Комментарии 60
В свежей версии-то с этим как?
Судя по полной статье, там ещё хуже. www.securityevaluators.com/casestudies/password-manager-hacking Как страшно жить, сам сижу на 1Password4
After assessing the legacy 1Password4, we moved on to 1Password7, the current release. Surprisingly, we found that it is less secure in the running state compared to 1Password4. 1Password7 decrypted all individual passwords in our test database as soon as it is unlocked and caches them in memory, unlike 1Password4 which kept only one entry at a time in memory. Compounding this, we found that 1Password7 scrubs neither the individual passwords, the master password, nor the secret key (an extra field introduced in 1Password6 that combines with the master password to derive the encryption key) from memory when transitioning from unlocked to locked. This renders the “lock” button ineffective
Для извлечения пароля нужно запустить код эксплоита на атакуемой машине. А можно и пустить, например, кейлоггер, который тоже украдёт пароль. От проникновения вирусни уже ничто не защитит(особенно если она залезет в ядро). А так да, для гигиены память нужно чистить. Может, забыли.
Менеджер паролей с закрытым исходным текстом который приходится мучать на уровне машинного кода.
Вы точно не хотите менеджер паролей с открытыми исходными текстами, чтобы этот аудит был проще?
Вы точно не хотите менеджер паролей с открытыми исходными текстами, чтобы этот аудит был проще?
Открытый исходный код, как показывает практика, панацеей не является. А лично со своей колокольни скажу, что бинарники на C/C++ зачастую проще анализировать в IDA Pro, чем в сорцах.
Панацей не является, а вот аудит всё-таки легче по сырцу делать.
Тут скорее выгода не в простоте аудита а в кол-все аудиторов. Точнее даже пороге входа для возможности провести аудит.
Кол-во людей владеющих знаниями С++ больше, чем тех, кто хорошо знает ассемблер.
В общем то на это и рассчитан опен сорс. На то, что желающих внести свой вклад в проект с открытым исходным кодом будет значительно больше, чем желающих что то допиливать или исправлять в проекте с использованием ассемблера.
С аудитом логика такая же.
Но, тот как это работает на практике, это уже другой вопрос. Опенсорс не всегда панацея
Кол-во людей владеющих знаниями С++ больше, чем тех, кто хорошо знает ассемблер.
В общем то на это и рассчитан опен сорс. На то, что желающих внести свой вклад в проект с открытым исходным кодом будет значительно больше, чем желающих что то допиливать или исправлять в проекте с использованием ассемблера.
С аудитом логика такая же.
Но, тот как это работает на практике, это уже другой вопрос. Опенсорс не всегда панацея
Хотим. Ваши предложения? Чтобы с таким же уровнем качества как у 1Password.
keepassx
1Password интегрируются с ios, браузерами и всем прочим.
Я много лет использовал keepassx + dropbox, но в конце-концов удобство победило.
Я много лет использовал keepassx + dropbox, но в конце-концов удобство победило.
Может я параноик, но у меня победила секьюрность. Я в принципе не очень доверяю решению, которое как 2 пальца подставляет мои пароли в браузеры, в другое ПО и т.д.
Также можно сказать, что простой JavaScript вытащит ваш пароль из 1Password, ещё до того как вы нажали кнопочку логин
Также можно сказать, что простой JavaScript вытащит ваш пароль из 1Password, ещё до того как вы нажали кнопочку логин
Через плагины можно прикрутить интеграцию с браузером, с iOS обещают в ближайшем апдейте
Про интеграцию с мобильными девайсами: пока всё что я видел, требовало включения accessibility mode, который позволяет приложению читать абсолютно все поля. А от этого как-то сильно не по себе.
Тоже им пользуюсь на win/Osx.правда не из-за надёжности, о которой мне неизвестно, а из-за бесплатности
Он тормоз.
В браузере открытие плагина — 10 секунд, блин. Даже LastPass был удобнее.
и еще десяток глюков помельче…
В браузере открытие плагина — 10 секунд, блин. Даже LastPass был удобнее.
и еще десяток глюков помельче…
У меня в локалке стоит сервер bitwarden, в браузере открытие занимает чуть меньше секунды, но тоже немного раздражает задержка. Ios вроде подкрутили, стал шустро открываться. Но альтернатив нет, чтобы на всех mac/ios девайсах и хранить у себя секреты. Keychain не в счёт.
Спасибо за наводку, надо подумать.
Сервер паролей на сервере, для доступа к которому нужен пароль, хранимый на сервере паролей…
есть тут где-то какая-то колючка, не знаю где :-)
кстати, вопрос: нет ощущения, что тормозит именно облачная часть Bitwarden? Ну, то есть, если переключить клиента на чужое облако — все тормозит, обратно на свою локаль — летает. Нет такого? А то стек десктопного клиента под линуха лично мне чемпионом скорости не кажется.
Сервер паролей на сервере, для доступа к которому нужен пароль, хранимый на сервере паролей…
есть тут где-то какая-то колючка, не знаю где :-)
кстати, вопрос: нет ощущения, что тормозит именно облачная часть Bitwarden? Ну, то есть, если переключить клиента на чужое облако — все тормозит, обратно на свою локаль — летает. Нет такого? А то стек десктопного клиента под линуха лично мне чемпионом скорости не кажется.
10 секунд — это чтобы открыть и ввести пароль? =)
На firefox 65 открывается где-то за секунду, достаточно шустро чтобы не обращать внимания.
На firefox 65 открывается где-то за секунду, достаточно шустро чтобы не обращать внимания.
Сейчас появился неплохой конкурент ему Myki.com для персонального пользования пока бесплатен, и SAASPASS ещё, но тот вообще полу энтерпрайз и faceid touch никак не прикрутят или я не нашёл
Раз уж речь зашла.
Почему LastPass был (т.е.почему им не стоит пользоваться)?
Почему LastPass был (т.е.почему им не стоит пользоваться)?
К слову о том, что bitwarden тормоз. Перешел у себя на реализацию bitwarden server api на rust. Оно просто нереально быстро работает.
github.com/dani-garcia/bitwarden_rs
github.com/dani-garcia/bitwarden_rs
Спасибо за инфо.
Нереально быстро — в сравнении с родным сервером on premises или родным облаком?
И этот новый сервер — по-прежнему в локалке?
Я уже почти созрел тоже поднять в локалке сервер (где оно используется на 95%), а наружу — поднять ssh-туннель к своему серверу на AWS или DO, чтоб можно было на ходу цепляться. Дома IP безнадежно динамический…
Нереально быстро — в сравнении с родным сервером on premises или родным облаком?
И этот новый сервер — по-прежнему в локалке?
Я уже почти созрел тоже поднять в локалке сервер (где оно используется на 95%), а наружу — поднять ssh-туннель к своему серверу на AWS или DO, чтоб можно было на ходу цепляться. Дома IP безнадежно динамический…
Все также в локалке, в докере, чужим облакам я не доверяю. Сравниваю с родной on-promises инсталяцией, которая тянет за собой mssql. Ну и кушает оно меньше 100мб памяти теперь, переехало с mac mini на synology nas.
А зачем снаружи доступ? достаточно же переодически синхронизироваться, достаточно зайти в приложение, когда находишься в локалке. Нет, у меня конечно везде есть впн к домашней сети(имеется ввиду на всех мобильных девайсах), но как показывает практика(уже год пользуюсь bitwarden) — фоновой синхронизации вполне достаточно.
Из минусов bitwarden_rs — нет пушей, которые прилетают на мобильный девайс и говорят о том, что надо синкаться с сервером. Но судя по опыту это и так криво работало.
А зачем снаружи доступ? достаточно же переодически синхронизироваться, достаточно зайти в приложение, когда находишься в локалке. Нет, у меня конечно везде есть впн к домашней сети(имеется ввиду на всех мобильных девайсах), но как показывает практика(уже год пользуюсь bitwarden) — фоновой синхронизации вполне достаточно.
Из минусов bitwarden_rs — нет пушей, которые прилетают на мобильный девайс и говорят о том, что надо синкаться с сервером. Но судя по опыту это и так криво работало.
Конечно https://bitwarden.com/! Можно хостить на своем сервере. Открытые исходники.
Знакомый безопасник проверял, и сказал, что все ок.
Это верно для 1Password 4 (Обратите внимание, что последняя версия на сегодня седьмая).А у меня при автопроверке обновлений говорит, что шестая — самая последняя… Как так?
НЛО прилетело и опубликовало эту надпись здесь
Я пользуюсь LastPass.
Не совсем понятно зачем вообще хранить мастер-пароль хоть в каком-то виде, когда есть PBKDF2 и scrypt.
НЛО прилетело и опубликовало эту надпись здесь
Ну это ж стандартный метод. Так например шифруют файловые системы:
1. Генерируем случайный ключ.
2. Этим ключом шифруем данные.
3. Из мастер-пароля через PBKDF2 порождаем ключ, которым и шифруем ключ из п.1
4. Результаты шифрования из п.2 и п.3 сохраняем на диск.
В результате: ключ зависит целиком от пароля. Если ввести неправильный пароль — получим мусор вместо данных. Если надо поменять пароль — просто перешифровывем ключ из п.1, сами данные перешифровывать не нужно. Хранить мастер-пароль в любом виде — тоже не нужно.
На самом деле, учитывая что база паролей довольно маленькая, можно исключить промежуточный ключ и шифровать ее на ключе, порожденном из мастер-пароля напрямую. В случае смены пароля — перешифровываем всю базу — она небольшая.
1. Генерируем случайный ключ.
2. Этим ключом шифруем данные.
3. Из мастер-пароля через PBKDF2 порождаем ключ, которым и шифруем ключ из п.1
4. Результаты шифрования из п.2 и п.3 сохраняем на диск.
В результате: ключ зависит целиком от пароля. Если ввести неправильный пароль — получим мусор вместо данных. Если надо поменять пароль — просто перешифровывем ключ из п.1, сами данные перешифровывать не нужно. Хранить мастер-пароль в любом виде — тоже не нужно.
На самом деле, учитывая что база паролей довольно маленькая, можно исключить промежуточный ключ и шифровать ее на ключе, порожденном из мастер-пароля напрямую. В случае смены пароля — перешифровываем всю базу — она небольшая.
А что скажите насчет SafeInCloud? Я пользуюсь на десктопе + анроиде. Файл синхронизирую через ownCloud (есть встроенная возможность синкать в другие облака)
У них (1P) на форуме идет жаркая дискуссия на эту тему discussions.agilebits.com/discussion/101551/article-just-published-in-washington-post-is-saying-1password-and-others-have-security-flaws/p5
Если коротко, то они говорят, что все в порядке.
Если коротко, то они говорят, что все в порядке.
Там их (1Password) "Chief Defender Against the Dark Arts, Jeff Goldberg" отвечает:
- побочный эффект нашей безопасной работы с памятью(?) — мы не можем очищать память по заданному адресу;
- если у злоумышленника есть доступ к вашему компьютеру, то как бы о чём тогда и говорить;
- это всё какие-то надуманные атаки, давайте я вам лучше расскажу как мы боремся с реальными.
Мне на самом деле очень нравится 1Password, и хотелось бы верить (потому что экспертизы не хватает), что в нём более-менее безопасно хранить пароли, но такие вещи оставляют микротрещины в упомянутом доверии (вроде бы и ответили на вопросы, но ощущение как после серебряных ложек).
Вот ещё например с версии 7.2.4 1Password на Маке стал доставать диалогом при запуске, где требует поместить себя непременно в /Applications. А зачем? Мне не нужна интеграция с браузером, и я хочу хранить приложение в ~/Applications. Поддержка так и не ответила, говорят что "Apple так требует", при этом приложение как работало нормально из ~/Applications, так и работает, только теперь этот раздращающий алерт каждый раз выскакивает.
Если вам действительно дороги ваши пароли — не пользуйтесь никакими менеджерами.
Т. е., для кражи пароля мы вставляем исполняемый код в процесс? Если я правильно понимаю, с такими правами можно тупо записывать нажатия клавиш без особой заморочки.
Хотя что ценно тут — возможность стырить пароль если его основной носитель, т.е. юзер, его вводить больше не будет по какой-либо причине. Например, имеет пулю в башке.
Хотя что ценно тут — возможность стырить пароль если его основной носитель, т.е. юзер, его вводить больше не будет по какой-либо причине. Например, имеет пулю в башке.
А где ссылки на Thread Imager, или вся эта статья это его реклама?
НЛО прилетело и опубликовало эту надпись здесь
Интересует такой вопрос: проверяли ли извлечение пароля с включенной функцией Secure Desktop? Как там обстоят дела?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Достаём мастер-пароль из заблокированного менеджера паролей 1Password 4