Обзор менеджера паролей KeePass Password Safe

Главная Обзоры Статьи Словарик Контакты
English ver.
 

Официальный сайт разработчиков: http://keepass.info

Последняя рассмотренная версия: KeePass Password Safe 1.16 - выпущена 06 июня 2009 г.

Главное окно

Рис. 1. Главное окно KeePass Password Safe

KeePass Password Safe - это Open Source-программа для надёжного хранения и лёгкого использования паролей. Все пароли хранятся в зашифрованной базе данных. Для доступа к базе (т.е. для её расшифрования) используется мастер-пароль, хранить и помнить который придётся пользователю. Другой вариант - использовать ключевой файл (файл, хранящий ключ шифрования или его часть) - тогда для расшифрования базы паролей необходимо всего лишь указать путь к ключевому файлу. Но ещё лучше использовать оба способа одновременно, причём мастер-пароль в таком случае не следует записывать в файл и тем более хранить этот файл совместно с ключевым файлом - мастер-пароль необходимо запомнить в голове (можно также хранить резервную копию пароля в надёжном месте - в зашифрованном файле, в сейфе и т.п.).

Необходимо также создавать резервную копию самой базы паролей - на случай её повреждения (или повреждения носителя). Копию базы следует сохранять после каждого её изменения (добавление или изменение новой записи с паролем, изменение пароля самой базы данных и др.).

Не храните ключевой файл в незашифрованном виде совместно с базой данных паролей! Эти файлы следует хранить на разных носителях, причём носитель с ключевым файлом должен быть защищён от использования посторонними. Допускается хранение файла с ключом на том же носителе, что и база паролей в случае, если файл с ключом зашифрован и ключ расшифрования хранится в надёжном месте.

Интерфейс программы достаточно удобный. Множество паролей представляется в виде дерева (рис. 1), которое можно расширять, создавая новые подгруппы.

Создание записи

Рис. 2. Создание записи с информацией о пароле

Для шифрования базы данных паролей используется криптографический алгоритм AES (по умолчанию) или Twofish - оба используют ключ шифрования длиной 256 бит и имеют размер блока 128 бит.

Отметим, что выбор алгоритма шифрования базы паролей не должен быть сложной проблемой, т.к. время жизни шифруемых данных, т.е. паролей, ограничено (при надлежащей политике - периодическом изменении всех паролей - например, раз в месяц - это зависит от ценности данных). Если злоумышленник не имеет возможности часто получать копию зашифрованной базы паролей для анализа, то в случае, когда станет известно об уязвимости одного из алгоритмов, Вы успеете изменить алгоритм шифрования базы (и мастер-пароль) на другой - более стойкий, а злоумышленник сможет получить лишь старые вырсии Ваших паролей. Также необходимо в таком случае изменить все пароли, которые хранились в базе - на случай, если злоумышленник всё же получил последнюю версию базы паролей.

Теперь предположим, что злоумышленник имеет возможностью получать копию базы данных с паролями (зашифрованную) после каждого сохранения. Так как открытый текст (база паролей) может меняться несущественно (например, добавилась или изменилась запись с паролем), то возможен анализ зашифрованных текстов при известном факте сходства между собой открытых текстов.
Для предотвращения этого в KeePass Password Safe при каждом сохранении базы паролей генерируется случайный вектор инициализации, что обеспечивает более надёжное перемешивание битов в процессе шифрования.

Для получения ключа шифрования из мастер-пароля и/или ключевого файла (которые вводятся при создании и открытии базы данных) используется алгоритм хеширования SHA-256. Хеширование производится для того, чтобы не хранить мастер-пароль (и/или ключевой файл) в открытом виде (например, в оперативной памяти в процессе работы с базой паролей), и для получения ключа нобоходимой длины - 256 бит. Алгоритм хеширования SHA-256 на данный момент считается безопасным. Однако, для повышения безопасности следует регулярно менять мастер-пароль и/или ключевой файл и НЕ использовать одинаковые пароли повторно. Если станет известно об уязвимости функции хэширования SHA-256 - необходимо немедленно изменить мастер-пароль (и ключевой файл), а также изменить все пароли в базе данных (т.к. злоумышленник мог скопировать базу паролей).
Следует помнить, что существуют гораздо более простые методы нахождения пароля, чем криптоанализ функции хеширования (например, физически подсмотреть клавиатуру в момент ввода пароля).

О безопасности KeePass Password Safe можно прочесть: http://keepass.info/help/base/security.html (на английском).

Для того, чтобы не устанавливать KeePass Password Safe на каждом компьютере, на котором необходимо работать - можно установить Portable-версию программы на переносной накопитель (например, "флешку") - и получать доступ к базе паролей на любом Win-компьютере. Скачать переносную версию можно на сайте PortableApps.com.

В KeePass Password Safe реализованы и другие функции: автозаполнение форм, генератор паролей, одноразовые пароли (TAN) и другие.

Программа поддерживает подключение плагинов, расширяющих её функциональные возможности. Многие из них находятся на официальном сайте: http://keepass.info/plugins.html.

admin

Опубликовано: 30.07.2009

Последнее изменение: 30.07.2009

© 2008-2009 CRYPTOSOFT.INFO. Помните, что у каждого документа есть свой автор. При использовании материалов ссылка на сайт www.cryptosoft.info обязательна