July 24

KeePass - как хранить пароли? | Подробный гайд

В этой статье мы расскажем, зачем нужны парольные менеджеры, какая разница между KeePass, KeePassX и KeePassXC.
Не стоит быть халатным к безопасности собственных ресурсов.

Почему следует использовать менеджеры паролей

Главные правила безопасного использования паролей:

  • пароль должен быть сложным (то есть включать в себя 4 группы символов — большие и маленькие буквы, цифры, специальные символы, — и не состоять из слов или их комбинации, которые можно найти в словаре)
  • нельзя использовать один и тот же пароль на разных сайтах и сервисах, поскольку компрометация вашего пароля, например, на плохо защищённом сайте/форуме, может дать злоумышленнику доступ к вашей почте, облачному хранилищу, социальным сетям, сетевой папке и т. д.
  • пароли не должны храниться на компьютере в текстовых файлах, а также в общедоступных местах (стикер с паролем на компьютере — это тоже плохо)

При соблюдении этих условий, нужно помнить большое количество сложных паролей, что на практике невозможно. Поэтому многие пользователи эти условия не соблюдают (что плохо), а те, кто соблюдают, вынуждены записывать пароли, например, в текстовый файл (если файл не зашифрован, то это тоже плохо).

Помочь в этой ситуации может менеджер паролей — программа, которая хранит в зашифрованном виде ваш пароль. То есть вместо множества паролей, вам достаточно запомнить один мастер-пароль.

Какой менеджер паролей выбрать. Что лучше KeePass, KeePassX или KeePassXC

Менеджеров паролей много. Стоит выбрать тот, у которого открыт исходный код (что позволяет убедиться, что ваши пароли не будут отправлены злоумышленнику и/или в алгоритме шифрования нет закладок).

Одним из популярных, хорошо зарекомендовавших себя является KeePass. Изначально эта программа была написана для Windows, но с помощью Mono (открытая реализация .NET платформы, включающая рабочую среду и компилятор) работает и на Linux, Mac OS X.

У KeePass имеется два популярных ответвления:

  • KeePassXкроссплатформенная программа, при ответвлении имела некоторые преимущества перед KeePass, сейчас разработка замедлилась
  • KeePassXCещё один кроссплатформенный форк, также имел некоторые преимущества, но в настоящее время по функциям одинаков с KeePass. Небольшие преимущества — русский язык уже встроен и не требует дополнительной установки (как это нужно в KeePass). Также программа изначально является кроссплатформенной и выглядит одинаково в любой операционной системе. В то время как KeePass выглядит чуть по-разному, из-за того, что на разных платформах используется оригинальная среда .NET или её открытый аналог Mono

У всех этих трёх программ взаимосовместимые базы данных.

В операционных системах Linux в стандартных репозиториях обычно доступны 2-3 из этих программ, в некоторых дистрибутивах они предустановлены, например, KeePassXC предустановлена в Tails и Whonix.

Рассмотрим установку и как пользоваться KeePass.

KeePass

Как установить KeePass

Установка KeePass в Windows

Чтобы скачать KeePass, перейдите на официальный сайт: https://keepass.info/download.html

Доступно два варианта:

  • .exe — установщик
  • .zip — портативная версия

Обе версии ничего не пишут в реестр Windows, различаются только тем, что установщик добавляет иконки в меню «Пуск».

Также имеется две ветки 2.* и 1.*.

Далее в инструкции используется портативная версия KeePass 2.*.

Также перейдите на страницу переводов https://keepass.info/translations.html и скачайте файл с русским языком.

Распакуйте оба архива. Языковой файл поместите в папку Languages.

Запустите файл KeePass.exe.

При первом запуске программа спросит, хотим ли мы включить функцию автоматической проверки новых версий. Если вы её включите (Enabled (recommended)), то программа будет проверять выход новых версий. Это удобно, но не всем нравится, когда программа для хранения паролей автоматически выходит в Интернет — поэтому выберите на своё усмотрение.

В любом случае, вы можете в дальнейшем изменить эту настройку.

Окно KeePass:

Чтобы русифицировать KeePass перейдите в меню «View» → «Change Language…»:

Выберите русский язык:

Программа предложит перезапуститься, чтобы изменился язык интерфейса на русский:

Установка KeePass в Linux

Установка в Debian, Linux Mint, Ubuntu, Kali Linux:

sudo apt install keepass2

Для русификации KeePass в Debian, Linux Mint, Ubuntu, Kali Linux выполните следующие команды:

wget `curl -s https://keepass.info/translations.html | grep -o -E 'https://downloads.sourceforge.net/keepass/KeePass[0-9.-]+Russian.zip' | tail -n 1`unzip KeePass-*-Russian.ziprm KeePass-*-Russian.zipsudo mkdir /usr/lib/keepass2/Languagessudo mv Russian.lngx /usr/lib/keepass2/Languageskeepass2

Перейдите в меню «View» → «Change Language…».

Установка в Arch Linux, Manjaro, BlackArch:

sudo pacman -S keepass

Для русификации KeePass в Arch Linux, Manjaro, BlackArch выполните следующие команды:

wget `curl -s https://keepass.info/translations.html | grep -o -E 'https://downloads.sourceforge.net/keepass/KeePass[0-9.-]+Russian.zip' | tail -n 1`unzip KeePass-*-Russian.ziprm KeePass-*-Russian.zipsudo mkdir /usr/share/keepass/Languagessudo mv Russian.lngx /usr/share/keepass/Languageskeepass

Перейдите в меню «View» → «Change Language…».

Как создать базу данных KeePass

Принцип работы менеджера паролей в том, что все данные (логины и пароли) зашифрованы и хранятся в одной базе данных. Можно выбрать любое имя и любое расположение файла с базой данных. Рекомендуется регулярно делать его резервную копию.

Баз данных может быть любое количество.

Чтобы перенести все зашифрованные пароли на другой компьютер, достаточно скопировать файл с базой данных (всё хранится в одном файле).

Как можно увидеть, большинство функций в интерфейсе неактивны, пока не создана БД, нажмите иконку «Создать»:

Если БД уже есть, то в меню выберите «Файл» → «Открыть»:

Рекомендации от программы:

Ваши данные будут сохранены в базе данных KeePass (это обычный файл). После нажатия ОК укажите место хранения этого файла. Запомните место хранения файла базы данных - это важно. Регулярно делайте резервные копии файла с базой данных (на стороннем устройстве хранения).

Нажимаем ОК:

Выберите любое имя и расположение базы данных:

Придумайте и дважды введите мастер-пароль. Этот пароль нельзя забыть — иначе потеряете доступ ко всем своим паролям!

«Оценочное качество» показывает надёжность пароля — чем больше бит, тем лучше.

На следующем окне «Параметры базы данных» можно просто нажать «ОК» чтобы оставить настройки БД по умолчанию, либо вы можете сделать некоторые изменения.

В поле «Имя базы данных» можно ничего не вводить.

В поле «Логин по умолчанию для новых записей» можно ввести имя пользователя, которые вы обычно используете, в результате оно будет подставляться в форму при внесении новой записи с паролем.

На вкладке «Безопасность» можно выбрать «Алгоритм шифрования базы данных» и алгоритм для «Трансформации ключа»:

Также можно изменить количество итераций (повторений) — чем больше итераций, тем надёжнее защита от брут-форса, но тем медленнее запись и доступ в БД. На первый взгляд кажется, что значение по умолчанию в 60000 итераций это много. С помощью кнопки «Тест» можно провести бенчмарк, который покажет, сколько нужно времени при установленном количестве итераций:

Как видно из скриншота, нужно три тысячных секунды на 60000 итераций.

Если нажать кнопку «1-секундная задержка», то будет определено число итераций, при котором задержка будет составлять 1 секунду — значение в 1 секунду считается достаточно хорошим для защиты от брут-форса, но при этом не слишком долгим, чтобы раздражать пользователя.

С новым значением итераций можно провести ещё один тест, теперь потребовалось около одной секунды:

Аналогично для второго алгоритма (если вы выберите его) — по умолчанию предложено всего 2 итерации, но для односекундной задержки на моём компьютере можно установить значение в 910 повторений.

Argon2 — победитель конкурса хэширования паролей. Основное преимущество Argon2 по сравнению с AES-KDF заключается в том, что он обеспечивает лучшую устойчивость к атакам на GPU/ASIC (благодаря функции, требующей большой памяти).

Количество итераций масштабируется линейно с требуемым временем. При увеличении параметра памяти атаки на GPU/ASIC становятся более жёсткими (и необходимое время увеличивается). Параметр параллелизма можно использовать, чтобы указать, сколько потоков следует использовать.

Нажав кнопку «1-секундая задержка» в диалоговом окне настроек базы данных, KeePass вычисляет количество итераций, которое приводит к задержке в 1 секунду при загрузке/сохранении базы данных. Кнопка «Тест» выполняет вывод ключа с указанными параметрами (которые можно отменить) и сообщает необходимое время.

Для получения ключа может потребоваться больше или меньше времени на других устройствах. Если вы используете KeePass или его порт на других устройствах, убедитесь, что все устройства достаточно быстрые (и имеют достаточно памяти) для загрузки базы данных с вашими параметрами в течение приемлемого времени.

Во вкладке «Сжатие» два варианта — сжимать БД для экономии места или нет. По умолчанию сжатие включено.

Базы данных KeePass могут быть сжаты перед шифрованием. Сжатие уменьшает размер базы данных, но также немного замедляет процесс сохранения/загрузки базы данных.

Рекомендуется использовать сжатие GZip. Этот алгоритм очень быстрый (вы не заметите никакой разницы при сохранении базы данных без сжатия), и его степень сжатия приемлема.

Не рекомендуется сохранять базы данных без сжатия.

На современных ПК сохранение файлов со сжатием на самом деле может быть быстрее, чем сохранение без сжатия, потому что процесс сжатия выполняется процессором (который очень быстрый) и меньшее количество данных должно быть передано с/на устройство хранения. Особенно, когда устройство работает медленно (например, сохранение на USB-накопитель), сжатие может значительно сократить время сохранения/загрузки.

После завершения создания базы данных, KeePass рекомендует создать аварийный лист.

Аварийный лист KeePass содержит всю важную информацию для открытия базы данных. Распечатайте его, заполните и сохраните в надёжном месте, доступном только вам и, возможно, тем, кому вы доверяете.

По сути, «аварийный лист» - это просто бумажка, которую вам надо распечатать на принтере, в ней уже вписан путь до базы данных, а также есть два поля чтобы вписать место хранения резервной копии и мастер-пароль. Если вы потеряете файл с базой данных или забудете мастер-пароль, то хранимые учётные данные уже не вернуть.

Как пользоваться KeePass

В левом окне вы можете видеть перечень групп — группы нужны чтобы упорядочить ваши пароли. Вы можете сохранять любые пароли в любую группу, а также создавать свои собственные группы. То есть группа — это что-то вроде папки.

Чтобы сохранить пароль, выберите группу, в которую вы будете сохранять, и нажмите «Добавить запись», также можно воспользоваться сочетанием клавиш Ctrl+i:

Вы можете ввести любые данные или оставить любые поля пустыми, можно изменить значок, воспользоваться генератором сильных паролей, установить срок истечения пароля и т.д.

В KeePass есть встроенная функция поиска по все базе данных — очень удобно, вы можете ввести адрес сайта или другую информацию для быстрого получения пароля:

  1. Откроется запись для редактирования.
  2. Логин будет скопирован в буфер обмена. Буфер обмена будет автоматически очищен через указанное в настройках количество секунд.
  3. Пароль будет скопирован в буфер обмена. Буфер обмена будет автоматически очищен через указанное в настройках количество секунд.
  4. В веб браузере будет открыт указанный адрес сайта.
  5. Описание будет скопировано в буфер обмена, который также будет автоматически очищен.

В целом, это удобно и вам ненужно каждый раз открывать запись и нажимать в контекстном меню «скопировать»/«вставить».

В меню имеется кнопка «Заблокировать», так в настройках часто упоминается блокировка БД — имеется ввиду её отключение, после которого для доступа к БД нужно заново вводить пароль. Вы также можете воспользоваться сочетанием клавиш Ctrl+l для блокировки в любой момент.

Обратите внимание, что при сохранении новых записей, если не выбрана автоматическое сохранение БД, то фактически они не сохраняются в БД до тех пор, пока вы явно это не сделаете. Поэтому при блокировке возникает окно с предложением выполнить сохранение:

Вы можете поставить галочку «Автоматически сохранять базу данных при закрытии/блокировки», чтобы это окно больше не появлялось.

При разблокировке или открытии введите мастер-пароль БД: