Как я сделал себе менеджер паролей
Пароли — древнейший способ аутентификации в информационных технологиях, повсеместно использующийся и сегодня. Увы, просто невозможно держать в памяти пароли для всех Интернет-ресурсов при условии, что все они будут разными и сложными! Тут на помощь человеку приходят менеджеры паролей, берущие эту задачу на себя: человек запоминает всего лишь один мастер-пароль, дающий доступ ко всем остальным.
Мне не нравились существующие менеджеры паролей: неудобно синхронизировать базу паролей между различными устройствами и операционными системами, к тому же, зачастую программы-менеджеры откровенно плохо защищены. Однажды я читал статьи по криптографии, и мне пришла в голову мысль: а почему бы не сделать менеджер паролей, который вместо хранения паролей будет вычислять их?
Первый вариант реализации этой идеи, приходящий на ум — криптографические хеш-функции. На первый взгляд, всё круто: выбираем стойкую функцию (скажем, SHA-3 в 224-битной версии), подаём ей на вход мастер-пароль qwerty и тип аккаунта vk, на выходе мгновенно получаем 56 символов из набора 0123456789abcdef. Я сходу нашёл два подобных проекта: взломанный и потенциально взламываемый. В таком подходе есть большая проблема: криптографические хеш-функции проектируются в том числе с целью быть максимально быстрыми и нетребовательными к ресурсам, и поэтому можно устроить словарный или полный перебор мастер-пароля по перехваченному паролю для одного сайта на CPU (относительно медленно), GPU, FPGA (куда быстрее), ASIC (очень быстро). Для проведения таких атак на популярные алгоритмы хеширования без использования подсаливания можно использовать также радужные таблицы, сильно ускоряющие процесс взлома на CPU.
К счастью, есть другой вариант реализации — функции получения ключей. В двух словах, они выполняют хеширование, но относительно медленно (скажем, одну секунду на обычном процессоре) и с относительно большим потреблением ресурсов (скажем, 16 мегабайт оперативной памяти), чтобы максимально затруднить атаки полным и словарным перебором. Среди знакомых мне современных функций PBKDF2, bcrypt и scrypt лучше всего выглядела scrypt: созданная с учётом опыта первых двух, успешно противостоящая вычислениям на графических процессорах и микросхемах (как FPGA, так и ASIC) и рассчитанная на гибкость при настройке под любые задачи. Я подумывал над реализацией этого проекта, но почему-то задвинул его в долгий ящик. И очень напрасно.
Криптограф Надим Кобеисси сделал как раз такой менеджер паролей npwd на JavaScript (работает как десктопное приложение через Node.JS). Я установил утилиту на компьютер под Linux и под Windows, а также на ноутбук под Linux, начал боевое использование, и мне очень понравилось. Вводишь единственный мастер-пароль и тип аккаунта (например, «twitter») в приложение, и через пару секунд в твоём буфере обмена уже лежит вычисленный сложный пароль конкретно для этого аккаунта, причём взломать твой мастер-пароль (читай: все твои пароли) по паролю для одного аккаунта будет очень, очень сложно.
Но была и проблема. Версия под Windows действительно выдавала пароль через пару секунд, а вот под Linux (в том числе на том же самом компьютере!) для вычислений требовалось уже секунд 15, что напрягало. Сначала я просто уменьшил одну константу, сделав мастер-пароль менее защищённым, но потом я подумал — а почему бы не переписать приложение на C, ведь наверняка будет работать гораздо быстрее! Особенно меня подзадоривала мысль, что у меня давно был замысел этого проекта, но я стормозил, и кто-то реализовал его до меня.
Через несколько дней неспешной работы я сделал свой менеджер паролей cpwd, полностью совместимый с оригиналом. Это было весело! После небольшой оптимизации мне удалось достичь желанной высокой скорости работы. Портировать cpwd под Windows я не пробовал, но это должно быть несложно. На GitHub-странице проекта я собрал коллекцию ссылок на подобные проекты в академическом мире и за его пределами – оказалось, что идея вообще-то весьма стара.
Конечно, это не серебряная пуля, но it works for me. В процессе использования я наткнулся на проблему: некоторые сайты имеют интересные требования к паролям типа «не более 20 символов», «обязательно встречается большая буква, маленькая буква, цифра и спецсимвол», в результате сгенерированный npwd/cpwd пароль иногда требует доработки руками перед вводом. К счастью, таких сайтов немного.
Оригинал опубликован в моём блоге 7.08.15. Прошло 5 лет, а я до сих пор пользуюсь этой утилиткой.
Творческая Iskra. Делаем аппаратный менеджер паролей своими руками
Сегодня мы рассмотрим настоящий тру-хакерский, тру-гиковский, удобный и безопасный способ хранить пароли, создав свой аппаратный менеджер паролей! Он будет хранить в себе данные разных аккаунтов, логины и зашифрованные пароли, ключ от которых должен держаться отдельно и вводиться непосредственно перед использованием, и при этом устройство будет эмулировать USB-клавиатуру для вывода логина и пароля.
Нет дыма без огня, или немного предыстории
Идея родилась не на пустом месте. Незадолго до ее появления я решил заняться программированием микроконтроллеров. Но так как свободного времени, чтобы серьезно и глубоко посвятить себя этому, было недостаточно для полноценного освоения ни железного С++, ни железобетонного ассемблера, то, чуть не споткнувшись о продолжающую набирать популярность вселенную Arduino, я прямиком угодил в объятия загадочного мира «JavaScript для микроконтроллеров». «Теперь гаджеты программируют на JavaScript» — этот броский заголовок поймал меня на крючок! Разглядывая на сайте «Амперки» изображения красивой отладочной платы, похожей на Arduino Leonardo, но белой и именуемой Iskra JS (не путать с Iskra Neo, которая тоже Iskra, тоже белая, но по сути улучшенная Leonardo), я попал под гипноз описания ее возможностей (и, если что, нахожусь под ним до сих пор).
Отладочная плата Iskra JS
Сердце платы Iskra JS — прекрасный дуэт микроконтроллера серии STM32F4 и прячущейся в его недрах могучей open source прошивки Espruino, выполняющей функцию интерпретатора языка JavaScript с торчащей наружу консолью а-ля REPL. Те, кто знаком с Node.js, почувствуют ярко выраженное дежавю и смогут вести себя более уверенно в диалоге с Espruino. При всем при этом для Iskra JS подходит весь спектр аксессуаров от Arduino UNO R3. Да и дополнительные библиотеки, представляющие собой JS-модули, имелись в достаточном количестве как от создателей проекта Espruino, так и от разработчиков Iskra JS.
«Зачем все это», или не купить ли нам коммерческий токен
Можно посмотреть и в сторону коммерческих токенов. Но тут скрывается пласт нюансов с дополнительным ПО и универсальностью. Да и за действительно интересные устройства придется выложить немаленькую сумму.
Итак, недолго раздумывая и сразу обзаведясь целым набором «Йодо», где, помимо платы Iskra JS и буклета, были шилды, модули с сенсорами и прочими кнопочками, а также детали необычного конструктора для макетирования корпусов, именуемого структором, я всецело погряз в творчестве. �� И вот тогда, наткнувшись в буклете на один из проектов с примером использования эмуляции клавиатуры, я и загорелся идеей сделать «ленивку», набирающую за меня пароли.
Идея зрела долго, ее каждый раз подрезали всякие умные роботы и дома, GSM-сигнализации и прочие радости творчества. Ведь программирование для Iskra JS приносило массу удовольствия, так как не было обременено посредническими процессами — ни предварительным компилированием, ни обязательной прошивкой платы.
Процесс прошивки в Espruino-based платах требует некоторых разъяснений. Прошивка в микроконтроллере одна — и это Espruino. Она прошивается единожды и занимает часть флеш-памяти микроконтроллера. В дальнейшем для сохранения вашего JavaScript-кода используется оставшееся место во флеш-памяти. И вот очистку части флеш-памяти от старого кода и запись нового нередко также называют прошивкой, хотя правильнее все же называть это сохранением кода.
Время пришло
День, когда лень набивать длинные пароли руками победила в первенстве приоритетов, все-таки настал. И тогда пришло время сформировать представление о том, каким я вижу свое будущее устройство, а заодно и составить список требований и деталей.
- Для хранения логинов и паролей была выбрана карта microSD. Для работы с ней, соответственно, необходим модуль для чтения карт.
- В роли управления решил задействовать ИК-пульт и модуль с ИК-приемником, которые достались с набором, так как кнопок пульта заведомо было достаточно для возможного будущего расширения, в то время как с размещением новых физических кнопок могли бы возникнуть проблемы, да и дистанционность имеет свои плюсы в использовании.
Далее необходимо было определиться, на чем хранить ключ AES-256 и на чем показывать меню.
- Так как у «Амперки» не было на тот момент собственных модулей с дисплеем, целостную картинку пришлось нарушить и воспользоваться китайским модулем с OLED-дисплеем с ярким экраном диагональю 0,96 дюйма и с подключением по шине I2C (как показала практика, если собираешься управлять своим менеджером с расстояния более двух метров, то удобней все же будет использовать экран больших размеров).
- Для хранения ключа после недолгих поисков была выбрана транспортная карта «Единый», работающая по технологии RFID и, как обнаружилось, имеющая небольшую область памяти, свободную для перезаписи. Попадаются карты «Единый» с 80 и 164 байт памяти. Хранится информация страницами по четыре байта. У тех, что со 164 байт на борту, есть 80 байт, свободных для перезаписи (с 16-й по 35-ю страницу при счете с 0). Таких израсходованных карт у меня оказалось приличное количество. Свою роль сыграло и то, что у «Амперки» была полноценная и настроенная на работу с картами «Единый» JS-библиотека для NFC/RFID-модуля на основе микросхемы NXP PN532, что дает стимул покопаться в ней глубже для более детального изучения принципов работы с RFID/NFC-метками.
Определившись со списком, можно было приступать к сборке прототипа и программированию.
Изначально за основу была взята отладочная плата Iskra JS с дополнительной платой расширения. Прототип на ней получился громоздким, чудным и по-своему симпатичным.
Первый прототип без корпуса 
Первый прототип в корпусе из структора
Позже появилась мини-версия старшей платы — Iskra JS mini c STM32F411CEU6 на борту, и это позволило существенно сократить размеры устройства и сделать его мобильным.
Отладочная плата Iskra JS mini
Вот на ее основе мы и соберем наше устройство.
Подготовка
Для начала необходимо установить среду разработки, и если ты собираешься работать с платой из-под винды, то понадобятся драйверы. Подробно об установке среды разработки можно почитать на вики проекта Iskra JS.
Если же не пользуешься браузером Google Chrome, то можно установить нативные приложения для Windows с сайта проекта Espruino либо самостоятельно клонировать текущую версию среды разработки с GitHub и запустить ее локально с помощью фреймворка NW.js, просто скопировав все файлы среды в папку с фреймворком и запустив исполняемый файл nw.
Главное — не забудь поменять в Espruino Web IDE настройки для работы с платами и дополнительными библиотеками от «Амперки»:
В разделе SETTINGS → COMMUNICATIONS:
- в поле Module URL укажи http://js.amperka.ru/modules
- в поле Module Extensions укажи .min.js|.js
- в поле Save on Send выбери Direct to Flash
В разделе SETTINGS → BOARD:
- в поле Board JSON URL укажи http://js.amperka.ru/json
Окно среды разработки состоит из двух частей: справа — редактор кода, слева — консоль интерпретатора Espruino, доступная при соединении с отладочной платой.
Среда разработки Espruino Web IDE
Сборка прототипа и подключение
Подключим физически все наши модули, разместив на беспаечной макетной плате. Что она собой представляет и как с ней работать, можно почитать здесь.
Прототип устройства на макетной плате
Выведем питание с пина 3V3 отладочной платы Iskra JS mini на дорожку + макетной платы, а «землю» — с пина GND на –.
OLED-экран с подключением по шине I2C имеет четыре контакта: GND, VDD (VCC), SCK (SCL), SDA. Подключим их к соответствующим пинам на плате:
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Как создать приложение Password Manager с помощью Cordova
Менеджер паролей – это приложение, которое используется для хранения и организации паролей. Пароли шифруются и хранятся с использованием мастер-пароля в качестве ключа шифрования. Пароли расшифровываются с использованием того же мастер-пароля.
В этом уроке я покажу, как создать приложение менеджера паролей с помощью Cordova. Мы будем использовать jQuery Mobile для пользовательского интерфейса и CryptoJS для шифрования паролей.
Чтобы дать вам представление о том, над чем мы работаем, вот предварительный просмотр видео, а окончательный код можно найти на GitHub здесь .
начало
В стартовом шаблоне нам нужно включить jQuery , jQuery mobile и CryptoJS . Я не буду рассказывать об установке и создании приложения Cordova здесь, если вы еще этого не сделали, прочитайте руководство по началу работы . Дайте приложению подходящее имя и добавьте платформы, которые вы хотите поддерживать. Инструкции по сборке и запуску приложения вы найдете на той же странице. В этом учебном пособии мы используем плагин Cordova для уведомлений, вам нужно добавить его, чтобы найти инструкции здесь .
Внутри файла index.html добавьте следующие JavaScript и CSS:
Создание экрана доступа
Страница доступа будет первой страницей, отображаемой, когда пользователь открывает приложение. На странице доступа нам нужно отобразить форму для ввода пользователем мастер-пароля.
Вот код для экрана доступа, добавьте его в index.html внутри тегов body.
Если пользователь нажимает кнопку «Отправить», мастер-пароль сохраняется в переменной, чтобы впоследствии мы могли использовать его в качестве ключа для шифрования и дешифрования.
Вот код для функции store_master_password которая хранит главный пароль, добавьте его в js/index.js .
После сохранения мастер-пароля мы перемещаем пользователя на домашнюю страницу (код ниже).
Мы удаляем сохраненный мастер-пароль каждый раз, когда загружается эта страница, чтобы мы могли позже создать функцию выхода из системы.
Вот как должен выглядеть экран доступа:
Создание главного экрана
Пользователь попадает на домашнюю страницу после успешного сохранения мастер-пароля.
На нашем домашнем экране мы отобразим две кнопки, кнопку добавления нового пароля и кнопку показа пароля.
Вот код для домашней страницы, добавьте его в index.html :
В зависимости от того, какая кнопка была нажата, пользователь попадает на соответствующую страницу. У нас есть кнопка выхода из системы в правом верхнем углу, которая ведет пользователя на страницу доступа
Когда пользователь нажимает «Показать список паролей», нам нужно извлечь зашифрованные пароли из локального хранилища, расшифровать их и затем создать список HTML для их отображения.
Вот реализация для функции display_list , добавьте ее в js/index.js :
Вот как должна выглядеть домашняя страница:
Создание страницы добавления пароля
Пользователь попадает на страницу добавления пароля, когда он нажимает кнопку добавления пароля на главной странице.
На нашей странице добавления пароля нам нужно отобразить два текстовых поля для ввода пароля и имени в качестве входных данных и кнопку для отправки значений.
Вот код для страницы добавления пароля, добавьте ее в index.html :
Когда пользователь нажимает кнопку отправки, мы запускаем new_entry JavaScript new_entry . Эта функция отвечает за шифрование и хранение пароля.
Вот функция new_entry , добавьте это в js/index.js :
Мы используем симметричное шифрование AES для шифрования паролей. Требуется мастер-пароль в качестве ключа. Мы храним зашифрованные пароли в локальном хранилище HTML5.
Вот как выглядит страница добавления пароля:
Создать страницу списка паролей
Пользователь попадает на страницу со списком паролей, когда нажимает кнопку «Показать список паролей» на главной странице.
На этой странице мы будем отображать список сохраненных паролей. Когда пользователь нажимает на элемент, мы показываем связанный с ним пароль.
Вот код для страницы списка паролей, добавьте его в index.html :
Когда пользователь нажимает на элемент списка, мы выполняем функцию name_password которая расшифровывает пароль, связанный с этим именем, и отображает его в окне предупреждения.
Вот реализация функции name_password , добавьте ее в js/index.js :
Мы также хотим обновлять пользовательский интерфейс списка на странице всякий раз, когда он загружается. Вот код для этого, добавьте его в js/index.js .
Последние мысли
В настоящее время у нас есть функциональное, но базовое приложение, которое можно легко развернуть на нескольких платформах. Следующие шаги, которые нужно предпринять, – это сохранение паролей на стороне сервера, синхронизация паролей в облаке и копирование паролей. Дайте мне знать о вашем опыте использования этого учебника и идеях по его расширению.
HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Менеджеры паролей KeePass и KeePassXC
Оглавление
Почему следует использовать менеджеры паролей
Главные правила безопасного использования паролей:
- пароль должен быть сложным (то есть включать в себя 4 группы символов — большие и маленькие буквы, цифры, специальные символы, — и не состоять из слов или их комбинации, которые можно найти в словаре)
- нельзя использовать один и тот же пароль на разных сайтах и сервисах, поскольку компрометация вашего пароля, например, на плохо защищённом сайте/форуме, может дать злоумышленнику доступ к вашей почте, облачному хранилищу, социальным сетям, сетевой папке и т. д.
- пароли не должны храниться на компьютере в текстовых файлах, а также в общедоступных местах (стикер с паролем на компьютере — это тоже плохо)
При соблюдении этих условий, нужно помнить большое количество сложных паролей, что на практике невозможно. Поэтому многие пользователи эти условия не соблюдают (что плохо), а те, кто соблюдают, вынуждены записывать пароли, например, в текстовый файл (если файл не зашифрован, то это тоже плохо).
Помочь в этой ситуации может менеджер паролей — программа, которая хранит в зашифрованном виде ваш пароль. То есть вместо множества паролей, вам достаточно запомнить один мастер-пароль.
Какой менеджер паролей выбрать. Что лучше KeePass, KeePassX или KeePassXC
Менеджеров паролей много. Стоит выбрать тот, у которого открыт исходный код (что позволяет убедиться, что ваши пароли не будут отправлены злоумышленнику и/или в алгоритме шифрования нет закладок).
Одним из популярных, хорошо зарекомендовавших себя является KeePass. Изначально эта программа была написана для Windows, но с помощью Mono (открытая реализация .NET платформы, включающая рабочую среду и компилятор) работает и на Linux, Mac OS X.
У KeePass имеется два популярных ответвления:
- KeePassX — кроссплатформенная программа, при ответвлении имела некоторые преимущества перед KeePass, сейчас разработка замедлилась
- KeePassXC — ещё один кроссплатформенный форк, также имел некоторые преимущества, но в настоящее время по функциям одинаков с KeePass. Небольшие преимущества — русский язык уже встроен и не требует дополнительной установки (как это нужно в KeePass). Также программа изначально является кроссплатформенной и выглядит одинаково в любой операционной системе. В то время как KeePass выглядит чуть по-разному, из-за того, что на разных платформах используется оригинальная среда .NET или её открытый аналог Mono
У всех этих трёх программ взаимосовместимые базы данных.
В операционных системах Linux в стандартных репозиториях обычно доступны 2-3 из этих программ, в некоторых дистрибутивах они предустановлены, например, KeePassXC предустановлена в Tails и Whonix.
Рассмотрим установку и как пользоваться KeePass и KeePassXC.
KeePass
Как установить KeePass
Установка KeePass в Windows
Чтобы скачать KeePass, перейдите на официальный сайт: https://keepass.info/download.html
Доступно два варианта:
- .exe — установщик
- .zip — портативная версия
Обе версии ничего не пишут в реестр Windows, различаются только тем, что установщик добавляет иконки в меню «Пуск».
Также имеется две ветки 2.* и 1.*.
Далее в инструкции используется портативная версия KeePass 2.*.
Также перейдите на страницу переводов https://keepass.info/translations.html и скачайте файл с русским языком.
Распакуйте оба архива. Языковой файл поместите в папку Languages.
Запустите файл KeePass.exe.
При первом запуске программа спросит, хотим ли мы включить функцию автоматической проверки новых версий. Если вы её включите (Enabled (recommended)), то программа будет проверять выход новых версий. Это удобно, но не всем нравится, когда программа для хранения паролей автоматически выходит в Интернет — поэтому выберите на своё усмотрение.
В любом случае, вы можете в дальнейшем изменить эту настройку.
Чтобы русифицировать KeePass перейдите в меню «View» → «Change Language…»:
Выберите русский язык:
Программа предложит перезапуститься, чтобы изменился язык интерфейса на русский:
Установка KeePass в Linux
Установка в Debian, Linux Mint, Ubuntu, Kali Linux:
Для русификации KeePass в Debian, Linux Mint, Ubuntu, Kali Linux выполните следующие команды:
Перейдите в меню «View» → «Change Language…».
Установка в Arch Linux, Manjaro, BlackArch:
Для русификации KeePass в Arch Linux, Manjaro, BlackArch выполните следующие команды:
Перейдите в меню «View» → «Change Language…».
Как создать базу данных KeePass
Принцип работы менеджера паролей в том, что все данные (логины и пароли) зашифрованы и хранятся в одной базе данных. Можно выбрать любое имя и любое расположение файла с базой данных. Рекомендуется регулярно делать его резервную копию.
Баз данных может быть любое количество.
Чтобы перенести все зашифрованные пароли на другой компьютер, достаточно скопировать файл с базой данных (всё хранится в одном файле).
Как можно увидеть, большинство функций в интерфейсе неактивны, пока не создана БД, нажмите иконку «Создать»:
Если БД уже есть, то в меню выберите «Файл» → «Открыть»:
Рекомендации от программы:
Ваши данные будут сохранены в базе данных KeePass (это обычный файл). После нажатия ОК укажите место хранения этого файла. Запомните место хранения файла базы данных — это важно. Регулярно делайте резервные копии файла с базой данных (на стороннем устройстве хранения).
Выберите любое имя и расположение базы данных:
Придумайте и дважды введите мастер-пароль. Этот пароль нельзя забыть — иначе потеряете доступ ко всем своим паролям!
«Оценочное качество» показывает надёжность пароля — чем больше бит, тем лучше.
На следующем окне «Параметры базы данных» можно просто нажать «ОК» чтобы оставить настройки БД по умолчанию, либо вы можете сделать некоторые изменения.
В поле «Имя базы данных» можно ничего не вводить.
В поле «Логин по умолчанию для новых записей» можно ввести имя пользователя, которые вы обычно используете, в результате оно будет подставляться в форму при внесении новой записи с паролем.
На вкладке «Безопасность» можно выбрать «Алгоритм шифрования базы данных» и алгоритм для «Трансформации ключа»:
Также можно изменить количество итераций (повторений) — чем больше итераций, тем надёжнее защита от брут-форса, но тем медленнее запись и доступ в БД. На первый взгляд кажется, что значение по умолчанию в 60000 итераций это много. С помощью кнопки «Тест» можно провести бенчмарк, который покажет, сколько нужно времени при установленном количестве итераций:
Как видно из скриншота, нужно три тысячных секунды на 60000 итераций.
Если нажать кнопку «1-секундная задержка», то будет определено число итераций, при котором задержка будет составлять 1 секунду — значение в 1 секунду считается достаточно хорошим для защиты от брут-форса, но при этом не слишком долгим, чтобы раздражать пользователя.
С новым значением итераций можно провести ещё один тест, теперь потребовалось около одной секунды:
Аналогично для второго алгоритма (если вы выберите его) — по умолчанию предложено всего 2 итерации, но для односекундной задержки на моём компьютере можно установить значение в 910 повторений.
Argon2 — победитель конкурса хэширования паролей. Основное преимущество Argon2 по сравнению с AES-KDF заключается в том, что он обеспечивает лучшую устойчивость к атакам на GPU/ASIC (благодаря функции, требующей большой памяти).
Количество итераций масштабируется линейно с требуемым временем. При увеличении параметра памяти атаки на GPU/ASIC становятся более жёсткими (и необходимое время увеличивается). Параметр параллелизма можно использовать, чтобы указать, сколько потоков следует использовать.
Нажав кнопку «1-секундая задержка» в диалоговом окне настроек базы данных, KeePass вычисляет количество итераций, которое приводит к задержке в 1 секунду при загрузке/сохранении базы данных. Кнопка «Тест» выполняет вывод ключа с указанными параметрами (которые можно отменить) и сообщает необходимое время.
Для получения ключа может потребоваться больше или меньше времени на других устройствах. Если вы используете KeePass или его порт на других устройствах, убедитесь, что все устройства достаточно быстрые (и имеют достаточно памяти) для загрузки базы данных с вашими параметрами в течение приемлемого времени.
Во вкладке «Сжатие» два варианта — сжимать БД для экономии места или нет. По умолчанию сжатие включено.
Базы данных KeePass могут быть сжаты перед шифрованием. Сжатие уменьшает размер базы данных, но также немного замедляет процесс сохранения/загрузки базы данных.
Рекомендуется использовать сжатие GZip. Этот алгоритм очень быстрый (вы не заметите никакой разницы при сохранении базы данных без сжатия), и его степень сжатия приемлема.
Не рекомендуется сохранять базы данных без сжатия.
На современных ПК сохранение файлов со сжатием на самом деле может быть быстрее, чем сохранение без сжатия, потому что процесс сжатия выполняется процессором (который очень быстрый) и меньшее количество данных должно быть передано с/на устройство хранения. Особенно, когда устройство работает медленно (например, сохранение на USB-накопитель), сжатие может значительно сократить время сохранения/загрузки.
На вкладке «Корзина» вы можете изменить поведение по умолчанию, при котором удалённые записи и группы сначала перемещаются в корзину — имеется ввиду не корзина для файлов вашей ОС, а корзина внутри самой KeePass, то есть при перемещении удалённых паролей в корзину они не становятся доступными для других.
На вкладке «Дополнительно» вы можете настроить историю записей и принудительную смену мастер-ключа:
Здесь же настройки шаблонов. Шаблоны являются отличным способом предопределения часто используемых имён пользователей, дополнительных полей или их комбинаций. Шаблон — это обычная запись KeePass, в которой все необходимые данные уже введены. Шаблоны должны храниться в одной группе. Не помещайте реальные данные в группу шаблонов. Сначала создайте обычную группу в главном окне, а затем установите её в качестве группы шаблонов в «Файл» → «Настройки базы данных» → вкладка «Дополнительно». Чтобы создать новую запись на основе шаблона, нажмите стрелку раскрывающегося списка на панели инструментов «Добавить запись» и выберите шаблон для использования.
После завершения создания базы данных, KeePass рекомендует создать аварийный лист.
Аварийный лист KeePass содержит всю важную информацию для открытия базы данных. Распечатайте его, заполните и сохраните в надёжном месте, доступном только вам и, возможно, тем, кому вы доверяете.
По сути, «аварийный лист» — это просто бумажка, которую вам надо распечатать на принтере, в ней уже вписан путь до базы данных, а также есть два поля чтобы вписать место хранения резервной копии и мастер-пароль. Если вы потеряете файл с базой данных или забудете мастер-пароль, то хранимые учётные данные уже не вернуть.
Как пользоваться KeePass
В левом окне вы можете видеть перечень групп — группы нужны чтобы упорядочить ваши пароли. Вы можете сохранять любые пароли в любую группу, а также создавать свои собственные группы. То есть группа — это что-то вроде папки.
Чтобы сохранить пароль, выберите группу, в которую вы будете сохранять, и нажмите «Добавить запись», также можно воспользоваться сочетанием клавиш Ctrl+i:
Вы можете ввести любые данные или оставить любые поля пустыми, можно изменить значок, воспользоваться генератором сильных паролей, установить срок истечения пароля и т.д.
В KeePass есть встроенная функция поиска по все базе данных — очень удобно, вы можете ввести адрес сайта или другую информацию для быстрого получения пароля:
Клик по каждому полю записи в БД имеет своё действие:
- Откроется запись для редактирования.
- Логин будет скопирован в буфер обмена. Буфер обмена будет автоматически очищен через указанное в настройках количество секунд.
- Пароль будет скопирован в буфер обмена. Буфер обмена будет автоматически очищен через указанное в настройках количество секунд.
- В веб браузере будет открыт указанный адрес сайта.
- Описание будет скопировано в буфер обмена, который также будет автоматически очищен.
В целом, это удобно и вам ненужно каждый раз открывать запись и нажимать в контекстном меню «скопировать»/«вставить».
В меню имеется кнопка «Заблокировать», так в настройках часто упоминается блокировка БД — имеется ввиду её отключение, после которого для доступа к БД нужно заново вводить пароль. Вы также можете воспользоваться сочетанием клавиш Ctrl+l для блокировки в любой момент.
Обратите внимание, что при сохранении новых записей, если не выбрана автоматическое сохранение БД, то фактически они не сохраняются в БД до тех пор, пока вы явно это не сделаете. Поэтому при блокировке возникает окно с предложением выполнить сохранение:
Вы можете поставить галочку «Автоматически сохранять базу данных при закрытии/блокировки», чтобы это окно больше не появлялось.
При разблокировке или открытии введите мастер-пароль БД:
Настройка KeePass
Для настройки KeePass в меню перейдите в «Сервис» → «Параметры»:
На вкладке «Безопасность» рекомендуется включить блокировку БД при длительной неактивности и при переходе компьютера в спящий режим.
На вкладке «Интерфейс» вы сможете очень тонко настроить внешний вид программы под ваш вкус:
KeePassXC
Как установить KeePassXC
Установка KeePassXC в Windows
Чтобы скачать KeePassXC, перейдите на официальный сайт KeePassXC: https://keepassxc.org/download/#windows
Там доступен установщик и портативная версия, а также варианты для 64- и 32-битных компьютеров.
Если вы скачали портативную версию, то распакуйте архив и запустите в нём файл KeePassXC.exe.
Русский язык уже встроен в KeePassXC.
При запуске KeePassXC предлагает включить автоматическую проверку обновлений:
Установка KeePassXC в Linux
Установка в Debian, Linux Mint, Ubuntu, Kali Linux:
Установка в Arch Linux, Manjaro, BlackArch
Как создать базу данных KeePassXC
Нажмите кнопку «Создать новую базу данных»:
Имя и описание заполните на ваше усмотрение (можно ничего не менять):
На следующем окне вы можете выбрать задержку для доступа к базе данных — чем выше значение, тем надёжнее защита от брут-форса, но больше времени требуется для чтения и сохранения базы данных.
Если нажать на кнопку «Дополнительные параметры», то здесь вы сможете выбрать алгоритмы шифрования, функцию формирования ключа и сделать настройку количества итераций — чем больше итераций, тем сложнее брут-форс, но и дольше задержка при открытии и сохранении БД.
Дважды введите мастер-пароль:
Выберите папку, куда вы хотите сохранить файл БД с паролями:
Как пользоваться KeePassXC
По умолчанию в KeePassXC нет групп для сортировки сохраняемых паролей:
Для создания новых групп, кликните правой кнопкой на «Корень» и выберите «Новая группа»:
Достаточно ввести имя группы и желательно установить для неё собственную иконку:
Создайте несколько групп для удобного доступа к паролям:
Для сохранения нового логина и пароля выберите группу и нажмите кнопку «Добавить новую запись»:
Введите данные для сохранения:
Для быстрого доступа к паролям в программе имеется поиск по всей базе данных — введите часть имени сайта или пользователя и будут показаны все записи, которые их содержат:
Клики по полям таблицы имеют свои функции:
- Запись будет открыта для редактирования
- Логин будет скопирован в буфер обмена. Из буфера обмена данные удаляются через 10 секунд (можно изменить в настройках)
- Пароль будет скопирован в буфер обмена
- Будет открыт сайт, для которого сохранён пароль
- Описание будет скопировано в буфер обмена
Настройка KeePassXC
Для настройки KeePassXC в меню перейдите в «Сервис» → «Параметры».
На вкладке «Безопасность» вы можете установить время хранения данных в буфере обмена.
Здесь же вы сможете настроить блокировки при отсутствии активности, переходе компьютера в спящей режим или сворачивании KeePassXC.
Менеджеры паролей для мобильных телефонов
У программы KeePass много версий для мобильных телефонов на разных платформах, в том числе Android, iOS.