Uso pratico e sicuro di KeePass

Esistono modi per aumentare la difficoltà di recuperare la password principale di KeePass, ad esempio impostarla per consentire l'immissione solo sul desktop protetto.

Per impedire a qualcuno di ottenere il tuo file di database KeePass e di eseguire la forza bruta su di esso, puoi anche aumentare il conteggio dell'iter AES che KeePass esegue durante il processo di derivazione della password master, in modo da aumentare lo sforzo necessario per forzare la chiave master il tuo database dovrebbe essere esfiltrato.

C'è anche un'opzione per impostare l'offuscamento di due canali durante il tipo automatico quando KeePass esegue la digitazione del nome utente e della password per te. Dovrebbe impedire ai key logger grezzi di recuperare la password specifica che usi per quel sito.

Per impedire l'accesso malevolo al database KeePass (e la tua passphrase di decrittografia, dato che è necessario digitarlo in testo in qualche modo ... e che può essere intercettato se il tuo computer è compromesso), in primo luogo, tieni al sicuro il tuo computer. Conosci il trapano: installa e aggiorna il tuo software AV, mantieni aggiornato il sistema operativo e il software del tuo computer, disponi di un firewall, controlla regolarmente i log ecc.

Infine, aumenta l'entropia e la lunghezza della password principale utilizzata. Invece di 9 caratteri, che ne dici di 13+? Invece di solo lettere minuscole, che dire di includere maiuscole e persino un carattere speciale o due? Più la tua password è imprevedibile e più lunga, più tempo ci vorrà perché l'hacker attacchi la forza bruta alla chiave master del database.

Non c'è modo di rivestire lo zucchero con questo. Un malware / keylogger installato sul tuo computer significa che le tue password sono esposte. È tutto, non c'è modo di aggirarlo.

Un malware / keylogger registra la tua password principale, intercetta gli appunti, in qualche modo accede al database decrittografato in memoria, ecc.

Potresti provare a configurare una sorta di soluzione OTP in aggiunta alla password che conservi in custodia o come sostituto.

Uno piuttosto accessibile potrebbe essere yubikey ( link ).

Puoi fare cose come scambiare un PAM linux con uno yubico e usare un yubikey per accedere a un box Linux e così via ...

Questa non è pubblicità, piuttosto un esempio di otp conveniente. Forse non è una soluzione per ogni caso di keepass ma se memorizzi le credenziali di sistema in keepass puoi aggiungere un livello di sicurezza a loro ....

Modifica: anche come accennato usi molto più di 9 cifre. Usa qualcosa di lungo e complesso che è ancora buono da digitare, come una lunga frase con alcuni caratteri speciali extra. Non fare cose semplici come scambiare una e con un 3. Esistono plugin bruteforce per quel tipo di cose. Aggiungi solo delle voci casuali alla fine / all'inizio e al centro ...

Modifica2: appena trovato questo: link vedi la parte otp alla fine. Non posso prometterti che questa è un'implementazione otp corretta e sicura e che il plugin è senza difetti. Tuttavia la teoria suona bene ed è un buon punto di partenza per fare qualche ricerca su di esso o cercare alcune alternative come questa.

Modifica3: un'alternativa gratuita a yubikey sarebbe l'app di Google Authenticator per iOS o Android che dovrebbe funzionare bene con il plugin OttimKeyProv keepass secondo link

(di nuovo non posso promettere che l'implementazione di OtpKeyProv sia impeccabile ...)

Uno degli attacchi è la registrazione di un debugger per KeePass.exe che sostituisce completamente KeePass.exe con qualcos'altro, potenzialmente una copia molto buona che non riconosco. Altri sono registratori di tastiera.

Ho fatto quanto segue per impedire l'accesso al database principale di KeePass:

• scarica l'origine KeePass
• rimuovi la versione mobile (perché quella non è stata compilata sul mio PC)
• apporta alcune modifiche, ad es. cambia il colore di sfondo e aggiungi un'icona, in modo da poter distinguere la mia versione dagli altri
• rinomina l'eseguibile in modo che non sia influenzato da un attacco generico del debugger
• aggiungi alcuni caratteri della password nel codice, in modo che un keylogger non ottenga mai la password completa
• Modifica l'estensione del file da .kdbx in modo che qualcuno che guarda gli accessi ai file non possa scoprire che si tratta di una variante di KeePass e che qualcuno che esegue la scansione del disco non lo troverà.
• Sostituisci tutte le stringhe "KeePass" nel codice
• Compila la nuova versione
• Non installarlo, usa solo una versione USB portatile
• Attiva il prompt della password sicura

Anche se non riesco ad aggiornare KeePass più facilmente, penso ancora di avere una versione più sicura che è meno attaccabile. Qualcuno dovrebbe creare un attacco solo per la mia versione, il che è improbabile.

Potresti anche:

• cambia un po 'il formato del file, ad es. scrivi byte addizionali all'inizio, in modo che il file sia più difficile da rilevare con gli scanner delle firme.

Quindi ora la password principale del database KeePass è abbastanza sicura, è comunque possibile accedere alle password copiate da KeePass in altre applicazioni. Un utente malintenzionato può rapidamente visualizzare una finestra invisibile e quindi attivare nuovamente KeePass. KeePass utilizzerà quindi la finestra invisibile per incollare la password su. Anche il tipo automatico a due canali difficilmente può impedire questo attacco, specialmente se la finestra invisibile passa i dati alla finestra corretta, quindi non te ne accorgi.

Anche se non ho implementato una contromisura per questo, credo che farei quanto segue:

• mostra il titolo della finestra della finestra che KeePass userà per incollare le password in
• rileva brevi periodi di tempo in cui KeePass entra in background. Anche se premi Alt-Tab due volte molto velocemente, dovrebbero esserci ~ 100 ms tra una disattivazione e un'attivazione di KeePass

Un'idea che probabilmente ha bisogno di diritti di amministratore e richiede più conoscenze Windows Internals di quelle attualmente disponibili:

• Sospendi tutti i programmi (o quasi tutti, forse mantieni alcuni eseguibili di Windows in esecuzione) tranne il tuo KeePass modificato e il programma di destinazione. Dopo aver incollato la password, annullare la sospensione. Attaccanti che, ad es. il polling degli appunti dovrebbe essere bypassato. Non sono sicuro per altri tipi di notifica come gli hook per tastiera.

Qual è la tua principale minaccia?

1. Per la maggior parte potrebbe essere un software trojan / keylogger in cerca di soldi facili. Alcuni keylogger rilevano quando apri Keepass e poi rubi password e database.

   • Proteggi il tuo computer. Il dispositivo / telefono offline potrebbe essere un'opzione.
   • Evita di scrivere informazioni che ricorderai. Puoi scrivere email1 o companyemail2 invece della tua email effettiva.
   • Scrivi la password sempre con l'aiuto del mouse e nell'ordine sbagliato. Questo bloccherà il semplice keylogger.
   • Un keyfile potrebbe bloccare semplici keylogger.
   • Keepass e il database all'interno della macchina virtuale offline bloccherebbero il keylogger medio dal furto del database.

2. Qualcuno vuole passare attraverso lo sforzo per forzare il tuo database o database in pubblico.

   • Scegli una password casuale lunga e utilizza il file di chiavi.

Nasrus ha dato ottimi consigli.

Inoltre; Non so se lo stai già facendo, ma puoi usare KeePass su una macchina Linux che sarebbe più sicura.

Ubuntu o Debian andrebbero bene, ma se sei molto preoccupato, puoi provare Tails che mira a preservare la tua privacy e l'anonimato concentrandoti sulla sicurezza.