keepass 已 hacked 了，用了的同学你们换软件了吗？

讲道理，拿到本地管理员权限之后内存里还有什么东西是提取不出来的

讲道理， keepass 提取密码的话有些时候是复制到剪贴板的，只要访问剪贴板密码就到手了

这标题有歧义，不是 KeePass 被 hacked ，是整个系统被 hacked 。

这个事件是因为系统被黑，和 KeePass 强不强关系不大。

我总是有种那几个密码管理软件在互相攻击的感觉，也不知道是不是错觉。

都可以组个堪比娱乐圈的“密码管理软件圈”了。

我觉得如果自己的电脑都没保护好的话，谈密码安全会不会有点……拖库泄露了密码，还可以找那些企业背锅，本地的东西，还得先从自身出发找问题啊。或者下次还可以讨论一下因为键盘记录器导致各类密码管理软件在录入数据时就被 get 了密码的问题么？_(:з」∠)_
啊，抱歉我就是卖个萌，并没有仔细看文章，标题倒是看到了。|･ω･｀)

@dototototo 没错 如果系统已经被安装木马
再怎么加密也没有用
最简单的可以监听剪切板
还可以 Key Logger 记录键盘
可以截屏
另外还可以读取内存

密码习惯不好什么辅助工具都帮不了你。
我同事也是 keepass 用户，网站密码都是 xx 位大小写数字符号随机生成安全到爆，结果每天一开机就开 keepass 放在一边，也不盒盖也不锁屏......

@lollxxox
可以设置锁定时间的.
说到底安全最后还是靠个人使用习惯, 软件只是辅助作用的.

密码安全工具本来就是拿来弥补用户的不良习惯的，如果什么都靠用户的习惯，那还要工具干什么？我知道最牛逼的密码习惯是随身带一本书。

@holong2000
你即使用最厉害的密码安全工具加密,但是密码库放到百度云共享且主密码还是 qwertasdfg 的话,有毛用???

……别吓我

@LazyZhu 双因素验证不就是为了解决这个问题？没有双因素验证就是我一直对 1password 有些不满意的原因。

@holong2000
双因素验证也是使用习惯问题...
KeePass 支持两步且可以设置成自动填写, 但我看 90%的人没有尝试过, 软件支持,但用户没有用这就是使用习惯问题.

点应该在你拿不到我的密钥文件

@seki 双通道自动输入混淆:
http://keepass.info/help/v2/autotype_obfuscation.html
即使被截取,也不是原密码. 目前是安全的,但是:
None of the currently available keyloggers or clipboard spies can eavesdrop an obfuscated auto-type process, but it is theoretically possible to write a dedicated spy application that specializes on logging obfuscated auto-type.

@LazyZhu "KeePass 支持两步且可以设置成自动填写" 这个是指 TAN 还是类似 Winauth 类的东西？ TAN 好像支持的地方少还只一批能用十次，频繁登陆的话会不会比较麻烦？

@wandero 我是用插件来实现的:
https://bitbucket.org/devinmartin/keeotp/wiki/Home
Auto Type
As of version 1.0.4 there is a custom placeholder that allows a TOTP code to be entered into the system with the KeePass auto type system. To configure this go into the settings of your KeePass entry that contains your TOTP key. Navigate to the Auto-Type tab. Configure your custom sequence with the placeholder {totp}. The {totp} will be replaced with your current totp authentication code.

@holong2000 密码安全工具是为了解决撞库攻击的，是为了解决使用相同密码而造成的一丢全丢问题的，而不是弥补你其它的不良习惯。