>>2063075 (OP)
Использую Keepass, бэкапы в облака и на гитхаб делает скрипт как только видит изменение файла базы.

>но меня дико смщуает его куча разного софта
Да, есть такой недостаток.

>Вроде эти ребята вляпывались в какую-то ситуацию не так давно когда через клаудфлару что-то ломанули
Там постоянно такое. Ты говоришь про тот случай когда слили всю базу пользователей, с именами, имейлами и хэшами паролей. Короче, ластпасс хоть и няшный вид имеет, но пароли это такое дело что я бы не доверял ему их.

>>2063075 (OP)
>решил хранить их в каком-нибудь шифрованном файлике
Засунь в Пароли.txt в криптоконтейнере.
Но лучше всего не храни, потому что если тебя взломают, нехорошо будет не только тебе, а и всем твоим клиентам.

>>2063130
Ну так пускай их хранит на втором харде или компе без интернета.

Анон, а что можешь сказать про Norton Identify Safe? Годно или гавно?

>>2063075 (OP)

encryptr

>>2063397
Все что делается антивирусными вендорами - говно по умолчанию

>>2063075 (OP)
>pass.sh
#!/bin/bash
echo "$1+$2+$3" | sha256sum | head -c 20 | xsel -ib

Использование
./pass.sh sitename login hunter2

>>2063556
Улучшенная версия
#!/bin/bash
echo "$1+$2+$3" | sha256sum | base64 | head -c 20 | xsel -ib

Расширение ластпасса открыто, это тупой джаваскрипт.

Сам пользуюсь 1пассвордом ещё с маковских времён, никуда уже не слезу, ибо базу переносить будет нереально трудно.

Кеепасс не катит, так как только под Винду , а мне нужно ещё мобильное приложение (всякие мутные кривые васянские поделия даже не рассматриваю)

>>2063556
>>2063562
Что за хуйню ты тут понаписал, пеpдоля?

>>2065572
>Кеепасс не катит, так как только под Винду , а мне нужно ещё мобильное приложение (всякие мутные кривые васянские поделия даже не рассматриваю)
Ну и дурак. Причём дурак ограниченный.

мимо много лет юзать кипас на шиндошс, ленух и андройде

Кстати андроидовский клиент божественнен, сам так же как ты опасался, думал будет кривое васяноговно, а оказалось очень даже прямое. А вот линуксоклиент слегка расстраивает дизайном, но тебе это видимо не грозит.

>>2065612
>юзаю

>>2065612
Всмысле что значит ограниченный?

>>2063075 (OP)
chromeIPass пробовал на хром?

>>2065620
В том смысле, что спешишь декларировать своё "васянские клеенты нинужны, гавно по умолчанию", даже не взглянув, тем самым ставишь себя почём зря в рамки.

>>2065631
Дело в том, что кипасс - это втндовая софтина, а клиент под ведро - это не кипасс, это программа, написанная хуй знает кем, которая умеет читать и писать в базу формата кипасса. Кто ее автор, насколько квалифицирован он, чтобы писать крипто по, насколько ему можно доверять, насколько стабильно работает его клиент и не начнет ли корраптить потихоньку базу. Короче вопросов много, а ответов нихуя.

>>2065640
>Кто ее автор
А кто автор самого кипасса?
>насколько квалифицирован он, чтобы писать крипто по
А насколько квалифицирован автор самого кипасса, чтобы писать крипто по?
>насколько ему можно доверять, насколько стабильно работает его клиент и не начнет ли корраптить потихоньку базу
Ну ты понял. И те же самые вопросы можно задать абсолютно кому угодно. Вывод напрашивается сам собой - рациональных причин так утверждать у тебя нет.

использую ластпасс
10 господи из 10

>>2066466
Я кипассом и не пользуюсь, но смею предположить, что к кипассу достаточно большое внимание со стороны сообщества и специалистов в мире крипто, и автор не рандомный неизвестный вася.

>>2066466
>кто автор самого кипасса?
Какой-то Dominik Reichl, но это значения не имеет. В криптософте важно не кто пишет, а что написано.
Если у андроидного клиента есть открытые исходники, можешь сам взять и проверить, что там.

>>2063075 (OP)
>что ты используешь анон?
enpass + синхронизация через гугл сторейдж

>>2066471
И что же даёт тебе такую уверенность?

>>2066782
То, что софтина достаточно популярна.

>>2063075 (OP)

Sticky Password
Делает абсолютно все то, что и keepass но лучше, и удобнее. Работает под виндами и под телефонами. Нет ебли с плагинами и прочим говном, установил и юзаешь. Очень удобная шляпа.

База хранится ЛОКАЛЬНО. На премиум версии можно синхронизировать твою зашифрованную базу на их серверах, а можешь этого и не делать.

https://www.comss.ru/page.php?id=801


Это некий выбор между Lastpass и Keepass

KeePassом пользовался, но он очень неудобный, и куча проблема с различными плагинами. А браузерные расширения для автоввода пароля и т.п. и это вообща какой-то лютейший треш с кучей лагов и фризов и крашей.

Ластпасом пользовался лет 5 так точно, но меня они заебали, и я чето запараноил, и ливнул на кипасс.

Кипасом попользовался годик, и меня этот кал люто взбесил, когда проебалась база из-за краша ебанного с сейвом паролей от одного сайта.

Потом начал искать и выбирать между популярными решениями, все какие-то не очень, и у меня требования такие же как иу тебя

т.е. и пароли сохранять, и заметки различные
Ну и остновился на стики пассворд.

К плюсам софта можно отнести:
- реально удобно
- нет мозгоебства с плагинами и софтом, установил и забыл, и юзаешь в своё удовольствие
- база шифруется, никуда не сливается
- есть приложения для мобилок
- сайты сортируются по категориям, а различные аккаунты от сайтов по сайтам, чего например нет в ластпассе и кипасе, а это уберахуенная фича.
- по кд у них акции всякие на халявную лизензию на 1-2 годика.

Из минусов:
- плагин на ФФ тормозной, быстрее чем KeePassовские, но медленее чем Lastpass
- Хуёвая поддержка, очень хуёвая
- апдейты пилят раз в полгода.

>>2066898
полный мусор.
заполнял через жопу там где ластпасс охуенно работал.
а потом база паролей вообще проебалась. я не помню что там произошло, но похоже на какую-то техническую проблему.

НИБИРИТЕ

>>2066899

как на ластпассе посмотреть когда акк был создан? Просто я ластпасом пользовался очень плотно, и очень хорошо его знаю вдоль и поперек, а так же уже последние чуть более пол года пользуюсь стики, и ниразу не видел проблем с автозаполнением. Можешь хотя бы один пример показать?

А по поводу "база проебалась", так это вообще из разряда фантастики. Сразу видно что ты не юзал и пиздишь. В этом софте есть бекапы блядь. Которые делаются в отдельной директории по определенным числам и всегда под рукой если основная база куда-то улетит.

>>2066901
>Можешь хотя бы один пример показать?
>
на сайте билайн помню был лютый пиздец. и ещё в других местах.

>как на ластпассе посмотреть когда акк был создан?
никак

>>2063075 (OP)
https://www.passwordstore.org/

>>2066898
>На премиум версии
Пиздец еблан.

>>2066910
>>2066907

ох и долбоебы.
Это скрины отсюда: https://www.comss.ru/screenshots/page.php?id=801

Какие же двачеры ебанутые долбоебы, просто пиздец. Отмороженные напроч

>>2066917
ты билайн проверил, или только кудахтать можешь?
нахуй менеджер паролей который не заполняет?

>>2063075 (OP)
KeePass, я привык к нему, да и траблов никаких, интерфейс правда говно полное.

>>2066920
Есть же keepassxc, где интерфейс нормальный.

>>2066917
Нахуя нужно проприетраная фремиум параша, если есть куда лучшие свободные программы?

>>2066928
например? KeePass? Писал же выше, что оно говно неюзабельное, у кокторого овердохуя косяков, глюючные плагины, краши.

>>2066972
Просто им нужно пользоваться как есть, без плагинов.
Скопировал-вставил.

>>2066973
в 2017 году? В эпоху интернета и дохуя сервисов?

>>2066898
Исходники где, долбоёб? Без исходников у тебя не
>- база шифруется, никуда не сливается
а васян говорит, что база шифруется, никуда не сливается.

>>2067073

Ну вот тебе ссылка на KeePasss исходники.

https://sourceforge.net/projects/keepass/files/KeePass%202.x/2.36/KeePass-2.36-Source.zip/download?accel_key=77%3A1497406533%3Ahttp%253A//keepass.info/download.html%3A89b483b3%24a75c24b4bb7400d3060ef64751f26a9774c72fac&click_id=58a43024-50a7-11e7-bdd4-0200ac1d1d1a-5&source=accel

Давай, докажи мне, следующее:

1. Что релиз версия индентична тому, что в исходниках, которая весит на сайте

2. Проведи код-ревью и изучи 690 файлов на предмет бэкдоров и дыр и докажи что там нет встроенных майнеров, хуяйнеров, и обходов алгоритма, когда код пишется одним и тем же уебаном уже который год.

И да, средний размер файлика около 1к строк кода, и используется куча методов, куча всякого говна, код хуёво документирован, и т.п. и т.д.

==============================

А как тебе такой аргумент, что этот кал написан на шарпе? А си шарп чей язык? А у него открыты исходники всех его криптографических функций, как например в си с его стандартной библиотекой?

Ты такой даун, просто пиздец, и таких как ты даунов которые кукарекают "раз открытый код, значит все нормально" - овердохуя.

Вы даже и близко не понимаете то, о чем вы кукарекаете, даже представления не имеете.


========================

Относительная "безопасность" основана исключительно на открытости исходника, а не на его качестве кода.

Ах да, там могут попрекнуть что его кто-то смотрел, и проверял, но кто и как? Откуда уверенность что это не проплаченный АНБ агент или ФСБ уебан? Который "да да хомячок, жри говно, я же икзперд"

Вы такие сука простые дурачки, что ояебу нахуй.


=======================

Линупс открытый, и линупс юзается на миллиардах машин, пишется десятками тысяч девелоперов, используется самыми мощными конторами в мире, и то в нем куча багов и проблем которые там живут десятилетиями. Или вы забыли о heartbeat? О других багах которые позволяют читать память? Или о других уязвимостях позабыли которые "в открытом исходном коде были представалены"?

НЕ ПИШИТЕ ПИДАРЫ ХУЙНЮ, И НЕ ДЕЛАЙТЕ АКЦЕНТ НА БЕЗОПАСНОСТИ В СВЯЗИ С ОТКРЫТЫМ КОДОМ, ЭТО АБСОЛЮТНО НИЧЕГО НЕ ЗНАЧИТ ДЛЯ БЕЗОПАСНОСТИ.

Вся ваша иллюзия по открытому коду равносильна иллюзии знания защищенности сейф-кейсов в банке лишь по тому, что вы прошлись корридором и увидели огромную железную дверь и замок на ней и табличку "ведется видеонаблюдение"".


ДАУНЫ ТУПОРЫЛЫЕ!

>>2066992
Ещё скажи что ты разлогиниваешься каждый день на личном пк.

>>2067534
> которая весит на сайте
> весит
Откуда у нас уверенность, что ты не даун?

>>2067538

у тебя, и у твоего вымышленного друга?

>>2067546
Взвесил уже?

>>2067549
Ты сам сказал что там на сайте что-то весит. Сколько весит?

>>2067534
Зачем ты остановился? Не забываем про то, что исходники винды мы не видели, что там куча бэкдоров. А, ты на линуксе? А на чем этот линупс выполняется? Правильно, на закрытом железе, и что, например делает твой цпу, ты тоже не знаешь, или что делает Intel ME. А ещё за тобой круглосуточно следит агент фсб, высматривая через камеры высокого разрешения, когда ты пароль набирать будешь. И не забывай про пришельцев, которые, возможно, давно вставили тебе в жопу зонд и твои ебаные пароли у них как на ладони?

Нет такой штуки, как абсолютная безопасность. Вообще, нигде и никогда не было. Безопасность должна быть не абсолютной, а достаточной для того, чтобы затраты на получение чего-то были выше, чем ценность этого чего-то.

И если ты не понимаешь, чем поделка доминика райхла в этом смысле лучше, чем наколеночная поделка неизвестного анонимного васяна, то с тобой дискутировать не о чем, ибо ты или больной или школьник.

Недавно тоже выбирал хранилище паролей, для организации доступов к ssh и админкам. Остановился на Enpass + Google Drive, Ничего лучше не нашел.

Нихерасебе тред расплодился. Я думал он умер когда я создал.

В общем на данный момент продолжаю пользоваться LastPass, попутно тестирую KeePassXC https://keepassxc.org:

- Адекватное оформление и поведение под линуксом
- Нихера не жрет ресурсов
- Код открыт, но ктож его смотрит.
- Встроенная поддержка HTTP чего-то там в следствии чего chromelPass интегрируется без гемора и пашет практически как LastPass.

Из недостатков:
- Полное отсутствие поддержки плагинов, в следствии чего отваливается синхрон с гугл докс. Единственный выход что видно, сделать сетевой диск от гугл дока и туда файлик закинуть, и собственно его указать KeePassXC. Но пока это какой-то запар и я пробую, эксперементирую, жду когда у LastPass отвалится премиум бесплатный и посмотрю что там поотключается.

>>2066540
>>2067606
Плюсую этих. Годнота.

>>2063075 (OP)
> KeePass
Хорошая штука. Довольно неплохо справляется с браузерами даже без наличия расширений. Поиск удобный, как через папки, так и текстовый. Формат файла открытый, как и сама программа, да и шифрование правильное, так что параноикам можно не бояться. Единственный недостаток -- синхронизировать нужно руками. Особенно это неудобно с мобильными устройствами (ещё неудобнее с оными от Apple).

> LastPass
В плане удобства более кошерная штука, однако все приложения, расширения и сам сервис проприетарны, так что непонятно, что она делает. Есть приложения под все популярныебраузеры (однако под Firefox оно тормозит и глючит) и мобильные ОС. Если вы доверяете создателю и не используете Firefox -- самое оно. К тому же с браузерами интеграция достаточно хорошая.

> bitwarden
Достаточно молодой проект, объединяющий достоинства предыдущих двух. Всё полностью опенсорсное, включая сервис, автор очень быстро реагирует на фидбэк, синхронизация работает, есть расширение, работающее на всех браузерах и приложение на iOS и Android. Из недостатков могу назвать только несколько неудобный интерфейс дополнения для браузеров (не очень управляется с клавиатуры), но у других кандидатов с этим ещё хуже. Лично я рекомендую его.

>>2068581

> > LastPass
> В плане удобства более кошерная штука, однако все приложения, расширения и сам сервис проприетарны, так что непонятно, что она делает. .

Открой код расширения и посмотри, что оно делает. Больше ничего не нужно.

>>2068626
Ещё не пробовал, но почему-то мне кажется, что оно обфусцировано.

>>2066881
Среди кого? Двух с половиной задротов вроде нас с тобой? Не смеши.

>>2066898
>На премиум версии
Написал бы сразу, чтоб не заставлять людей читать чушь

>>2068695
Вот-вот. Хотя на самом деле на GNU/Linux и macOS тоже можно использовать официальный клиент. Но это ничего не даёт, к примеру, на Android, где GDrive не синхронизирует файлы с локальной ФС, или на iOS, где (если не ошибаюсь) данные приложений вообще жёстко разделены.

>>2068698
Почему-то да, популярна эта штука в основном среди задротов. Но казуала вполне можно подсадить. Я просто показал мамке, столько радости было до этого хранила в ворде, но радость была не столько от приватности, сколько от удобства.

>>2067534
Вот это разрыв.

tl;dr вот если ЛИЧНО ВЫ НЕ ПРОВЕРИЛИ код, значит никто не проверит

КАЖДУЮ ПРОГРАММУ НАДО ЛИЧНО ПРОВЕРЯТЬ ЗАПОМНИТЕ ДАУНЫ ТУПОРЫЛЫЕ


НЕТ НИКОГО НЕ ЕБЁТ ЧТО У ВАС БАНАЛЬНО НЕ ХВАТИТ ЖИЗНИ НА ЭТО

>>2067606
>Freemium
Сразу это слово в заголовке пиши, чтобы можно было автоскрытие настроить.

>>2068706
Но прикол в том, братан, что я НИКОГДА не изменял базу с телефона, только пользовался. Так что вопрос с аплоадом автоматически отваливается. Остаётся вопрос с даунлоадом, на да ладно, раз в месяц можно и ручками с гуглдиска базу качнуть.

>>2068726
Ну это ты. Мне это делать приходилось.

Не, если тебе удобно, то я не против. Интерфейс у KeePass(X)(C) однозначно удобнее, чем у моего любимого bitwarden, но для меня синхронизация и полная функциональность на всех устройствах решают.

>>2068731
>bitwarden
Схороню.

>>2068738
> bitwarden
bitwarden is currently sponsored by the Microsoft BizSpark program which covers many of our operation costs and allows us to offer services for free to our users. We are working on our monetization strategy which will introduce additional premium features in the future. For now though, everything is free for users. Let me know if you have any other questions.

>>2068795
Блядь, убираю из закладок, спасибо и тебе.

>>2068477
>>2066540
>>2067606
Действительно годнота. Попробую.

>>2068721
Для десктопа фри, для мобилок условно бесплатная

>>2069410
Это и есть фремиум, дурень. Нахуй ты свое говно пропретарное несешь сюда, если есть pass и keepassxc?

>>2066972
Keepasscx. Но pass полудше будет.

>>2067534
> и таких как ты даунов которые кукарекают "раз открытый код, значит все нормально" - овердохуя
Порванка, читай внимательно >>2067073. Что там написано, видишь?
Там написано, что без исходников ты можешь только верить васяну. Видишь что-нибудь про открытые исходники? То-то же и оно.
Зашивайся.

>>2069414
Прыщь потёк...

>>2068900
Годная вещь, заплатил индусам 10$ для версии под мобилку.

>>2069414
Засунь себе в задницу своё свободное ПО с таким UI

>>2069440
VS божественный Enpass

Что годнее enpass или 1password?

>>2063075 (OP)
Держу файл пароли.txt на рабочем столе.

>>2063075 (OP)
https://www.passwordstore.org/
/thread

>>2063080
Расскажи подробнее про скрипт, и/или скинь его.

>>2069469
> With pass, each password lives inside of a gpg encrypted file whose filename is the title of the website or resource that requires the password.
Отлично, получаем список ресурсов, посещаемых юзером бесплатно и без смс. Пердофилософия.

>>2069572
Жаль, что операционные системы так и не научились в юзеров, пароли и уровни доступа.

>>2070890
> Это проблемы ОС, а не менеджера паролей
Эти пердооправдания твои. А если захочешь забекапить, то будешь делать архив, который будешь дополнительно шифровать? Сейчас бы выдумывать велосипеды...

>>2071060
Оно мне же на сервер бэкапится. Но да, можно и архив с паролем запилить.

keeweb

нужен менеджер паролей в котором можно хранить фото документов

>>2068581
>доверяете создателю
Чувак, он не ширфует url, логины и логи авторизации. Тебе с этим норм? шифруются только пароли. Да и те принадлжеат компании, даже нельзя забекапить себе базу на комп. А стоимость подписки клиента на ведро поражает.

>>2069446
Он научился делать автозаполнение в браузере без запуска десктопного клиента?

>>2068581
>В плане удобства более кошерная штука
И тут ты не прав. Добавив keefox, ты получаешь фичу ластпаса - привязка значений к id полей. на самом деле, ещё и больше настраиваемости имеешь, чем в ластпасе.
Но безопасность снижается. Безопаснее юзать именно автонабор клавиатурой, так можно быть увереным ,что из памяти браузера не спиздится ничего скриптами какими-нибудь.

Поэтому логично заводить две базы. В одной плагин прикрутить для простых сайтов. в другой автонабор пердолить для банкинга и тп.

>>2087027
> клавиатурой
Это как? Ты про хоткей штоле?
> В одной плагин прикрутить для простых сайтов
Для простых сайтов хватит одного и того же пароля и встроенного в браузер менеджера.

>>2087018
> доверенная Ос
Это ты про шенду, лил?

>>2087018
Как это ластпасс подвержен митм? Обосновать сможешь?

>>2063075 (OP)
>Доканало меня у клиентов постоянно выпрашивать пароли если к проекту давно не возвращались. Подобные письма и сообщения я тру, чтобы спать спокойно. Как они их хранят и рассылают это их проблемы. Но мне крайне это надоело и я решил хранить их в каком-нибудь шифрованном файлике
С подключением, антош, а как ты раньше жил, интересно? Один пасс юзаешь на всех сайтах?
Менеджеры паролей и в обычной жизни очень нужны.

>>2069446
И что мне с того, что менеджер паролей выглядит как скайп? Он от этого лучше становится?
Алсо, ненавижу интерфейс звонилок вроде скайпа, телеги, рейдколл и иже с ними.

>>2087149
Лол, в таких случаях надо говорить "обосновал тебе за щеку"

>>2086988
бамп

>>2087107
нет, но венда тоже может быть доверенной относительно. всмысле без виросов - только с зондами и дырками для направленных атак, но без виросов. Это уже победа.

>>2087149
Ёпта, чтобы открыть базу, етбе нужно каждый раз слать пароль по https. И оттуда - из сервера чужого дядьки тебе вкачивают в браузерный костыль твои пароли. Расшифровываютя они вроде как на стороне клиента, да и в памяти защищены (вплоть до момента вставки - вот тогда-то они попадают в незащищенную область озу, откуда их пиздит какой-нибудь скрипт с сайта из соседней вкладки). Именно поэтому, они нахуевертили такой мощный выбор двухэтапных авторизаций и ограничения по ip, даже есть чекбокс запрета логиниться из тора, лол.
Ну а в кипасе пароль никуда не путешествует, ты его локально вводишь, на сервак не отсылаешь. КАкой тут митм может быть?

Клавиатурный набор кипаса надёжнее, чем вставка из памяти в браузерном костыле. Если даже кейлогер поставить, то он лишь половину пароля сможет спиздить, благодаря рандомизации ввода. Но в память пароли попадают так же как и у ластпаса, да. Но тут уж надо иметь чистую ОС, потмоу что когда в симтеме тот же кейлогер стоит, что мешает ему спиздить сразу пароль от всей базы паролей? И никакой менеджер тебя не спасёт.

А вообще, чтобы понять разницу между ластпасом и кипасом, надо просто как следует внимательно почитать страницу справочную у обоих. Там вся суть в деталях кроется. И криптография посильнее у кипаса, пофункциональнее и в версии 2.36 ещё и модной молодежной стала, жобавилась свежая фича.

>>2087995
А ещё помимо митма сам сервер кипаса может чё хочешь делать. Ты лишь клиент, что сказали твоему костылю, то он и делает.
В кипасе-то всё делается локально, а синхронизация через облако/фтп выполняется по твоему собственному выбору и база туда качается уже полностью зашифрованной и заблокированной.

Завтра ластпас серваки остановит, а у тебя даже локального бекапа не будет, лол. Тебе уютно с этим знанием?
Ну и бесит ещё, что не зашифрованы юрл и логины, их маркетне пролдают для сбора статистики на хомяков.

>>2087997
>сам сервер кипаса
ластпаса то есть

>>2087999
И плюс "двойное усложнение автонабора" есть. Кецлогер конечно узнает какие символы есть в пароле ,чт оснизит его стойкость, но вот порядок символов он не узнает. И если пароль длинный, заебётся брутить.

>>2087999

А как это работает, есть простая статья для домохозяек? Что мешает логгеру перехватывать все нажатия на клавиши клавиатуры?

>>2088139
В том то и дело, что вообще никак.
Не нужно слушать и доверять кому-либо тут на двачах, это отбитые напрочь дегенераты в подавляющей своей массе, либо школьники.

https://github.com/denandz/KeeFarce

Открой сам да почитай что делает keepass из коробки:
http://keepass.info/help/base/security.html

Там лишь рассказывают о каких-то "защитах" самой базы как файла в зашифрованном состоянии когда keepass отключен и не используется. А в момент использования база расшифровывается.

Потом там заливают какие-то песни о "memory encryption" которое обслуживается на уровне ОС, (ссылочку выше для обхода я дал, той репе уже более 2 лет, но существуют и новые разработки, и их никто в паблик давать не будет).

Собственно на этом и вся защита.


Там где-либо сказано то, что буфер защищен?
Где-то есть упоминания что плагины защищены и как защищены, и от чего? Там где-то описано что есть защита от кейлогеров при использовании всяких микрописек которые делают хотя бы юзабельной версию KeePass?

Там есть упоминания о KeeFox, KeeChrome, и прочем кале?

Т.е. если взять во внимание всю информацию о KeePass и различных форках, то получается следующее:

1. Чуваки, мы тут защищаем данные которые прямо сейчас находятся в базе данных шифрованием. Но анончик может сделать то же самое с помощью WinRAR.

2. Чуваки, мы клали хуй на любые ваши операции с софтом в плане буфера, в плане input / output данных в\из приложения, и не отвечаем за то как вы это используете.


Что это значит на практике?

что ты анончик можешь дрочить на то, как твои пароли зашифрованы. И на этом собственно все.

>>2088155
Ёбик, я же писал, что в озу пароли попадают открыто, оттуда их можно спиздануть. Но не в момент расшифровки базы, а при использовании паролной записи или синхронизации открытой базы. И я сказал, что от этого слива из озу помогает только чистая ОС, которой можно доверять. И касается это правило ВСЕХ менеджеров паролей, абсолютно всех.

Ластмпас не выливает пароли в озу при синхронизации, это плюс. Но при вставке - да.

По поводу писечек для юзательности я тоже уже все говорил где-то там выше.

ps костыль на хром не делает кипас юзабельнее, вообще ни на грам. Не сравнивай его с keefox. Если ты хромог и не хочешь безопасно вбивать паролей автонабором, то не юзай кипас вообще. юзай ластпас, идя на риск митма и открывая свои юрл и логины компании logmein, это два стула.

>>2088277
> открывая свои юрл и логины компании logmein, это два стула.
Алсо, у них ещё хранятся логи твои посещений сайтов, скорее всего. Но лог авторизации в ластпасе 100% хранится ,его даже самому смотреть же можно в учетке.

А теперь напоминаю, что в рашке есть закон яровой и вот это вот все. залогинился на хентайном сайте - пизда тебе. Ведь ран оили поздно личные данные юзеров ластпаса перенесут как и данный других компаний. А юрл и логины, как я уже раз 5 потворил, НЕ ЗАШИФРОВАНЫ. это не секрет абсолютно, ластпас не скрывает того, что шифрует только пароли.

>>2088155
Да, и я ты не прокоментировал фичу с ключевым файлом. Пока этот файл не спиздишь, то даже мастер пароль не поможет базы открыть.
А тебе и эта защита не защита?

>>2063080
В чём преимущество скрипта? Я просто держу файл базы на я.диске и кипас сам его подхватывает с разным компов.

>>2087995
> Ёпта, чтобы открыть базу, етбе нужно каждый раз слать пароль по https.

Дальше даже читать не стал, ты обосрался в первом же предложении. Приходи когда поумнеешь.

Пасаны, там в keepass новую крутую фичу завезли, повышабщую стойкость криптографии еще сильнее. На ведре тоже
Только я хуй щнает, как настроить. На aes-kdf у меня было 1250000 циклов. А в argon побольше переменных.

Я уже сменил функцию, база работает норм. Ничего не поломалось.

Пасаны, там в keepass новую крутую фичу завезли, повышабщую стойкость криптографии еще сильнее. На ведре тоже
Только я хуй щнает, как настроить. На aes-kdf у меня было 1250000 циклов. А в argon побольше переменных.

Я уже сменил функцию, база работает норм. Ничего не поломалось.

Ну теперь ваще можно обмазываться непробиваемостью базы. Тем более, против симметричных алгоритмов даже квантовые пк бессильны.

Плйду надену маску гая фокса и подрочу.

>>2089854
>кипасов
ластпасов то есть блять. для облачных менеджеров короче.

только не все так однощначно с ним.
памяти ему надо до жопы, аргьну этому. и неищвестно, что устойчиве, 50мб с 10 итераций аргона или 1250000 циклов aes-kdf. надо тестить короче
https://sourceforge.net/p/keepass/discussion/329220/thread/acfd14b1/

>>2089897
А тебе сколько надо?
Это тебе не rsa, которому нужны 4096 бит. Сумничать хотел?

смотрите, какой плагин клевый
https://play.google.com/store/apps/details?id=th.in.whs.k2ausbkbd

есть такой же для беспроводных стиков.
это для ввода паролей в ос, где не хранится бд и не установлен кипас.

Пользуюсь 1Password. Много перепробовал других менеджеров, но ни с одним не сдружился. То одного нет, то другого, то интерфейс страшный, то ещё какая-нибудь хуйня. Наверное никогда уже не слезу, ибо 600 Логинов и ещё 200 заметок перетаскивать куда-то ебанусь.

>>2089854
У нормальных менеджеров соединение между расширением в браузере и основной программой аутентифицируется. У кипаса это не так?

>>2093401
>Автонабор клавиатурный не связан никак с вебом и потому очень безопасен.

В чем принципиальная разница между клавиатурным набором и тем, что пароль заполнит софтина? Причем тут веб? Ты в обоих случаях логинишься на вебсайте.

>>2093401
> там символы вразнобой вбиваются.

Это вообще какой-то security through obscurity. Для подглядывающего через плечо человека это может и подойдет, но машине похуй на такие трюки.

>>2093481
Веб тут при том, что веб технологии и в том числе работа браузеров проектировался совмем не как безопасная среда, а наоборот, как полностью расширеная и с большой свободой исполнения кода. Когда эмулируются нажатия клавишь, их можно перехватить, но только тмеч в ос административные привелегии, у тебя должен стоять троян в пекарне. Зато из браузерного буфера спиздить пароль можно не закидывая тебе никаких вирусов, это сделать на два порядка проще. Ну а те кто копипастит пассы в буфер обмена, просто клинические имбецилы ... Блять буфер обмена видят вообще все программы и приложения, и на это не нужны никакие раэзрешения.

Просто не надо расслабляться. Кейпасс отлично криптует контейнер и можно его безопасно хранить или заливать на облака для синхронизации, с помощью otp и ключевого файла еще сильнее повышается стойкость, хотя куда уж там ещё. Но все пойдет поазом, если ты рамшиыруешь базу на зараженной машине, и у тебя троян тупо из озу сдампит пароли, ведь ты их уже расшифровал. Ну и отправка в браущер туда же, не безопасно, хотя конечно удобно.

А про усложнение автонабора почитай, там замут не только с запутыванием порядка набора, это компромисс.
http://keepass.info/help/v2/autotype_obfuscation.html Часть байтов пароля попадает в буфер обмена, часть добирается клавой, и тогда если у ьебя стоит кейлогер, то он не получает вмех байтов пароля, но и в буфере можно промлушать не весь пароль. Энивей, на вендомашинах с мокрыми атськами вообще нельщя оикрываьь базу, да и это касается вмех парольных мегеджеров. линукс чистый на флешку накаьил и с него грузись, тогда можешь не ссать за трояны.

>>2093525
>Зато из браузерного буфера спиздить пароль можно не закидывая тебе никаких вирусов,

Что ты несешь? Чтобы получить доступ к памяти другого процесса, зловред должен иметь root-доступ в ОС. А если даже это откинуть, то какая разница, что ты введешь в браузер сам, что введет софтина - пароль в любом случае будет в браузере, откуда его, по твоим словам, достать как два пальца обоссать.

>>2093525
>и у тебя троян тупо из озу сдампит пароли

Если у тебя троян с root-доступом сидит, тебе уже ничего не поможет. Вообще.

>>2093586
Считаешь, отсылать в плагин браузера пароли хорошая идея?
Ну хуй знает. Тут как бы в любом случае можно проебать. Клавиатурный набор можно логировать. Даже пунтосвитчер может, и в венде с этим совсем нехорошо, в отличие от ведра. Буфер обмега - проходной двор, и не нужен рут, чтоб его дампить. Область памяти самого приложения? Ну там все тоде не просто. Не щря же скайп, когда ое ещё был годнотой и не принадлежал ms и фбр, шифровал все до того как залить в озу, чтобы нельзя было нихуя достать оттуда. А парольные менеджеры не шифруют свою область памяти. А уд браузерный плагин так и вовсе не считается приложением, для них другие законы работают.

Я немного с дивана, если оьоссышь, я тоштуо рад буду, но с аргументами давай и подробностями.

>>2103281
>Считаешь, отсылать в плагин браузера пароли хорошая идея?

Не пароли, а пароль от сайта, куда ты логинишься. А как ты хочешь залогиниться на сайт, не вводя пароль в браузере? Ты сайт в браузере же открываешь? Всё равно придется пароль вводить там.

>Не щря же скайп, когда ое ещё был годнотой и не принадлежал ms и фбр, шифровал все до того как залить в озу, чтобы нельзя было нихуя достать оттуда.

Эээ, это как? Без залития в ОЗУ ты ничего не зашифруешь и не расшифруешь.

>>2103281
>парольные менеджеры не шифруют свою область памяти

Так-то нормальные менеджеры расшифровывают на лету только то, что открыл пользователь в текущий момент времени, но это всё хуйня, ибо ключ шифрования всё равно в ОЗУ хранится. Другое дело, что другие приложения не имеют доступа к области памяти других приложений, если только у них нет административного доступа к системе. Но если у вируса появился root-доступ к системе, то система в любом случае скомпрометирована и ни о какой безопасности там уже речи идти не может, потому что доступ root всё перетрут, как говорится.

>>2104450
>Не пароли, а пароль от сайта, куда ты логинишься. А как ты хочешь залогиниться на сайт, не вводя пароль в браузере? Ты сайт в браузере же открываешь? Всё равно придется пароль вводить там.
Смотри, есть два мнения. Я хочу просто перевести обсуждение на конкретные детали, чтоб воду не лить.

Одни говорят, что юзать keefox безопаснее, чем клавиатурный ввод.
Потому что, для регистрации нажатий не нужен рут доступ. То есть, кейлогер главная опасность на венде и линуксе. Ну на Линуксе проще, там же не бинарники с кучей говна внутри, а пакеты и ты сам контролируешь что именно попадает в ОС. Так что, Линукс отдельная тема, на нем и рут не нужен для постоянной работы, в отличие от w.
Ну так вот. Keefox отсылает пароли браузеру через https. По локалхосту. И ни единой буквы кейлогерам не достаётся.

Другие говорят, что плагины сам по себе опасны. Точнее, что нужно вообще отключать возможность их установки (такая опция есть). Ибо если плагины могут модифицировать данные программы и базу, то и любой вирус может. На счёт того, защищает ли в памяти keefox переданные ему пароли, не помню точно. Вроде бы да, но жаловались на тупости одну-что он при генерации новог пароля копирует его в буфер, это действительно пиздец как тупо лол, уж буфер обмена подефолту доступен для всех приложений же. Но никто же не мешает православно генерировать пароли внутри базы, я так всегда делаю, это же и удобнее. Сначала создаёшь запись, а при регистрации, оно уже и вставляется само. И пароли никогда не копируются и не набираются на клаве.

К слову, мастер пароль на кипасе набирается в защищённом режиме.А на ведре я набираю мастер клавой самого кипаса, а быстрый анлок уж делаю на обычной Google keyboard. 4 символа из 18 не сильно страшно спалить.

Возвращаясь к keefox, локальная сетевая передач защищена сертификатом. То есть просто снифить не получится.
Ну так что, выходит? Плагин повышает безопасность или понижает? Комфорт он повышает охуеть как, кстати. Ведь отпадает надобность создавать сценарии ввода, плагин помнит id и имена полей ввода из кода страницы и вставляет что нужно и куда нужно, вообще на полном автомате.

На Андроиде кейлогеры менее опасны же? Они там вообще есть?
Ну есть, когда я вставляю пароль клавиатурой keepass в конкретную страницу или конкретное приложение, посторонние сервисы могут видеть что было вставлено?

И ещё.
Я до сих пор понять не могу. Что более криптостойко - aes_kdf с 1250000 циклов или argon2 с тремя циклами и 21мб озу? Время выполнения одинаковое на ведре.
И ещё не догоняю, для чего блокировка базы нужна. Для быстрой разблокировки даже плагины сделали. Ну чтобы вводить короткий пароль для разблокировки и при ошибке база закрывается и нужно уже длинный пароль от ключа шифрования вбивать.

От чего блокировка защищает? Это просто от посторонних, кто имеет физический доступ?
Вот у мамы моей нет блокировки экрана, я ей включил quick unlock ,а у меня есть блокировка экрана, мне можно не включать? При условии, что мой экран при попытке брутфтрса моего залоченого экрана, у меня телефон уснет и понадобится длиннющий пароль уже не от экрана, а от фуллэнкрипта в aes256.
Другими словами, если я уверен, что к открытой расшифрованной базе никто не получит доступ, то можно и не блокировать?

Да и пк можно если что просто выключить же.

>>2104450
>только то, что открыл пользователь в текущий момент времени,
А это хуйня.
При синхронизации ,что на пк, что на ведре все записи сразу в ОЗУ попадают.
А как без неё в 2017 ом? Вдруг телефон украдут или сломается. Или делать далеко от дома и понадобится пароль. Надо чтобы актуальная база была на облаке.

>>2108542
Хотя можно конечно руками файл базы класть на облако и скачивать оттуда. Но рано или поздно зашпаришься, если версии булут отличаться и проебешь изменения. Когда на автомате работает, оно само проверяет хэш и дату изменений, предлагает слияние или замену, если что.

Только имей ввиду, что нельзя юзать те плагины, которые добавляют поддержку облаков через стандартный диалог отлив с серверами. Правильный плагин Googl sync.
А те неправильные пароль от облаков хранят в открытом тексте, да ещё и не в админской папке, лол. А g sync пароль от облака берет из самой базы после расшифровки.

>>2108541
>Ну на Линуксе проще, там же не бинарники с кучей говна внутри, а пакеты и ты сам контролируешь что именно попадает в ОС.
А в пакетах не бинарники? А ты все исходники лично просматриваешь, а потом собираешь? Херня это всё. Для аудита безопасности кода нужны специальные знания и методики, средний васян не сможет провести его правильно, а тем более просмотреть и проанализировать все миллионы строк кода в своем линупсе.

>>2108541
>Ибо если плагины могут модифицировать данные программы и базу, то и любой вирус может.
Если вирус может модифицировать плагин, то и основную программу может, зачем тогда ему плагин?

>А на ведре я набираю мастер клавой самого кипаса, а быстрый анлок уж делаю на обычной Google keyboard.
Google Keyboard это ж системная клавиатура, чего от нее скрываться? Если гугль захочет спиздить твои пароли, он их без всякой клавиатуры получит.

>>2108541
>Возвращаясь к keefox, локальная сетевая передач защищена сертификатом. То есть просто снифить не получится.
Без рутовых прав снифить с интерфейса нельзя. А если у зловреда есть рут-доступ к системе, что ему твое шифрование и зачем ему что-то сниффить? Он сертификаты и так видит, а точнее ему даже они не нужны, он просто из ОЗУ ключи шифрования от твоей базы вытащит в два счета и саму базу уведет.

>>2108541
>Плагин повышает безопасность или понижает?
Думаю, что если позволяет избежать использование буфера обмена, то повышает.

>>2108541
>Я до сих пор понять не могу. Что более криптостойко - aes_kdf с 1250000 циклов или argon2 с тремя циклами и 21мб озу? Время выполнения одинаковое на ведре.
Тебе-то какая разница? Брутфорсить твою базу все равно смысла нет, если мастер-пароль у тебя нормальный, а что там лучше аргон или аес, это уже из области теоретических рассуждений.

>>2108541
>И ещё не догоняю, для чего блокировка базы нужна.
Мастер-пароль обычно длинный и вводить его при каждом использовании менеджера неудобно (ну и больше шанс, что кто-нибудь подсмотрит "изза плеча").

>>2108541
>Другими словами, если я уверен, что к открытой расшифрованной базе никто не получит доступ, то можно и не блокировать?
Ну да. Но я все равно использую блокировку и экрана, и самого менеджера. Мало ли какая ситуация будет и твой телефон возьмет кто-то чужой.

>>2108542
>При синхронизации ,что на пк, что на ведре все записи сразу в ОЗУ попадают.
зашифрованные, но это всё равно неважно, потому что процессы не могут видеть память других процессов без root-прав.

для чего некоторые заливают в облака базы? что мешает хранить копии на паре носителях?

>>2109019
Еботни много.

>>2109019
Ну добавил ты новую запись на ПК.
Надо смартфон подключать, заменят на нем базу на новую. Принял на смартфоне и на пк, сиди вспоминай, какая там когда изменилась.

С облаком то оно постоянно синхронизировано и всегда актуально. При этом, рамочки и без интернета, латные то копии есть всегда.

А в чем проблема?
Зашифровано же.

>>2110818
>ри этом, рамочки и без интернета, латные то копии есть всегда.
>
При этом работает и без интернета, локальные то копии есть всегда.

>>2108947
>Тебе-то какая разница? Брутфорсить твою базу все равно смысла нет, если мастер-пароль у тебя нормальный,
Так хуй знает же.
Для аргона советуют же два гига озу, охуеть вообще.
Вот и непонятно, надёжен он при 20мб или нет.

>>2063075 (OP)
clipperz.is???

Странность заметил.
Создал базу паролей на ведре в keepass. Выбрал экспорт на gdrive.
Закрыл keepass, открыл базу уже с облака, чтоб начала авто синхронизация работать.
Снова эксплртировал уже на флешку из внутреннего кеша кипаса тот файл базы, что с облака прилетел.

Сравниваю хеши по sha256 / sha512 у первоначального файла паролей, созданного на флешке и того что был залит на гугл и эксплртирован обратно на флешку.
А хеши то не совпадают.

Чего там Гугл мутит?