9:00
Автор: Рубрика: Полезные сервисы и программы 5 комментариев

Обзор бесплатного менеджера паролей keepass. Часть 1

Доброго времени суток, друзья! С вами Дварёныш, он же Илья Гареев и сегодня я расскажу вам как пользоваться менеджером паролей keepass, а так же, что вообще представляют из себя менеджеры паролей. Поехали!

(Рекомендую к просмотру видео версию)

Ссылка на программу:  Скачать

Сегодня каждый из нас имеет внушительный список ресурсов где мы когда-либо регистрировались: социальные сети, почтовые ящики, интернет-магазины, игровые ресурсы — всё это требует запоминания своего логина и пароля к ним.

И вот одно из преимуществ использования менеджера паролей: это то, что длина и сложность используемых паролей более не ограничивается возможностью человеческой памяти. Ибо вряд ли кто в повседневной жизни запоминает и использует такие пароли:

«GjxtJuU6r49LbH0O»

Гораздо чаще используется что-то такое: «Irina1990», «Legenda1717»

Что с точки зрения элементарной безопасности как-то совсем не очень.

На блоге касперского можно даже узнать за какой период времени взламывается тот или иной пароль. При чём под взламывается имеется ввиду не ручной взлом доступа каким-нибудь хакером Васей, а вполне практичным и распространённым программным брутфорсом.

Такие пароли на Mac Book Pro (2012) года выпуска с процессором Intel Core i7, брутфорсом вскрывают как нечего делать от нескольких секунд до пары часов. И это на макбуке 3 летней давности.

К слову, дыбы не отправлять тех кто не в курсе на википедию, вкратце поясню что такое брутфорс. Брутфорс, от английского «Грубая сила»,  означает полный перебор из всех теоретически возможных вариантов решения математической задачи, в данном случае это подбор пароля. Правда, здесь стоит сделать некоторую оговорку. Так как полный перебор паролей свыше 8 символов требует колоссальных мощностей и огромного количества времени: порой переступающего черту в десятки лет. Из-за чего на практике используется метод атаки по словарю: это когда перебор идёт преимущественно из всех возможных слов и вариантов их написания в связке с цифрами и другими символами.

Так как значительная часть людей  - не отличается оригинальностью, статистически уже давно найдены часто используемые пароли и формы их составления:

 

Некоторые экземпляры, большие по написанию, по факту вскрываются менее чем за 6 секунд:

Небольшой ликбез по паролям пройден, переходим к обзору менеджера паролей.

 

На фоне мейнстрима плоских, прямоугольных интерфейсов, дизайн у программы, мягко говоря, не ахти какой. Но для менеджера паролей это и не главное. Нам главное функционал и надёжность. С этим у keepass проблем нет.

Начнём с функционала. Многие думают что менеджеры паролей это просто программка в которой хранятся логины и пароли, а пользователь каждый раз заходит и вручную «Аля «contrl + c», «control + v»» копирует и вставляет пароли на сайт. Возможно, где-то кто-то действительно так и делает.

Но в keepass для таких целей существует автозаполнение.

Которое без всяких дополнительных плагинов в браузере (а никак у не которых), по нажатию трёх кнопок живенько строчит логин с паролем имитируется набор с реальной клавиатуры. Данное умение, делает программу практически не устареваемой. (Я лично, по полгода не скачивал обновления — всё прекрасно работает). Ибо распространённый среди многих менеджеров паролей метод  автозаполнения: через расширение в браузере — чреват выходом из строя после первого же обновления браузера. С менеджером паролей от касперского такая беда была постоянно.

Естественно, в функционале: иерархичная разгруппировка паролей по группам, история версий, правильный генератор паролей – всё это есть в наличии.

Переходим к вопросу надёжности.

Менеджер паролей KeePass является бесплатной программой с полностью открытым исходным кодом. А это значит, что любой профессиональный программист (да и не только), сможет этот самый исходный код прочитать, понять, осмыслить и скомпилировать  в конечную программу.

Грубо говоря, никаких подвохов, если бы они были, со стороны разработчиков утаить не удастся. Посему боятся, что программа на самом деле втайне отсылает все ваши личные данные на сервера разработчиков – не стоит. Хотя в тоже время, если вы пользуетесь каким-нибудь платным менеджером паролей, исходный код которого, как правило, бывает закрыт, вышеперечисленные опасения, в некоторой степени, становятся оправданы. Что лишь склоняет выбор в пользу keepass, ибо это самый достойный менеджер паролей из всех что есть на данный момент.

Кстати, первая версия программы вышла аж в 2003 году и с тех пор, вот уже больше десяти лет, проект  активно развивается регулярно выпуская обновления.

Отдельно стоит поговорить о шифровании базы паролей. Он здесь реализован через самый надёжный на данный момент алгоритм AES 256.  Чтобы вы понимали насколько это круто, Агентство Национальной безопасности США в 2003 году постановила, что данным алгоритмом можно шифровать документы, представляющие государственную тайну. С тех пор их мнение не поменялось.

Алгоритм алгоритмом, но как собственно будет происходить авторизация, то есть расшифровка базы пароль в keepass!? На самом деле всё просто, на выбор нам дают три варианта, каждый из которых можно совмещать с двумя оставшимся. Сейчас подробно останавливаться и расписывать каждый из них я не буду, оставлю это на следующие видео. Скажу лишь, что настоятельно рекомендую использовать только первый вариант, то есть защита паролем.

Разумеется, говоря о вопросах безопасности, не стоит забывать об элементарном бекапе базы паролей в облачные сервисы. Ибо шифрование шифрованием, а резервная копия, в размере 3-4 штук всегда должна быть. У меня на блоге есть даже статья на данную тему, настоятельно рекомендую. Лично у меня резервные копии keepass расположены в DropBox + регулярно копирую на флешку.

На этом всё друзья, вторая часть обзора keepass выйдет, я думаю, вскоре после данного видео, в нём мы подробно разберём настройку, установку, все дела. Подписывайтесь, чтобы не пропустить!

На сегодня всё, задавайте вопросы в комментариях. А это был мой первый опыт монтажа и создания таких видео, как получилось – решать вам! На этом точно всё, удачи и до скорого!

С уважением, Илья Гареев :)

Хочешь получать статьи этого блога на почту?
  • Roman Kroman

    Было сообщение, что разработана программа по вскрытию базы данных этого сервиса. См. http://www.youtube.com/watch?v=w193k4P1sY8

    2015-11-14 в 12:00 | Ответить
  • Илья

    Ох, Компрад, во-первых, это не сервис, это программа(это большая разница). Во-вторых, то что написано в приведённой статье не имеет ничего общего со вскрытием базы данных. Вскрыть базу данных зашифрованную алгоритмом AES-256 имеющим хороший пароль с элементами многократного преобразования (в следующем видео я об этом расскажу) в принципе на сегодняшний день не возможно. Речь в приведённой статье/видео идёт о Dll-инъекции, это значит что специальный вирус попадая на комп в момент ВНИМАНИЕ: открытой базы паролей, запускает процесс экспорта в текстовой файл, а дальше просто пересылает его хозяину вируса. То есть речь не идёт о каком-то там "взломе", это банальный перехват открытых данных с захваченного компьютера. Точно так же можно перехватить абсолютно всё что есть у вас на пк. К примеру есть много вирусов-кейлоггеров, которые тихо сидят в системе и регистрируют каждое ваше нажатие на клавиатуре + палит где данный логин; пароль был введён, тем самым рано или поздно злоумышленник узнает все ваши пароли. Так что изучайте мат часть как гврится, ставьте надёжные антивирусы + не скачивайте всё подряд из интернета и всё у вас будет хорошо! А вот автору видео я бы отправил шапочку из фольги =)

    2015-11-15 в 8:21 | Ответить
  • Анатолий Судакин

    Здравствуйте. Жду с нетерпением продолжения с описанием архивирования и восстановления. Особенно из сохранившегося архива от погибшего Акрониса. С уважением - Анатолий

    2015-11-16 в 1:10 | Ответить
    • Илья

      День добрый! Акронис это отдельная тема, когда-то я уже писал про него (http://dvarenysh-blog.ru/poleznyj-soft/sozdayom-disk-vosstanovleniya-sistemy-i-spim-spokojno.html), но информация уже успела порядком устареть. Так что думаю и до акрониса вновь доберусь и сделаю подробный гайд по нему, но не скоро.

      2015-11-16 в 2:00 | Ответить
  • Виктор

    Отличная программа, пользуюсь ей более 3 лет, а сейчас в сочетаннии с windows 10 вообще золото стало. Объеденил и теперь все пароли у меня подрукой где бы я не был.

    2016-06-07 в 1:00 | Ответить