Как обезопасить себя всего одним паролем
Есть вещи, которые то и дело приходится повторять, расписывая разным людям по не менее разным поводам. Эта рекомендация по хранению паролей из их числа и чем повторяться, проще один раз расписать как можно лучше, чтобы в дальнейшем ограничиться одной ссылкой.
Расписать же я постараюсь как можно проще и понятнее, на манер инструкции.
Речь пойдет о менеджерах паролей.
Всего несколько простых шагов и вам не только не придется больше держать в голове все десять вариаций одного простого пароля и перебирать их каждый раз при попытке залогиниться, но и перестать пользоваться простыми паролями. Опять же, запоминать их не придется.
Итак, по пунктам.
KeePassXC
Программа KeePassXC имеет за собой некоторую историю - она является форком не разрабатываемой более KeePassX, которая в свою очередь была создана для работы с базами KeePass Password Safe, на тот момент не имеющей порта под Linux. С последней, как несложно догадаться, и началась вся история. Ныне все три программы доступны под Windows, Linux и macOS.
Полный список возможностей KeePassXC находится здесь.
Заходим на сайт в раздел Download, скачиваем KeePassXC в любом удобном вам виде, устанавливаем и запускаем.
Полагаю, у вас она будет выглядеть несколько иначе. Я любитель темных тем.
Программа встречает нас предложением создать новую базу, открыть имеющуюся или экспортировать. Выбираем Create new database и сохраняем базу. О том, где её лучше хранить, речь пойдет чуть дальше. Пока же достаточно просто сложить её, куда заблагорассудится.
Тут же нам предлагают ввести мастер-пароль и это момент достаточно ответственный, так как это тот самый ключ от всех дверей и лучше, если он будет подлиннее, будет содержать буквы в разном регистре, цифры и какие-нибудь символы. Не перестарайтесь, так как вводить этот пароль для отпирания базы потребуется каждый раз.
Набрав пароль дважды, нажмите на кнопку с глазом, чтобы убедиться, что ваши пальцы не станцевали пьяную джигу и всё напечатано так, как и задумывалось.
Тут ведь явно не всё!
Key file - это возможность открывать базу с помощью выбора ключевого файла. Файл - не пароль и его запомнить или записать на бумажку не получится, так что надежность этого способа шифрования базы уравновешивается соответствующей ненадежностью. Конечно, можно выбрать что-нибудь из системных файлов, но нет гарантии, что они не изменятся со следующим обновлением системы.
Challenge Response - это вариант для владельцев ключа YubiKey. Вариант интересный, но мы обойдем его стороной.
Итак, я ввел пароль, но так ли хорош он? Это можно проверить, нажав на кнопку с игральной костью - генератор паролей.
Введя сюда свой пароль, я вижу, что он и правда так себе.
Стало быть, воспользуемся генератором. Генератор выдает как с трудом запоминаемые пароли вроде “jPruyn6w5RWWVW9M”, так и парольные фразы вроде “swerve unicorn amusement hangnail duly shakiness”. Поэтично, правда? Фраза - неплохой вариант, если вы не боитесь вордлистов, так как фразу легко выучить, но вам может надоесть вбивать несколько слов каждый раз при необходимости открыть базу.
Определившись с мастер-паролем (его всегда можно заменить позднее), закрываем генератор нажатием на ту же кнопку и жмём Ok.
Сейчас здесь совсем пусто. Сохранимся и заглянем в настройки. Я не буду расписывать всё имеющееся, но сразу укажу на один важный пункт. Кроме него, там не так много настроек и вы не заблудитесь. Не забывайте, что если что-то не понятно, просто оставьте это как есть.
Tools > Settings > Browser Integration
Поставьте галочку на Enable KeePassHTTP server и нажмите Применить. Это позволит вашему браузеру связываться с KeePassXC и получать необходимые пароли. Как это делается, я распишу далее.
Теперь создадим пароль. Вам не потребуется делать это каждый раз, так как интеграция с браузером позволяет сохранять пароли одним нажатием, но обойти стороной это окно нельзя.
На панели или в меню находим Add new entry.
Здесь все довольно просто и вряд ли нуждается в описании.
Уточню только, что в поле URL не обязательно указывать полный адрес с http://, поле Expires позволяет указать срок службы пароля, а в Notes можно указать любую дополнительную информацию.
Не забывайте нажать Применить.
Облако
Дабы уберечь драгоценные пароли от детей, пожаров и естественной смерти жесткого диска, базу данных нужно доверить облаку.
Ни одна из упомянутых инкарнаций KeePass не предоставляет встроенной облачной синхронизации, оставляя за пользователем свободу выбора. Не все менеджеры паролей работают таким образом и об альтернативных вариантах я расскажу в самом конце.
Подход KeePass предельно прост - кладите свою базу в синхронизируемую папку и пусть она отправляется в облако с каждым изменением. Хоть два облака сразу. Файл есть файл.
Как работают облачные сервисы? Если совсем просто, то вы регистрируетесь, ставите небольшую программку себе на компьютер (или несколько компьютеров и телефон), она следит за изменениями каждого файла в доверенной ей папке и автоматически отправляет всё в облако - на сервер. Изменения, произведенные вами на компьютере и отправленные в облако, будут доступны на других компьютерах или на телефоне при первом же запуске этой программы на них. Таким образом облако хранит важные файлы и делает их доступными из разных мест без особых усилий.
Я рекомендую воспользоваться Mega, так как все данные шифруются перед отправкой не сервер. Конечно, нельзя не обратить внимание на то предупреждение в статье на Wikipedia, но имейте в виду, что тот же популярный и вседоступный Dropbox не предлагает даже такого.
Я сохранил свою базу паролей в папку Mega на своем компьютере и теперь свежая копия базы всегда лежит в облачном хранилище.
Браузер
Конечно, можно копировать пароли из KeePassXC от руки каждый раз, как вам нужно залогиниться, но вряд ли попадание паролей в буфер обмена надежнее безопасной передачи по HTTP. Что бы это ни значило, по меньшей мере, так куда удобнее.
Вы заходите на сайт с полями ввода логина и пароля, плагин для браузера отправляет запрос KeePass и получает логин/пароль. Вам остается только нажать Enter. Для отдельно взятых сайтов эту функцию можно отключить. Если же в базе существует больше одной записи с одинаковым URL, браузер предложит выбрать необходимую.
Для связи KeePassXC с браузером понадобится плагин:
- chromeIPass для Google Chrome, Chromium и всех родственных и производных, включая Opera, Vivaldi, Yandex.Browser, сотни их.
- PassIFox для Mozilla Firefox
- passafari для Safari
Они несколько отличаются в настройке, но по сути не сильно, и я рассмотрю пример с chromeIPass. Отмечу, что все три плагина работают как с KeePassXC, так и с двумя другими упомянутыми менеджерами паролей.
После установки плагина на панели браузера появится новая кнопка. Держите её на виду.
Здесь не обязательно заглядывать в настройки, если не хочется. Важно только нажать Connect - установить связь между браузером и KeePassXC.
Появится вот такое окошко - запрос на связь. Здесь нужно ввести любое имя для браузера (предполагается, что из может быть несколько на разных компьютерах).
После этого в базе появится запись с названием KeePassHttp Settings. Удалять её можно, но не стоит, иначе придется снова устанавливать связь.
Теперь я покажу, как при регистрации на сайте можно сгенерировать пароль и тут же сохранить его в базу.
Вот обычная форма регистрации на сайте. В поле ввода пароля появилась кнопка с ключом. По нажатию на нее появляется генератор паролей со свежим паролем.
Если вдруг ключик не появился, нажмите на кнопку chromeIPass и далее на Redetect credential fields. Если и так поля ввода не определятся, их можно указать самостоятельно через Choose own credential fields for this page.
Сразу после того, как email или логин с паролем будут отправлены, кнопка chromeIPass замигает красным, предлагая сохранить пароль в базу по нажатию на New, либо в других случаях обновить имеющуюся запись.
chromeIPass сохранил новый пароль в базе. Не забудьте сохранить саму базу!
В следующий раз при попытке залогиниться на этом сайте будет задан такой вопрос - использовать ли автоматический ввод логина и пароля для этого сайта или нет. Поставьте галочку на Remember this decision, чтобы запомнить решение.
Альтернативы
Их много. По меньшей мере, есть оригинальный KeePass - тяжеловесный, полный функций и расширяемый при помощи плагинов. Формат базы у них, кстати, один и потому ничто не мешает перейти на него, сохранив ту же базу, или даже пользоваться разными программами работая с одной базой.
Есть и альтернативы для ленивых: сократите все пройденные в статье этапы до одной лишь установки плагина в браузер и регистрации - вот вам LastPass. Ценой безопасности ваших данных, конечно.
Да, он был взломан.
Преимущество связки KeePass, плагина и облака перед “решениями” не только в том, что это абсолютно бесплатно, но и свободно - никто не скажет, где вам хранить ваши пароли. Облако вполне можно заменить и флешкой. Не забывайте и о возможности открывать базу ключевым файлом или YubiKey.
Заключение
Нет-нет, никакой паранойи у вас нет! Но может стоило бы немножко?
В этой статье описано всего несколько простых шагов, которые сделают жизнь не только чуть проще, но и безопаснее. Не поленитесь пройти их хотя бы для того, чтобы поставить галочку на этом вопросе.
Если этот пост оказался полезным, сэкономив несколько драгоценных часов жизни, могу поздравить, а вы можете, например, закинуть донат.