LINUX.ORG.RU

KeePassXC 2.7.5

 ,

KeePassXC 2.7.5

0

3

15 мая состоялся выпуск KeePassXC версии 2.7.5.

KeePassXC — бесплатный менеджер паролей с открытым исходным кодом, являющийся форком KeePassX. Он построен с использованием библиотек Qt, что делает его мультиплатформенным приложением, которое можно запускать в Linux, Windows, macOS и BSD.

Среди изменений — добавление опции меню, позволяющей делать снимки экрана, и поддержка Botan 3. Максимальный шаг одноразового пароля (TOTP) на основе времени был увеличен до 24 часов, а макет экспорта HTML был улучшен. Сброс поиска теперь отключен по умолчанию, и вместо установки пустого текста используется QClipboard::clear(). Выбор заголовка столбца группы скрыт, когда он не находится в поиске, а логотип и значки KeePassXC были улучшены. Добавлены новые сочетания клавиш для настроек приложения и базы данных, а кнопка переименования скрыта на панели предварительного просмотра вложений.

Что касается исправления ошибок, KeePassXC больше не падает, когда поиск очищается при создании новой записи или при использовании Windows Hello в сеансе удаленного рабочего стола. Обновление строки состояния было исправлено при переключении на другие базы данных, а QR-код TOTP теперь поддерживает квадратное соотношение. Агент SSH теперь поддерживает ключи AES-256/GCM openssh, а путь сценария Native Messaging исправлен в ОС BSD.

В целом, этот выпуск обещает улучшить взаимодействие с пользователем за счет предоставления новых функций и решения предыдущих проблем.

>>> Release notes

★★☆

Проверено: hobbit ()
Последнее исправление: hobbit (всего исправлений: 2)
Ответ на: комментарий от faq2

А если без графических изысков, то наверно, можно распределенно синхронизироваться через обычный Git, если затраты занимаемого места некритичны? Чтобы не рисковать с новомодними программами, непроверенными временем. Все таки SSH+Git понадежнее будет?

sanyo1234
()

Пожалуйста, подскажите, какой клон из современных Keepass-ов работает с аппаратными неизвлекаемыми ключами типа U2F и/или Nitrokey или вообще бы PKCS11 как SSH?

И чтобы можно было несколько штук (взаимозаменяемых для открытия базы паролей) прописать, на случай если часть из них сломается.

Видел, что в Bitwarden есть поддержка FIDO2:

https://bitwarden.com/help/setup-two-step-login-fido/

В доке KeepasxSC пишут, что им негде хранить счетчик для FIDO2:


Why only HMAC-SHA1? Why not FIDO-U2F or TOTP?

Both FIDO-U2F and TOTP require a dynamic component (i.e., a counter or timestamp) for successful authentication. This is perfect for authenticating at an online service, but doesn't work for an offline database which needs to be encrypted with a fixed key. HMAC-SHA1, on the other hand, can be computed ahead of time as it only needs a fixed secret and no dynamic component of any kind.

Нельзя ли все таки как-то исхитриться в плагине нестандартным способом без оригинального WebAuthn типа как в OpenSSH+U2F? Может быть, кто-то такое уже сделал?

Что мешает расшифровывать «remote» секрет из части файла базы, например, с помощью хотя бы только пароля, а потом открывать всю базу полным механизмом со вторым фактором или что-то похожее?

sanyo1234
()
Ответ на: комментарий от hateyoufeel

Но вкладку с ЛОРом я стараюсь закрывать в такие моменты.

Модераторы подглядывают?

sanyo1234
()
Ответ на: комментарий от Udacha

Который ещё помещен в сейф пакет, который защищает от влаги, огня и незаконного вскрытия.

Можно, пожалуйста, пример такого пакета? Линк, точное название модели и т.п.?

sanyo1234
()
Ответ на: комментарий от hateWin

Фильмов про крутых какиров насмотрелся, что ли? Некоторые ломаются годами. Некоторые не ломаются за время жизни Вселенной


Также, пожалуйста, обратите ваше внимание и на другие разнообразные факторы (вектора атак), которые влияют на конфиденциальность передаваемой информации:

1.  Возможность наличия на обеих сторонах туннеля и целевом хосте следящих буткитов, о существовании которых не знают даже операторы туннеля.
Бэкдор в софте туннеля, особенно, если он сделан в виде плагина браузера.
2.  Возможно наличие ошибок в софте, в т.ч. даже в конкретной реализации VPN, TLS и/или браузера, обратите внимание на сравнительную таблицу:
https://en.wikipedia.org/wiki/Transport_Layer_Security
3.  MITM как внутри туннеля, так и после VPN сервера при компрометации протоколов шифрования и/или утечке ключей.
4.  Сниффинг трафика после VPN сервера, в т.ч. логи провайдеров типа пакета Яровой (СОРМ, PRISM и т.п.), где в случае HTTPS шифрования будет оставаться как минимум отметка о факте доступа к определенному интернет домену.
5.  Логи внутри приложений, к которым вы подключаетесь по VPN, на целевых хостах.
6. Криптоанализ подразумевает значительное упрощение задачи взлома шифра вместо обычного перебора брутфорсом. Кроме того в сами алгоритмы шифрования могут быть встроены бэкдоры, т.е. они могут быть изначально искусственно ослаблены в некоторых секретных местах.

Про буткиты упоминания начали появляться  еще примерно 13 лет назад.
Примеры более современных публикаций:
https://securelist.com/finspy-unseen-findings/104322/
https://habr.com/ru/company/pt/blog/655695/
https://habr.com/ru/company/pt/blog/668154/
Но до недавнего времени на форумах просто сносили любые ветки с обсуждениями буткитов.
Обычно почти все думают, что за ними не следят, потому что они никому не нужны.
А с другой стороны есть вероятность, что следят за всеми ...

sanyo1234
()
Ответ на: комментарий от sanyo1234

Tamper Evident Bag

Имеет защиту от высоких температур (360 градусов), воды и вскрытия.

То есть на сейф пакете явно будет видно, вскрывали ли сейф пакет или нет.

Вот еще решения.

Но они все предназначены для хранения секретов «сгенерировал один раз и запечатал»

Например, мастер пароль от Bitwarden онлайн хранилищ.

Он естественно хранится в KeePassXC для быстрого доступа, но самая главная копия хранится именно в сейф пакетах в 3 экземплярах в разных местах.

Как нам говорил великий гуру безопасности Владимир Абовян.

Для фриков с признаками параноидальной шизофрении для генерации мастер паролей есть такое решение для генерации мастер паролей и не только

Консультантом проекта является известный гуру криптографии

Думаю, что в этом случае у тебя дома будет безопасность на уровне МО США.

Udacha
()
Ответ на: комментарий от faq2

Так ведь и Git можно настроить по определенному сценарию, что будет почти полностью автоматически, от силы попросит подтверждение от токена PKCS11 ?

sanyo1234
()
Ответ на: комментарий от Udacha

Думаю, что в этом случае у тебя дома будет безопасность на уровне МО США.

Без использования смарт карт или хотя бы U2F?

sanyo1234
()
Ответ на: комментарий от hateWin

Он не про бекдоры говорил. Он говорил, что все на раз-два ломается в лоб.

Зачем тогда даже гос спецслужбы (с максимальным бюджетом) внедряют свои бэкдоры, если все так просто ломается?

sanyo1234
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.