| View previous topic :: View next topic |
| Author |
Message |
LocKtaR-o-DarK
Joined: 12 Aug 2005
Posts: 349
Location: Москва
|
 (Separately) Posted: Mon Aug 10, 2009 15:16 Post subject: |
 |
|
Вообще то угнать пароль от татала очень просто и хранение паролей в отрытом виде в текстовом файле wcx_ftp.ini не очень хорошая идея
Я не буду приводить чем это можно сделать, но делается это в два клика
Если бы Гислер хотя бы как-то компилил файл с паролями в свой уникальный бинарник, это намного бы затруднило кражу паролей
Примером является Opera файл wand.dat
_________________
 
Last edited by LocKtaR-o-DarK on Fri Aug 14, 2009 19:51; edited 1 time in total |
|
| Back to top |
|
 |
Alextp
Joined: 06 Feb 2005
Posts: 4957
|
|
| Back to top |
|
|
Sam Dark
Joined: 25 Apr 2005
Posts: 484
Location: Voronezh, Russia
|
|
| Back to top |
|
|
LocKtaR-o-DarK
Joined: 12 Aug 2005
Posts: 349
Location: Москва
|
| (Separately) Posted: Tue Aug 11, 2009 15:04 Post subject: |
|
|
Sam Dark
да
Alextp
как вариант, но недостаточно гибкий
если над системой получен контроль с правами администратора, то это уже не спасёт
также будет затруднена работа программы на других (виртуальных) системах, если речь идёт о портативной версии
_________________
|
|
| Back to top |
|
|
Alextp
Joined: 06 Feb 2005
Posts: 4957
|
|
| Back to top |
|
|
Моторокер
Joined: 06 May 2005
Posts: 1517
Location: г. Пермь (читается Перьмь)
|
| (Separately) Posted: Tue Aug 11, 2009 23:16 Post subject: |
|
|
| Alextp wrote: | | Какая разница, что у Э., если есть встроенное шифрование. |
Универсальность хранения паролей для всех программ в одном месте.
_________________
плагины для Total Commander, статьи Graphics Converter; NSCopy; SEO HTML; KillOK; Плагин на Delphi
ПармаСруб - строительство домов и бань в Перми |
|
| Back to top |
|
|
Alextp
Joined: 06 Feb 2005
Posts: 4957
|
|
| Back to top |
|
|
Моторокер
Joined: 06 May 2005
Posts: 1517
Location: г. Пермь (читается Перьмь)
|
| (Separately) Posted: Fri Aug 14, 2009 00:58 Post subject: |
|
|
Я такими менеджерами паролей ещё не пользовался, поэтому не могу сказать, удобно ли.
_________________
плагины для Total Commander, статьи Graphics Converter; NSCopy; SEO HTML; KillOK; Плагин на Delphi
ПармаСруб - строительство домов и бань в Перми |
|
| Back to top |
|
|
Sam Dark
Joined: 25 Apr 2005
Posts: 484
Location: Voronezh, Russia
|
|
| Back to top |
|
|
Evgeniy
Joined: 25 Jun 2007
Posts: 22
Location: Иркутск
|
| (Separately) Posted: Fri Aug 14, 2009 17:59 Post subject: |
|
|
Я для всех паролей использую http://keepass.info/ т.к. бесплатно, кроссплатформенно - для меня важно что одна база для версии на ПК и КПК. А потому прошу LocKtaR-o-DarK пояснить насчет уязвимости данной проги. Там кстати есть автонабор, можно его прикрутить к TC.
_________________
С уважением, Евгений.
Total Commander (x64) 10.00 |
|
| Back to top |
|
|
LocKtaR-o-DarK
Joined: 12 Aug 2005
Posts: 349
Location: Москва
|
| (Separately) Posted: Fri Aug 14, 2009 20:09 Post subject: |
|
|
Evgeniy, имелось в виду, что если не ставить мастер-пароль на защиту соединения, то пароль из файла конфига расшифровывается на раз
при защите соединений мастер паролем, используется достаточно мощный алгоритм шифрования AES, который всё же его можно расшифровать, поэтому рекомендую использовать мастер пароль достаточной сложности и длины (непечатаемые знаки, смешивание символов в разной кодировке, на разных языках и т.д. длиной не менее 10 символов)
думается мне, что рано или поздно появится дешифратор и на мастер пароль
keepass не использовал, ничего сказать о ней не могу
могу лишь предположить, что это намного надёжнее, чем хранить пароли в текстовом файле, тем более без мастер пароля
_________________
|
|
| Back to top |
|
|
Sam Dark
Joined: 25 Apr 2005
Posts: 484
Location: Voronezh, Russia
|
| (Separately) Posted: Fri Aug 14, 2009 21:20 Post subject: |
|
|
KeePass — штука отличная. Пользуюсь активно. По надёжности как TC с мастер-паролем, если конечно не ставить дополнительные плагины.
_________________
RMCreative — это жжж неспроста...
reggi — здесь я регистрирую домены |
|
| Back to top |
|
|
Kent
Joined: 14 Dec 2004
Posts: 208
|
| (Separately) Posted: Sat Aug 15, 2009 17:41 Post subject: |
|
|
| LocKtaR-o-DarK wrote: | | при защите соединений мастер паролем, используется достаточно мощный алгоритм шифрования AES, который всё же его можно расшифровать, поэтому рекомендую использовать мастер пароль достаточной сложности и длины (непечатаемые знаки, смешивание символов в разной кодировке, на разных языках и т.д. длиной не менее 10 символов) |
Ты что-то путаешь.
1. Где информация, что AES можно расшифровать?
2. Длина пароля никаким боком не влияет на силу шифрования. Длинный пароль спасает только от brute force атаки.
Тут есть участник, alexanderwdark, который пишет криптографические плагины для TC. Надеюсь, он просветит заблуждающихся. |
|
| Back to top |
|
|
LocKtaR-o-DarK
Joined: 12 Aug 2005
Posts: 349
Location: Москва
|
| (Separately) Posted: Sun Aug 16, 2009 03:07 Post subject: |
|
|
Kent, так я и подразумевал перебор, поэтому и дал сразу рекомендации
мнение alexanderwdark с удовольствием выслушаю
_________________
|
|
| Back to top |
|
|
alexanderwdark
Joined: 14 Apr 2008
Posts: 304
Location: Россия
|
| (Separately) Posted: Sun Aug 16, 2009 03:57 Post subject: |
|
|
| LocKtaR-o-DarK wrote: | Kent, так я и подразумевал перебор, поэтому и дал сразу рекомендации
мнение alexanderwdark с удовольствием выслушаю |
Насчет длины пароля тут есть две стороны монеты.
1. Если вы имеете ввиду длину текстовой строки, на основе которой генерируется хэш (а сейчас почти никто не передает процедуре расширения ключа пароля напрямую), то длина важна для затруднения перебора. Важно и качество пароля (отстутствие в всевозможных словарях для атаки грубой силой. Нормальные реализации вычисляют хэш от строки, а затем хэш от хэша множество раз, тогда для проверки каждого варианта уходит значительное время, в ряде случаев настролько большое, что проше проверять грубой силой без словаря, перебирая все комбинации бит, но это уже другая история.
2. Размер ключа. Ключа длиной 128 бит хватит еще не на одно десятилетие, более того, для ряда платформ еще разрабатываются шифры, потоковые, с ключом 80 бит. Этого вполне хватит для обеспечения приемлемой безопасности. Авторы шифров с т.н. супер ключом, длиной свыше 512 бит лукавят - смысла в этом мало и даже просто нет, более того, практически все шифры расширяют ключ до массива раундовых, как то Skipjack - до 20480 бит. Конечно, можно сделать Skipjack - direct и передать ему хэш такой длины, но зачастую есть разумный баланс, и меньший ключевой материал, трансформированный различными ф-циями расширения, проходящий через четко продуманные таблицы подстановки обеспечивает лучшие статистические характеристики.
Сам Rijndael многие хотя и критикуют, он как и все финалисты AES никем не сломан и атак на него не существуют. Только теоритические и всяческие мифическое-бесполезные. Вообще среди серьезных шифров сломанных полностью нет. А если и есть, то атаки часто требуют столько времени и ресурсов, что ценность той информации, которая будет открыта, уже гораздо ниже или будет ничтожной к моменту слома. Чаще, если пишут, что шифр сломан, это значит, что есть какая-либо теоритическая работа о наличии эффективной атаки, но шифр тольком никто не раз не сломал. Ученые набирают балы и вес, публикую информацию о найденой уязвимости. Если шифр не разработан каким-либо суперэкспертом с багажом найденных атак на другой шифр другого суперэксперта, алгоритм никто и смотреть не будет.
Опять же, если шифр реализован правильно, даже наличие эффективной атаки на алгоритм может ничего не дать: для этого и предуманы режимы DES - CBC, CTR и др. Например, если все шифруется без режима (или ECB), то один и тот же текст/блок даст одни и те же результаты. Если шифротекста много - уже отличный материал для анализа.
Короче, думайте не о алгоритме, а о его реализации, да и самой ценности информации.
Лично я просто храню пароли в зашифрованном своим же плагином plaintext файле. А использование очень медленного криптоалгоритма и медленной процедурой трансформации пароля в ключ (достаточно переработанного loki89, принимающего ключ длиной 256 бит.) вообще все практические атаки отметет. Или без заморочек - любой серьезный шифр: Serpent, Camellia, Twofish, Rijdael, GOST, CRYPTON, .... А этот файл с паролями можно хранить в потоке другого файла, например фильма к-нибудь. Плагин это позволяет. И доступ получить легко: Ctrl+PgDown, F3, ввод пароля и все на виду. |
|
| Back to top |
|
|
|
|
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
|
Powered by phpBB © 2001, 2005 phpBB Group
|
Rules
Search
FAQ
Memberlist
Usergroups
Register
Profile
Log in to check your private messages
Log in
