Hacer que la base de datos Keepass acepte, pero no requiera, dos métodos de desbloqueo

Question 1

Puede colocar su contraseña en un archivo de texto en la PC de su hogar (asegúrese de que su editor de texto no agregue caracteres de nueva línea) y luego entregársela a KeePass como archivo de clave. (Puede cifrar el archivo de claves con EFS de Windows).

Ahora puedes usar el archivo de claves en casa y escribir la contraseña manualmente en otro lugar.

Answer

Puede colocar su contraseña en un archivo de texto en la PC de su hogar (asegúrese de que su editor de texto no agregue caracteres de nueva línea) y luego entregársela a KeePass como archivo de clave. (Puede cifrar el archivo de claves con EFS de Windows).

Ahora puedes usar el archivo de claves en casa y escribir la contraseña manualmente en otro lugar.

Question 2

El método más sencillo (si no cambia mucho las contraseñas, lo cual si usa Keepass probablemente lo haga) es duplicar la base de datos usando la versión 2.x.

No hay mucha otra manera. Si realmente observa lo que sucede con el cifrado, verá que si cifra todo con una clave, no puede descifrarlo con otra porque ese es el objetivo mismo del cifrado.

Si intentara usar más de una clave, de cualquier manera, se reduciría a verificar la clave y luego usar una clave almacenada para desbloquear la base de datos, lo cual es bastante inseguro.

Incluso si el programa almacenó dos copias con dos claves de cifrado diferentes en el mismo archivo, eso hace que sea más fácil la fuerza bruta, ya que obtener una clave hace que sea fácil encontrar la otra clave, y torpe porque cada vez que editas las contraseñas que tienes para tener la otra llave.

Tl;dr: tener varias claves posibles pero solo se necesita una es casi matemáticamente imposible.

Otra solución que tienes es obtener una contraseña más corta. LecturaEste artículo, con respecto a AES (que es lo que usa Keepass), una contraseña tan simple fluffy is puffytardaría quizás 39 millones de años en descifrarse, aunque esas palabras son muy simples.

En comparación, Keepass codifica la contraseña 6.000 veces de forma predeterminada (y si la configura en 2 millones apenas sudaría), lo que hace que cualquier tipo de truco matemático sea inútil. Puede utilizar la configuración pronouncable y lower+upper+num encontraseña.mepara generar una contraseña que sea fácil de aprender y recordar pero difícil de forzar o adivinar, como tahter.3usandu. Diablos, incluso podrías terminar aprendiendo japonés :-).

Answer

El método más sencillo (si no cambia mucho las contraseñas, lo cual si usa Keepass probablemente lo haga) es duplicar la base de datos usando la versión 2.x.

No hay mucha otra manera. Si realmente observa lo que sucede con el cifrado, verá que si cifra todo con una clave, no puede descifrarlo con otra porque ese es el objetivo mismo del cifrado.

Si intentara usar más de una clave, de cualquier manera, se reduciría a verificar la clave y luego usar una clave almacenada para desbloquear la base de datos, lo cual es bastante inseguro.

Incluso si el programa almacenó dos copias con dos claves de cifrado diferentes en el mismo archivo, eso hace que sea más fácil la fuerza bruta, ya que obtener una clave hace que sea fácil encontrar la otra clave, y torpe porque cada vez que editas las contraseñas que tienes para tener la otra llave.

Tl;dr: tener varias claves posibles pero solo se necesita una es casi matemáticamente imposible.

Otra solución que tienes es obtener una contraseña más corta. LecturaEste artículo, con respecto a AES (que es lo que usa Keepass), una contraseña tan simple fluffy is puffytardaría quizás 39 millones de años en descifrarse, aunque esas palabras son muy simples.

En comparación, Keepass codifica la contraseña 6.000 veces de forma predeterminada (y si la configura en 2 millones apenas sudaría), lo que hace que cualquier tipo de truco matemático sea inútil. Puede utilizar la configuración pronouncable y lower+upper+num encontraseña.mepara generar una contraseña que sea fácil de aprender y recordar pero difícil de forzar o adivinar, como tahter.3usandu. Diablos, incluso podrías terminar aprendiendo japonés :-).

Question 3

Desde la versión 2.10, KeePass admite el parámetro de línea de comando -pw-enc. Para más detalles, consulteAyuda en línea de KeePass. Acepta la contraseña maestra de una base de datos KeePass en una representación cifrada.

Utilice un script cmd como en esteBlogcon el -pw-encparámetro para abrir/desbloquear automáticamente su base de datos sin necesidad de escribir su contraseña. Agregue este script como tarea en el programador de tareas de Windows. Defina un activador para "Al iniciar sesión".

De esta manera, tu base de datos KeePass sólo necesita una contraseña maestra. Puede abrirlo en otras computadoras solo escribiendo la contraseña maestra. Sin embargo, en su propia computadora, tiene una forma segura de desbloquear automáticamente su base de datos basándose en su cuenta de usuario de Windows.

Notas al margen

Para crear la representación cifrada, debe utilizar el marcador de posición {CONTRASEÑA_ENC}para una entrada KeePass con la contraseña maestra de la base de datos. La representación cifrada es un poco diferente cada vez que la creas. Sin embargo, funcionará.

Puedes usarlo como secuencia de escritura automática o para una URL de entrada como cmd://"cmd.exe" /k echo {PASSWORD_ENC}.
Para evitar que aparezca la ventana cmd, puede envolver el script cmd con un script VBS como en esterespuesta sobre falla del servidor.
Si configuró KeePass para bloquear automáticamente su base de datos, puede agregar activadores adicionales para "Al desbloquear la estación de trabajo" y "Al conectarse a la sesión del usuario" para computadoras locales y remotas.
No marque "Ejecutar si el usuario ha iniciado sesión o no" para la tarea en el programador de tareas. De lo contrario, la tarea no puede abrir la interfaz de usuario de KeePass.
El cifrado se basa en elAPI de protección de datos de Windows (DPAPI). El descifrado solo será posible para el usuario actual en la misma máquina/dominio.

Answer

Desde la versión 2.10, KeePass admite el parámetro de línea de comando -pw-enc. Para más detalles, consulteAyuda en línea de KeePass. Acepta la contraseña maestra de una base de datos KeePass en una representación cifrada.

Utilice un script cmd como en esteBlogcon el -pw-encparámetro para abrir/desbloquear automáticamente su base de datos sin necesidad de escribir su contraseña. Agregue este script como tarea en el programador de tareas de Windows. Defina un activador para "Al iniciar sesión".

De esta manera, tu base de datos KeePass sólo necesita una contraseña maestra. Puede abrirlo en otras computadoras solo escribiendo la contraseña maestra. Sin embargo, en su propia computadora, tiene una forma segura de desbloquear automáticamente su base de datos basándose en su cuenta de usuario de Windows.

Notas al margen

Para crear la representación cifrada, debe utilizar el marcador de posición {CONTRASEÑA_ENC}para una entrada KeePass con la contraseña maestra de la base de datos. La representación cifrada es un poco diferente cada vez que la creas. Sin embargo, funcionará.

Puedes usarlo como secuencia de escritura automática o para una URL de entrada como cmd://"cmd.exe" /k echo {PASSWORD_ENC}.
Para evitar que aparezca la ventana cmd, puede envolver el script cmd con un script VBS como en esterespuesta sobre falla del servidor.
Si configuró KeePass para bloquear automáticamente su base de datos, puede agregar activadores adicionales para "Al desbloquear la estación de trabajo" y "Al conectarse a la sesión del usuario" para computadoras locales y remotas.
No marque "Ejecutar si el usuario ha iniciado sesión o no" para la tarea en el programador de tareas. De lo contrario, la tarea no puede abrir la interfaz de usuario de KeePass.
El cifrado se basa en elAPI de protección de datos de Windows (DPAPI). El descifrado solo será posible para el usuario actual en la misma máquina/dominio.

Hacer que la base de datos Keepass acepte, pero no requiera, dos métodos de desbloqueo

Respuesta1

Respuesta2

Respuesta3

Notas al margen

información relacionada