Как пользоваться KeePass и защитить свои пароли?
Расскажи как правильно пользоваться KeePass. Как настроить и как защитить свои пароли, чтоб их не взломали?
Вопрос хороший. Как вы понимаете я не буду в рамках данной статьи говорить о том, где хранить пароли, и как выбрать лучший менеджер паролей, все это мы делали в предыдущих статьях. В этой статье я постараюсь подробно рассказать о всех тонкостях настройки и использования менеджера паролей KeePass.
В статье «Как запомнить пароли», мы рассказывали про оригинальную технику запоминания паролей, которой может научится даже маленький ребенок.
Менеджер паролей KeePass
KeePass Password Safe — бесплатная утилита (менеджер паролей), программа позволяет хранить все ваши пароли, используя один главный мастер-пароль.
Приложение поддерживает алгоритмы шифрования Advanced Encryption Standard (AES (256-бит), Rijndael) и Twofish. Имеется портабельная версия, которую не нужно устанавливать и можно хранить на флешке. Кроме этого утилита переведена на 40 языков. Программа поддерживает экспорт базы паролей в разные форматы TXT, HTML и т.д. а также импорт из разных форматов.
Автором программы является Dominik Reichl.
Скачать KeePass
В Интернете существует несколько мошеннических сайтов которые под видом программы KeyPass предлагают скачать за деньги левое вредоносное ПО. Один из таких сайтов _keepass.de. Данный сайт не имеет никакого отношения к разработчику KeePass.
Я так же не рекомендую скачивать программу с торрент трекеров. Скачивайте только с официального сайта автора, по ссылкам которые я даю ниже!
Скачать KeePass с официального сайта вы можете по этим ссылкам. Версию для:
Версии KeePass
Чем отличаются версии Classic, Professional и Portable?
- Classic Edition — легкая версия.
- Professional Edition — более функциональная версия. Кроссплатформенная. Может работать без перекомпиляции в Linux, Mac OS X. Для работы данной версии нужен установленный на компьютере .NET Framework.
- KeePass portable данная версия не требует установки и может быть запущенна с флешки и из архива.
Как русифицировать KeePass
Русификация KeePass процесс не сложный. Для загрузки русификатора перейдите на официальную страницу переводов.
Скачайте необходимый вам перевод. В нашем случае это Русский. Разархивируйте файл «Russian.lngx» и положите его в папку программы.
После этого запустите программу, зайдите во вкладку View (Вид) и в выпадающем меню выберите опцию Change Laguage (Поменять язык).
В появившемся окне выберите добавленный язык. В моем случае это Русский.
Программа предложит перезапуститься, после чего интерфейс программы будет на русском языке.
Настройка KeePass
Есть огромное количество пользователей, которые используют данный менеджер паролей, но не все умеет правильно настроить программу. А настройка в случае с этой программы является очень важным делом. Правильная настройка поможет защитить ваши пароли.
Безопасность
На вкладке «Безопасность» есть несколько очень важных настроек, которые необходимо отметить.
- Блокировать при бездействии
- Блокировать при общем бездействии
- Автоочистка буфера обмена
- Блокировать при использовании удаленного доступа
- и т.д.
Смотрите рисунок ниже, где я отметил самые важные настройки, которые необходимо отметить для обеспечения лучшей защиты менеджера паролей.
Все остальное на ваше усмотрение.
Политика
На вкладке «Политика» вы можете разрешить или запретить выполнения некоторых операций. Таких как:
- Распечатку паролей
- Экспорт информации
- Копирование информации
- Загрузка плагинов
- Изменение мастер-пароля
- и т.д.
В данной вкладке вы можете отключить все в зависимости от ваших нужд. К примеру, если у вас нет необходимости в распечатке информации из программы, можете спокойно отключить данную опцию убрав галочку. Тоже самое по поводу использование плагинов и экспорта записей.
Чем больше ненужного отключите в этой вкладке, тем более надежнее будет менеджер паролей и пароли, которые вы храните в нем.
Дополнительно
На вкладке «Дополнительно» есть не мало очень важных настроек, таких как:
- Запоминание и автоматическое открытие недавно открытого файла-паролей
- Автоматический поиск файл ключей
- Запоминание директории, в которой последний раз находился файл-паролей.
- и т.д.
Я рекомендую выставить настройки вкладки «Дополнительно» так, как это показано на рисунке выше. Настоятельно не рекомендую отмечать пункт «Запоминать и автоматически открывать последнюю базу паролей…»
Как пользоваться KeePass
Пользоваться KeePass нужно правильно. Вот основные правила, которых надо придерживаться при использовании менеджера паролей:
- Первое и самое важное правило никогда не использовать легкий пароль для доступа к файлу паролей.
- Не использовать мастер пароль KeePass на других сайтах и сервисах. Оригинальный пароль только для KeePass.
- Всегда иметь две копии файла паролей на разных носителях в случае потери или кражи. И в разных местах, квартирах, домах на случай пожара.
- Никогда не держать файл паролей на рабочем столе.
- Не использовать дополнительные плагины менеджера паролей.
- Не оставлять хранитель паролей открытым на долгое время.
Плагины KeePass
Теперь по поводу плагинов. Существует огромное множество плагинов, скачать которые можно на официальной странице дополнений. Авторами плагинов являются сторонние разработчики. Как по мне, я бы не устанавливал никаких дополнительных плагинов. Программа и так делает все что необходимо, а все остальное, типа дополнений может ухудшить безопасность данных. Максимум кому я могу доверить свои пароли это автору программы, но не армии энтузиастов-любителей среди которых могут быть не совсем порядочные люди.
Как взломать KeePass
Взломать хороший, трудный пароль с помощью брутфорса (перебора паролей) невозможно. Единственный способ взломать пароль — использовать клавиатурный шпион для перехвата мастер-пароля набираемого во время входа в программу или прибегнуть к уловкам социальной инженерии.
Бесплатный менеджер паролей KeePass 2: инструкция по эффективному использованию. Часть 1
Как настроить KeePass для входа на сайты. Автоматическое определение адреса. Эквивалентные домены. Нестандартная авторизация, автонабор отдельных полей. Облачная синхронизация между устройствами. Резервное копирование базы
- Основы
- Подготовка программы
- Открытие базы и изменение мастер-пароля. Быстрая разблокировка
- Поиск нужной записи и авторизация
- Глобальный автонабор
- Создание записи
- Общая база на всех устройствах
- Обновление программы
- Списки эквивалентных доменов
- Настройка автонабора в отдельной записи
- Настройка автонабора во множестве записей
- Ручной выбор автонабора
- Операции с прикрепленными файлами
- Все ходы записаны
- Дополнительная настройка
- Импорт базы данных
Речь пойдет об использовании KeePass, в основном, на Windows. При этом сама программа кросплатформенная, а также имеет ряд адаптаций, из которых уделим внимание KeePass2Android. Чтобы база была общей на разных устройствах, обеспечим облачную синхронизацию.
Эта статья касается, в первую очередь, самого типичного применения менеджера паролей — авторизации на сайтах. Более узкие темы, как то авторизацию в разнообразных приложениях, использование нескольких баз, дополнительную защиту и т.д., рассмотрим в отдельной статье. И еще одну статью посвятим параметрам запуска KeePass’а.
Я решил не загружать читателей долгими и нудными рассуждениями, а сразу предложить готовую настройку. Пожалуй, так новички легче войдут в курс дела, а опытным хватит пояснений под спойлерами, чтобы взять на вооружение отдельные идеи. Тем более, что в сети и без того есть хорошие руководства.
Обычному пользователю™ достаточно прочитать пункт Основы, не раскрывая в нем спойлеры.
Предложенный вариант использования KeePass’а — лишь один из многих. Его достоинства:
- портативность;
- защищенный ввод мастер-пароля;
- быстрая разблокировка коротким паролем (плагин KeePassQuickUnlock);
- автонабор паролей с защитой от слежения за клавиатурой;
- копирование паролей с частичной защитой от слежения за буфером обмена;
- автоматическое резервное копирование без плагинов;
- автоматическая облачная синхронизация без плагинов, в т.ч. с несколькими хранилищами;
- фоновое выполнение синхронизации, не мешающее работе;
- ускоренный автонабор;
- нестандартный автонабор, в т.ч.:
- двухстраничная авторизация,
- набор произвольного поля,
- набор произвольной последовательности,
- набор с задержкой и без усложнения (плагин TCATO_Placeholder);
- автонабор запускается вручную;
- глобальный автонабор вызывается медленно;
- записи создаются по шаблонам;
- не используется подхват данных из браузера;
- при импорте данных из другой базы необходимо выполнять XML-замену.
Если эти недостаки для вас критичны, вы можете отказаться от глобального автонабора и поддержки эквивалентных доменов и предпочесть интеграцию с браузерами посредством плагинов, наподобие KeeFox, ChromeIPass и т.д.
Основы
Подготовка программы
Распакуем в какую-нибудь пустую папку архив с portable-вариантом KeePass версии 2.x, туда же — архив KeePass_Settings.zip (пароль 1 ), в подпапку Languages распакуем архив с русским переводом. Добавим плагины Favicon Downloader, TCATO Placeholder, WebAutoType, AutoTypeShow, KeePassQuickUnlock и KPSourceForgeUpdateChecker — просто поместим файлы с расширением .plgx в подпапку Plugins .
KeePass 2.x требует .NET Framework 2 или выше, а плагин WebAutoType — .NET Framework 4. В отсутствие .NET Framework 4 можно использовать плагин WebAutoType версии 3.x (работает медленно) или отказаться от этого плагина.
Если используются жесткие средства защиты, наподобие Comodo Internet Security, понадобится добавить в доверенные файлы из каталога Scripts .
Чтобы убедиться, что программа не поддельная, проверим подписи, как рекомендует ее автор. У каждого exe- и dll-файла откроем окно свойств и перейдем на вкладку «Цифровые подписи». Удостоверимся, что имя подписавшего — Open Source Developer, Dominik Reichl . Затем нажмем Сведения и удостоверимся, что подпись действительна. Не иметь подписи могут только файлы плагинов в папке PluginCache .
Настройка ориентирована на максимально портативную и автономную работу. Данные размещаются в каталоге программы и не привязаны к его расположению. Этот каталог можно перемещать, а также переносить на другие ПК.
KeePass сам по себе обеспечивает портативность, в частности, запоминает именно относительный путь к базе данных. Поэтому базу удобно держать в папке программы и переносить вместе с ней. Однако по умолчанию KeePass помещает скомпилированные плагины в папку %LOCALAPPDATA%\KeePass , что несколько отступает от портативности. Чтобы они помещались в папку программы, отредактирован файл KeePass.config.xml (в кодировке UTF-8): после строки Application > вставлена строка PluginCachePath > PluginCache /PluginCachePath > .
Чтобы опробовать настройку смогли даже те пользователи, у которых уже запущен свой KeePass, в разделе Сервис &�� Параметры &�� Дополнительно отключена опция Ограничивать одним экземпляром.
Открытие базы и изменение мастер-пароля. Быстрая разблокировка
Запустим KeePass и введем мастер-пароль 1 .
Если запустить перед этим какой-нибудь килоггер-тест, то можно убедиться, что ввод мастер-пароля хорошо защищен.
Изменим мастер-пароль (меню Файл &�� Изменить основной пароль): зададим свой сложный пароль и, при желании, ключевой файл. Этот файл можно сгенерировать, но вообще, можно взять любой личный файл, который доступен на всех синхронизируемых устройствах и ни в коем случае не может быть утерян или изменен. Данные учетной записи Windows не будем использовать для авторизации.
Ключевой файл, если задать его, будет запрашиваться вместе с паролем при каждом запуске программы. Открыть базу смогут только те, у кого есть пароль и ключевой файл одновременно.
При каждом сохранении база шифруется заново, причем с новым случайным вектором инициализации, чтобы скрыть, в какую именно часть базы вносились изменения.
Чтобы облегчить разблокировку базы, зайдем в группу service > , откроем запись QuickUnlock и назначим ей какой-нибудь простой пароль, например, последние 3 символа мастер-пароля. Теперь повторная разблокировка будет выполняться этим коротким паролем, в случае ошибки потребуется ввести мастер-пароль целиком.
Если в работе KeePass’а возникли проблемы, попробуйте переименовать файл compatibility-KeePass.config.enforced.xml в KeePass.config.enforced.xml и перезапустить программу. Это повысит совместимость за счет отключения некоторых опций:
- защищеного рабочего стола для ввода пароля,
- DACL-защиты,
- защиты буфера обмена от логирования,
- ускоренного автонабора.
Чтобы обычные килоггеры не могли перехватить ввод мастер-пароля, в разделе Сервис &�� Параметры &�� Безопасность включена опция Вводить основной пароль в защищенном режиме. На вкладке Дополнительно включена опция Запоминать и автоматически открывать последнюю базу данных при запуске, как и по умолчанию; но в то же время отключены опции Запоминать источники ключа и Запоминать рабочие папки, поскольку некоторые пользователи считают расположение ключевого файла секретной информацией.
Функцию быстрой разблокировки обеспечивает плагин KeePassQuickUnlock. Для него создана запись QuickUnlock, в ней отключена опция Автонабор &�� Разрешить автонабор для этой записи, а в настройке программы в разделе Сервис &�� Параметры &�� QuickUnlock выбран режим ‘QuickUnlock’ Entry only и снят лимит времени. (Режим Part of Master Password не используется, так как он пригоден лишь для однократной быстрой разблокировки.)
Поиск нужной записи и авторизация
Опробуем разные способы ввода учетных данных. Воспользуемся «учебной» учетной записью, которая имеет название Учебный аккаунт, логин myLogin, пароль myPassword, ссылку http://keepass.info/help/kb/testform.html, тег демо и заметки Тренировка
Заодно проверим, перехватываются ли данные тестами, следящими за нажатием клавиш и буфером обмена, а также утилитой Ditto, запоминающей буфер обмена.
Начнем с клавиатурного способа. Откроем KeePass сочетанием клавиш Ctrl+Alt+Shift+K и сразу же наберем фрагмент названия записи, или логина, или ссылки, или тега, или даже заметок, нажмем Enter. Стрелками выберем нужную запись из найденных и нажмем Ctrl+U — ссылка откроется. Поставим курсор в поле ввода логина и нажмем Ctrl+Alt+Shift+F9 . Нажмем кнопку Submit — и страница покажет сообщение с введенными данными.
Аналогичное можно проделать одной мышью: сделаем двойной клик по полю URL нужной записи. Когда ссылка откроется, кликнем по полю ввода (не обязательно очищать поле — KeePass сделает это сам). Вернемся к KeePass’у и нажмем на панели инструментов кнопку Выполнить автонабор.
Кликать по полю ввода желательно всегда, даже если там уже мигает курсор. В частности, этого требует авторизация в Google через Firefox.
Если понадобится отдельно набрать логин или пароль — вызовем на записи контекстное меню и в разделе Начать автонабор выберем пункт или .
Вместо автонабора можно перетащить логин и пароль в браузер прямо из списка записей KeePass’а.
Еще один вариант — временно скопировать учетные данные в буфер обмена: это делается двойным кликом по ним либо через контекстное меню записи. Контекстное меню позволяет копировать и дополнительные поля, например, Secret. При этих способах копирования через 20 секунд буфер обмена автоматически очищается.
Посмотрим, удался ли перехват пароля килоггер-тестом. В случае автонабора мы увидим просто мешанину символов — это достигнуто двойным усложнением автонабора. Таким образом, простые килоггеры не смогут разобрать наши учетные данные, хотя это возможно при целенаправленной атаке на KeePass. Если не пользоваться автонабором, а перетаскивать логин и пароль в поля ввода, то обычным килоггерам вообще ничего не достанется. Но если копировать учетные данные в буфер обмена, пусть и с последующей его очисткой, — тестовая программа их перехватит. В то же время утилита Ditto не перехватывает данные, скопированные двойным кликом.
В разделе Сервис &�� Параметры &�� Политика включены опции Автонабор, Автонабор без контекста, Перетаскивание и Копирование, как и по умолчанию.
На вкладке Интеграция заданы глобальные горячие клавиши Ctrl+Alt+Shift+F9 для автонабора выбранной записи и Ctrl+Alt+Shift+K для показа KeePass’а. Можно сделать комбинации и более простыми, но возрастет риск случайного нажатия и конфликта с другими программами.
Чтобы упростить поиск, на вкладке Интерфейс в разделе Быстрый поиск включены все три опции вида Помещать фокус на.
На вкладке Безопасность включена автоочистка буфера обмена через 20 секунд. Также включена опция Использовать формат буфера обмена ‘Clipboard Viewer Ignore’, чтобы некоторые легальные программы, следящие за буфером обмена, не запоминали учетные данные.
В самой базе изменена верхняя группа: на вкладке Автонабор задано использование последовательности , как самой универсальной. В учебной записи включена опция Двойное усложнение автонабора.
Чтобы активировать подменю Начать автонабор, в разделе Сервис &�� Параметры &�� Интерфейс включена опция Показывать дополнительные команды меню автонабора.
Для ускорения автонабора отредактирован файл KeePass.config.xml : после строки Integration > вставлена строка AutoTypeInterKeyDelay > 10 /AutoTypeInterKeyDelay >
Глобальный автонабор
До сих пор мы своими руками отыскивали подходящую запись для авторизации на сайте. Однако KeePass способен найти ее сам, сообразно открытому сайту, и запустить автонабор: достаточно кликнуть в поле ввода, нажать клавиши Ctrl+Alt+Shift+A (или кнопку [G] на панели инструментов KeePass’а) и в появившемся окне подтвердить выбор учетной записи.
Если вместо обычной последовательности понадобится набрать один пароль — нажмем Ctrl+Alt+Shift+P и аналогично подтвердим выбор записи.
Глобальному автонабору и набору пароля назначены горячие клавиши Ctrl+Alt+Shift+A и Ctrl+Alt+Shift+P соответственно (Сервис &�� Параметры &�� Интеграция).
Добавлен плагин WebAutoType, считывающий адрес фрейма. В его настройке включена опция Use the URL field value for matching.
Работу кнопки [G] обеспечивают триггеры (Сервис &�� Триггеры) и скрипт HideExecActivate.js .
Сначала создан триггер Добавить кнопки на панель инструментов:
- событие: Приложение запущено и готово;
- условия: отсутствуют;
- действие: Добавить свою кнопку на панель инструментов:
- идентификатор: btn_GlobalAutoType ,
- имя: [G] ,
- описание: Выполнить глобальный автонабор .
Затем создан триггер Глобальный автонабор кнопкой [G]:
- событие: Нажата пользовательская кнопка с идентификатором btn_GlobalAutoType ,
- действие: Выполнить команду/ссылку:
- файл/ссылка: %windir%\System32\wscript.exe ,
- аргументы: «\Scripts\HideExecActivate.js» /cmd:
- опция Ждать выхода отключена.
Скрипт HideExecActivate.js симулирует нажатие клавиш Alt+Esc , чтобы убрать окно KeePass’а на задний план, командной строкой инициирует глобальный автонабор, а затем активизирует окно выбора записи. Код скрипта:
var WshShell = WScript.CreateObject("WScript.Shell"); var FSO = WScript.CreateObject("Scripting.FileSystemObject"); var NamedArgs = WScript.Arguments.Named; var cmd = NamedArgs.Exists("cmd") ? decodeURIComponent(NamedArgs("cmd")) : ""; var win = NamedArgs.Exists("win") ? decodeURIComponent(NamedArgs("win")) : ""; WScript.Sleep(100); WshShell.SendKeys("%"); if (cmd) < WScript.Sleep(100); WshShell.Run(cmd); >if (win) < for (var attempt = 1; attempt != 600; ++attempt) < WScript.Sleep(100); if (WshShell.AppActivate(win)) < break; >> >Во избежание фишинга в разделе Сервис &�� Параметры &�� Дополнительно &�� Автонабор отключены все четыре опции вида Считать запись подходящей. .
Для перестраховки от случайного нажатия горячих клавиш включена опция Всегда показывать окно выбора записи для глобального автонабора.
За считывание адреса отвечает плагин WebAutoType, использующий интерфейс IAccessible, с чем связан ряд недостатков:
- этот интерфейс доступен только на Windows;
- в некоторых браузерах (K-Meleon, Pale Moon) он отсутствует;
- в браузерах на основе Chromium он по умолчанию отключен, хотя:
- для включения можно запускать браузер с аргументом командной строки —force-renderer-accessibility ,
- плагин WebAutoType самостоятельно включает этот интерфейс в браузерах;
Поэтому возможно, вы предпочтете удалить плагин WebAutoType и воспользоваться другим решением — установить в браузер расширение, добавляющее к оконному заголовку адрес открытой страницы. Тогда KeePass будет подбирать записи на основании этого заголовка.
Настройка самого расширения не играет особой роли: добавляет ли оно в заголовок полный адрес или только домен, с протоколом или без, заключает ли адрес в скобки т.п.
Браузер, в который установлено расширение, понадобится отметить в базе: в группе service > открыть запись Associations > и вписать название браузера в поле Логин. Название должно быть тем самым, которое браузер добавляет в конец своего заголовка. Можно перечислить несколько браузеров, разделяя их знаком | :
Если какой-либо браузер запускается в песочнице Sandboxie, понадобится дополнительно указать его название с символами [#] на конце, например:
Pale Moon|K-Meleon|Pale Moon [#]|K-Meleon [#]|Tor Browser [#]
Глобальный автонабор, использующий браузерные расширения, работает только для записей, созданных по шаблонам. Так настроено во избежание фишинга: чтобы принимался во внимание только последний адрес, содержащийся в заголовке, — тот, что добавлен расширением. Однако следует учесть, что этой меры недостаточно, если мошеннический сайт меняет свой заголовок скриптом.
Как эта функция реализована, рассмотрим позже, вместе с поддержкой эквивалентных доменов.
Создание записи
Создавать записи будем на основе шаблонов: щелкнув по стрелке справа от кнопки добавления записи и выбрав нужный шаблон.
Шаблоны — это просто записи, заготовленные в группе templates: в них могут быть проставлены названия, ссылки, добавлены дополнительные поля, установлены значки, включено усложнение автонабора, заданы его последовательности и т.д. Некоторые шаблоны содержат в Заметках инструкцию по своему использованию, ее можно удалить.
Можно создавать в группе templates новые шаблоны, желательно на основе шаблона _Обычная_запись_.
Чтобы редко используемые шаблоны не занимали место в выпадающем списке, можно переместить их в подгруппу unused: когда они понадобятся, просто вернем их в группу templates.
Откроем в браузере какой-нибудь форум и попробуем на нем зарегистрироваться. Войдем в группу Общие и добавим запись по шаблону _Обычная_запись_. Дадим ей желаемое название, в поле URL-ссылка скопируем адресную строку браузера.
Перейдем на страницу регистрации и заполним требуемые поля, кроме пароля. Скопируем в соответствующее поле KeePass’а выбранный логин, а в поле Заметки укажем прочие данные, которые использовали для регистрации: имейл, имя и т.п. Теперь нажмем Ok, чтобы закрыть окно создания записи. Чтобы запись обрела значок сайта, выберем в ее контекстном меню пункт Download Favicons.
Если идентичный логин уже содержится в базе, то необязательно набирать его и копировать — достаточно ввести первые символы в окне создания записи и выбрать подходящий вариант из выпадающего списка. Затем логин можно будет перетащить на страницу регистрации.
Перетащим пароль из KeePass’а в положенное место на странице регистрации (как вариант, можем воспользоваться автонабором или копированием). Готово.
Пароль при этом генерируется автоматически. Он формируется из 20 символов: букв нижнего регистра, верхнего регистра, цифр и спецсимволов ( _-,.;: ), причем гарантируется присутствие знаков каждого из этих 4 видов.
Можно было сделать проще и быстрее: ввести желаемый логин на странице регистрации, кликнуть по нему, нажать Ctrl+Alt+Shift+W — и откроется окно добавления записи с уже готовым заголовком, логином и ссылкой. Останется лишь перетащить пароль в форму регистрации.
Однако использование шаблонов предпочтительнее тем, что в них включено усложнение автонабора и поддержка эквивалентных доменов, а также могут быть учтены особенности того или иного сайта.
В то же время удобно воспользоваться клавишами Ctrl+Alt+Shift+W , чтобы узнать адрес фрейма, в котором находится форма авторизации. Дело в том, что при поиске записи учитывается адрес фрейма, куда вводятся данные, а не адресная строка браузера, — поэтому именно адрес фрейма следует указывать в поле URL-ссылка (или в списке эквивалентных доменов). Например, авторизация на странице https://e.mail.ru в действительности происходит через фрейм https://account.mail.ru .
Горячие клавиши задаются в настройке плагина WebAutoType.
Если вы захотите сгенерировать другой пароль, откройте запись, нажмите кнопку рядом с полем Пароль и выберите вариант Автосоздаваемые пароли для новых записей. Если сайт не принимает слишком сложные пароли, выберите вариант Simple.
Вариант Simple дает пароль из 14 алфавитно-цифровых символов, гарантируется присутствие букв разного регистра и цифр. Вариант Strong дает пароль из 30 почти любых ASCII-символов.
Теперь опробуем регистрацию на Яндексе. Добавим запись по шаблону Yandex, перейдем на страницу регистрации, укажем имя, определимся с логином. Занесем в KeePass логин, укажем в коммментарии имя, фамилию и нажмем Ok. Перетащим пароль на страницу регистрации.
Однако Яндекс требует также придумать ответ на секретный вопрос. Этот ответ должен быть таким же секретом, как и пароль, поэтому мы и сгенерируем его подобно паролю.
Войдем в группу service > и вызовем контекстное меню на записи Генератор паролей > . Выберем Копировать строковое поле &�� Создать обычный пароль. Вставим свежесозданный «ответ на вопрос» на страницу регистрации, это нужно сделать за 20 секунд. Теперь сохраним наш «ответ» в KeePass: сделаем двойной клик по полю Пароль записи Генератор паролей > , чтобы еще раз скопировать тот же «ответ»; потом откроем свою запись Yandex, перейдем на вкладку Дополнительно и вставим «ответ» в поле Secret — на все про все снова 20 секунд. Готово.
Помимо поля Secret, вы можете добавлять на вкладку Дополнительно свои поля с произвольными названиями, чтобы хранить, например, телефонные номера, коды восстановления и т.п. Если содержимое дополнительного поля секретно, включите опцию Защита в памяти — тогда это поле не будет расшифровываться без надобности, в частности, его не будет видно в панели просмотра. Впоследствии содержимое этих полей можно будет копировать через контекстное меню записи, а также набирать.
Например, имейл, использованный для регистрации на форуме или указанный резервным на Яндексе, имело бы смысл перенести из заметок в дополнительное поле Email.
Если вы уже пользуетесь каким-нибудь менеджером паролей, то можете перенести свою базу в KeePass, выполнив импорт и небольшую обработку данных.
В окне Сервис &�� Генератор паролей заданы профили паролей. Чтобы гарантировать наличие символов каждого типа, использован режим Создать, используя шаблон (с обязательно включенной опцией Случайно переставлять символы в пароле).
Для профиля Simple задан шаблон dul[dul] , который означает одну цифру, одну букву в верхнем регистре, одну в нижнем и еще 11 любых алфавитно-цифровых символов. Профиль добавляется кнопкой Сохранить.
Для основного профиля задан шаблон dul[p\-\_][dulp\-\_] , который означает цифру, букву в верхнем регистре, букву в нижнем, спецсимвол, являющийся знаком препинания, дефисом или подчеркиванием, и еще 16 любых символов из перечисленных категорий. Чтобы использовать этот профиль по умолчанию, он сохранен как Автосоздаваемые пароли для новых записей.
Для профиля Strong задан шаблон dul[s^\^\~\`\’\»][duls^\^\~\`\’\»] , означающий цифру, букву в верхнем регистре, букву в нижнем, любой печатаемый спецсимвол ASCII (кроме знаков ^~`'» , которые не набираются в некоторых окнах) и еще 26 любых символов из перечисленных категорий.
В базе создана группа templates, для нее отключен автонабор и поиск записей (Изменить группу &�� Поведение) и указано, что она является «группой шаблонов» (Файл &�� Параметры базы данных &�� Дополнительно). Также в ней создана подгруппа unused для хранения временно неиспользуемых шаблонов.
В большинстве шаблонов вместо пароля указана строка #(.*templates)?.*# $ 1#>NEWPASSWORD>
Эта строка устроена так, чтобы в записи, созданной на основе шаблона, автоматически генерировался пароль. Он сгенерируется не сразу после создания записи, а при первом обращении к полю Пароль: копировании, перетаскивании или автонаборе. Если же обратиться к этому полю в самом шаблоне — пароль сгенерирован не будет.
В шаблонах, где требуется генерировать короткие буквенно-цифровые пароли, в качестве пароля указана строка #(.*templates)?.*# $ 1#>NEWPASSWORD:/Simple/>
В базе создана запись Генератор паролей > , в ней на вкладке Дополнительно добавлены поля Создать обычный пароль, Создать простой пароль и Создать сложный пароль со значениями , и соответственно, у каждого включена опция Защита в памяти.
Каждый раз, когда такое строковое поле раскрывается (копируется в буфер обмена или вводится автонабором), значение в поле Пароль заменяется новым.
Общая база на всех устройствах
Пришло время наладить синхронизацию. Откроем запись AutoSync > в группе service > , укажем в логине свой e-mail, сгенерируем пароль и зарегистрируемся на облачном хранилище PowerFolder. (Название записи, ссылку и первую строку заметок оставим нетронутыми.) В хранилище создадим каталог keepass и отправим туда файл нашей базы, что лежит в папке DBases . Вот и все.
Теперь база будет автоматически синхронизироваться с облаком: после внесения изменений (они сохраняются автоматически), а также ежечасно. Чтобы синхронизировать ее принудительно, достаточно нажать кнопку сохранения.
Если вам понадобится вместо синхронизации просто заменить файл в облачном хранилище, это можно сделать через браузер: удалить старый файл и отправить новый. Ссылка на страницу авторизации — первая строка заметок записи AutoSync > .
База синхронизируется в следующих случаях:
- сразу после сохранения;
- при открытии или минутном неиспользовании KeePass’а — если она еще не синхронизировалась с последнего сохранения;
- при минутном неиспользовании KeePass’а — если база устарела, т.е. с последней ее синхронизации прошел час;
- при открытии — если база сильно устарела, т.е. с последней ее синхронизации прошли сутки.
Можно изменить периоды устаревания и сильного устаревания: они задаются соответственно в секундах в полях URL-ссылка и Пароль записи Settings > . Чтобы отказаться от синхронизации сильно устаревшей базы при открытии, сделайте пароль пустым. Чтобы полностью отказаться от синхронизации при устаревании, сделайте пустой ссылку.
Вместо PowerFolder можно использовать, например, MyDrive, тогда нужно заменить в записи AutoSync > ссылку на https://webdav.mydrive.ch/keepass//Uri/> , а первую строку заметок на https://www.mydrive.ch/login . Подойдут и другие хранилища, предоставляющие WebDAV или FTP: выделенный код понадобится заменить соответственно адресом хранилища и адресом страницы авторизации.
Можно синхронизировать базу с несколькими хранилищами: дополнительно создать запись AutoSync1 > и указать в ее ссылке адрес базы, а в логине и пароле учетные данные подключения. Аналогично AutoSync2 > .
Чтобы отказаться от автоматической синхронизации для данной базы, сделайте пустым логин записи AutoSync > . Чтобы отказаться от автоматической синхронизации для всех баз, отключите опцию Разрешен в окне Сервис &�� Триггеры &�� Автоматически синхронизировать.
В самой базе создана запись под названием AutoSync > со ссылкой https://my.powerfolder.com/webdav/keepass//Uri/> и заметками, начинающимися строкой https://my.powerfolder.com/login , а также запись Settings > с паролем 86400 и ссылкой 3600 .
В окне Сервис &�� Триггеры создан триггер Автоматически синхронизировать:
- события:
- Открыт файл базы данных:
- Операция: Равно,
- Фильтр: \Scripts\AutoSyncHelper.js» «» » >»#M=C,WS=H#>
- Строка:
- строка: ,
- операция: Равно,
- значение: DBases ;
- опция Отрицание включена,
- база данных: Текущая;
- опция Отрицание включена,
- строка: >/^\ <.*//>,
- операция: Равно,
- значение: пусто;
- опция Отрицание включена,
- строка: \Scripts\AutoSyncHelper.js» «» » >»#M=C,WS=H#> ,
- операция: Равно,
- значение: actual ;
- Изменить состояние триггера:
- Имя триггера: пусто,
- новое состояние: Выключить,
- файл/ссылка: > ,
- логин: > ,
- пароль: > ;
- файл/ссылка: >/^\ <.*//>,
- логин: > ,
- пароль: > ;
- файл/ссылка: >/^\ <.*//>,
- логин: > ,
- пароль: > ;
- файл/ссылка: %windir%\System32\cscript.exe ,
- аргументы: «\Scripts\AutoSyncHelper.js» «» ,
- опция Ждать выхода включена,
- стиль окна: Скрытое;
- Имя триггера: пусто,
- новое состояние: Включить.
Этот триггер проверяет специальный файл рядом с базой. Если он отсутствует или является устаревшим, триггер выполняет синхронизацию и обновляет файл. Для этого используется скрипт AutoSyncHelper.js :
var dbPath = WScript.Arguments(0); var markPath = dbPath + ".synctime"; var FSO = WScript.CreateObject("Scripting.FileSystemObject"); if (WScript.Arguments.Count() == 1) < var textStream = FSO.CreateTextFile(markPath, true, false); textStream.Write(new Date().toUTCString()); textStream.Close(); >else < try < var dbTime = new Date(FSO.GetFile(dbPath).DateLastModified).getTime(); var markTime = new Date(FSO.GetFile(markPath).DateLastModified).getTime(); var period = 1000 * +WScript.Arguments(1); if (dbTime = markTime && !(period > 0 && new Date().getTime() - markTime > period)) < WScript.StdOut.Write("actual"); >> catch (e) < >>Дополнительно для множественных баз используется триггер Автоматически активировать, описанный в другой статье.
Синхронизация будет запускаться только для баз, расположенных непосредственно в папке DBases , в которых есть запись AutoSync > с непустым логином, и только если сервер доступен (т.е. если работает ссылка в первой строке заметок). Учетные данные WebDAV возьмутся из самой этой записи.
Чтобы избежать сбоев при синхронизации, отключена опция Сервис &�� Параметры &�� Дополнительно &�� Использовать файловые транзакции. Когда эта опция включена, KeePass использует при сохранении базы промежуточный временный файл: такой метод сохранения призван предотвратить потерю данных, но иногда из-за него некорректно работает синхронизация. Вместо файловых транзакций, для защиты от потери данных предусмотрено автоматическое резервное копирование.
Обновление программы
Когда KeePass оповестит нас о выходе новой версии, закроем программу, скачаем заново архив с portable-вариантом версии 2.x, архив с переводом и просто заменим все соответствующие файлы в папке программы новыми. Наша настройка при этом сохранится.
Автор программы намеренно не сделал обновление автоматическим, чтобы исключить всевозможные риски подмены. Перед запуском рекомендуется проверить подлинность exe- и dll-файлов программы.
Используем KeePass2Android
Установим KeePass2Android стандартным образом. Затем перейдем в настройку системы и разрешим использование клавиатуры KeePass2Android. Настроим эту клавиатуру: в пункте Языки ввода отметим Английский и Русский, остальное по вкусу.
Нажмем Открыть файл, выберем HTTPS (WebDAV) и укажем те же данные, что в записи AutoSync > (ссылку следует указать в явном виде, скопировав ее из KeePass’а клавишами Ctrl+Shift+U ). Логин и пароль облачного хранилища можно сохранить, это не самая чувствительная информация. Откроем базу, указав мастер-пароль и ключевой файл, если используется.
Теперь оценим удобство этой программы. Откроем в браузере сайт, который есть в базе. Нажмем Поделиться, выберем KeePass2Android — и нужная запись активизируется. Поставим курсор в поле ввода и сменим клавиатуру на KeePass2Android. которая принимает вид, говорящий сам за себя. Таким образом, этой клавиатурой мы будем легко вводить логины, пароли и дополнительные строковые поля, не прибегая к их копированию в буфер обмена (что было бы довольно опасно).
Еще одно облегчение жизни пользователей — быстрая разблокировка: для доступа к базе достаточно ввести три последних символа пароля. Ошиблись — вводим целиком. Функция настраивается и, при желании, отключается.
Чтобы менять клавиатуру было удобнее, рекомендую в разделе Настройка &�� Приложение &�� Парольный доступ &�� Переключение клавиатуры включить опции Автопереключение клавиатуры, Переключить обратно и Сменить после завершения, а опцию Автопереключение только после поиска отключить.
Опытные пользователи могут с помощью ADB задействовать плагин KeyboardSwap — тогда клавиатура будет переключаться вообще сама.
Добавлять записи через KeePass2Android тоже можно, как вариант, через функцию Поделиться. При этом тоже можно пользоваться шаблонами, но предупрежу, что пароль создается не автоматически: нужно нажать кнопку (+) и задать его характеристики.
Однако с редактированием базы через KeePass2Android не все гладко.
Так, у некоторых пользователей возникает сбой, если внести изменения через KeePass2Android в базу, которая перед этим была синхронизирована с другим устройством. Можно избежать таких сбоев, если отключить опцию Настройка &�� Приложение &�� Обработка файлов &�� Проверить на наличие изменений и перед каждым изменением синхронизировать базу.
Главное предостережение: при сохранении изменений нельзя поворачивать устройство. Происходящий при этом сбой грозит потерей данных! (Thx roman_vlg)
В случае проблем рекомендую очистить кэш приложения.
Дополнительные возможности
Вернемся в Windows и продолжим разбираться с KeePass’ом.
Списки эквивалентных доменов
Зачастую один интернет-ресурс имеет несколько страниц авторизации с разными доменными именами. Сделаем так, чтобы KeePass учитывал это при глобальном автонаборе: занесем эти домены в список экивалентных.
Для этого в группе domains создадим новую запись или изменим существующую, перечислив в ее названии эквивалентные домены, разделенные знаком | , без пробелов, без протокола и без префикса www . Название должно начинаться и оканчиваться тоже знаком | . Например: |yandex.ru|yandex.by|passport.yandex.ru| .
Теперь глобальный автонабор будет работать, даже если в поле URL-ссылка указана страница https://passport.yandex.ru , а открыта https://www.yandex.ru или даже https://mail.yandex.by — подойдет любой поддомен.
Более того, в большинстве случаев даже не понадобится создавать такой список: каждая запись и так соответствуют всем поддоменам своей ссылки. Например, запись со ссылкой https://vk.com/login подойдет для страницы https://m.vk.com/ .
Но не наоборот — запись со ссылкой https://m.vk.com не подойдет для страницы https://vk.com/login . Чтобы установить между ними соответствие, понадобится все-таки создать запись с названием |vk.com|m.vk.com| .
Поддержка эквивалентных доменов работает только для записей, созданных по шаблонам. Чтобы она заработала для записей, созданных другим путем, придется выполнить для них такое же преобразование, как при импорте.
За поддержку эквивалентных доменов отвечает созданная в группе service > запись Associations > . Ее пароль определяет ассоциации с оконным заголовком браузера, а ссылка — с адресной строкой. Логин этой записи — список браузеров, в которых нужно определять адрес по оконному заголовку. Можно редактировать эту запись, подстраивая работу программы под свои нужды.
Чтобы сопоставление ссылок с заголовком и адресной строкой браузера работали так, как описано выше, пароль и ссылка этой записи сделаны соответственно такими:
В различных шаблонах записей задано два целевых окна автонабора (Автонабор &�� Добавить): одно в режиме Match against the title с заголовком >/\/ , другое в режиме Match against the URL с адресом >/\/ . Последовательность для них оставлена по умолчанию.
В параметрах группы domains отключен поиск и автонабор.
Как уже говорилось, во избежание фишинга в разделе Сервис &�� Параметры &�� Дополнительно &�� Автонабор отключены все четыре опции вида Считать запись подходящей. .
Настройка автонабора в отдельной записи
Рассмотрим параметры, доступные в каждой отдельной записи на вкладке Автонабор.
По умолчанию запись наследует последовательность автонабора от группы. Можно вместо этого вписать свою последовательность.
Например, код означает очистку поля, набор логина, нажатие Tab и набор пароля — такая последовательность подходит в большинстве случаев.
Другой пример — код — набрать логин, нажать Enter , выждать две секунды и набрать пароль. Такая последовательность подойдет для авторизации на Google, Microsoft и т.п., где ввод логина и пароля выполняется на отдельных страницах.
В последовательности автонабора можно ссылаться не только на логин с паролем, но и на дополнительные поля. Например, для авторизации на ProtonMail нужно вводить логин и два разных пароля — сохраним второй пароль в поле Secret и назначим последовательность : набор логина, нажатие Tab , набор пароля, нажатие Enter , трехсекундная задержка и набор поля Secret. Аналогично вы можете добавлять на вкладку Дополнительно поля с любыми именами на свой вкус и использовать их в автонаборе. Например, если добавить поле PhoneNumber, то в последовательность автонабора можно будет вставить код , означающий содержимое этого поля.
Можно назначить разные последовательности автонабора разным окнам или адресам. Например, иногда Google запрашивает только пароль — адрес в таких случаях содержит фрагмент /pwd . Мы можем назначить такой странице автонабор одного пароля: нажмем Добавить, переключимся в режим Match against the URL и укажем в поле Target URL код https://accounts.google.com/*/pwd* , а в поле Своя последовательность код .
Если понадобится идентифицировать окно по его заголовку, нужно выбрать режим Match against the title.
Также на вкладке Автонабор можно включить или отключить усложнение. Усложнение автонабора частично защищает от килоггеров, однако его невозможно использовать в некоторых окнах, например, в консольных. Можно настроить усложнение автонабора более тонко, например, включить его в целом для записи, но определенным окнам назначить последовательность без усложнения, наподобие . Код в последовательности принудительно отключает усложнение автонабора, а код включает — это обеспечивается плагином TCATO_Placeholder.
Настройка автонабора во множестве записей
Теперь рассмотрим, как задать последовательность автонабора сразу в нескольких записях.
Простейший способ — создать группу, переместить в нее записи и назначить ей нужную последовательность (Изменить группу &�� Автонабор). Так, в предлагаемой базе заготовлена группа 2-страничные, чтобы вводить логин и пароль на отдельных страницах, как в Google, Microsoft и т.п.
Однако хотелось бы группировать записи по смыслу, а не по способу автонабора. Поэтому сделаем хитрее: назначим автонабор домену. Для этого воспользуемся теми самыми списками эквивалентных доменов, которые создавали в группе domains: укажем последовательность в заметках такой записи-списка.
Предположим, у нас есть записи со ссылками http://example.com , https://www.example.com/login.html и т.п. и требутся назначить им последовательность . Для этого достаточно создать в группе domains служебную запись с названием |example.com| и такими заметками:
UserName> TAB> Password> ENTER>
Последовательность следует разбить так, чтобы текстовые выражения располагались на нечетных строках, а клавиатурные команды на четных; затем каждый знак < заменить на . Идущие подряд фрагменты одного типа разрывать не требуется. Если последовательность начинается с клавиатурной команды, первую строку нужно оставить пустой.
Например, в последовательности CLEARFIELD>@ENTER>DELAY 2000> выделены фрагменты, являющиеся клавиатурными командами. Поэтому она запишется так:
CLEARFIELD> UserName>@S:Domain> ENTER>DELAY 2000> Password>Название служебной записи может содержать несколько эквивалентных доменов — последовательность будет применена к ним всем: |example.com|example.org|
В случае двухстраничной авторизации, как на Google, Microsoft, Yandex или Mail.ru, даже не понадобится формировать последовательность — достаточно вписать в заметки служебной записи код
Вы можете изменить задержку между набором логина и пароля в заметках записи |2pages|.
Однако может оказаться, что запись не имеет домена (например, она хранит паспортные данные) или домен ее ссылки по какой-то причине нам не подходит. В таком случае добавим в запись поле Sequences > и явно укажем в нем название служебной записи, содержащей нужную последовательность. Например, в шаблоне паспортных данных есть поле Sequences > со значением |Passport| . Значит, для записей, созданных по этому шаблону, будет применяться последовательность, указанная в заметках служебной записи |Passport|.
По умолчанию применяется последовательность, заданная в заметках записи |default|: .
- Прежде всего применяется последовательность, назначенная окну/адресу;
- если для окна/адреса последовательность не задана, применяется основная последовательность записи;
- если для записи последовательность не задана, применяется последовательность группы;
- если для группы последовательность не задана, применяется последовательность родительской группы и т.д.;
- если ни в одной некорневой группе последовательность не задана, рассматривается служебная запись с именем:
- указанным в поле Sequences > , если оно существует;
- содержащим домен ссылки, окруженный знаками | , если поле Sequences > отсутствует;
Корневой группе назначена последовательность автонабора:
В группе domains создана запись |default|. Последовательность задана в ней особым способом, чтобы смягчить усложнение при вводе логина. Для этого добавлено поле #UserName со значением:
Delay 0> T-REPLACE-RX::UserName>:(.):$1 Delay 0> :>В логине указана ссылка на это поле: . В заметках указан код:
CLEARFIELD> Tab>Delay 100> Password>Также создана запись |2pages| с такими заметками:
CLEARFIELD>Ручной выбор автонабора
Как уже говорилось, можно набрать отдельно логин или пароль через контекстное меню записи (подменю Начать автонабор). Таким способом можно набирать и некоторые типичные последовательности.
Однако гораздо более гибкий вариант — нажать кнопку [F] . Тогда откроется расширенный список последовательностей, в котором можно выбрать для автонабора не только логин/пароль, но и, например, поле Secret (если оно состоит из одной строки). Если же закрыть этот список, то появится другой — позволяющий набрать вообще любое однострочное поле или последовательность из записи.
Чтобы набрать многострочное поле, нужно сначала выбрать пункт «= Multiline Field. » в первом списке, а затем нужное поле во втором.
Первый список является «внешним», общим для разных записей. Второй — «внутренний», определяется только выбранной записью.
Внешний список по умолчанию задается полями служебной записи |default| в группе domains. Их формат описан выше. Например, можно добавить поле LoginTabPassEnter с таким содержимым:
UserName> TAB> Password> ENTER>
Разные записи могут иметь разные внешние списки. Чтобы внешний список определялся доменом, достаточно создать или отредактировать служебную запись со списком эквивалентных доменов: поместить в ее поле URL-Ссылка код x и создать дополнительные поля с последовательностями. Если домен отсутствует или не подходит, можно явно указать название служебной записи в поле Sequences > . Например, в базе имеется служебная запись |BankCard| и шаблон банковской карты, содержащий поле Sequences > со значением |BankCard| .
Внутренний список состоит из полей, принадлежащих выбранной записи. Чтобы добавить в него последовательность, нужно создать поле с любым названием и записать ее в формате, похожем на вышеуказанный, но без замены фигурных скобок. Например, последовательность запишется так:
Если вы хотите, чтобы выводился только внутренний список, без внешнего, сделайте ссылкой служебной записи букву x . Когда эта ссылка пуста, используется внешний список из |default|.
Иногда требуется выполнить автонабор в «режиме совместимости» — отложенно, замедленно и без усложнения:
- некоторые окна, делаясь активными, теряют фокус ввода, и поэтому нужна небольшая задержка перед автонабором, чтобы вручную поставить курсор;
- в некоторых случаях быстрый (по крайней мере, ускоренный) автонабор работает некорректно, требуется замедление;
- иногда нужно набирать данные без усложнения: например, при вводе в окно виртуальной машины, или удаленного рабочего стола, или браузера, работающего в контейнере COMODO.
Чтобы выполнить автонабор в таком режиме, нажмем кнопку [C] и выберем поле или последовательность (аналогично кнопке [F] ) — автонабор запустится с задержкой, замедленно и без усложнения.
Кнопка [F] всегда принудительно применяет усложнение, а кнопка [C] — отменяет.
Эти приемы можно совмещать с глобальным автонабором. Предположим, открытый в браузере сайт запрашивает дополнительные данные: пароль, ответ на секретный вопрос, какие-либо коды и т.п. Чтобы быстро перейти к соответствующей записи (и заодно перестраховаться от фишинга), нажмем клавиши Ctrl+Alt+Shift+S (либо кнопку [S] ) и в появившемся окне подтвердим выбор. В результате автонабора не произойдет: просто откроется KeePass с уже отмеченной записью, и мы сможем набрать нужное поле кнопкой [F] или [C] .
При использовании некоторых записей удобно, чтобы обычный автонабор выполнялся, как по кнопке [F] , т.е. с предварительным выбором поля или последовательности.
Для этого нужно указать в заметках служебной записи (которая определяется доменом или полем Sequences > ) такой код:
Например, так сделано для шаблонов BankCard, Passport.
В приведенной выше записи |default| заданы поля:
- URL-ссылка: x
- пароль: Password>
- поле #URL: URL>
- поле Secret: S:Secret>
- поле Email: S:Email>
- поле = Multiline Field. : T-REPLACE-RX:/PICKFIELD>/(\r?\n)/ $ 1~ $ 1/>
- поле # U &�� P:
TAB>DELAY 200> Password>
Подобным образом, только с другими последовательностями, создана запись |BankCard|. Ее название указано в поле Sequences > шаблона BankCard. Аналогично создана запись |Passport| для шаблона Passport.
Чтобы при наборе кнопкой [F] или [C] принудительно включалось или отключалось усложнение, установлен плагин TCATO Placeholder.
Чтобы можно было вместо глобального автонабора выполнять лишь поиск нужной записи, добавлен плагин AutoTypeShow, в его настройке заданы горячие клавиши Ctrl+Alt+Shift+S .
В приведенный выше триггер Добавить кнопки на панель инструментов добавлены действия:
- Добавить кнопку. с идентификатором btn_AutoTypeShow , именем [S] и описанием Перейти к подходящей записи ;
- Добавить кнопку. с идентификатором btn_TypeField , именем [F] и описанием Набрать поле/последовательность. ;
- Добавить кнопку. с идентификатором btn_TypeFieldCompatible , именем [C] и описанием Набрать поле/последовательность. (режим совместимости) .
Создан триггер Переход к подходящей записи кнопкой [S]:
- событие: Нажата пользовательская кнопка с идентификатором btn_AutoTypeShow ,
- действие: Выполнить команду/ссылку:
- файл/ссылка: %windir%\System32\wscript.exe ,
- аргументы: «\Scripts\HideExecActivate.js» /cmd:
- опция Ждать выхода отключена.
Этот триггер использует скрипт HideExecActivate.js , код которого приведен выше.
Создан триггер Произвольный автонабор кнопкой [F]:
- событие: Нажата пользовательская кнопка с идентификатором btn_TypeField ,
- действие: Выполнить автонабор для выбранной записи с последовательностью PICKFIELD>
Создан триггер Произвольный автонабор в режиме совместимости кнопкой [C]:
- событие: Нажата пользовательская кнопка с идентификатором btn_TypeFieldCompatible ;
- действие: Выполнить автонабор для выбранной записи с последовательностью 100>PICKFIELD>
Выделенные в коде значения 100 и 4000 задают замедление автонабора и задержку перед ним в миллисекундах, вы можете изменить их.
Операции с прикрепленными файлами
Любая запись в базе KeePass’а может содержать не только текстовую информацию, но и файлы (Дополнительно &�� Прикрепленные файлы). Разумеется, они хранятся зашифрованными, как и прочие данные. Прикрепленные файлы можно извлекать, сохраняя в отдельное место; можно извлекать во временный каталог с EFS-шифрованием, чтобы открывать и редактировать в сторонних программах. Более того, их можно просматривать в самом KeePass’е, не извлекая: встроенный просмотрщик KeePass’а умеет показывать изображения, html-страницы, текст в формате RTF, простой текст, причем в разных кодировках, а также двоичные файлы в HEX-виде.
К примеру, вы можете вложить в запись сканы документов, а затем просмотривать их через контекстное меню записи: Прикрепленные файлы &�� Имя_файла.
Также KeePass имеет встроенный редактор форматированного текста. Можно редактировать RTF-файл, присоединенный извне, а можно создать его с нуля (Добавить &�� Прикрепить пустой файл). При создании указывается имя и расширение: в случае *.txt текст будет обычным, в случае *.rtf форматированным. Такой файл становится своеобразным полем, вмещающим большой объем текста, в т.ч. форматированного.
Как просмотр, так и редактирование файлов KeePass’ом выполняется в памяти, без извлечения их на диск.
Все ходы записаны
KeePass хранит не только текущее состояние ваших учетных данных, но и историю их изменений. В любой записи вы можете открыть вкладку История и просмотреть до 10 ее версий, а при необходимости и откатить запись к любой из них. (Кстати, записи Генератор паролей > это тоже касается: если вы сгенерировали новый пароль, а нужно воспользоваться старым, то это легко сделать.)
Если какая-либо запись слишком объемна (имеет прикрепленные файлы), то история сохранит меньшее число ее версий: общим размером до 6 МБ.
Если вы удалите запись целиком — она всего лишь отправится в группу Корзина, откуда ее всегда можно перетащить обратно. Для безвозвратного уничтожения записи ее следует повторно удалить, когда она в Корзине.
Изменения автоматически сохраняются на диске при блокировке базы, а также после минутного неиспользования KeePass’а. Таким образом, можно не беспокоиться о кнопке «Сохранить» — KeePass сам позаботится, чтобы данные не пропали. И наоборот, если вы внесете изменения (в названии базы появится звездочка), но сочтете их ненужными, то еще в течение минуты сможете предотвратить сохранение: отключить чекбокс A [v] (о нем в другой статье) и закрыть базу.
Перед каждым сохранением базы создается ее резервная копия. В папке DBases\BackUp для каждой базы хранится 20 ее прежних версий.
Вы можете для каждой отдельной базы изменить количество ее версий, хранящихся в папке BackUp : оно задается логином записи Settings > в группе service > . Логин 0 отключает резервное копирование данной базы.
Чтобы полностью отказаться от резервного копирования, отключите опцию Разрешен в окне Сервис &�� Триггеры &�� Автоматически создавать резервную копию.
Чтобы отказаться от автосохранения изменений, отключите опцию Разрешен в триггере Автоматически сохранять изменения.
Параметры хранения истории и использования корзины задаются в настройке базы (Файл &�� Параметры базы данных).
Если вы захотите облегчить базу, удалив из нее всю историю, — временно запретите синхронизацию, смените пароль на облачном хранилище и в соответствующей записи, удалите корзину, удалите неиспользуемые значки (Сервис &�� База данных &�� Удалить. ), удалите из истории «записи старше 0 дней» и информацию об удаленных объектах (Сервис &�� База данных &�� Обслуживание. ), и наконец, замените файл базы в облачном хранилище и на всех синхронизируемых устройствах и разрешите синхронизацию.
В базе параметры хранения истории и использования корзины оставлены по умолчанию. Чтобы задать число хранимых версий базы, создана запись Settings > с логином 20 .
Создан триггер Автоматически сохранять изменения:
- события:
- Периодически по времени с интервалом в 60 секунд и перезапуском при активности,
- Закрытие файла базы данных (до сохранения);
- Строка:
- строка: ,
- операция: Равно,
- значение: DBases ;
Создан триггер Автоматически создавать резервную копию:
- событие: Сохранение файла базы данных, фильтр: пусто;
- условия:
- Строка:
- строка: ,
- операция: Равно,
- значение: DBases ;
- опция Отрицание включена,
- строка: > ,
- операция: Равно,
- значение: 0 ;
- файл/ссылка: %windir%\System32\wscript.exe ,
- аргументы: «\Scripts\BackUp.js» «»
- опция Ждать выхода включена.
Для для резервного копирования используется скрипт BackUp.js :
var dbPath = WScript.Arguments(0); var backUpCount = +WScript.Arguments(1); var FSO = WScript.CreateObject(«Scripting.FileSystemObject»); if (!FSO.FileExists(dbPath)) < WScript.Quit(); >var file = FSO.getFile(dbPath); if (file.Size == 0) < WScript.Quit(); >var backUpDir = FSO.GetAbsolutePathName(file.ParentFolder) + «\\BackUp»; if (!FSO.FolderExists(backUpDir)) < FSO.CreateFolder(backUpDir); >var d = new Date(); var toXX = function(x) 10 ? «0» + x : x;> var prefix = d.getUTCFullYear() + «.» + toXX(d.getUTCMonth() + 1) + «.» + toXX(d.getUTCDate()) + «-» + toXX(d.getUTCHours()) + «.» + toXX(d.getUTCMinutes()) + «.» + toXX(d.getUTCSeconds()) + «-UTC-«; file.Copy(backUpDir + «\\» + prefix + file.Name, true); var files = []; for (var en = new Enumerator(FSO.GetFolder(backUpDir).Files); !en.atEnd(); en.moveNext()) < var fileName = en.item().Name; if (fileName.length == prefix.length + file.Name.length && fileName.slice(prefix.length) == file.Name) < files.push(en.item()); >> files.sort(function(f1, f2) < return f1.Name f2.Name ? -1 : (f1.Name > f2.Name ? 1 : 0); >); for (var i = 0; i files.length — backUpCount; ++i)
Эти триггеры работают только для баз, расположенных непосредственно в папке DBases .
Дополнительно для множественных баз используется триггер Автоматически активировать, описанный в другой статье.
Дополнительная настройка
Ваш мастер-пароль по-настоящему сложен? Уверены, что даже часть его никогда не попадет в хакерские словари? Прибегнем к небольшой подстраховке: в свойствах базы (Файл &�� Параметры базы данных &�� Безопасность) усложним трансформацию ключа. Там же можно рассчитать параметры, чтобы не перегнуть палку, сделав открытие и сохранение базы чересчур медленным. Таким образом, KeePass способен усилить защиту небезупречных паролей. Но злоупотреблять этим не будем: сложность и секретность мастер-пароля — наше все.
Для трансформации ключа вместо AES-KDF выбрана функция Argon2, которая активно использует память и тем самым противостоит подбору пароля на асиках. Однако вместе с тем Argon2 более резко замедляет открытие базы на мобильных устройствах. В качестве компромисса заданы 10 итераций, 10 МБ и разрешено распараллеливание на 2 потока.
Чтобы затруднить кражу данных из самой программы, в ней запрещены некоторые опасные операции. Для этого в окне Сервис &�� Параметры &�� Политика отключены опции: Экспорт, Экспорт — без ключа, Печать, Печать — без ключа, Копирование записей целиком и Изменение мастер-ключа — без ключа. На вкладке Безопасность включена блокировка после 5 минут общего бездействия, при переключении пользователя, при переходе в спящий режим и при изменении режима удаленного доступа. Также на вкладке Дополнительно включена опция Синхронизировать без запроса (чтобы автоблокировка сработала и в особом случае, когда одна база открыта в нескольких KeePass’ах). На вкладке Интерфейс установлено нулевое значение опции Запоминать недавно использованные файлы.
Чтобы сделать интерфейс чуть дружественнее, попробуем заменить буквенные кнопки пиктограммами: отключим опцию Разрешен в триггерах Добавить кнопки на панель инструментов и Включать/Отключать автоматику с меткой «буквы» и включим ее в соответствующих триггерах с меткой «пиктограммы», затем перезапустим KeePass. Результат будет зависеть от системных шрифтов.
Также можно слегка изменить стиль окна в разделе Параметры &�� Интерфейс. Выбран вариант Windows 8.1.
Импорт базы данных
Если вы уже пользуетесь каким-нибудь менеджером паролей, в т.ч. KeePass’ом, то скорее всего, накопили много сохраненных паролей. Их нетрудно перенести в нашу новую базу.
Экспортируем пароли из прежнего менеджера в файл, а затем откроем KeePass и импортируем этот файл в предложенную базу (Файл &�� Импорт). При этом важно правильно указать формат файла и каким менеджером паролей он был создан. Если KeePass спросит о способе импорта, выберем вариант Новые идентификаторы.
Однако для записей, которые либо импортированы из сторонней базы, либо созданы не по шаблонам, не будет работать усложнение автонабора и поддержка эквивалентных доменов. Исправить такие записи можно разными способами:
Можно одним махом преобразовать все записи, у которых автонабор никак не настроен. В большинстве случаев именно такие записи и требуется исправлять.
Откроем окно Сервис &�� База данных &�� XML-замена и выполним замену с параметрами:
- Узлы дерева: //Entry/AutoType
- Действие: Заменить данные
- Данные: Внешний XML
- Искать: AutoType > \s* Enabled > True \/Enabled > \s* DataTransferObfuscation > 0 \/DataTransferObfuscation > \s* \/AutoType >
- Заменить на: AutoType > Enabled > True /Enabled > DataTransferObfuscation > 1 /DataTransferObfuscation > Association > Window >/\/ /Window > KeystrokeSequence / > /Association > Association > Window > . URL:/\/ /Window > KeystrokeSequence / > /Association > /AutoType >
- опция Регулярное выражение включена.
В результате преобразуется каждая запись, в которой все параметры автонабора были оставлены по умолчанию (т.е. автонабор разрешен, последовательность не переопределена, усложнение отключено, ассоциаций с окнами нет). В таких записях включится усложнение и добавится поддержка эквивалентных доменов, а остальные записи останутся нетронутыми.
Бывает особые ситации, когда предыдущий способ неприменим, например:
- нужно исправить записи, в которых параметры автонабора уже изменены,
- или не нужно изменять некоторые записи с параметрами автонабора по умолчанию,
- или где-то требуется лишь включить усложнение автонабора, а где-то лишь добавить поддержку эквивалентных доменов.
Тогда создадим в базе группу toImprove и переместим в нее записи, которые нужно отредактировать (можно перетаскивать как записи, так и целые группы с подгрупами).
Чтобы включить усложнение автонабора, откроем окно Сервис &�� База данных &�� XML-замена и выполним замену с параметрами:
- Узлы дерева: //Group[Name=»toImprove»]//Entry/AutoType/DataTransferObfuscation
- Действие: Заменить данные
- Данные: Текст
- Искать: 0
- Заменить на: 1
Чтобы добавить поддержку эквивалентных доменов, выполним XML-замену с параметрами:
- Узлы дерева: //Group[Name=»toImprove»]//Entry/AutoType
- Действие: Заменить данные
- Данные: Внешний XML
- Искать: /AutoType > \Z
- Заменить на: Association > Window >/\/ /Window > KeystrokeSequence / > /Association > Association > Window > . URL:/\/ /Window > KeystrokeSequence / > /Association > /AutoType >
- опция Регулярное выражение включена.
Затем расформируем группу toImprove и удалим ее.
Если «неправильных» записей одна-две, их можно отредактировать по отдельности. Чтобы задействовать двойное усложнение автонабора, нужно включить соответствующую опцию на вкладке Автонабор. Чтобы включить поддержку эквивалентных доменов, нужно на этой же вкладке нажать Добавить и вставить в поле Целевое окно строку >/\/ , затем повторно нажать Добавить, переключиться в режим Match against the URL и вставить в поле Target URL строку >/\/ .
Надежное хранение паролей: зачем вам KeePass и как его настроить
Многие люди хотя бы базово, но знают о безопасности в интернете. Все уже давно осведомлены о том, что нужно придумывать длинные пароли с цифрами и буквами в разных регистрах. Все вроде бы в курсе, что для каждого нового ресурса нужен свой пароль, который следует хранить в надежном месте. Однако кто всерьез задумывается об этом? Большинство продолжает ставить пароли 12345678 или qwerty123 на Wi-Fi, страницы в соцсетях или даже рабочую почту. И кажется, что взлом или утечка данных может случиться с другими, но только не с нами. Чтобы каждый раз не восстанавливать какой-то мудреный пароль или не подвергать свой аккаунт опасности с легкими паролями, рекомендуем вам воспользоваться программой KeePass.
Что такое KeePass: основные достоинства
KeePass – это менеджер паролей, с помощью которого можно их генерировать и безопасно хранить. Он имеет открытый исходный код и доступен на Windows, MacOS, iOS, Android, Linux и даже Chromebook и BlackBerry.
KeePass поддерживает несколько стандартов шифрования – AES и Twofish. Программа шифрует всю базу данных и использует SHA-256 для хеширования компонентов главного ключа.
Как пользоваться программой keepass
Утилита достаточно проста в использовании. Для того, чтобы ею воспользоваться, нужно выполнить несколько шагов:
- Установите саму программу KeePass. При первом запуске у вас выскочит окно, где вас попросят указать Master Password. Однако пока что вы можете закрыть его, потому что еще не создали дата-базу.
- Для начала откройте вкладку Tools, затем – Options, и затем – Security. Во всех нижеуказанных ячейках проставьте галочки. Это нужно для того, чтобы обеспечить еще большую безопасность для ваших паролей. Таким образом вы подтверждаете, что рабочее пространство будет заблокировано при блокировке компьютера, переключении пользователя или изменении режима дистанционного управления. Также при закрытии KeePass буфер обмена будет автоматически очищаться.
- Теперь перейдем к созданию базы данных. Перейдите на вкладку File и кликните на New. При выскакивании окна с заголовком New Database, нажмите OK.
- Далее вам нужно придумать сложный и безопасный пароль Master Password для входа в базу. Рекомендуем не использовать в пароле свои личные данные, как, например, имя, фамилию, дату рождения и т.д. Если ваш пароль достаточно безопасен, шкала внизу достигнет зеленого цвета. Также вы можете использовать для входа в keepass файл ключ. Если вы снимете галочку с Master Password, тогда для входа в программу вам нужно будет только открыть этот файл. Следует учесть, что любой перенос или изменение этого файла означает его повреждение и вы больше не сможете войти с помощью него в вашу базу данных.
Есть еще и вариант Windows user account. При его выборе базу данных можно будет открыть, просто зайдя в свою учетную запись на компьютере. Рекомендуется выбирать эту опцию только в том случае, если ваш компьютер защищен надежным паролем. Такие предосторожности не позволят злоумышленникам, например, скачать базу ключевых паролей и разузнать ваши данные.
- Далее у вас появится окно с параметрами базы. Там вы можете выбрать логин по умолчанию, пользователя по умолчанию, алгоритм шифрования и другие опции.
- Потом программа предложит вам распечатать лист с данными входа в базу данных. Рекомендуем это делать только в том случае, если вы уверены, что никто, кроме вас, не будет иметь доступу к этому листку. После этого вы можете уже работать непосредственно с базой данных. Сначала сохраните пароль к ней – нажмите соответствующий значок на панели или же перейдите во вкладку – Edit и кликните Add Entry.
- Теперь вы можете указывать в своей базе данных Название (Title), Имя пользователя (User Name), Пароль (Password), URL-адрес (URL) и Заметки (Notes). Для их редактирования перейдите на вкладку Edit и кликните на Edit/View Entry.
- За копирование имя пользователя или пароля на панели задач отвечают две следующие кнопки: Copy User Name и Copy Password, соответственно. Или можно сделать еще проще и скопированные данные сочетанием клавиш Ctrl+B и Ctrl+C. После копирования, время сохранности пароля в буфере обмена ограничено – на это указывает зеленая полоса в правом нижнем углу базы.
- Базы можно объединять в группы, копировать и сортировать. Например для создания группы баз вам нужно перейти на вкладку Edit и кликнуть на Add Group.
- Для сортировки перейдите во вкладку View, далее – Sort By/Grouping in Entry List.
- Также вы можете воспользоваться функций Автозаполнение форм, если не хотите каждый раз копировать и вставлять пароль на каком-либо сайте. Для этого оставьте пустым первое поле ввода данных для авторизации и переключитесь в KeePass. С помощью комбинации Ctrl + V или кнопки на панели быстрого доступа Perform Auto-Type программа запустит процесс автозаполнения.
Теперь вы знаете, что такое keepass, как пользоваться этой утилитой и ваши данные в безопасности. В отличии от многих других программ, никакие хакеры не смогут скачать базу ваших ключевых паролей.
Как легко пользоваться KeePass
Мы часто слышим о том, что необходимо создавать надежные пароли. Однако придумывать и запоминать сложные комбинации нет ни времени, ни желания. К тому же, кажется, что в этом нет особой необходимости. И создание пароля, который просто подобрать хакерам — не прихоть, а важное мероприятие кибербезопасности. Не менее важную роль играет и правильное хранение паролей. Например, запись их на листах бумаги, использование единой комбинации для всех учетных записей или возложение на собственную память, — это ключ от ваших данных, который вы отдаете злоумышленникам самостоятельно. Однако этому достаточно легко предотвратить. В пригодятся менеджеры паролей. Подробнее пароли только специализированным приложениям с хорошей репутацией. В этой статье рассмотрим одну из самых распространенных программ для генерации и хранения паролей — KeePass. Мы подготовили для вас наглядную инструкцию: функции, особенности и описание главных операций. А еще расскажем, как правильно настроить и пользоваться KeePass.
Общее знакомство с менеджерами паролей
Менеджер паролей — это программное обеспечение, которое помогает безопасно работать с паролями и PIN-кодами. В таких программах обычно местная база данных или файлы, содержащие в себе зашифрованные данные пароля. Некоторые менеджеры паролей также работают в качестве заполнителя формы. Это означает, что они заполняют поле Пользователь и данные Пароля автоматически в формах. Такие разновидности программного обеспечения преимущественно устанавливают как расширение браузера.
Особенности KeePass
KeePass — один из первых бесплатных менеджеров с открытым кодом, который имеет все основные возможности менеджеров паролей для персонального использования. Утилиту поддерживает не только Windows, но и Mac, iOS, Android, Linux. Сам KeePass сохраняется в файле, который можно синхронизировать с помощью Dropbox или съемного носителя. В KeePass база паролей шифруется по алгоритму AES-256. Кроме того, могут использоваться различные методы защиты, например: Мастер-пароль, Ключевой файл и (или) учетную запись пользователя Windows. Если для открытия базы данных вы будете использовать только Мастер-пароль, необходимо его хорошо запомнить. В случае, если вы будете использовать Ключевой файл, можете выбрать любой файл. Однако мы советуем остановиться на том, что имеет большое количество случайных данных. Ключевой файл не должен быть изменен, поскольку это может помешать открытию базы данных. Если вам необходимо использовать другой ключевой файл, следует изменить главный ключ и использовать новый (или другой) ключевой файл. Для Ключевых файлов следует проводить резервное копирование. Это важно для того, чтобы избежать сложностей при открытии базы данных в случае отказа, модификации или восстановления жесткого диска. Рассмотрим еще одну особенность KeePass. Этот менеджер паролей может создавать базу данных в соответствии с текущим учетной записи пользователя Windows. Если включить эту опцию, вы сможете открывать базы данных только в том случае, когда авторизация в системе состоялась с тем же учетной записи Windows, и при создании этих баз данных. Однако вы уверенно сможете изменять пароль для учетной записи пользователя Windows: это не повлияет на базу KeePass. И помните, что не существует бекдоров или универсальных ключей, которыми можно было бы открывать базы данных KeePass!
Опис головних операцій
1. Первый шаг в работе с KeePass — настройка программного обеспечения. В начале менеджер паролей автоматически устанавливается с английским интерфейсом. Для того, чтобы изменить язык интерфейса, перейдите на вкладку View -> Change Language . и выберите нужный язык:
Чтобы обеспечить максимальную защиту и сохранение базы паролей, воспользуйтесь специальным настройкам программы: Tools -> Options -> Security.
2. Следующий этап — создание базы данных. Создать новую базу паролей можно так: перейдите на вкладку File -> New или нажмите комбинацию клавиш Ctrl + N:
- Строка:
- Открыт файл базы данных: