KeePassXC. Как правильно хранить пароли

Сегодня обсудим довольно простую, на первый взгляд, тему. И хоть она довольно таки заезжена, но всё равно не теряет своей актуальности. Я про тему хранения паролей в целом и утилиту KeePassXC в частности. И вроде бы, все давно знают как правильно нужно хранить пароли. Но, как показывает практика, огромное количество людей хранит пароли в текстовом документе с названием «password». Некоторые записывают пароли на бумажку и клеят её на монитор. Третьи записывают в тетрадку и хранят эту тетрадку на рабочем месте. И так можно долго перечислять как делать не надо и почему. И ты наверняка сам понимаешь на сколько не приятная ситуация получится, если твои пароли попадут к кому-то не тому. Но мы лучше поговорим, как, всё-таки, правильно хранить пароли.

Как безопасно хранить пароли. KeePassXC

Я покажу наиболее безопасные, на мой взгляд, способы как хранить пароли.

Установка и настройка KeePassXC

Начнём мы с лучшего, по моему мнению, менеджера паролей KeePassXC. Кстати самих keepass`ов существует довольно много. Но версия XC очень активно поддерживается разработчиками и постоянно обновляется, в отличие от некоторых своих аналогов. Поэтому я выбрал именно её.

KeePassXC — это бесплатная утилита, с открытым исходным кодом. Она может работать с базами более ранних версий или с созданными в других аналогичных программах, что тоже прикольно.

Качаем с официального сайта и устанавливаем. Есть версии для Linux, Windows и MacOS, там же лежит исходный код.

Интерфейс программы максимально прост и понятен. При запуске мы можем либо импортировать уже существующую базу, либо создать новую, нажав кнопку «Создать новую базу данных».

keepassxc

Придумываем название и в следующем окне можно выбрать формат базы (лучше оставить значение по умолчанию). А в разделе дополнительных настроек, если есть желание, можно изменить алгоритм шифрования и параметры ключей (если нет понимания, какой выбрать — оставляй значения по умолчанию, они оптимальны).

В следующем окне, нужно придумать пароль к базе. Так как это, по сути, будет твой самый важный пароль, то, в идеале, его запомнить, чтобы исключить вероятность случайной потери. Здесь же, в дополнительных настройках, можно добавить или сгенерировать и добавить ключевой файл, без которого не получится открыть базу, кстати, в качества этого файла ты можешь выбрать, не обязательно файл ключа, а вообще любой файл, например какой-нибудь тестовый документ или видео, но тут осторожней, если ты что-нибудь изменишь в ключевом файле после назначения, открыть базу уже не получится. В этом же окне можно включить открытие базы с использованием YubiKey. Это такая флешка-ключ, стоит около 50 баксов, но если у тебя он есть, эта статья тебе, скорее всего, не нужна, ты и так знатный параноик.

keepassxc

Ключевой файл выбирать не обязательно, но очень желательно. Это создаст дополнительный уровень защиты и даже если пароль будет скомпрометирован, базу всё равно открыть не получится.

После нажатия кнопки «Готово» попадаем в основное окно программы. А это значит что надо идти в настройки и подкрутить их.

Параметры KeePassXC

В целом, параметры каждый настраивает так как ему удобней. Я посоветую только то, что касается защищённости. Перейди во вкладку «Безопасность» и выставь такие параметры:
— «Очищать буфер обмена через» — 10 секунд;
— «Блокировать базу данных при отсутствии активности в течении» — 180 секунд (ну или сколько нравиться);
остальные можно оставить такими как стоят по умолчанию.

Еще одна, очень удобная функция, которая есть в KeePassXC, это генератор паролей. Причем генерировать можно как пароли, так и парольные фразы.

создание пароля

Выбираешь наборы и желаемое количество символов, жмешь «Создать» и получаешь пароль. Копируешь его в буфер, вводишь где надо, а потом сохраняешь в базу. Прикольная фишка в том, что пароль тебе не нужно даже видеть, всё происходит через буфер. Не уверен что это важно, но прикольно. Генератор паролей также можно использовать непосредственно при создании записей в базе.

Добавление записей

Для создания новой записи в базе, жмём кнопку «Добавить новую запись». В открывшемся окне заполняем нужные поля, а во вкладке «Дополнительно» можно прикрепить к записи файл (например ключа), если есть такая необходимость.

keepassxc

Ну и как и в любых подобных утилитах записи можно раскладывать по группам, чтоб тебе было удобнее их находить.

Пару слов о хранении базы паролей. В принципе, базу можно хранить просто на жёстком диске, особо не замарачиваясь, алгоритм AES даёт довольно серьёзный уровень защиты, серьёзный — но не абсолютный, и если ты, вдруг, как и я, страдаешь паранойей, то базу стоит хранить в криптоконтейнере созданном программой VeraCrypt (её обзор здесь), всё таки шифрование внутри шифрования — это лучше чем просто шифрование. А ещё не стоит забывать про резервную копию базы на какой-нибудь флешке, тоже всячески зашифрованной.

Оффлайн хранение паролей

Есть такие люди, которые считают, что хранить пароли в компьютере — это не правильно. Ведь абсолютно любую систему можно взломать, как и абсолютно любой алгоритм шифрования (я надеюсь ты помнишь из статьи про шифрование, что абсолютно стойкие алгоритмы существуют только в теории). И такие товарищи записывают пароли в блокнот и прячут его под матрас. Тут конечно существуют контр аргументы, что блокнот могут украсть или ты можешь его потерять. Короче спор философский, а потому решай сам к какой категории ты относишься.

А я добавлю такой момент. Так как тетрадку с паролями действительно можно потерять или ещё что-нибудь с ней случится, то, чтобы твои пароли не стали достоянием зрительного зала, в неё тоже можно добавить элемент шифрования. Причём его сложность будет зависеть только от твоей фантазии. Например, можно придумать пароль, записать его, но при регистрации и последующем введении его, добавлять в начало — номер строки, а в конец — номер страницы на которой он записан. Так если твой пароль password, и он записан на 17 строке 11 листа блокнота, то ты вводишь пароль 17password11. Соответственно злодей получивший твою тетрадь, будет пытаться вводит password, он ведь не знает секрета, а значит никуда войти не сможет.

Вот такое вот моё виденье вопроса хранения паролей. Ну а ты не забывай возвращаться, а я буду стараться делиться с тобой полезной информацией.

Твой Pulse.