Как правильно хранить пароли. KeePassXC.

Сегодня обсудим довольно простую, на первый взгляд, тему, и хоть она довольно таки заезжена, но всё равно не теряет своей актуальности. Я про тему хранения паролей. И вроде бы, все давно знают как правильно нужно хранить пароли, но, как показывает практика, огромное количество людей хранит пароли в текстовом документе с названием «password», некоторые записывают пароли на бумажку и клеят её на монитор, третьи записывают в тетрадку и хранят эту тетрадку на рабочем месте. И так можно долго перечислять как делать не надо и почему, и ты наверняка сам понимаешь на сколько не приятная ситуация получится если твои пароли попадут к кому-то не тому, но мы лучше поговорим, как, всё-таки, правильно хранить пароли.

Я покажу наиболее безопасные, на мой взгляд, способы как хранить пароли.

Установка и настройка KeePassXC

Начнём мы с лучшего, по моему мнению, менеджера паролей KeePassXC. Кстати самих keepass`ов существует довольно много, но версия XC очень активно поддерживается разработчиками и постоянно обновляется, в отличие от некоторых своих аналогов, поэтому я выбрал именно её.

KeePassXC — это бесплатная утилита, с открытым исходным кодом, она может работать с базами более ранних версий или с созданными в других аналогичных программах, что тоже прикольно.

Качаем с официального сайта — https://keepassxc.org/download/ и устанавливаем. Есть версии для Linux, Windows и MacOS, там же лежит исходный код.

Интерфейс программы максимально прост и понятен, при запуске мы можем либо импортировать уже существующую базу либо создать новую нажав кнопку «Создать новую базу данных».

keepassxc

Придумываем название и в следующем окне можно выбрать формат базы (лучше оставить значение по умолчанию), а в разделе дополнительных настроек, если есть желание можно изменить алгоритм шифрования и параметры ключей (если нет понимания, какой выбрать — оставляй значения по умолчанию, они оптимальны).

В следующем окне, нужно придумать пароль к базе. Так как это, по сути, будет твой самый важный пароль то в идеале его запомнить, чтобы исключить вероятность случайной потери. Здесь же, в дополнительных настройках, можно добавить или сгенерировать и добавить ключевой файл, без которого не получится открыть базу, кстати, в качества этого файла ты можешь выбрать, не обязательно файл ключа, а вообще любой файл, например какой-нибудь тестовый документ или видео, но тут осторожней, если ты что-нибудь изменишь в ключевом файле после назначения, открыть базу уже не получится. В этом же окне можно включить открытие базы с использованием YubiKey это такая флешка-ключ, стоит около 50 баксов, но если у тебя он есть, эта статья тебе, скорее всего, не нужна, ты и так знатный параноик.

keepassxc

Ключевой файл выбирать не обязательно, но очень желательно, это создаст дополнительный уровень защиты и даже если пароль будет скомпрометирован, базу всё равно открыть не получится.

После нажатия кнопки «Готово» попадаем в основное окно программы, а это значит что надо идти в настройки и подкрутить их.

В целом, параметры каждый настраивает так как ему удобней, я посоветую только то, что касается защищённости. Перейди во вкладку «Безопасность» и выставь такие параметры:
— «Очищать буфер обмена через» — 10 секунд;
— «Блокировать базу данных при отсутствии активности в течении» — 180 секунд (ну или сколько нравиться);
остальные можно оставить такими как стоят по умолчанию.

Еще одна, очень удобная функция, которая есть в KeePassXC, это генератор паролей. Причем генерировать можно как пароли, так и парольные фразы.

keepassxc

Выбираешь наборы и желаемое количество символов, жмешь «Создать» и получаешь пароль, копируешь его в буфер, вводишь где надо, а потом сохраняешь в базу. Прикольная фишка в том, что пароль тебе не нужно даже видеть, всё происходит через буфер, не уверен что это важно, но прикольно. Генератор паролей также можно использовать непосредственно при создании записей в базе.

Для создания новой записи в базе, жмём кнопку «Добавить новую запись» и в открывшемся окне заполняем нужные поля, а во вкладке «Дополнительно» можно прикрепить к записи файл (например ключа) если есть такая необходимость.

keepassxc

Ну и как и в любых подобных утилитах записи можно раскладывать по группам, чтоб тебе было удобнее их находить.

Пару слов о хранении базы паролей. В принципе, базу можно хранить просто на жёстком диске, особо не замарачиваясь, алгоритм AES даёт довольно серьёзный уровень защиты, серьёзный — но не абсолютный, и если ты, вдруг, как и я, страдаешь паранойей, то базу стоит хранить в криптоконтейнере созданном программой VeraCrypt (её обзор здесь), всё таки шифрование внутри шифрования — это лучше чем просто шифрование. А ещё не стоит забывать про резервную копию базы на какой-нибудь флешке, тоже всячески зашифрованной.

Оффлайн хранение паролей.

Есть такие люди, которые считают, что хранить пароли в компьютере — это не правильно, ведь абсолютно любую систему можно взломать, как и абсолютно любой алгоритм шифрования (я надеюсь ты помнишь из статьи про шифрование, что абсолютно стойкие алгоритмы существуют только в теории). И такие товарищи записывают пароли в блокнот и прячут его под матрас. Тут конечно существуют контр аргументы, что блокнот могут украсть или ты можешь его потерять, короче спор философский, а потому решай сам к какой категории ты относишься. А я добавлю такой момент: так как тетрадку с паролями действительно можно потерять или ещё что-нибудь с ней случится, то, чтобы твои пароли не стали достоянием зрительного зала, в неё тоже можно добавить элемент шифрования, причём его сложность будет зависеть только от твоей фантазии. Например, можно придумать пароль, записать его, но при регистрации и последующем введении его, добавлять в начало — номер строки, а в конец — номер страницы на которой он записан, так если твой пароль password, и он записан на 17 строке 11 листа блокнота, то ты вводишь пароль 17password11, соответственно злодей получивший твою тетрадь, будет пытаться вводит password, он ведь не знает секрета, а значит никуда войти не сможет.

Вот такое вот моё виденье вопроса хранения паролей, не забывай возвращаться, а я буду стараться делиться с тобой полезной информацией.

Твой Pul$e.