Действительно ли Keepass настолько безопасен?

Question

[Petr Alexandrovich]

Давно хочу начать пользоваться этим менеджером паролей, но останавливает следующие:
1. Боязнь доверять все пароли одной программе)
2. Помнится недавно был ор, что базы данных легко ломаются с помощью dll инъекции, которая инициализирует процесс импорт базы данных и отправки на сервер злодеев

Answer 1

[nevatas]

Пользуюсь 1Password уже ~1 год. Проблем с ним не было, храню как пароли так и данные банковских карт. Вся база данных 1Password'а хранится на моем дропбоксе в зашифрованном виде, и для того что бы взломать ее требуется сначала похитить эту базу с дропбокса, а потом еще и подобрать пароль к ней. При хорошем пароле на самой базе и дропбоксе вероятность подобного очень близка к нулю. Лицензия стоит 50$. На счет Keepass - ничего не слышал :)

Comments

[four4]

Исходник - открытый у вашего 1Password, как у Keepass?
А то есть сюрпризы https://habrahabr.ru/post/254899/

[four4]

что бы взломать ее требуется сначала похитить эту базу с дропбокса, а потом еще и подобрать пароль к ней.

Никто так делать не будет. Если пароль достаточно длинный, то саму базу данных не взломать в принцие (если, конечно, в вашей системе нет проблем, подобных по ссылке выше).

Похищают в тот момент, когда вы начинаете использовать пароль.

[four4]

На счет Keepass - ничего не слышал :)

То, что вы не слышали об одной из самых именитых программ в этой сфере, говорит только о том, что вы свою программу выбрали просто от балды, первую попавшуюся, без изучения плюсов-минусов аналогов.

[nevatas]

four4: выбрал 1Password из-за кроссплатформенности, первоначально искал менеджер паролей под айфон, узнал что есть на маки и пк - был приятно удивлен. Подробно тему менеджеров не исследовал, оно мне не нужно.

[four4]

nevatas: С кросс-платформенностью у Keepass все отлично.

А вот на предмет XOR-обмана по ссылке выше - проверить стоило бы.

[nevatas]

four4: Я ознакомился, клиенты под ios у них нереально страшные. И по поводу синхронизации не понятно.

[four4]

nevatas:
С такими вещами как пароли, не имея возможности проверить исходных код программы их сохраняющей, я бы, напротив, опасался бы синхронизации.

Answer 2

[zooks]

Если компьютер заражен, то уже ничего не поможет.
А так Keepass довольно хороший и кроссплатформенный.

Comments

[Petr Alexandrovich]

А как в нем хранить дополнительные данные (например ответы на секретные вопросы)? Создавать дополнительные поля? Шифрует ли он прикрепленные файлы?

[zooks]

Petr Alexandrovich: В смысле как? Все шифруется выбранным при создании базы ключом. Прикрепление файлов поддерживается. Доп. поля - тоже.

[zooks]

Petr Alexandrovich: лично я просто пишу q/a в комментарии, но желательно использовать доп. поля.

Answer 3

[four4]

Боязнь доверять все пароли одной программе)

Где-то их хранить все равно надо.
Боитесь одной - создавайте различные базы данных, часть паролей в одной, часть в другой.

"Помнится недавно был ор, что базы данных легко ломаются с помощью dll инъекции, которая инициализирует процесс импорт базы данных и отправки на сервер злодеев"

Это к любой программе относится.
К программе с открытыми исходными кодами хоть не относится вот такое https://habrahabr.ru/post/254899/