Посторонним в

Блог-форум Винни Пуха
 
ФорумФорум  ЧаВоЧаВо  ПоискПоиск  ПользователиПользователи  ГруппыГруппы  РегистрацияРегистрация  ВходВход  

Поделиться | 
 

 KeePass

Предыдущая тема Следующая тема Перейти вниз 
АвторСообщение
Winnie
Admin


Сообщения : 613
Дата регистрации : 2015-06-10

СообщениеТема: KeePass    2016-02-06, 09:03

Про KeePass написано немало хороших статей, не буду изобретать велосипед и скопипастю некоторые из них, толковые с моей точки зрения, собрав их в одном месте.

Во-вторых, сайты/блоги и другие ресурсы интернетов не вечны и имеют свойство рано или поздно уходить в небытиё, и поэтому дублирование полезной инфы не просто разумно, но и необходимо.


KeePass, советы по настройке и оптимизации работы

Оригинал статьи: http://betteri.ru/post/sovety-po-nastroyke-i-optimizacii-raboty-menedzhera-paroley-keepass.html

Даже установив менеджер паролей, можно пользоваться им неэффективно. Примерно полгода я довольно неуклюже юзал KeePass (офф. сайт, вики), пока, наконец, мне это не надоело.
Для решения проблемы я перелопатил кучу форумов, статей и хелпов с целью максимально обезопасить и одновременно автоматизировать и упростить свою работу с KeePass.
В этой статье я собираюсь поделиться накопленным опытом, чтобы вам не пришлось проделывать ту же работу. Подавляющее большинство описанных настроек выставляются единожды, а профит от них вы будете получать ежедневно.



Вступление

Вступление будет недолгим: пару слов на классическую тему — «Означает ли использование менеджера паролей вместо блокнотика с ручкой тяжёлую форму паранойи?». Для большинства ответ очевиден: хотите вы того или нет, но «блокнотик с ручкой» перестаёт работать в тот самый момент, когда вы начинаете писать в него данные для входа в 101-ый новомодный сервис, который решили «просто потестить».
Вообще, перейти на электронное хранение паролей это как бросить курить: все якобы осознают подобную необходимость, только всегда откладывают до лучших времён.


Кратко о преимуществах и конкурентах KeePass

Полный список всех возможностей программы приведен на этой странице русскоязычного сайта о KeePass.

Я остановлюсь лишь на некоторых ключевых особенностях, остальные мы рассмотрим по ходу статьи:

  • Высокая безопасность. Помимо чисто технических деталей вроде используемых алгоритмов шифрования и кеширования (о которых можно узнать по ссылке выше), для нас не менее важной является поддержка двухфакторной аутентификации (для открытия базы нужно знать пароль + иметь особый файл).
  • Открытый исходный код. Есть мнение, что надёжный криптографический софт не может быть закрытым. KeePass — сертифицированная OSI Certified программа.
  • Кроссплатформенность. Полная, включая все мобильные ОС, кроме WebOS и Symbian. Детали на официальной странице для загрузок.
  • Бесплатность. Когда программой такого уровня можно пользоваться бесплатно, я не вижу причин платить за аналоги.
  • Портативность. KeePass не требует установки, может работать с флешки, ничего не создает и не хранит в системе.
  • Проверка временем. KeePass — это классика. Программа разрабатывается и поддерживается с 2003 года. В таком деликатном деле, как хранение паролей, очевидно, не стоит гнаться за последними новинками.


Теперь пару слов о конкурентах (подробнее можно почитать хабр "Популярные менеджеры паролей в сравнении")…
Так вот, половина из них предлагает свои продукты на платной основе (и как я уже говорил, я не смог найти ни одной причины, по которой стоит заплатить), а вторая половина хранит ваши данные в облаке. По-моему очевидно, что место, где тысячи людей хранят свои секреты — это очень логичная мишень для всевозможных атак. Так что боюсь, это лишь вопрос времени, тем более что первая весточка от LastPass уже прилетала в 2011 году ("Возможно, был взломан LastPass"). Позднее, в 2015 году, было известие о программке KeeFarce, извлекающей информацию из открытой базы данных KeePass 2.x.

Я никогда не пользовался LastPass, но из отзывов у меня сложилось впечатление, что все его функции можно легко настроить с помощью KeePass и его плагинов. Разница в том, что в случае с KeePass только вы будете владеть базой своих паролей.


Установка и общие настройки KeePass

Установка. Загрузить и установить последнюю версию можно на официальной странице программы. Я рекомендую портативную версию с последующей установкой на флешку.

Русификация. Скачиваете русскую версию языкового файла отсюда и копируете её в каталог программы. После этого
Цитата :
запускаете KeePass → View → Change Language → Выбираете язык → и Перезапускаете KeePass.

Запуск при старте системы. Заставляем KeePass стартовать вместе с ОС:
Цитата :
Сервис → Настройки → Интеграция → Запускать KeePass при старте системы (для текущего пользователя).
И делаем, чтобы KeePass всегда запускался в свёрнутом и заблокированном состоянии:
Цитата :
Сервис → Настройки → Дополнительно → Запускать в свёрнутом и заблокированном состоянии.

Автоматическое сохранение БД после изменений. Хитро используя возможность настройки триггеров для автоматизации, добьёмся моментального автосохранения базы паролей после любого существенного изменения в ней. Для этого идём в
Цитата :
Сервис → Триггеры → Добавить.
Далее вводим название «Автосохранение базы» и переходим на вкладку
Цитата :
События → Состояние интерфейса пользователя обновлено → вкладка Условия → Текущая база паролей содержит несохранённые изменения → вкладка Действия → Сохранить текущую базу паролей.

Увеличение количества циклов шифрования. Зачем это нужно понятно из скриншота ниже:
Количество циклов легко увеличивается до нескольких миллионов без существенных замедлений в работе. Просчитать, на что способен ваш компьютер можно, кликнув по «Рассчитать для секундной задержки».


Составной мастер ключ

Что это? Все просто, смотрите: есть KeePass, есть База паролей — отдельный файл, который можно хранить где угодно, есть Основной пароль — то, что вы должны знать, чтобы получить доступ к этой базе, и есть Ключевой файл — то, что вы должны иметь, чтобы получить доступ к этой базе.

1) Основной пароль. Пароль, который вы храните в голове или в другом сухом и надёжном месте. Единственное, что вам нужно помнить для работы с KeePass. Естественно, ваш главный пароль должен быть максимально надёжным и т.д.

Напоминание о смене Основного пароля. Выставляем здесь:
Цитата :
Файл → Настройки базы паролей → Дополнительно:
2) Ключевой файл. Пароль к вашей базе, который содержится не в голове, а в файле. Можно использовать вместо Основного пароля, но рекомендуется использовать в дополнение к нему.

Рекомендации по выбору и использованию Ключевого файла

  • В качестве Ключевого файла рекомендуется выбирать файл с большим количеством случайных данных, который ни при каких обстоятельствах не должен быть изменён (иначе вы не сможете открыть базу). Расширение и название у Ключевого файла может быть любым.
  • Не стоит хранить Ключевой файл в одной папке с KeePass или базой паролей. Лучше выбрать файл, который будет одним из многих схожих файлов, находящихся в другой папке и желательно на съёмном носителе. Проследите, чтобы имя, расширение, размер и дата файла совпадала с остальными файлами в этой папке.
  • В качестве ключевого можно попробовать использовать файл, который вы всегда легко сможете скачать в интернете. Например, изображение в вашем блоге. Понятно, что это не очень надежно, но знание такого лайфхака может пригодиться.
  • Чтобы сделать процесс работы с KeePass ещё немного безопаснее, можно отучить его запоминать путь к Ключевому файлу и хранить историю. Для этого идём в
    Цитата :
    Сервис → Настройки → Дополнительно
    и снимаем галочку с «Запоминать источники ключа». А потом во вкладке Внешний вид выставляем для «Запоминать недавно использованные файлы» значение = 0. И, наконец, не забываем отключить сохранение истории недавно использованных документов в Windows:
    Цитата :
    Панель управление → Панель задач и меню Пуск → снимаем две галочки с Хранить и отображать.
    После этих манипуляций путь к Ключевому файлу при старте KeePass будет необходимо выбирать вручную.



Создание новых записей

Настройка автоматических паролей. При регистрации очередного аккаунта KeePass умеет автоматически генерировать для него рандомный пароль. Это очень удобно. Дефолтный шаблон получаемого пароля можно немного подкорректировать, чтобы увеличить надёжность. Делается это так:
Цитата :
Сервис → Генератор Паролей → Настройки
Здесь увеличиваем количество знаков в новом пароле и указываем, какие наборы символов мы хотим использовать при создании новых паролей. На вкладке Просмотр можно сразу же заценить примеры паролей, созданных по вашему шаблону.
Далее на этой же вкладке выбираем профиль «Автогенерируемые пароли для новых записей» и жмём на иконку с дискетой.

После этого в выпадающем меню «Сохранить как профиль» выбираем «Автогенерируемые пароли» и жмём Ок, чтобы перезаписать шаблон профиля.

Горячие клавиши. Универсальное сочетание вызова окна KeePass из любого приложения — Ctrl+Alt+K. Если после этого нажать Insert, то KeePass перейдет к созданию новой записи в базе паролей:

Напоминание о просроченных паролях. Внизу этого окна устанавливаем (при желании) напоминание о необходимости сменить пароль к записи.

Позже в поле Комментарии рекомендую добавить URL смены пароля на сайте — пригодится.
Теперь научим KeePass показывать напоминания о просроченных паролях при старте программы. Для этого идём в
Цитата :
Сервис → Настройки → Дополнительные → После открытия базы паролей показывать просроченные записи.

Возможность прикреплять файлы к записи. Да, именно так! На вкладке Дополнительно к записи можно прикрепить любые файлы, которые будут закодированы и сохранены вместе с другими данными в базе паролей. Этой функции можно найти уйму применений…

История изменения паролей. KeePass хранит историю изменений для каждой отдельной записи. Бывает крайне важно узнать, какой пароль использовался ранее или как давно он был изменён. Это, а также восстановление старого пароля, доступно на вкладке История.


Способы автоматизации ввода паролей на сайтах

Переходим к самой интересной части. Как максимально упростить ввод паролей? Для этого существует несколько вариантов.

1) Автонабор. С помощью этой функции KeePass может автоматически заполнять поля ввода логина и пароля на сайтах. Для этого достаточно поставить курсор на поле ввода логина и нажать сочетание клавиш для Автонабора (по умолчанию Ctrl+Alt+A). Я забиндил сочетание Ctrl+Alt+A на одну из кнопок мыши, чем ещё больше упростил использование этой функции.

Шаблоны Автонабора. Автонабор работает по определенному алгоритму, который можно изменять. Шаблон Автонабора по умолчанию выглядит как
Цитата :
{UserName}{TAB}{Password}{ENTER}
(т.е. KeePass вводит логин на сайте → нажимает TAB для перехода к полю пароля → вводит пароль → жмёт ENTER).
Но такой шаблон не универсален. Например, иногда бывает необходимо отметить чекбокс вроде «Запомнить меня на этом компьютере». Тогда нужно создать новый шаблон или изменить текущий на
Цитата :
{UserName}{TAB}{Password}{TAB} {ENTER}
(второй TAB перейдёт на чекбокс, а Пробел поставит необходимую галочку).

Упрощаем выставление параметров Автонабора. Чтобы не изменять шаблон вручную для каждой записи, можно воспользоваться следующим лайфхаком: создаем несколько групп записей внутри базы с различными правами Автонабора (например, у меня это «Стандарт», «С чекбоксом» и «Без Enter» на скриншоте ниже):

Дело в том, что по умолчанию записи в KeePass наследуют параметры Автонабора от своей группы. Следовательно, в будущем достаточно просто перетянуть запись в нужную группу, чтобы ей были присвоены соответствующие параметры Автонабора.

Разные последовательности для разных окон. Еще бывает, что на разных страницах одного и того же сайта данные вводятся в различной последовательности. Например, на одной из них нужно отметить чекбокс, на другой нет. На вкладке Автонабор каждой записи можно выбрать текущее окно из выпадающего списка и в пару кликов прописать для него индивидуальные параметры Автонабора.

Несколько аккаунтов на одном сайте. Если аккаунтов на сайте у вас несколько, то при нажатии на Ctrl+Alt+A KeePass предлагает сделать выбор (пример для betteri.ru на скриншоте):

Плюсы и минусы Автонабора. Для корректной работы Автонабора никакие вспомогательные плагины для интеграции с браузером не требуются. Автонабор работает в любом браузере и приложении. Браузер вообще ничего не знает о KeePass. Основным же недостатком является уязвимость для кейлоггеров. Но эта проблема решаема с помощью…

Двойное усложнение Автонабора. Эта функция обезвреживает применение стандартных клавиатурных шпионов. Кейлоггер может «видеть» нажатие Ctrl-V, но не может зарегистрировать фактическое содержание, вставляемое из буфера обмена. Поскольку данная функция работает не со всеми целевыми окнами, то разработчик убрал возможность её включения по умолчанию. Так что Двойное усложнение необходимо включать для каждой конкретной записи на вкладке «Автонабор».

Упрощаем быстрый поиск. Существуют и другие методы ввода паролей. Ведь не всегда вы можете или хотите воспользоваться Автонабором. Но, прежде чем перейти к ним, давайте выставим две полезные для этого настройки. Для этого идём в
Цитата :
Сервис → Настройки → Внешний вид
и упрощаем себе поиск по своей базе паролей таким образом:

2) Двойной клик по записи. Для ввода данных с помощью этого способа нужно найти и выбрать запись, которую собираетесь использовать, и сделать двойной клик по одному из её полей.

В зависимости от того, на какое поле вы нажали, KeePass проделает следующее:

  • Название: откроет окно редактирования этой записи;
  • Имя: скопирует имя пользователя в буфер обмена;
  • Пароль: скопирует пароль пользователя в буфер обмена;
  • Ссылка: откроет содержащийся в ней адрес в браузере или скопирует его в буфер обмена (необходимый вариант задаётся в настройках).

3) Drag&Drop. Это ещё один способ ввода данных. Любое поле (имя, пароль) записи KeePass можно перетаскивать и вставлять в окна других программ и приложений.


Совместное использование одной базы паролей и бэкап

Совместное использование. Больше никакой передачи паролей по аське или электронной почте! KeePass можно настроить для комфортной совместной работы. Вот как я реализовал это с помощью Dropbox:

  1. Создаём папку внутри Dropbox.
  2. Расшариваем её через меню правой кнопки мыши, вводим email сотрудника(-ов).
  3. В KeePass создаём новую базу паролей и выбираем её размещение в общей папке Dropbox.
  4. Передаём другим пользователям Основной пароль, Ключевой файл и рекомендации, изложенные выше в совете «Автоматическое сохранение БД после изменений».
    Кстати, на этом примере проще всего понять полезность Ключевого файла: сама база находится в облаке, но Ключевой файл — только на компьютерах пользователей. Так что теоретически даже доступ к вашему Dropbox ничем не поможет злоумышленнику.

При попытке сохранить общую базу, KeePass сначала проверяет, был ли файл на диске изменен со времени загрузки. Если да, то KeePass спрашивает, синхронизировать, перезаписать или же оставить его без изменений (см. скриншот).

Бэкап. Архиважен для базы паролей и ключевого файла. Я использую комбинацию из облачных хранилищ + программы для бэкапа Genie Timeline, о которой я рассказывал подробно. Настроено это так: я просто вставляю флешку в компьютер, Genie моментально начинает делать бэкап, после чего я флешку достаю. Бинго!
Какой бы вид бэкапа вы не использовали, обязательно проверьте, открывается ли сохраненная база данных на другом компьютере.


Ещё одна неплохая статья про KeePass.
Отличие версий Classic и Professional.
KeePassDroid для Android платформы.

KeePass на Ru.Board.
Вернуться к началу Перейти вниз
Посмотреть профиль http://free.userboard.net
Winnie
Admin


Сообщения : 613
Дата регистрации : 2015-06-10

СообщениеТема: Уязвимости KeePass   2016-08-08, 10:55

Уязвимости KeePass


Существует возможность подмены исполняемого файла KeePass вредоносным кодом

В феврале 2016 года исследователь Флориан Богнер (Florian Bogner) обнаружил, что KeePass версий 2.x содержит неприятный баг: механизм обновления программы устроен таким образом, что обращение за апдейтами к серверам KeePass осуществляется посредством HTTP. Благодаря этой особенности на KeePass можно осуществить man-in-the-middle атаку, подменив легитимный апдейт вредоносным файлом. К тому же менеджер паролей никак не верифицирует скачиваемые пакеты обновлений, что дополнительно  упрощает работу злоумышленнику.

Исследователь уведомил разработчиков KeePass о проблеме еще феврале 2016 года, однако глава проекта Доминик Рейчл (Dominik Reichl) сообщил исследователю в письме, что по ряду причин уязвимость устраняться не будет.

Решение проблемы: скачивать и устанавливать обновления KeePass 2 только вручную.

https://xakep.ru/2016/06/06/no-https-for-keepass/


Открытая база данных KeePass может быть скопирована

Исследователь из Security Assessment Денис Андзакович (Denis Andzakovic) в октябре 2015 опубликовал на GitHub бесплатный инструмент, названный KeeFarce. Достаточно запустить KeeFarce на компьютере жертвы, когда та авторизована в KeePass, и инструмент дешифрует весь архив с паролями, сохранив его отдельным файлом (злоумышленник может забрать файл сразу или сделать это позже, удалённо).

Принцип работы KeeFarce базируется на DLL-инъекции, то есть стороннее приложение вмешивается в процессы приложения-жертвы через инъекцию DLL кода. Вредоносный код запускает в самом менеджере паролей вполне легитимную функцию экспорта, благодаря которой, открытая в этот момент БД (включая все логины, пароли, заметки и URL, хранящиеся в ней) сохраняется в CSV файл, в виде простого текста.

С одной стороны, проблема DLL-инъекций касается не только KeePass, и это сложно считать багом менеджера. С другой стороны, это отличное решение для кражи паролей, если совместить KeeFarce с использованием малвари и каких-либо техник удаленных атак. Будучи включён в состав Metasploit или других фремворков такого рода, KeeFarce тоже будет очень опасной штукой. Андзакович отмечает, что запустить KeeFarce вручную в Metasploit возможно уже сейчас.

https://xakep.ru/2015/11/05/keefarce/


Частичные решения проблемы:
  • иметь на компьютере эффективный антивирус
  • использовать пароли из базы KeePass в модифицированном виде (добавлять/стирать вручную определённые символы в пароле, применять составные пароли)
  • переименовать процесс программы - изменить наименование exe файла KeePass


KeePass.info пишет:
Прежде всего, KeeFarce не является инструментом атаки (и его разработчик также нигде не объявляет KeeFarce средством нападения или угрозы).

KeeFarce извлекает информацию из работающего KeePass процесса (с открытой базой данных), используя довольно сложный метод (с помощью DLL инъекции). Есть гораздо более простые способы для достижения этой цели. Например, инструмент может отправить моделируемые нажатия клавиш в окно KeePass и экспортировать данные в файл (например, через нажатие Alt+F, E, Tab, Space, ...). Перед этим может быть создан скриншот и отображаться поверх всех окон, чтобы скрыть эту процедуру (и пользователь, скорее всего, не заметит заморозку экрана на одну секунду). Или, как альтернатива, представьте себе инструмент, который фиксирует ваш мастер-пароль (кейлоггер) и скачивает файл базы данных.

Реальная проблема заключается в том, что здесь рассматривается работа специализированных шпионских программ (тот же KeeFarce, предполагается, имеет доступ к компьютеру как пользователь, с теми же правами). Если вы позволите таким программам хозяйничать на своём компьютере, то всё кончено. В таком случае ни одно приложение не сможет защитить себя; все современные операционные системы (Windows, Lnux, ...) целенаправленно позволяют одним приложениям манипулировать другими приложениями на том же уровне. См. также раздел Specialized Spyware.

В ряде случаев защиту от шпионских программ общего характера (неспециализированных) реализуют. Например, двухканальное запутывание при автозаполнении (TCATO, Two-Channel Auto-Type Obfuscation) является надёжным способом защиты автоматически вводимых данных от кейлоггеров, защищённый рабочий стол защищает ваш мастер-пароль от некоторых кейлоггеров, средства безопасного редактирования защищают от парольных шпионов, и т.д. Эти средства защиты работают только против определённых классов стандартных программ-шпионов. Например, в то время как TCATO защищает от кейлоггеров, шпионские программы, совмещающие в себе кейлоггер и перехват буфера обмена, делают TCATO бесполезным. В действительности проблема заключается в работе шпионских программ, а не в недостатке каких-либо средств защиты. Не получится защититься от шпионских программ через мониторинг всего, и только их отсутствие является лучшей защитой от них. Защита, такая как TCATO, может спасти вас в случае запуска некоторых непродвинутых шпионских программ, но она не является панацеей от каких угодно шпионских программ.

Ни KeePass, ни любой другой менеджер паролей не может волшебным образом работать надёжно в небезопасных условиях, когда компьютер инфицирован шпионскими программами. Пользователь по-прежнему несёт ответственность за безопасность своего компьютера. Он должен использовать [качественный] антивирусный софт, своевременно обновлять критически важный для безопасности софт, использовать надлежащий брандмауэр, скачивать и запускать софт только из надёжных источников, не открывать неизвестные вложения электронной почты и т.д.
http://keepass.info/help/kb/sec_issues.html
Вернуться к началу Перейти вниз
Посмотреть профиль http://free.userboard.net
Winnie
Admin


Сообщения : 613
Дата регистрации : 2015-06-10

СообщениеТема: TAN коды в KeePass   2017-02-10, 03:43

TAN коды в KeePass

KeePass поддерживает TAN-коды (Transaction Authentication Numbers - номера для проверки подлинности транзакций), т.е. пароли особого вида (разрешены только алфавитно-цифровые символы), которые могут быть использованы только однажды. Запись в списке TAN помечается как просроченная, когда вы используете команду "скопировать пароль" такой записи. Эти специальные пароли используются некоторыми банками: вам необходимо подтвердить проведение транзакции введением TAN-кода. Это обеспечивает дополнительную безопасность, поскольку нехороший человек не сможет выполнить транзакции, даже если он знает пароль вашего банковского счёта.


Использование TAN Мастера для добавления TAN-кодов

Вы можете использовать встроеный в KeePass TAN мастер, который поможет добавить сразу несколько TAN-кодов в вашу базу данных. Просто откройте диалоговое окно TAN Мастера (меню Инструменты -> TAN мастер), и введите все ваши TAN-коды. Форматирование не играет роли, KeePass использует все алфавитно-цифровые символы, а такие символы как новая строка, табуляторы, пробелы, точки и т.д. используются как разделители.

Затем мастер создаст несколько TAN-записей из данных, которые вы ввели в диалоговом окне. Каждый TAN представляет собой стандартную запись KeePass. Заголовок записи всегда "<TAN>". Это указывает программе KeePass, что эта запись, является TAN-записью и вы не сможете изменить заголовок, имя пользователя или URL TAN-а (кроме того, это не имеет смысла). Но если захотите, то вы сможете свободно добавлять комментарии к TAN-записи.


Использование TAN-кодов

Когда вы используете TAN (т.е. выполняете над ним команду "скопировать пароль"), поле "окончание" записи устанавливается в текущие дату и время, что помечает запись как просроченную. Запись получает пиктограмму X. Если вы в дальнейшем захотите узнать, когда была использована конкретная запись TAN, вам просто достаточно взглянуть на дату в поле "окончание".

При копировании TAN в буфер обмена, база данных помечается модифицированной. Вы должны сохранить файл, чтобы запомнить использование TAN.

Если вы случайно, без необходимости использовали TAN, вы можете сбросить его (т.е. удалить красные символы X и показать его снова, в качестве действительного TAN).  Для этого откройте запись TAN (правой кнопкой мыши и выберите "Изменить / Открыть Входы ..."). Здесь, снимите флажок с чекбокса "Expires".  Нажмите кнопку ОК для закрытия диалогового окна.

http://keepass.ru/index.php?id=30&doc=podderzhka_tan_kodov
Вернуться к началу Перейти вниз
Посмотреть профиль http://free.userboard.net
Winnie
Admin


Сообщения : 613
Дата регистрации : 2015-06-10

СообщениеТема: Фрагментация паролей   2017-03-13, 06:54

Фрагментация паролей, содержащихся в базе KeePass, с дополнительным шифрованием методом перестановки

Для уменьшения риска использования KeePass можно предпринять такой шаг как фрагментация важных паролей. Тогда, даже если злоумышленник с помощью программы типа KeeFarce завладеет дешифрованной базой KeePass, она для него будет практически бесполезна, потому что будет содержать лишь фрагменты паролей. Более того, эти разные фрагменты впоследствии можно хранить в разных базах менеджера паролей, и даже в разных менеджерах.


Пример фрагментации пароля

Рассмотрим фрагментацию пароля на конкретном примере.

Возьмём для примера пароль
0123456789ABCDEF
(реальный пароль конечно намного длиннее и рандомнее).

Выделим из него в произвольном месте фрагмент произвольной длины
0123456789ABCDEF
и вырежем его. Таким образом получим два фрагмента:
01234567DEF и 89ABC.

Затем, например из первого фрагмента, выделим и вырежем ещё фрагмент
01234567DEF
и в итоге получим уже три фрагмента:
012EF, 34567D и 89ABC.

И т.д. Количество фрагментов зависит лишь от фантазии и терпеливости пользователя. В нашем примере остановим дробление на трёх фрагментах.

Придумаем систему названий для этих фрагментов, чтобы в дальнейшем при их сборке в единый пароль не пришлось держать в голове что откуда, например:
  • 012EF назовём 0digit9 - 0 это базовый фрагмент; 9 ничего не значит, добавлена только для унификации обозначений;
  • 34567D назовём 1zero2 - 1 означает 1-й вставляемый фрагмент; 2 означает, что его надо вставить после 2-го символа справа;
  • 89ABC назовём 2minus1 - 2 означает 2-й вставляемый фрагмент; 3 означает, что его надо вставить после 1-го символа справа (почему после 1-го, см. далее)
то, что это фрагменты одного пароля, отражено в одной (математической) тематике имён. Другой пароль может иметь фрагменты с названиями например 0cat4, 1ox5, 2dog1 (животная тематика). Понятно, что систему названий фрагментов надо придумать свою и чем оригинальнее и неочевиднее тем лучше. Чтобы ещё больше затруднить задачу идентификации фрагментов для злоумышленника, их надо раскидать по разным базам KeePass.

Поскольку при формировании фрагментов пароля придётся использовать копипаст, эту работу придётся выполнять на проверенном (чистом) компьютере, не имеющем выхода в интернет.


Пример дефрагментации пароля (сборка пароля)

Итак, ранее было сформировано и сохранено три фрагмента некого пароля. Процесс фрагментации был определённо хлопотным, т.к. надо было проявить достаточную аккуратность и некоторое терпение, чтобы довести процесс до конца. Но это, к счастью, одноразовая работа.

Обратная задача, т.е. сборка пароля, будет стократ проще и быстрее, и её несложно будет регулярно повторять. Рассмотрим процесс сборки нашего пароля.

Допустим, поле ввода пароля делает видимой 4 символа пароля (далее невидимая часть пароля изображена светлым цветом). Сделаем три drag'n'drop пасты:
  • Вставим базовый (нулевой) фрагмент:
    012EF
  • Вставим первый дополнительный фрагмент:
    01234567DEF
  • Вставим второй дополнительный фрагмент:
    0123456789ABCDEF
При каждой drag'n'drop пасте видимая часть пароля автоматически позиционируется по правому краю последнего вставленного фрагмента (поэтому 3-й фрагмент вставляется после 1-го символа справа). Процесс сборки пароля одновременно является и вводом пароля, и занимает 1-2 секунды.

Таким образом, фрагментация пароля сопровождается дополнительно шифрованием методом перестановки. Поскольку символы исходного пароля сгенерированы KeePass, и их последовательность недетерминирована, то не представляется возможным восстановить исходную последовательность из её фрагментов, опираясь на детерминированность.

В повседневной работе в открываемых базах данных KeePass важные пароли/ключи должны содержаться только во фрагментированном виде, и тогда потенциальная опасность KeeFarce будет нейтрализована.
Вернуться к началу Перейти вниз
Посмотреть профиль http://free.userboard.net
Winnie
Admin


Сообщения : 613
Дата регистрации : 2015-06-10

СообщениеТема: Re: KeePass    2017-03-24, 03:55

Дополнительные настройки защиты KeePass 2

По материалам
http://kibinimatik.blogspot.ru/p/keepass2-1.html
http://kibinimatik.blogspot.ru/p/keepass2-2.html
https://www.comss.ru/page.php?id=3250
https://www.comss.ru/page.php?id=3760


Во избежание кражи паролей из памяти KeePass, настроим его
  • Tools > Options > Security
    Сервис > Настройка > Безопасность
на завершение работы вместо блокировки базы:
  • Always exit instead of locking the workspace
    Всегда выходить вместо блокирования
  • Exit instead of locking the workspace after the specified time
    Выход вместо блокирования после определённого времени


Чтобы затруднить кражу данных из самой программы, в ней запрещены некоторые опасные операции. Для этого в окне
  • Tools > Options > Policy
    Сервис > Настройка > Политика
отключаем опции:
  • Export - No Key Repeat, Print, Print - No Key Repeat, Copy Hole Entries,
    Экспорт без пароля, Печать, Печать без пароля, Копирование всех записей, Основной пароль - без пароля


Также в окне
  • Tools > Options > Security
    Сервис > Настройка > Безопасность
настроим программу на выход:
  • Lock workspace after global user inactivity (seconds) = 300
    после 5 минут общего бездействия
  • Lock workspace when locking the computer or switching the user
    при переключении пользователя
  • Lock workspace when the computer is about to be suspended
    при переходе в спящий режим
  • Lock workspace when the remote control mode changes
    при изменении режима удаленного доступа


На вкладке
  • Tools > Options > Interface
    Сервис > Настройка > Внешний вид
установим
  • Remember recently used files = 0
    Запоминать недавно использованные файлы = 0


Запускаем KeePass от имени администратора

Когда KeePass запущен от имени администратора (т.е. с высоким уровнем целостности), система запретит чтение его памяти обычным программам с ограниченными правами. Конечно, если троян получит права администратора, это, конечно, не поможет.
Вернуться к началу Перейти вниз
Посмотреть профиль http://free.userboard.net
Спонсируемый контент




СообщениеТема: Re: KeePass    

Вернуться к началу Перейти вниз
 
KeePass
Предыдущая тема Следующая тема Вернуться к началу 
Страница 1 из 1

Права доступа к этому форуму:Вы не можете отвечать на сообщения
Посторонним в :: Инструментарий интернетов :: Средства безопасности (Tails, JonDo...)-
Перейти: