Keepassデータベースが2つのロック解除方法を受け入れるが、必須ではないようにします

自宅の PC 上のテキスト ファイルにパスワードを入力し (テキスト エディターが改行文字を追加しないことを確認してください)、それをキーファイルとして KeePass に渡すことができます (キーファイルは Windows の EFS で暗号化できます)。

これで、自宅ではキーファイルを使用し、他の場所ではパスワードを手動で入力できるようになります。

最も簡単な方法は (Keepass を使用している場合はパスワードをあまり変更しない可能性が高いですが)、2.x バージョンを使用してデータベースを複製することです。

他に方法はあまりありません。暗号化で何が起こっているかを実際に見てみると、全体を 1 つのキーで暗号化すると、別のキーでは復号化できないことがわかります。それが暗号化の本質だからです。

何らかの方法で複数のキーを使用しようとすると、キーを検証してから保存されたキーを使用してデータベースのロックを解除することになり、非常に安全ではありません。

プログラムが同じファイルに 2 つの異なる暗号化キーを持つ 2 つのコピーを保存したとしても、1 つのキーを取得すると他のキーを簡単に見つけられるためブルート フォース攻撃が容易になり、パスワードを編集するたびに他のキーが必要になるため扱いにくくなります。

要約: 複数のキーが存在する可能性があるが、必要なのは 1 つだけというのは、数学的にほぼ不可能です。

もう一つの解決策は、パスワードを短くすることです。この記事AES（Keepass が使用しているもの）に関しては、fluffy is puffy単語が非常に単純であるにもかかわらず、パスワードを解読するにはおそらく 3,900 万年かかるでしょう。

それに比べて、Keepassはデフォルトでパスワードを6,000回ハッシュします（200万回に設定してもほとんど問題はありません）。そのため、数学的なトリックは役に立ちません。発音可能な小文字+大文字+数字の設定を使用することができます。パスワード覚えやすく、総当たり攻撃や推測が難しいパスワードを生成しますtahter.3usandu。たとえば、 です。ひょっとすると、日本語を学ぶことになるかもしれません :-)。

バージョン2.10以降、KeePassはコマンドラインパラメータをサポートしています-pw-enc。詳細については、KeePassオンラインヘルプ暗号化された表現で KeePass データベースのマスター パスワードを受け入れます。

次のようにcmdスクリプトを使用しますブログパラメータを使用すると-pw-enc、パスワードを入力しなくてもデータベースを自動的に開いたりロック解除したりできます。このスクリプトを Windows タスク スケジューラのタスクとして追加します。「ログオン時」のトリガーを定義します。

この方法により、KeePass データベースに必要なのはマスター パスワードのみになります。他のコンピューターでは、マスター パスワードを入力することによってのみデータベースを開くことができます。ただし、自分のコンピューターでは、Windows ユーザー アカウントに依存してデータベースを自動的にロック解除する安全な方法があります。

補足事項

• 暗号化された表現を作成するには、プレースホルダーを使用する必要があります {パスワード}データベースのマスター パスワードを含む KeePass エントリ用です。暗号化された表現は作成するたびに少しずつ異なります。それでも機能します。

  自動入力シーケンスとして使用することも、 のようなエントリ URL として使用することもできますcmd://"cmd.exe" /k echo {PASSWORD_ENC}。

• cmdウィンドウがポップアップするのを避けるには、次のようにcmdスクリプトをVBSスクリプトで囲みます。サーバー障害に関する回答。

• KeePass がデータベースを自動的にロックするように構成した場合は、ローカル コンピューターとリモート コンピューターに対して、「ワークステーションのロック解除時」と「ユーザー セッションへの接続時」の追加トリガーを追加できます。

• タスク スケジューラのタスクで「ユーザーがログオンしているかどうかに関係なく実行する」をチェックしないでください。チェックしないと、タスクは KeePass UI を起動できません。

• 暗号化はWindows データ保護 API (DPAPI)復号化は、同じマシン/ドメイン上の現在のユーザーに対してのみ可能です。