Faça com que o banco de dados Keepass aceite, mas não requeira, dois métodos de desbloqueio

6

Eu uso o Keepass para gerenciar minha senha e ele é sincronizado usando o Dropbox no computador de casa (Windows 7), no computador de trabalho (Ubuntu) e no meu telefone Android.

Atualmente, estou usando apenas uma senha mestra para protegê-la, mas prefiro usar minha conta de usuário do Windows em casa, para não precisar digitar uma senha longa todos os dias. Por outro lado, se eu passar a usar meu WUA para protegê-lo, não conseguiria acessá-lo do meu telefone ou do meu computador de trabalho.

Existe alguma maneira de configurar meu banco de dados keepass para aceitar, mas não exigir, ambos os métodos de desbloqueio? Dessa forma, posso usar meu WUA em casa e usar minha senha mestra em todos os lugares mais.

    
por Malabarba 02.02.2011 / 01:59

3 respostas

5

Você pode colocar sua senha em um arquivo de texto em seu PC em casa (certifique-se de que seu editor de texto não adiciona caracteres de nova linha) e, em seguida, fornecê-lo ao KeePass como arquivo-chave. (Você pode criptografar o arquivo de chaves com o EFS do Windows).

Agora você pode usar o arquivo de chaves em casa e digitar a senha manualmente em outro lugar.

    
por 02.02.2011 / 12:47
3

O método mais fácil (se você não alterar muito as senhas, o que, se você usar o Keepass, você provavelmente usa) é duplicar o banco de dados usando a versão 2.x.

Não há muito de outro jeito. Se você realmente olhar para o que está acontecendo com a criptografia, verá que, se ele criptografar tudo com uma chave, não poderá descriptografá-la com outra, porque esse é o ponto exato da criptografia.

Se você tentou usar mais de uma chave, de qualquer forma, seria reduzido para verificar a chave e depois usar uma chave armazenada para desbloquear o banco de dados, o que é bastante inseguro.

Mesmo que o programa armazene duas cópias com duas chaves de criptografia diferentes no mesmo arquivo, isso torna mais fácil a força bruta, pois a obtenção de uma chave facilita a localização da outra e desajeitada, porque toda vez que você edita a chave senhas você tem que ter a outra chave.

Tl; dr: ter várias chaves possíveis, mas com apenas uma necessária, é quase matematicamente impossível.

Uma outra solução que você tem é obter uma senha mais curta. Lendo este artigo , sobre o AES (que é o que a Keepass usa), uma senha simples como fluffy is puffy levaria talvez 39 miilhões de anos para quebrar, mesmo que essas palavras sejam muito simples.

Por comparação, então, Keepass hashes a senha 6 mil vezes por padrão (e se você configurá-la para 2 milhões, ela ainda iria suar um pouco) o que torna inútil qualquer tipo de truque matemático. Você pode usar as configurações pronouncable e lower + upper + num em passwd.me para gerar uma senha fácil de aprender e lembrar, mas difícil de usar ou acho, como tahter.3usandu . Heck, você pode até acabar aprendendo japonês: -).

    
por 02.02.2011 / 02:24
1

Desde a versão 2.10, o KeePass suporta o parâmetro de linha de comando -pw-enc . Para mais detalhes, consulte a ajuda on-line do KeePass . Ele aceita a senha mestra de um banco de dados KeePass em uma representação criptografada.

Use um script cmd como neste blog com o -pw-enc parâmetro para abrir / desbloquear automaticamente o banco de dados sem a necessidade de digitar sua senha. Adicione este script como tarefa no agendador de tarefas do Windows. Defina um acionador para "At log on".

Desta forma, o seu banco de dados KeePass só precisa de uma senha mestra. Você pode abri-lo em outros computadores digitando apenas a senha mestra. No entanto, no seu próprio computador, você tem uma maneira segura de desbloquear automaticamente seu banco de dados com base na sua conta de usuário do Windows.

Notas laterais

  • Para criar a representação criptografada, você deve usar o espaço reservado {PASSWORD_ENC} para uma entrada do KeePass com a senha mestra do o banco de dados. A representação criptografada é um pouco diferente a cada vez que você cria. No entanto, funcionará.

    Você pode usá-lo como sequência de tipo automático ou como URL de entrada, como cmd://"cmd.exe" /k echo {PASSWORD_ENC} .

  • Para evitar que a janela cmd seja exibida, você pode envolver o script cmd com um script VBS como neste answer no Server Fault .

  • Se você configurou o KeePass para bloquear automaticamente seu banco de dados, pode adicionar os gatilhos adicionais para "On workstation unlock" e "On conexão à sessão do usuário "para computadores locais e remotos.

  • Não marque "Executar se o usuário está conectado ou não" para a tarefa no agendador de tarefas. Caso contrário, a tarefa não pode abrir a interface do KeePass.

  • A criptografia depende da API de proteção de dados do Windows (DPAPI) . A descriptografia só será possível para o usuário atual a mesma máquina / domínio.

por 16.03.2014 / 21:20