženkama (tzv. paper wallet), kde byl backdoor, protože původní majitel stránky prodal a nová firma si tak přišla na miliony dolarů. Pořád to teda byla blbost těch lidí, že si na takové sumy nekoupili třeba trezor nebo jinou hardware wallet (ten trezor má mimochodem taky správce hesel).

Tak, od toho je právě dobré tu binárku digitálně podepsat. Ať už třeba GPG klíčem autora (jehož veřejnou část lze dohledat), nebo skrz certifikát prokazatelně autorovi vydaný. Pokud není potřeba EV (což tady není), ty ceny nejsou zas tak hrozné, zejména při využití tarifu Open Source Code Signing (např. Certum CA).