Faça com que o banco de dados Keepass aceite, mas não exija, dois métodos de desbloqueio

Faça com que o banco de dados Keepass aceite, mas não exija, dois métodos de desbloqueio

Eu uso o Keepass para gerenciar minha senha e ela é sincronizada usando o Dropbox no computador doméstico (Windows 7), no computador do trabalho (Ubuntu) e no meu telefone Android.

Atualmente, estou usando apenas uma senha mestra para protegê-la, mas prefiro usar minha conta de usuário do Windows em casa, para não precisar digitar uma senha longa todos os dias. Por outro lado, se eu passar a usar meu WUA para protegê-lo, não conseguirei acessá-lo no meu telefone ou no meu computador de trabalho.

Existe alguma maneira de configurar meu banco de dados keepass para aceitar, mas não exigir, ambos os métodos de desbloqueio?Dessa forma, eu poderia usar meu WUA em casa e usar minha senha mestra em qualquer outro lugar.

Responder1

Você pode colocar sua senha em um arquivo de texto em seu PC doméstico (certifique-se de que seu editor de texto não adicione caracteres de nova linha) e, em seguida, fornecê-la ao KeePass como arquivo-chave. (Você pode criptografar o arquivo-chave com o EFS do Windows.)

Agora você pode usar o arquivo-chave em casa e digitar a senha manualmente em outro lugar.

Responder2

O método mais fácil (se você não altera muito as senhas, o que provavelmente acontece se você usa o Keepass) é duplicar o banco de dados usando a versão 2.x.

Não há muito outro caminho. Se você realmente observar o que está acontecendo com a criptografia, verá que se ela criptografar tudo com uma chave, não será possível descriptografá-la com outra, porque esse é o objetivo da criptografia.

Se você tentasse usar mais de uma chave, de qualquer forma, isso se reduziria a verificar a chave e depois usar uma chave armazenada para desbloquear o banco de dados, o que é bastante inseguro.

Mesmo que o programa armazene duas cópias com duas chaves de criptografia diferentes no mesmo arquivo, isso torna mais fácil a força bruta, já que obter uma chave torna mais fácil encontrar a outra chave, e desajeitado porque toda vez que você edita as senhas, você tem para ter a outra chave.

dr: ter várias chaves possíveis, mas com apenas uma necessária, é quase matematicamente impossível.

Uma outra solução que você tem é obter uma senha mais curta. LeituraEste artigo, em relação ao AES (que é o que Keepass usa), uma senha tão simples que fluffy is puffylevaria talvez 39 milhões de anos para ser quebrada, mesmo que essas palavras sejam muito simples.

Em comparação, então, Keepass faz hash da senha 6.000 vezes por padrão (e se você defini-la para 2 milhões, ainda assim dificilmente suaria), o que torna inútil qualquer tipo de truque matemático. Você pode usar as configurações pronunciável e inferior+superior+num emsenha.mepara gerar uma senha que seja fácil de aprender e lembrar, mas difícil de forçar ou adivinhar, como tahter.3usandu. Caramba, você pode até acabar aprendendo japonês :-).

Responder3

Desde a versão 2.10, KeePass suporta o parâmetro de linha de comando -pw-enc. Para obter detalhes, consulteAjuda on-line do KeePass. Aceita a senha mestra de um banco de dados KeePass em uma representação criptografada.

Use um script cmd como nesteblogcom o -pw-encparâmetro para abrir/desbloquear automaticamente seu banco de dados sem a necessidade de digitar sua senha. Adicione este script como tarefa no agendador de tarefas do Windows. Defina um gatilho para "No logon".

Dessa forma, seu banco de dados KeePass só precisa de uma senha mestra. Você pode abri-lo em outros computadores apenas digitando a senha mestra. No entanto, no seu próprio computador, você tem uma maneira segura de desbloquear automaticamente seu banco de dados, dependendo da sua conta de usuário do Windows.

Notas laterais

  • Para criar a representação criptografada, você deve usar o espaço reservado {SENHA_ENC}para uma entrada KeePass com a senha mestra do banco de dados. A representação criptografada é um pouco diferente cada vez que você a cria. No entanto, funcionará.

    Você pode usá-lo como sequência de digitação automática ou para um URL de entrada como cmd://"cmd.exe" /k echo {PASSWORD_ENC}.

  • Para evitar que a janela cmd apareça, você pode agrupar o script cmd com um script VBS como nesteresposta sobre falha do servidor.

  • Se você configurou o KeePass para bloquear automaticamente seu banco de dados, poderá adicionar gatilhos adicionais para "Desbloqueio da estação de trabalho" e "Na conexão com a sessão do usuário" para computadores locais e remotos.

  • Não marque "Executar se o usuário está conectado ou não" para a tarefa no agendador de tarefas. Caso contrário, a tarefa não poderá abrir a IU do KeePass.

  • A criptografia depende doAPI de proteção de dados do Windows (DPAPI). A descriptografia só será possível para o usuário atual na mesma máquina/domínio.

informação relacionada