V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
baskice
V2EX  ›  信息安全

keepass 已 hacked 了,用了的同学你们换软件了吗?

  •  
  •   baskice · 2015-11-07 04:24:07 +08:00 · 8716 次点击
    这是一个创建于 3330 天前的主题,其中的信息可能已经有所发展或是发生改变。
    20 条回复    2015-11-07 11:10:09 +08:00
    Laforet
        1
    Laforet  
       2015-11-07 04:29:52 +08:00
    讲道理,拿到本地管理员权限之后内存里还有什么东西是提取不出来的
    seki
        2
    seki  
       2015-11-07 04:45:25 +08:00
    讲道理, keepass 提取密码的话有些时候是复制到剪贴板的,只要访问剪贴板密码就到手了
    Perry
        3
    Perry  
       2015-11-07 05:25:29 +08:00
    这标题有歧义,不是 KeePass 被 hacked ,是整个系统被 hacked 。
    cxbig
        4
    cxbig  
       2015-11-07 06:04:27 +08:00
    这个事件是因为系统被黑,和 KeePass 强不强关系不大。
    allan888
        5
    allan888  
       2015-11-07 06:06:05 +08:00
    我总是有种那几个密码管理软件在互相攻击的感觉,也不知道是不是错觉。
    allan888
        6
    allan888  
       2015-11-07 06:06:40 +08:00
    都可以组个堪比娱乐圈的“密码管理软件圈”了。
    dototototo
        7
    dototototo  
       2015-11-07 06:26:42 +08:00 via Android
    我觉得如果自己的电脑都没保护好的话,谈密码安全会不会有点……拖库泄露了密码,还可以找那些企业背锅,本地的东西,还得先从自身出发找问题啊。或者下次还可以讨论一下因为键盘记录器导致各类密码管理软件在录入数据时就被 get 了密码的问题么?_(:з」∠)_
    啊,抱歉我就是卖个萌,并没有仔细看文章,标题倒是看到了。|・ω・`)
    yyfearth
        8
    yyfearth  
       2015-11-07 08:08:11 +08:00
    @dototototo 没错 如果系统已经被安装木马
    再怎么加密也没有用
    最简单的可以监听剪切板
    还可以 Key Logger 记录键盘
    可以截屏
    另外还可以读取内存
    lollxxox
        9
    lollxxox  
       2015-11-07 08:16:45 +08:00
    密码习惯不好什么辅助工具都帮不了你。
    我同事也是 keepass 用户,网站密码都是 xx 位大小写数字符号随机生成安全到爆,结果每天一开机就开 keepass 放在一边,也不盒盖也不锁屏......
    LazyZhu
        10
    LazyZhu  
       2015-11-07 08:22:11 +08:00
    @lollxxox
    可以设置锁定时间的.
    说到底安全最后还是靠个人使用习惯, 软件只是辅助作用的.
    holong2000
        11
    holong2000  
       2015-11-07 08:59:46 +08:00
    密码安全工具本来就是拿来弥补用户的不良习惯的,如果什么都靠用户的习惯,那还要工具干什么?我知道最牛逼的密码习惯是随身带一本书。
    LazyZhu
        12
    LazyZhu  
       2015-11-07 09:09:53 +08:00
    @holong2000
    你即使用最厉害的密码安全工具加密,但是密码库放到百度云共享且主密码还是 qwertasdfg 的话,有毛用???
    tracyone
        13
    tracyone  
       2015-11-07 09:13:22 +08:00 via Android
    ……别吓我
    holong2000
        14
    holong2000  
       2015-11-07 09:15:29 +08:00
    @LazyZhu 双因素验证不就是为了解决这个问题?没有双因素验证就是我一直对 1password 有些不满意的原因。
    LazyZhu
        15
    LazyZhu  
       2015-11-07 09:21:52 +08:00
    @holong2000
    双因素验证也是使用习惯问题...
    KeePass 支持两步且可以设置成自动填写, 但我看 90%的人没有尝试过, 软件支持,但用户没有用这就是使用习惯问题.
    azuginnen
        16
    azuginnen  
       2015-11-07 09:25:12 +08:00 via Android
    点应该在你拿不到我的密钥文件
    LazyZhu
        17
    LazyZhu  
       2015-11-07 09:42:13 +08:00
    @seki 双通道自动输入混淆:
    http://keepass.info/help/v2/autotype_obfuscation.html
    即使被截取,也不是原密码. 目前是安全的,但是:
    None of the currently available keyloggers or clipboard spies can eavesdrop an obfuscated auto-type process, but it is theoretically possible to write a dedicated spy application that specializes on logging obfuscated auto-type.
    wandero
        18
    wandero  
       2015-11-07 09:42:49 +08:00
    @LazyZhu "KeePass 支持两步且可以设置成自动填写" 这个是指 TAN 还是类似 Winauth 类的东西? TAN 好像支持的地方少还只一批能用十次,频繁登陆的话会不会比较麻烦?
    LazyZhu
        19
    LazyZhu  
       2015-11-07 09:49:37 +08:00   ❤️ 2
    @wandero 我是用插件来实现的:
    https://bitbucket.org/devinmartin/keeotp/wiki/Home
    Auto Type
    As of version 1.0.4 there is a custom placeholder that allows a TOTP code to be entered into the system with the KeePass auto type system. To configure this go into the settings of your KeePass entry that contains your TOTP key. Navigate to the Auto-Type tab. Configure your custom sequence with the placeholder {totp}. The {totp} will be replaced with your current totp authentication code.
    Cu635
        20
    Cu635  
       2015-11-07 11:10:09 +08:00   ❤️ 1
    @holong2000 密码安全工具是为了解决撞库攻击的,是为了解决使用相同密码而造成的一丢全丢问题的,而不是弥补你其它的不良习惯。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3340 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 11:37 · PVG 19:37 · LAX 03:37 · JFK 06:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.