Keepassデータベースが2つのロック解除方法を受け入れるが、必須ではないようにします

Keepassデータベースが2つのロック解除方法を受け入れるが、必須ではないようにします

私はパスワードの管理に Keepass を使用しており、自宅のコンピューター (Windows 7)、職場のコンピューター (Ubuntu)、Android スマートフォンで Dropbox を使用して同期しています。

現在、セキュリティ保護にはマスター パスワードのみを使用していますが、自宅では Windows ユーザー アカウントを使用した方が、長いパスワードを毎日入力しなくて済みます。一方、セキュリティ保護に WUA を使用するように切り替えると、携帯電話や職場のコンピューターからはアクセスできなくなります。

ロック解除に両方の方法を受け入れるが、必須ではないように keepass データベースを設定する方法はありますか?こうすることで、自宅では WUA を使用し、他の場所ではマスター パスワードのみを使用できるようになります。

答え1

自宅の PC 上のテキスト ファイルにパスワードを入力し (テキスト エディターが改行文字を追加しないことを確認してください)、それをキーファイルとして KeePass に渡すことができます (キーファイルは Windows の EFS で暗号化できます)。

これで、自宅ではキーファイルを使用し、他の場所ではパスワードを手動で入力できるようになります。

答え2

最も簡単な方法は (Keepass を使用している場合はパスワードをあまり変更しない可能性が高いですが)、2.x バージョンを使用してデータベースを複製することです。

他に方法はあまりありません。暗号化で何が起こっているかを実際に見てみると、全体を 1 つのキーで暗号化すると、別のキーでは復号化できないことがわかります。それが暗号化の本質だからです。

何らかの方法で複数のキーを使用しようとすると、キーを検証してから保存されたキーを使用してデータベースのロックを解除することになり、非常に安全ではありません。

プログラムが同じファイルに 2 つの異なる暗号化キーを持つ 2 つのコピーを保存したとしても、1 つのキーを取得すると他のキーを簡単に見つけられるためブルート フォース攻撃が容易になり、パスワードを編集するたびに他のキーが必要になるため扱いにくくなります。

要約: 複数のキーが存在する可能性があるが、必要なのは 1 つだけというのは、数学的にほぼ不可能です。

もう一つの解決策は、パスワードを短くすることです。この記事AES(Keepass が使用しているもの)に関しては、fluffy is puffy単語が非常に単純であるにもかかわらず、パスワードを解読するにはおそらく 3,900 万年かかるでしょう。

それに比べて、Keepassはデフォルトでパスワードを6,000回ハッシュします(200万回に設定してもほとんど問題はありません)。そのため、数学的なトリックは役に立ちません。発音可能な小文字+大文字+数字の設定を使用することができます。パスワード覚えやすく、総当たり攻撃や推測が難しいパスワードを生成しますtahter.3usandu。たとえば、 です。ひょっとすると、日本語を学ぶことになるかもしれません :-)。

答え3

バージョン2.10以降、KeePassはコマンドラインパラメータをサポートしています-pw-enc。詳細については、KeePassオンラインヘルプ暗号化された表現で KeePass データベースのマスター パスワードを受け入れます。

次のようにcmdスクリプトを使用しますブログパラメータを使用すると-pw-enc、パスワードを入力しなくてもデータベースを自動的に開いたりロック解除したりできます。このスクリプトを Windows タスク スケジューラのタスクとして追加します。「ログオン時」のトリガーを定義します。

この方法により、KeePass データベースに必要なのはマスター パスワードのみになります。他のコンピューターでは、マスター パスワードを入力することによってのみデータベースを開くことができます。ただし、自分のコンピューターでは、Windows ユーザー アカウントに依存してデータベースを自動的にロック解除する安全な方法があります。

補足事項

  • 暗号化された表現を作成するには、プレースホルダーを使用する必要があります {パスワード}データベースのマスター パスワードを含む KeePass エントリ用です。暗号化された表現は作成するたびに少しずつ異なります。それでも機能します。

    自動入力シーケンスとして使用することも、 のようなエントリ URL として使用することもできますcmd://"cmd.exe" /k echo {PASSWORD_ENC}

  • cmdウィンドウがポップアップするのを避けるには、次のようにcmdスクリプトをVBSスクリプトで囲みます。サーバー障害に関する回答

  • KeePass がデータベースを自動的にロックするように構成した場合は、ローカル コンピューターとリモート コンピューターに対して、「ワークステーションのロック解除時」と「ユーザー セッションへの接続時」の追加トリガーを追加できます。

  • タスク スケジューラのタスクで「ユーザーがログオンしているかどうかに関係なく実行する」をチェックしないでください。チェックしないと、タスクは KeePass UI を起動できません。

  • 暗号化はWindows データ保護 API (DPAPI)復号化は、同じマシン/ドメイン上の現在のユーザーに対してのみ可能です。

関連情報