ser_gy777
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Господа, а подскажите, каким образом вы обеспечиваете что KeePass, установленный на вашем компьютере, не был изменен кем-то (конфигурационный файл, исполняемый, dll)?
Ведь вы, я надеюсь, понимаете, что если кто-то может изменить сам KeePass, то в этом случае все ваше хранение паролей сводится к тому, что вы храните их в открытом виде в текстовом файле, который каждый может посмотреть.
Понятно, что это не вопрос к KeePass, а вопрос к тому, как сам пользователь компьютера обеспечивает его безопасность (антивирусы, учетные записи Windows и права, и т.д.).
Но все же тут есть такой нюанс: для чего в KeePass сделали функцию ввода пароля на secure desktop, а также автонабор с двойной обфускацией? А сделано это для следующего - что если вдруг по самой непонятной причине (хотя мы и обеспечивали защиту антивирусами) на компьютер проник какой-то вирус в виде кейлоггера и т.п., то KeePass сможет ему противостоять.
Да, сможет противостоять, только если мы пользуемся настоящим KeePass, а не тем, который был изменен (тем же вирусом). Поэтому отсюда следует простой вывод: если вы не обеспечили неизменность KeePass, то все его доп. функции по обеспечению безопасности не стоят ровно ничего, как впрочем и основная функция по хранению паролей - все это превращается в текстовичек с паролями в открытом виде.
Поэтому просто интересно, кто задавался этим вопросом и как вы обеспечиваете неизменность KeePass?
Если кому интересно, могу на конкретном примере рассказать, к чему это может привести.
У меня есть знакомый, у которого в свою очередь есть тоже знакомый, работает там программистом. Был у них там товарищ, который все свои пароли хранил в KeePass. Так вот, этот программист решил подшутить над этим товарищем: т.к. у KeePass открытый код, он его немного доработал и добавил такую штуку - после ввода мастер-пароля, KeePass создает в отдельной папке текстовый файл, в который записывает мастер пароль, а также делает экспорт всей парольной базы в csv-файл.
Вечером, когда тот товарищ ушел, он просто подсоединил его диск и заменил у него на диске KeePass на свою сборку.
Подчеркиваю, тут не было никаких взломов (или подсмотров) логинов Windows, никаких удаленных доступов к компьютеру, а просто самая безобидная вещь - замена файлика, не являющегося документом и никак не относящегося к системе.
В один день он предупредил коллег (которые сидят вместе с тем товарищем в одной комнате), чтобы они посмотрели за его реакцией, а сам взял и позвонил ему, и говорит - а зайди как у себя на компьютере в папочку такую-то там-то там-то (а там все пароли лежали в открытом виде).
Ндааа, рассказывали что у него был просто шок, он судорожно в течение часов 2-х менял пароли от всех своих интернет-банков, социальных сетей, форумов и т.д.
Ну а что, очень хорошая наука - сам же не обеспечил неизменность программы (за которую работодатель и не должен отвечать), и сам не знал куда вводил пароль (а вводил его в подделку). Опять же вопрос - кто тебя просил вводить пароль в какую-то программу? - непонятно. Кто тебе разрешал все важные пароли хранить там, где ты не можешь обеспечить безопасность? - тоже неясно.
Говорят, после этого он начал проверять хэш у всех файлов KeePass. Вторым этапом у того программиста было подменить программу, которая рассчитывает хэш, и выдавать пользователю желаемое за действительное.
Так как же вы обеспечиваете неизменность KeePass?
 |
