VDS Хостинг для Ваших проектов

Keepass – бесплатный менеджер паролей

Январь 21st, 2016 Рубрики: Прикладные и прочие

Уже давно, среди первых статей этого блога я писал о хранителе паролей Scarabay. Главное его преимущество – это удобный, лёгкий интерфейс. Однако для приложений этого типа это не является ключевым требованием. В том обзоре я обращал внимание на то, что разработчик внедрил некий только ему известный алгоритм шифрования для создаваемой базы. А это не очень хороший знак. Затем в последующих версиях появилось нелепое ограничение на максимальное количество хранимых записей – 7. Это, согласитесь, очень мало. Последней каплей лично для меня стало то, что для главного пароля оказалось невозможно использование спецсимволов, даже элементарного подчёркивания, – только латинские буквы и цифры. А это серьёзно влияет на силу пароля и приходится использовать более длинные для той же стойкости.

Поэтому было принято решение найти альтернативу. Я остановился на Keepass (автор Dominik Reichl), обзор которого предлагаю в этом посте.

Keepass обладает рядом достинств, благодаря которым я остановил свой выбор на нём:

  • Keepass – бесплатная программа для хранения паролей, без ограничений.
  • Использует проверенный временем алгоритм шифрования AES. Также есть возможность использовать как альтернативу Twofish.
  • Удобная древовидная структура записей, позволяющая сортировать их по разным категориям.
  • Комбинации клавиш для копирования отдельных полей в буфер обмена.
  • Возможность прикрепления файлов к записям. Например позволяет хранить файлы ключей вместе с паролями.
  • Мультиязычный интерфейс.

Среди отрицательных сторон:

  • Наличие двух параллельных серий программы: 1.x и 2.x, которые грубо говоря несовместимы, за исключением того, что можно произвести импорт баз версии 1 в 2. Вторая версия более тяжёловесная, медленнее, не имеет встроенного алгоритма Twofish, но зато позволяет хранить более настраиваемую и гибкую структуру данных. Также версия 2.x есть для Linux-систем под названием KeepassX, правда я сам не испытывал. Если поделитесь своим опытом в комментариях, будет замечательно.
  • Проблемы с кодировкой в версиях 1.x. Используется кодировка, активная в системе. Это касается как интерфейса приложения, так и вводимых пользовательских данных. Это значит, что невозможно использовать буквы с диакритическими знаками на русской Windows. Для меня это серьёзный недостаток, но можно смириться с этим.

Создание новой базы паролей, параметры базы данных

Чтобы создать новую базу с паролями нужно воспользоваться командой из меню Файл->Новый. Будет предложено ввести основной пароль к базе. К его выбору отнеситесь очень серьёзно, поскольку от него зависит доступ ко всем остальным. Он должен обладать высокой стойкостью и быть сохранённым в надёжном месте. Если он будет утрачен, то получить доступ к базе будет невозможно! Вместо пароля можно использовать файл ключей, который можно хранить на флэшке, но тоже в надёжно защищённом месте. После этого будет создана пустая база с несколькими заранее созданными категориями. Можно удалить ненужные, добавить свои, или переименовать уже имеющиеся под себя.

Дальше надо будет при желании изменить настройки базы данных (меню Файл ->Настройки базы паролей). Можно выбрать алгоритм шифрования: AES или Twofish. Это в версиях 1.x. В 2.x можно использовать только AES, а Twofish по-моему реализован в виде плагина. В самом деле почти все хранители паролей используют AES. Лично я бы предпочёл ГОСТ 28147-89, но проблема в том, что нет чёткой его стандартизации, что препятствует практической реализации и внедрению. По крайней мере я не знаю ни одну программу для хранения паролей, которая бы работала с этим алгоритмом.

Количество циклов шифрования ключа. Для чайников вкратце объясню. Для шифрования базы данных, как целого файла используется ключ (фактически число), размером 256 бит. Очень огромное целое число. Однако для удобства вы вводите не число, а буквенночисловой пароль. Вот чтобы из этого пароля получить нужный для шифровки ключ используется некоторая промежуточная функция, которая называется хэш (SHA-256). А потом этот ключ ещё несколько циклов (именно указанное здесь число) преобразуется этой функцией для получения конечного ключа, которым уже будет шифроваться база данных. Чем больше это число, тем медленнее открывается и сохраняется база, но тем устойчивее становится она для взлома методом атаки по словарю, т.е. когда кто-то подбирает ваш пароль. Ведь для получения ключа надо произвести N выполнений хэш-функции. Если это число маленькое, то время затрачиваемое на нахождение ключа тоже маленькое. А если оно больше скажем в 1000 раз, то на каждый ключ надо будет затратить тоже примерно в 1000 раз больше времени. По-умолчанию значение стоит 6000 раундов. Если при открытии базы не наблюдается заметных задержек и вы хотите повысить безопасность касательно атаки по словарю, то можете увеличить данное число.

Интерфейс и работа с Keepass

При запуске Keepass помнит последнюю использованную базу паролей и предлагает её открыть. Если надо открыть другую или создать новую, то в этом окне следует нажать отмена, после чего в главном окне программы из меню «Файл» выбрать нужный пункт.

вид окна с открытой базой паролей keepass

Загруженная база паролей представлена в виде деревообразной структуры. В левом столбце имеются категории (группы), содержащие однотипные записи, которые в виде списка представлены справа. В секции внизу окна показываются поля выбранной записи. Вы можете создавать, удалять как группы так и записи в них как папки и файлы соответственно в файловом менеджере.

Для добавления новой записи можно воспользоваться пунктом контекстного меню либо комбинацией клавиш Ctrl+Y. Для её просмотра и/или редактирования достаточно двойного щелчка. Будет представлена форма с полями: Название – название сайта (проекта), для которого хранятся данные, Имя – логин или e-mail для авторизации, Пароль – сам пароль. Надо отметить полезную штуку, имеющуюся в Keepass, показывающую стойкость пароля в виде числа битов а также окрашиваемой шкалой. Для мало разбирающихся в этих делах пользователей скажу, что для сайтов в интернете достаточно стойкости от 40 бит для надёжного пароля. А для используемых на локальном компьютере, например для архивов, желательно иметь стойкость от 60 бит, а для важных данных даже 80 и больше. Разумеется всё это применительно только к атакам грубой силы (перебор).

В поле URL удобно хранить адрес страницы авторизации конкретного сайта. В поле Комментарии можно добавить любую недостающую текстовую информацию, например, e-mail, ответы на секретные вопросы, PIN-код и прочее. Однако учтите, что лучше использовать только латинские символы и цифры, поскольку прочесть эту информацию на системе с другой кодировкой будет невозможно. Если надо сохранить нетекстовую информацию или важно сохранить кодировку, то можно прикрепить её в виде файла к записи. Это ещё одна замечательная фишка этого хранителя паролей. Для эстетичности можно выбрать также иконку, наиболее подходящую для каждой записи.

запись в keepass

Сохранённые данные каждой записи можно легко и удобно использовать. Лично я пользуюсь горячими клавишами:
Ctrl+U – открывает указанный URL в браузере, установленном по-умолчанию в системе. Это не всегда удобно. Поэтому в настройках я включил эту опцию, так что эта комбинация просто копирует URL в буфер обмена, а я уже вставляю в нужном мне браузере.
Ctrl+B – копирует в буфер обмена поле логина.
Ctrl+C – копирует пароль.

Тут следует добавить ещё словечко об одном полезном замысле. После копирования любого поля в буфер он автоматически очищается после заданного интервала времени, таким образом минимизируя риск, что данные смогут попасть во власть сторонних программ.

Если вы не сторонник горячих клавиш, то можете воспользоваться технологией Drag’n'Drop, т.е. обычным перетаскиванием нужных полей из окна Keepass в другое.

TAN

Keepass поддерживает также TAN. Это так сказать одноразовые пароли. Их отличие в том, что их можно создать много и использовать по одному. Когда такой пароль копируется в буфер, он автоматически помечается как уже недействительный. Это для тех, кто не в курсе, что такое TAN. Я сам сначала не понимал, что это и для чего, а в справке ведь есть! =)

Генератор паролей

Как любая достойная программа этого рода Keepass имеет встроенный генератор паролей (можно вызвать из меню Инструменты). Его удобно использовать для генерации случайных паролей при создании новый учётных записей. При создании новой записи автоматически генерируется пароль. Однако разные сайты могут накладывать определённые ограничения на используемые пароли, например не использовать специальные символы, или наоборот – использовать. Поэтому можно создать новый пароль по заданным правилам. Для этого в окне генератора паролей нужно задать длину пароля, выбрать наборы символов, которые допустимо использовать и нажать на кнопку Генерировать. Рядом также будет указана стойкость пароля в битах. Кнопка Принять применяет сгенерированный пароль в текущую редактируемую запись.

генератор паролей keepass

В конце хотелось бы ещё раз сравнить Keepass и Scarabay в плане безопасности и надёжности. Базы паролей kbd от Keepass имеют очень компактный размер (20Кб с десятками записей) и визуально выглядят тотально шифрованными. В то время как pwd Скарабеевская при меньшем количестве записей имеет размер 56Кб, что указывает на явную избыточность данных. Кроме того визуально можно проследить некоторые разделительные участки, и даже некоторые незашифрованные данные. А это позволяет потенциальным взломщикам получить некоторые сведения. Поэтому я перешёл на пользованием Keepass, который если не лучший менеджер паролей, то точно в их числе.

Скачать менеджер паролей Keepass (с официального сайта)
Понравился пост? Поделись с другими!
Теги: , , ,
Комментариев пока нет.

Написать комментарий

   b2bbonbone