KeePass - лучший бесплатный менеджер паролей. Полный мануал по KeePass. Часть первая: Теория

Здравствуйте, дорогие Камрады!

Сегодня мы поговорим о самом распространенном и самом лучшем менеджере паролей. И эту статью я постараюсь представить Вам как полное руководство по KeePass для начинающих.

Менеджер паролей KeePass

На самом деле функций, настроек и дополнений у KeePass просто огромное количество, и объять их все в одной статье практически нереально. Так что, возможно, в дальнейшем я буду делать обзоры по конкретным плагинам и дополнениям, расширенным функциям и т.д. Ну, а в этом мануале мы в подробностях рассмотрим весь основной функционал программы.

Итак, встречайте: "Лучший бесплатный менеджер паролей. Самый полный мануал по KeePass"

Прежде, чем приступить, позвольте дать парочку рекомендаций:

  • если вы активно используете девайсы от Apple (iPhone, iPad, Mac`и) и не сильно стеснены финансово, то вас, наверняка, больше заинтересует другой менеджер паролей – 1Password;
  • перед тем, как использовать какой-либо хранитель паролей, ознакомьтесь, пожалуйста, с моей статьей "Как выбрать пароль. Ликбез по парольной защите"

Обзор возможностей, особенностей и преимуществ KeePass. Теоретическая часть

Как я уже говорил, функционал у KeePass очень богатый и расширяемый, но, тем не менее, расширяемость может для кого-то показаться небольшим минусом, т.к. для этого нужно устанавливать дополнительные модули. На самом деле – это никакой не минус, и настроив все один раз, можно навсегда забыть о проблемах с сохранностью всех ваших паролей. Да и базовый функционал будет для большинства пользователей вполне оптимальным. Давайте рассмотрим все по порядку.

Высочайший уровень безопасности

KeePass (полное название "KeePass Password Safe", или попросту "кипас") использует для своих баз стойкие алгоритмы шифрования AES (Rijndael) и Twofish.

Хранитель паролей KeePass

AES – это один из наиболее стойких и распространенных алгоритмов шифрования. Он очень активно используется и в IT-сфере, и в банковском секторе разного уровня, вплоть до самого высокого. Также является стандартом шифрования в США и ряде других стран. Например, в США он используется для шифрования документов, которые являются государственной тайной:

  • для документов с грифом "Секретно", Агентство Национальной Безопасности США разрешает использование ключей длиной 128 бит;
  • для документов с грифом "Совершенно секретно" – 256 бит.

Так вот, KeePass использует ключи длиной именно в 256 бит. Для чего я это говорю? Да просто для того, чтобы примерно представлять уровень стойкости этого алгоритма. Кстати, 1Password - один из немногих современных хранителей паролей, который использует 128-битный ключ. Не знаю с чем это связано.

Twofish – тоже довольно популярный, но по некоторым причинам, менее распространенный алгоритм шифрования. По умолчанию используется только в версиях KeePass 1.x. В версиях 2.x он "подключается" дополнительно, если в этом есть необходимость. Длина ключа такая же – 256 бит.

В теории, конечно, существует возможность атаки для любого алгоритма шифрования. Но с практической стороны я не знаю, были ли такие атаки успешно реализованы, не задавался этим вопросом особо. Так что, можно придерживаться устоявшегося мнения: чтобы расшифровать 256-битный ключ понадобятся тысячи или даже миллионы лет.

Еще одной особенностью KeePass является то, что он шифрует не только сами пароли, но и все остальные данные, которые хранятся в БД, такие как логины, заметки, примечания, произвольные поля и т.д.

Композитный (составной) мастер-ключ

Трехступенчатая аутентификация в KeePass

Помимо стандартного для большинства менеджеров мастер-пароля, в KeePass реализованы дополнительные средства аутентификации:

  • ключевой файл;
  • учетная запись пользователя Windows

Сам мастер-пароль хэшируется очень стойким алгоритмом SHA-256, что в совокупности со встроенной защитой от атак по словарю и от атак посредством простого перебора (брутфорса), практически сводит к нулю его расшифровку и подбор.

Мастер пароль, тем не менее, должен быть достаточно сложным, но желательно легкозапоминаемым лично Вами. Хотя, поверьте, даже пароль из 20 символов, имеющий вид типа f.8@Jz78k39aDp;gbPp, вы с легкостью запомните наизусть и тактильно (по нажатиям на клавиатуру) уже после десяти-двадцатикратного регулярного набора. Т.е. для начала его обязательно нужно будет записать в надежный блокнот (бумажный!!!) или на листок, и хранить эту запись до того момента, пока не сможете набирать его уже на автомате. А этот момент наступит достаточно скоро.

В дополнение к мастер-паролю можно (и даже рекомендуется) использовать ключевой файл, т.е. произвольно выбранный Вами, абсолютно любой файл, будь-то фотография, mp3-файл и т.д. Можно также использовать ключевой файл вместо пароля, но я этого делать не рекомендую.

Если Вы будете использовать ключевой файл, то помните: если по какой-то причине Вы его потеряете, или хотя бы на байт он изменится – доступ к базе данных KeePass восстановить будет невозможно

Ключевые файлы ни в коем случае нельзя хранить в папке с самой программой. Просто выберите, например, в качестве него одну из Ваших многочисленных фотографий, хранящихся на компьютере, но обязательно сделайте несколько его бэкапов – на флешку, в парочку облачных сервисов, и обязательно – на пару неперезаписиваемых CD или DVD. Таким образом, вероятность потери или изменения ключевого файла снизится практически к нулю.

В версиях KeePass 2.x предусмотрена еще и функция блокировки базы данных с помощью учетной записи пользователя Windows. Т.е. базу можно будет открыть только под той учетной записью Windows, в которой она была создана. Я не рекомендую использовать эту функцию по многим причинам:

  • во-первых, если у Вас "слетит" ОС и ее придется переустанавливать, то про доступ к БД можно забыть (если нет резервных копий системы);
  • во-вторых, исключается возможность использования базы на любом другом компьютере, что в современном мире очень непрактично;
  • в-третьих, если злоумышленник завладеет доступом к Вашему компьютеру (а это случается достаточно часто), то и доступ к базе он может получить с большой вероятностью (если Вы используете ключевой файл+учетную запись, без мастер-пароля).

В общем, этот метод можно использовать только как дополнительный к основным и если Вы используете только один компьютер. А главное – только при условии, что Вы имеете хотя бы один ПОЛНЫЙ бэкап Вашей операционной системы.

Абсолютная кроссплатформенность и портативность

Бесплатный менеджер паролей KeePass

Главнейшей особенностью KeePass является его абсолютная кроссплатформенность. Имеются версии для любых систем:

  • всё семейство Windows, начиная с Windows 98;
  • любые UNIX-подобные системы таких семейств, как Linux, Mac OS X, BSD и т.д.;
  • абсолютное большинство мобильных платформ, начиная с мобильников на J2ME, заканчивая девайсами на Android, iOS и Blackberry

Но стоит отметить, что для некоторых ОС, версия KeePass является не официальной, а портированной сторонними разработчиками, и соответственно имеет другое название. Но переживать насчет безопасности и сохранности Вашей базы из-за этого не стоит, т.к. все сторонние версии указаны на официальном сайте самого KeePass, следовательно разработчики им доверяют. Конкретно официальный дистрибутив не поддерживает только мобильные платформы.

Список текущих версий, а также список неофициальных "портов" всегда находится здесь - http://keepass.info/download.html. Как можно заметить на этой странице, существует две официальные версии программы – Классическая (1.x) и Профессиональная (2.x). Каждая из них, в свою очередь, существует в двух вариантах – инсталляционная (установочная) и портабельная (не требующая установки).

Менеджер паролей KeePass

  • Classic Edition - поддерживает только операционные системы семейства Windows, не требует наличия .NET Framework и несколько ограничена в своем функционале.
  • Professional Edition - поддерживает большинство настольных ОС, требует наличия установленного Microsoft .NET Framework (в Windows Vista и выше уже встроена необходимая версия этого фреймворка) или Mono (кроссплатформенный и опенсорсный .NET фреймворк).

Я рекомендую использовать профессиональную портативную версию. На момент написания статьи, актуальная версия программы - 2.22. Собственно именно на ней и будут показаны все примеры ниже. Портативная версия не хранит о себе никаких сведений в ОС, ничего не прописывает в реестр, ну, и, конечно же, может быть просто скопирована на флешку, внешний жесткий диск (HDD), облачный сервис и т.д. Таким образом, она может служить Вам везде, где бы Вы не находились.

Экспорт и импорт, хранение и синхронизация базы данных

Менеджер паролей KeePass

KeePass поддерживает экспорт базы данных в различные стандартные форматы, например, в TXT, XML, HTML и CSV, а также во многие другие форматы для программ-аналогов (при помощи специальных плагинов). Благодаря этому, можно экспортировать базу в любой другой менеджер паролей.

Аналогичным образом возможна и обратная процедура, то есть импорт базы паролей из какой-то другой программы-хранителя паролей. В версию 2.x уже встроена возможность импорта из более 25 форматов. Если нужный формат не встроен, можно опять же прибегнуть к спецплагинам для KeePass.

Преимуществом также является и то, что база паролей состоит всего из одного файла, который можно переносить и резервировать обычным копированием (при помощи плагинов можно автоматизировать создание резервных копий в облачные сервисы). Интерфейс базы имеет древовидный формат; можно создавать различные группы, самостоятельно задавать им названия, удалять их и изменять на свое усмотрение. Количество групп никак не ограничивается. Это отличительная особенность KeePass от платных аналогов, в которых, как правило, группы уже заданы и изменить их нельзя.

В KeePass имеется возможность прикреплять вложения, есть встроенный просмотрщик текстов, документов и изображений.

Автозаполение и безопасная работа с буфером обмена Windows

Возможно, что это самая сложная часть функционала программы, особенно для тех, кто впервые ей пользуется. И многие функциями автозаполнения из-за этого пренебрегают, а зря. Ну, во-первых, особо сложного в этом ничего нет, главное понять суть, да и для большинства форм авторизации подходит стандартный алгоритм. Во-вторых, просто копируя пароль из базы, Вы подвергаетесь опасности его перехвата из буфера обмена всяческими вредоносными программами – кейлогерами. Буфер обмена в Кипасс, кстати, можно настроить на автоматическую очистку через заданный промежуток времени. В практической части мануала мы рассмотрим подробно весь этот функционал, и я уверен, Вы его освоите.

Но, даже если Вы не захотите самостоятельно настраивать автозаполнение – можно использовать глобальные горячие клавиши для вставки логина и пароля. Но с одним условием – база данных должна быть открыта. Также, при открытой базе можно пользоваться функцией Drag & Drop (т.е. простое перетаскивание мышкой). Перетаскивать можно любые поля – пароль, логин, заметки и т.д.

Встроенный генератор паролей

KeePass имеет мощный встроенный генератор случайных паролей. Помимо основных возможностей, таких как выбор используемых символов, их количество и т.п., имеется и такая полезная функция, как энтропия при генерации пароля. Это значит, что пароль генерируется не просто случайным образом, а еще и зависит от того, какие перемещения курсором мышки вы производите, и какие клавиши на клавиатуре нажимаете во время генерации. Энтропия в разы повышает стойкость пароля.

Генератор паролей Кипасс

Способ генерации можно настроить на определенный режим по умолчанию, т.е. выставили определенные значения, и он всегда будет генерировать пароли именно по заданным значениям. Например, задали число символов 20, задали использовать все доступные буквы и символы, и генератор будет следовать этим настройкам "на автомате". Ну, а если Вам для какой-то учетной записи нужно будет сгенерировать пароль с другими параметрами (например, захотите пароль из 30 символов), то это всегда можно сделать в ручном режиме.

Открытый исходный код, бесплатность и проверка временем

Менеджер паролей KeePass имеет открытый исходный код, а это значит, что если вы скачиваете его с официального сайта, то можете быть уверены, что в него не "вшиты" какие-либо бэкдоры (образно говоря – лазейки). Также, благодаря открытым исходникам опытные пользователи (программисты) могут скомпилировать код самостоятельно, и, например, использовать другой алгоритм шифрования на свое усмотрение.

KeePass – проверенный временем менеджер паролей, он существует уже 10 лет (на момент написания статьи), и у него огромное количество пользователей. И, конечно же, KeePass абсолютно бесплатен! За исключением некоторых неофициальных версий (например, KyPass для iOS).

На этом с теорией мы закончим. Если Вас интересуют более глубокие и детальные вопросы, касаемо KeePass, то можете посетить ресурс http://keepass.ru, где имеются наиподробнейшие описания всего функционала, алгоритмов работы, шифрования и т.п. Ну, а если с английским у Вас все в порядке – существует, естественно, и официальный сайт http://keepass.info

А мы плавненько перейдем к практике…


PS: изначально я хотел уместить все в одной статье, но она получилась слишком уж объемной и с большим количеством изображений и скриншотов. Поэтому я решил разделить ее на две части: теоретическую и практическую. Вторая часть уже почти закончена, и сегодня я ее опубликую. А тут будет ссылка на нее уже готова... А здесь есть уже и третья часть.

Все, что касается теоретической части, можете спрашивать здесь, в комментариях. Постараюсь ответить на все вопросы, если они появятся после прочтения этой статьи. Ну, и конечно же, не забывайте подписаться на обновления блога.

Не прощаюсь!

18 Комментариев KeePass - лучший бесплатный менеджер паролей. Полный мануал по KeePass. Часть первая: Теория

  1. Наталья Самолюк

    У меня стоит такой менеджер, но я им так ни разу не пользовалась из-за страха, что база с паролями может попасть к злоумышленникам. Все по старинке аккуратненько в блокнотик, а его подальше. Пользовалась робоформой, но как узнала, что ее тоже могут взломать. Желание сразу пропало.

    1. Александр Майер

      Наталья, здравствуйте! То, о чем Вы говорите - к сожалению, черта многих пользователей. И я надеюсь, что эта моя статья, как и ее вторая часть, Вас переубедит.

      Методы "по старинке" наиболее уязвимы во всех отношениях. И если грамотно использовать менеджеры паролей - можно навсегда выкинуть из головы все заботы о сохранении паролей. Более того, чтобы обезопасить себя в плане уязвимости по паролям - без спецсофта просто не обойтись.

      Что касается именно KeePass - я и в статье писал, и еще раз скажу - эта программа с открытым исходным кодом, что практически исключает любые внедрения вредоносных скриптов и программ (если скачивать KeePass с офсайта, само собой, как и любой другой софт). Никто Ваши пароли, даже при всем своем желании никогда не расшифрует и не получит к ним доступ (если соблюдать основные правила безопасности).

      Что касается коммерческих программ - тут мнения расходятся, ибо многие считают (в.т.ч. и я), что в любой коммерческой проге (особенно в тех, которые имеют тот или иной сертификат в нашей стране) - изначально заложены функции от разработчика, которые, при определенных запросах (от прокуратуры или суда, например), в два счета дешифрируют все то, что в их компетенции. Поэтому, я абсолютно игнорирую такие функции, как, например, "Менеджер паролей", встроенный в пакет программ от Касперского и т.п..

      Хотя, нам - обычным смертным - даже встроенные функции в антивирусные пакеты будут вполне применимы, ведь нам важно скрыть и зашифровать свои данные от всяческих злоумышленников-хакеров, а не от нашего правительства. Мы ведь с вами законопослушные граждане, не правда ли? :) Но даже такой факт, лично меня может не то чтобы насторожить, но просто вызвать какие-то неприятные и не комфортные чувства - ведь неприятно осознавать, что все твои исконно личные данные и интересы кто-то может мониторить..

      Поэтому - открытый исходный код - это СТАНДАРТ в плане защищенности, безопасности и анонимности. Априори.

      ps: такие сервисы, как робоформ или лэстпасс, хоть и весьма удобны, но я бы им ни в коем разе не доверил хранить мое самое сокровенное - пароли..

  2. roman

    Спасибо за подробную статью, вы очень убедительны) буду теперь пользоваться именно кипассом. Имею вопросы - 1) синхронизация с дропбоксом хорошо работает?
    2) какой клиент для iOS посоветуйте? Стоит ли брать платный или достаточно keepass mini?
    3) как настроить пользование банковскими картами? И можно ли заполнять поля с личными данными в анкетах-регистрационных формах как это делает Робоформ?

    П. С. Прочел все 3 статьи)
    Спасибо

    1. Александр Майер

      Роман, добрый вечер! Спасибо за оценку статьи. Теперь по вопросам:

      1) В данном случае как таковой даже синхронизации нет, просто файл-база данных лежит в облаке, и программа обращается к ней. Следовательно все изменения в базе мгновенно же и сохраняются в облаке. Но есть один существенный нюанс, о нем ниже.

      2) Я лично использую MiniKeePass, и мне его вполне достаточно. На другие, к тому же платные, форки внимания как-то даже не обращал. Но у МиниКипасс есть один минус - это как раз вопрос синхронизации. МиниК может синхронизироваться только с Дропбоксом и, что еще хуже, через iTunes. Причем делает он это не автоматически :( Там в общем принцип такой - созданную на компе базу сначала нужно импортировать (через ДБ или тунца) в программу на устройстве. Теперь с базой можно работать. Но, если вы добавляете новые пароли в базу на устройстве, то эту самую базу приходится заново выгружать в Дропбокс. При этом она не будет синхронизирована с другой хранящейся там базой, а просто добавится новый файл. Возможно платные форки для iOS этого геморроя лишены, я не знаю даже. Меня в принципе и так все устраивает, потому что новых паролей и учетных записей я (как правило) на iДевайсе не создаю.

      3) Нет, такого богатого функционала по автозаполнению форм у KeePass нет. У него существует только несколько возможных полей: Заголовок {TITLE}, Имя {USERNAME}, Адрес {URL}, Пароль {PASSWORD}, Комментарий {NOTES}. К тому же, даже если немного "похимичить", то все равно придется указывать целевую страницу, ведь без ее указания автозаполнения не произойдет. И все это (указание цел.страницы) теряет свою актуальность в случае с различными анкетными полями - ведь заполнять эти поля всегда приходится на разных страницах. Кипасс все же создан именно для учетных записей. А для подобных не критичных данных (типа ФИО, адреса, индекса и т.д., можно использовать функции браузеров, они это умеют хорошо делать).

      P.S. если вы очень активный пользователь iOS, то советую все же присмотреться к 1Password. Там все гораздо серьезней адаптировано и автоматизировано. Но 1Пассворд платный (хотя с момента написания мной статьи о нем, цены значительно уже упали - для iOS сейчас стоимость 9,99$). Но для такой программы денег реально не жалко =) На windows-версию цена тоже упала, немногим больше тыс.рублей сейчас стоит. Один минус у него - закрытые исходники.

      Кстати, в iOS7, наконец, появились связки ключей (keychan). Так что, если у вас Мак, то это тоже отличный выход.

  3. Иван

    У меня возник вопрос

    В ранних версиях можно было выбрать, какие поля шифровать, а сейчас не могу найти такую функцию

    В версии 2.29 все поля в памяти шифруются по умолчанию или только поле пароля?

    https://pp.vk.me/c627920/v627920253/102c7/V_zpB-qf6BE.jpg

    1. Александр Майер

      Иван, видимо эту опцию упразднили и теперь в памяти шифруется только пароль. Наверное разработчики посчитали, что остальные поля шифровать в памяти не имеет большого смысла (в принципе, я с этим согласен).

      1. Иван

        Есть мнение, что наоборот разработчики стали шифровать все поля по умолчанию

        Кроме пароля существует еще много ценной инфы, которую стоит шифровать, это секретное слово для восстановления, история изменений на аккаунте и многое другое. Проще всего эту инфу прописать в поле "комментарии". Очень плохо, если программа шифрует только пароль

        1. Александр Майер

          Хорошее мнение. Соглашусь с вами, что есть что шифровать и в других полях, в особенности в комментариях. Что-то я как-то более глобально об этом и не подумал, высказавшись выше.

          Нужно будет на этот счет порыться в интернете, чтобы знать наверняка. И посмотреть ранние версии программы.

          Все же я подозреваю, что в памяти шифруется только пароль, т.к. в главном окне только он и отображается "звездочками".

          Хотя я сейчас посмотрел, в версии 2.10 при выставлении всех галочек в настройках базы, в главном окне все равно "звездочками" отмечается только пароль... Надо разбираться, в общем.

  4. Andrei

    Спасибо Вам огромное за труды!
    Всё очень доходчиво и понятно расписано, но есть пару уточняющих вопросов.
    Если уже установил обычную версию Professional Edition, то можно ли перенести базу на портативную версию (на флешку например), а эту удалить? Сама база хранится сейчас только в облаке. Нужно ли после удаления обынчой версии чистить регистр, чтобы не осталось следов или это не критично?

    1. Александр Майер

      Андрей, благодарю за отзыв!
      База между портативной версией и обычной переносится без каких-либо проблем и дополнительных манипуляций, формат единый. Правда формата, как таковых, существует два - для версий 1.x (файл базы с расширением .kdb) и 2.x (.kdbx). А вот хранить базу только в облаке я бы не рекомендовал. Лучше хранить резервные копии еще где-нибудь и периодически синхронизироваться. Иначе в один прекрасный момент можно вообще без всех своих паролей остаться (ну, мало ли что, аккаунт в облаке взломают, например, или заблокируют, или еще что).

      После удаления KeePass ничего "подчищать" не нужно, это совершенно не критично.

      1. Андрей

        Александр, спасибо за ответ!

        Вы, правы, нужно будет сделать резервную копию базы и на физическом носителе. Меня вот ещё что озадачило. Возможно ли на ноутбуке использовать одну программу (установочную Professional Edition 2.x) на две учётные записи пользователей, и отдельно ещё иметь портативную версию на флешке на случай, если придётся использовать чужой комп? Если я правильно понимаю, то в этом случае нужно будет просто скопировать базу из папки дропбокс в каталог программы на флешке? А потом заменять его на обновлённый вариант?
        Кстати на одном из сайтов недавно читал о дропбокс-плагене для keepass, который ставится прямо в программу. Есть ли разница между синхронизацией через плагин или через папку дропбокс на компе? Как можно настроить дополнительную синхронизацию например, через гугл драйв? Заранее благодарю!

  5. Александр Майер

    Андрей, насчет двух учетных записей точно не скажу. Проще всего воспользоваться единой портативной версией. По поводу базы - все правильно.
    По плагинам, их много разных, вот такой, например: http://keepass.info/plugins.html#keeanywhere. Честно говоря, я подобного рода дополнениями не пользуюсь, поэтому определенно сказать не смогу, какой лучше, какой хуже и т.п. Попробуйте предложенный выше плагин, может понравится. Если не разберетесь с настройками и проч., то напишите или тут, или через обратную связь, постараюсь помочь (правда оперативности не обещаю).

  6. Андрей

    Александр, приветствую Вас снова!

    Недавно наткнулся вот на такую интересную новость, касающуюся непосредственно KeePass.
    https://xakep.ru/2015/11/05/keefarce/

    Что Вы об этом думаете? Возможно ли как-нибудь обезопасить себя от такого рода атак?

    1. Александр Майер

      Андрей, доброго дня!
      Да, видел эту новость. Печально, конечно. И универсального средства защиты от подобного рода атак нет. Нужен стандартный комплекс мер. Ведь тут дело даже не в самом KeePass, дыра-то по сути не в нем. Все тоже самое (не с технической точки зрения, а с пользовательской) может произойти и с любым другим менеджером паролей, в т.ч. и облачным, типа LastPass. Если, например, ОС пользователя заражена чем-то из серии RAT (т.е. когда у злоумышленника есть полный доступ к системе).

  7. Екатерина

    Александр, спасибо за статьи по Кипасу! (Прочитала все три и настроила себе портабл версию) Появилось уведомление о наличии обновления. В случае портативной программы, я так понимаю, ее нельзя обновить, а только поставить новую версию и заново настроить, импортировав туда ранее созданную базу паролей? Это важно для безопасности, пользоваться новыми версиями Кипаса?

    1. Александр Майер

      Екатерина, да, обновляться крайне желательно. Я всегда распаковываю новую версию прямо поверх старой, предварительно выгрузив (закрыв полностью) KeePass. Только что я отвечал на подобный вопрос в соседней статье: https://bloginfo.biz/keepass-luchshij-menedzher-parolej-part-3.html#comment-12147

  8. галина

    Добрый день! Что-то случилось с программой, теперь вместо обычного окошка для ввода пароля требует ввести пин-код, который я не знаю. Пин коды от симки не подходят и осталась я без всех паролей!!!

  9. freeman

    Здравствуйте! Заметил, что при отрытом окне редактирования пароля, программа автоматически не блокируется после заданного времени, что очень печально. Может быть знаете, как это можно исправить? Или это баг такой? интересно, над программой еще работают, фидбэки принимают?

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *