LINUX.ORG.RU

Так много keepass'ов, какой же выбрать?!

 , , , ,


0

1

Вначале был keepass. Но он давно протух.

Потом был keepassx. Но в прошлом году он тоже протух и больше не разрабатывается.

Потом возник keepassxc - свежак, разрабатывается активно. Но вроде никаких проверок и аудитов еще не проходил. Кто-то пользуется им? Не сливает ли он пароли в сеть?

Так или наче надежнее ли эта прога, чем хранить пассы в текстовом файлике??

https://keepassxc.org/

А еще непонятно что значит приставка «XC» в конце названия.

Это разве много? Вот на википедии список форков:

  • KeePassX, a multi-platform open source KeePass clone for Linux and OS X, built using version 4.8 of the Qt libraries
  • KeePassXC (KeePassX Reboot) is a cross-platform community-driven fork of KeePassX
  • kpcli, a command line interface to KeePass database files, written in Perl and with a familiar Unix shell-style user interface
  • KeePassC, a curses-based password manager compatible to KeePass v.1.x and KeePassX, written in Python 3
  • 7Pass or WinPass for Windows Phones, a port of KeePass for Windows Phone devices
  • KeePass for Blackberry, a Blackberry port of KeePass for RIM devices
  • KeePassMobile, KeePass port for mobile phones (Java ME)
  • KeePass for J2ME, a Java ME port of KeePass for mobile phones
  • iKeePass, a port of KeePass for iOS
  • MiniKeePass for iOS
  • MyKeePass for iPhone
  • KeePassDroid, a port of KeePass for Android
  • Keepass2Android, a port of KeePass 2.x for Android using Mono for Android
  • KeepShare, an enhanced, read-only KeePass client for Android
  • KeePass for SmartDevices, a port of KeePass for Windows Mobile and PocketPC devices
  • KyPass, a port of KeePass for iOS and Mac OS X
  • KeePass for OS X, using Mono
  • PassDrop for iOS. Includes full read/write Dropbox support
  • KeePassB - native BlackBerry 10 app with read/write support
  • KeePass for BlackBerry. Native port for BlackBerry 10 devices
  • MacPass, a free and open source native client for Mac OS X
  • ownKeepass for Sailfish OS
  • KeeFox for Mozilla Firefox
  • CKP for Chrome OS and Google Chrome
  • Passafari, an extension for Safari
  • KeeWeb, an open-source port using HTML/JS/CSS, runnable in a web browser as static file or in desktop apps
anonymous ()

Keepassxc это продолжение keepassx, юзаю уже год и не парюсь. У тебя всегда будут сомнения насчет софта написанного другими, так что тут нужно или унять тараканов в голове или юзать бумажный блокнот, хранящийся в надежном сейфе, стоящем в подземном бункере.

enso ★★★ ()
Ответ на: комментарий от bonolar

Насчёт каждого второго - хз, но у меня такая есть, простой генератор, запихивает в таблицу из трёх столбцов. Написано на Пайтоне в 2015 году.

rht ★★★★★ ()
Ответ на: комментарий от enso

Keepassxc это продолжение keepassx, юзаю уже год и не парюсь. У тебя всегда будут сомнения насчет софта написанного другими, так что тут нужно или унять тараканов в голове или юзать бумажный блокнот, хранящийся в надежном сейфе, стоящем в подземном бункере.

Сомнения ни то что бы гигантские. С одной стороны к опенсорсу доверия всегда больше. С другой стороны, новая команда продолжает развитие проекта. Уже 2 года разрабатывают, а никаких проверок/аудитов не было. С другой стороны, хранить в текстовом файле еще большая тупость, никакой защиты.

У меня появилась идея, запретить доступ к keepassxc через файрволл. Но в линуксе я файрволом не пользовался, это легко сделать? И будет ли прога обновляться после этого? Ее же вроде обновляет менеджер apt.

bonolar ()
Ответ на: комментарий от rht

В блокнотике не все пароли, только основные.

А ну тогда понятно, типа мастер-ключ куда-то на бумажку это да, ведь до того как включишь комп или что-то еще, надо где-то держать пароль...

bonolar ()

Ребят, киньте ссылкой на короткую статью, как в линуксе с помощью встроенного файрвола заблокировать доступ к сети для отдельной программы. В ubuntu.

bonolar ()

Какой-то сложный файрвол в линуксе. В винде есть куча прог, добавляешь название приложения, и оно блокирует к нему доступ в сеть.

В линуксе какие-то шаманства жестокие с созданием отдельных пользователей или ковырянии профилей apparmor. :(

http://vasilisc.com/deny-app-net

https://habrahabr.ru/post/82933/

Почему нету простой команды, которая бы запретила приложению доступ в сеть? Что за хрень.

bonolar ()
Ответ на: комментарий от bonolar

Почему нету простой команды, которая бы запретила приложению доступ в сеть? Что за хрень.

Потому что нельзя так просто взять и запретить приложению доступ в сеть. Твой боромир капитан очевидность. И в венде нельзя. И в андроиде, если ты галочку с доступа к сети снял, то приложение всё равно отправит данные в сеть. Не верь, блджад, своим сраным файрволам.

anonymous ()
Ответ на: комментарий от anonymous

Потому что нельзя так просто взять и запретить приложению доступ в сеть.

Не верь, блджад, своим сраным файрволам.

Ну почему же. Приложения теряли доступ в сеть. Просто в винде это можно парой кнопок, а тут танцы с бубнами.

bonolar ()
Ответ на: комментарий от anonymous

Например, потому что приложение может запустить другое приложение, у которого будет доступ в сеть.

Это где такое, в винде? Ну, что-то сомневаюсь, чтобы одно проприетарное приложение одной компании запустило другое проприетарное приложение другой компании, и что-то там передало через нее. Какая-то сверхпараноя. Или о чем ты?

bonolar ()
Ответ на: комментарий от anonymous

О доступе к интернетам в обход всяких файрволов. Так делают вирусня и не в меру упорное дрм.

И ты хочешь сказать, что эти изощренные бубны по ссылке ниже помогут избежать таких случаев?

http://vasilisc.com/deny-app-net

Более простого способа запретить сеть программе я не нашел.

bonolar ()
Ответ на: комментарий от bonolar

И ты хочешь сказать, что эти изощренные бубны по ссылке ниже помогут избежать таких случаев?

Первый хак точно нет. Аппармор не знаю. Теоретически, если он правильно настроен, то да, до того как кто-нибудь не найдёт новую дыру.

anonymous ()
Ответ на: комментарий от MyLittleLoli

Можно запихнуть приложение в отдельный сетевой неймспейс вообще без интрефейсов, тогда у приложения даже к локалхосту доступа не будет.

Зато к файловой системе и другим процессам будет. А дальше в зависимости от фантазии.

Используйте вируальные машины.

anonymous ()
Ответ на: комментарий от anonymous

Зато к файловой системе и другим процессам будет

man namespaces

       Namespace   Constant          Isolates
       Cgroup      CLONE_NEWCGROUP   Cgroup root directory
       IPC         CLONE_NEWIPC      System V IPC, POSIX message queues
       Network     CLONE_NEWNET      Network devices, stacks, ports, etc.
       Mount       CLONE_NEWNS       Mount points
       PID         CLONE_NEWPID      Process IDs
       User        CLONE_NEWUSER     User and group IDs
       UTS         CLONE_NEWUTS      Hostname and NIS domain name
anonymous ()
Ответ на: комментарий от MyLittleLoli

Можно запихнуть приложение в отдельный сетевой неймспейс вообще без интрефейсов, тогда у приложения даже к локалхосту доступа не будет.

Погоди, но keepassxc использует локальные базы данных для хранения паролей, оно же вообще работать перестанет, если сделать как ты говоришь?

bonolar ()
Ответ на: комментарий от anonymous

Используйте вируальные машины.

Не понял. К каждому приложению в Linux, которому надо запретить доступ в сеть - создавать по виртуальной машине и выделять на это ресурсы? Что-то бред какой-то. Не может быть чтоб в линуксе все было так плохо.

bonolar ()
Ответ на: комментарий от MyLittleLoli

Можно запихнуть приложение в отдельный сетевой неймспейс вообще без интрефейсов, тогда у приложения даже к локалхосту доступа не будет.

А это рядовой способ ограничения в Linux ограничить доступ программе в сеть? покажи как это сделать.

bonolar ()
Ответ на: комментарий от bonolar

Не понял. К каждому приложению в Linux, которому надо запретить доступ в сеть - создавать по виртуальной машине и выделять на это ресурсы? Что-то бред какой-то. Не может быть чтоб в линуксе все было так плохо.

Qubes загугли. Это не в линуксе плохо, это с современной архитектурой пк плохо. Единственный способ надёжно ограничить доступ к сети - не подключать к сети.

Тебе оно вообще зачем? Может докера какого хватит.

anonymous ()
Ответ на: комментарий от anonymous

Тебе оно вообще зачем? Может докера какого хватит.

Боюсь что keepassxc сольет пароли в сеть, поскольку эта прога имеет какие-то сетевые функции, ну и в код я не умею. Поэтому можно ожидать от нее всего. Надо надежно заизолировать ее от сети, не сломав основной функционал (не требующий доступа в сеть). Докером не пользовался, смогу ли я при этом вызывать нормально программу, пользоваться ctrl-c/ctrl-v из keepassxc в основную систему? Ну чтобы пароли нормально копирастить.

bonolar ()
Ответ на: комментарий от anonymous

На сайте https://keepass.info/download.html есть список неофициальных версий для вендроидов, маков, линуксов.
На линукс лучший выбор KeePassXC, на маке наверное macPass (нативный лук), а для ведроида пока использую страшненький Keepass2Android (потому что keepassdroid с отпечатком глючит немного).

Exmor_RS ()

В кедах кстати появился какой-то vault в свежих версиях, интересно оно тоже хранит пароли? Если да, то наверно keepass'ы можно будет закопать, потому что доверия команде KDE как-то побольше. Но в текущих lts-версиях ubuntu пока vault не завезли.

bonolar ()
Ответ на: комментарий от bonolar

Боюсь что keepassxc сольет пароли в сеть, поскольку эта прога имеет какие-то сетевые функции, ну и в код я не умею.

Сольёт намеренно или случайно? Намеренно - ты не сможешь ограничить все обходные пути. Случайно - это вообще крайне маловероятно, но ты можешь заблокировать основной путь в сеть через iptables, как намеревался.

А то, что твой браузер сольёт пароли в сеть, когда ты их вводишь, ты не боишься?

anonymous ()
Ответ на: комментарий от anonymous

Намеренно - ты не сможешь ограничить все обходные пути.

Это почему? Засунуть в виртуалбокс и отключить сеть в настройках. Как он это обойдет?

А то, что твой браузер сольёт пароли в сеть, когда ты их вводишь, ты не боишься?

Если обнаружится такой пипец, то скандала и слива репутации не избежать. Потом такой браузер просто закопают без права на реабилитацию. Поэтому я считаю, что будь то гугл или мозилла, такие вещи там тестируются в первую очередь. Не сравнивай программу, которая существует 20 лет и компанию, которая дорожит репутацией, с маленькой программкой и парой человек, которых никто не знает, и у которых нет ни репутации, ни аудита - ничего, кроме открытых исходников. При обнаружении слива паролей этим ребятам даже терять нечего. Удалят сайт и сожгут все мосты. Поэтому да, доверия известному браузеру все-таки побольше.

bonolar ()