Я использую Keepass для управления своими паролями, и они синхронизируются с Dropbox на домашнем компьютере (Windows 7), рабочем компьютере (Ubuntu) и моем телефоне Android.
В настоящее время я использую только главный пароль для его защиты, но я бы предпочел использовать дома свою учетную запись пользователя Windows, чтобы мне не приходилось вводить длинный пароль каждый день. С другой стороны, если я перейду на использование своего WUA для его защиты, то я не смогу получить к нему доступ с моего телефона или моего рабочего компьютера.
Можно ли как-то настроить базу данных Keepass так, чтобы она принимала, но не требовала оба метода разблокировки?Таким образом, я мог бы использовать свой WUA дома, а в других местах — только свой главный пароль.
решение1
Вы можете поместить свой пароль в текстовый файл на домашнем ПК (убедитесь, что ваш текстовый редактор не добавляет символы новой строки), а затем передать его KeePass в качестве ключевого файла. (Вы можете зашифровать ключевой файл с помощью EFS Windows.)
Теперь вы можете использовать ключевой файл дома и вводить пароль вручную в другом месте.
решение2
Самый простой способ (если вы не часто меняете пароли, что, вероятно, так и есть, если вы используете Keepass) — это создать копию базы данных с использованием версии 2.x.
Другого способа не так уж и много. Если вы посмотрите на то, что происходит с шифрованием, вы увидите, что если оно шифрует все одним ключом, то оно не может расшифровать это другим, потому что в этом и есть смысл шифрования.
Если вы попытаетесь каким-либо образом использовать более одного ключа, то вам придется проверить ключ и затем использовать сохраненный ключ для разблокировки базы данных, что весьма небезопасно.
Даже если программа хранит две копии с двумя разными ключами шифрования в одном файле, это одновременно упрощает подбор пароля, поскольку, получив один ключ, можно легко найти другой, и делает его неудобным, поскольку каждый раз при редактировании паролей вам нужен другой ключ.
Tl;dr: возможно наличие нескольких ключей, но при этом необходим только один, что практически математически невозможно.
Еще одно решение — использовать более короткий пароль. ЧтениеЭта статья, что касается AES (который использует Keepass), то fluffy is puffy
для взлома такого простого пароля потребуется, возможно, 39 миллионов лет, даже если эти слова очень простые.
Для сравнения, Keepass по умолчанию хеширует пароль 6000 раз (и если вы установите его на 2 миллиона, он все равно едва ли вспотеет), что делает любые математические трюки бесполезными. Вы можете использовать настройки pronouncable и lower+upper+num напароль.ячтобы сгенерировать пароль, который легко выучить и запомнить, но трудно подобрать или угадать, например tahter.3usandu
. Черт возьми, вы даже можете в конечном итоге выучить японский :-).
решение3
Начиная с версии 2.10, KeePass поддерживает параметр командной строки -pw-enc
. Подробности см.Онлайн-помощь KeePass. Он принимает главный пароль базы данных KeePass в зашифрованном виде.
Используйте скрипт cmd, как в этом примереблогс -pw-enc
параметром для автоматического открытия/разблокировки базы данных без необходимости ввода пароля. Добавьте этот скрипт как задачу в планировщик задач Windows. Определите триггер для "При входе в систему".
Таким образом, вашей базе данных KeePass нужен только главный пароль. Вы можете открыть ее на других компьютерах, только введя главный пароль. Однако на вашем собственном компьютере у вас есть безопасный способ автоматической разблокировки базы данных, полагаясь на вашу учетную запись пользователя Windows.
Заметки на полях
Чтобы создать зашифрованное представление, необходимо использовать заполнитель {ПАРОЛЬ_ENC}для записи KeePass с главным паролем базы данных. Зашифрованное представление немного отличается каждый раз, когда вы его создаете. Тем не менее, это будет работать.
Вы можете использовать его либо как последовательность автонабора, либо для URL-адреса входа, например
cmd://"cmd.exe" /k echo {PASSWORD_ENC}
.Чтобы избежать появления окна cmd, вы можете обернуть скрипт cmd в скрипт VBS, как показано ниже.ответ на Server Fault.
Если вы настроили KeePass на автоматическую блокировку базы данных, вы можете добавить дополнительные триггеры «При разблокировке рабочей станции» и «При подключении к сеансу пользователя» для локальных и удаленных компьютеров.
Не устанавливайте флажок «Выполнять независимо от того, вошел ли пользователь в систему или нет» для задачи в планировщике задач. В противном случае задача не сможет открыть пользовательский интерфейс KeePass.
Шифрование основано наAPI защиты данных Windows (DPAPI). Расшифровка будет возможна только для текущего пользователя на том же компьютере/домене.