Где хранить пароли? настройка синхронизации keepass 2
Содержание:
Security
What about the security of plugins? Can’t malicious plugins
‘inject’ themselves into KeePass?
If plugins can register themselves
(i.e. have write access to the KeePass directory), they could also just
replace the whole ‘KeePass.exe’ file. It’s a problem of file access
rights, not the plugin system.
If you worry about this,
install KeePass as administrator into the program files directory
(which is the default, typically in a folder in ‘C:\Program Files’).
Afterwards, run KeePass and other applications only as normal user
(without administrator privileges).
This solves the problem above. As the KeePass directory is write-protected
for normal users, no other program can copy files into it. KeePass requires the plugins to
be in the application directory. Therefore, plugins cannot inject themselves anymore.
If you use the portable package of KeePass or installed it into a different
directory, you need to adjust the directory permissions yourself.
Viewing/Editing Attachments
KeePass 2.x has an internal viewer/editor for attachments.
For details how to use it for working with texts, see
».
The internal viewer/editor works with the data in main memory.
It does not extract/store the data onto disk.
When trying to open an attachment that the internal viewer/editor cannot handle
(e.g. a PDF file), KeePass extracts the attachment to a (EFS-encrypted)
temporary file and opens it using the default application associated with this file type.
After finishing viewing/editing, the user can choose between importing
or discarding any changes made to the temporary file.
In any case, KeePass afterwards securely deletes the temporary file
(including overwriting it).
Text Transformations
KeePass 2.x Only
| Placeholder | Action |
|---|---|
| Searches the regular expression Search in Text and replaces all matches by Replace. See . |
|
| Convert Text to Type. See . |
-
Upper or U:
Upper-case. -
Lower or L:
Lower-case.Example.
Let the user name of an entry be » and
the URL ».
When running the URL, KeePass opens
». -
Base64:
The Base64 encoding of the UTF-8 representation of the text. -
Hex:
The Hex encoding of the UTF-8 representation of the text. -
Uri:
The URI-escaped representation of the text. -
Uri-Dec:
The URI-unescaped representation of the text. -
Raw:
Spr-compiles Text without encoding the result for the current context.Example.
Let the user name of an entry be ».
The auto-type sequence » results in the text
», whereas the auto-type sequence
» results in the text
»
(because this placeholder inserts » into the auto-type
sequence without encoding it, and
» means to press Shift+A,
which results in the text »).
Как развивался сервис 1Password
Сервис 1Password был запущен в далеком 2006 году компанией AgileBits Inc. На тот момент разработкой и продвижением новой услуги занималась группа из четырех энтузиастов
Они создали простое и понятное приложение для хранения паролей, номеров банковских карт, ключей для лицензионного ПО и прочей важной конфиденциальной информации
Для защиты выбрали надежный алгоритм шифрования AES 256 GCM. Ключевой фишкой являлась возможность получить доступ ко всей сохраненной базе кодов при помощи всего одного мастер-пароля.
Изначально утилита была выпущена для Mac, а вскоре появилось отдельное приложение для iPhone. Позже были выпущены расширения для всех популярных браузеров с функцией автозаполнения и генерации сложных паролей. Для расширения аудитории компания разработала приложения для Android и Windows.
За несколько лет сервис стал практически эталонным. Приложения постоянно совершенствовались и поддерживали все ключевые для своего направления фишки iOS и macOS. Так в 1Password появилась облачная синхронизация через iCloud, поддержка Touch ID/Face ID, удобная интеграция со встроенным браузером на iPhone и Mac.
На начало текущего года клиентская база 1Password составляла более 1 млн пользователей, куда входили около 50 тысяч корпоративных клиентов. С сервисом активно сотрудничают такие компании, как IBM, Slack и Dropbox.
Как и любой долгосрочный проект, 1Password столкнулся с нехваткой финансирования. Поток новых пользователей постепенно снижался, а платить за развитие и содержание сервиса нужно постоянно. Так появились ключевые платные апдейты приложений.
С выходом новой iOS от Apple (или просто в определенный момент времени) разработчики выпускали новую версию 1Password, а поддержку старой прекращали. Покупатели еще какое-то время могли пользоваться приобретенным ПО, а затем упирались в несовместимость версий или отсутствие важных фишек.
Из года в год появлялись платные обновления, которые не предусматривали скидку для старых пользователей сервиса, а цены на программное обеспечение постепенно росли. Так утилита, которая в былые времена стоила на уровне $3-5, продавалась уже с ценником в $40-50.
При этом сервис уже отлично работал и не нуждался в каких-то сложных ключевых доработках. Апдейты часто меняли дизайн программы и добавляли несколько мелких бесполезных фишек. Обновляться и приобретать новую версию ПО никто не заставлял, но старые приложения не поддерживались и быстро упиралось в ограничения новых iOS или macOS.
В 2018 году 1Password освоил популярную среди разработчиков и ненавистную среди пользователей модель распространения по подписке. Тогда еще была возможность приобрести старую версию приложения с пожизненной лицензией, но без регулярных обновлений.
Пользователи, которые уже неоднократно оплачивали ключевые апдейты, отнеслись к нововведению без особого энтузиазма. Когда уже отдал разработчикам несколько тысяч рублей за покупку обновленных приложений, оплачивать еще и ежемесячную подписку хотелось не всем.
В следующем 2019 году AgileBits Inc смогли привлечь более $200 млн. инвестиций в сервис 1Password. Показатели в 90 тысяч платных подписок (это менее 10% пользователей) и выручка $120 млн в год, видимо, не строили новых инвесторов и сервис начал развиваться в еще более агрессивной манере.
Так пожизненной лицензии на приобретение ПО без регулярных обновлений больше не осталось, а возможности бесплатного использования сервиса были сведены к минимуму.
На данный момент пользователям приходится платить от 329 рублей в месяц за индивидуальнее подписку до 549 рублей в месяц за семейную (до 5 человек). Предусмотрена скидка при оплате на год.
Lightweight and stable versions of KeePass: the portable version
KeePass is available in two different versions, with each of these available in both classic and portable forms. A portable version of KeePass enables you to enjoy your favourite password manager functionality with a USB key or any other removable storage media device like an SD card.
There’s also no need to install KeePass on the computer you are using when you go portable. Why? Because it is from the USB key or similar device that KeePass will be operating from. However, KeePass 1.x will ask you for GDI+ support if you are using a system that’s older than Windows XP. For KeePass 2.0, you’ll need to install Microsoft.NET Framework 2.0.
Switch from v1 to v2…or make the switch from any other software!
Thanks to a very straightforward import function via TXT or CSV file, you can switch from KeePass version 1 to KeePass version 2 without any hassle whatsoever. It’s just like importing entries from any other password management software should you make the switch and upgrade.
KeePass is therefore compatible with all other import software, provided it offers import and export in TXT or CSV formats. There are also additional plugins available for KeePass that will make importing entries from other password managers a breeze.
For exporting your KeePass managed passwords to other media, you’ll find support for TXT, HTML, CSV and XML formats for maximum convenience.
Do you speak Estonian, Croatian or Galician?
KeePass is available in native form in English, but you can subsequently choose to add official translations to your software thanks to the hard work of our experienced team of volunteers.
In fact, there’s more than 50 additional languages and dialects to choose from. These translation files are available in .lng and .lngx format, depending on which version of KeePass you’re looking to update.
Our advice on securing your environment
We strongly recommend that you check to see if there is a keylogger installed on your system. If there is, it can record all your keyboard strokes, as well as the contents of your clipboard.
This information can contain your KeePass password. Malware such as keyloggers can be detected and removed from your system with the use of cleaning software like Adware or Spybot Search and Destroy.
We highly recommend you carry out some housekeeping in this regards, particularly when you consider that Windows 10 has shared history of user clipboards with the cloud since its v1009 release.
However, the main security flaw that makes your system vulnerable is you! You need to be aware of specialised programs that can break KeePass encryption, thereby discovering your precious passwords.
To this end, KeePass2john, KeePass Self-Bruteforcer and KeeCracker are on hand to provide a tailored solution to this security issue. It’s worth remembering that complex passwords cannot be decrypted by these nefarious malware programs.
Strong and complex passwords allow you to remain safeguarded against malicious data recovery attempts, providing you with priceless peace of mind.
Translations
Installation:
- Left-click the download link of the language of your choice
(for KeePass 1.x click the » link;
for KeePass 2.x click the » link).
Unpack the downloaded ZIP file (to the current directory). - In KeePass, click ‘View’ → ‘Change Language’ → button
‘Open Folder’; KeePass now opens a folder called ‘Languages’.
Move the unpacked file(s) into the ‘Languages’ folder. - Switch to KeePass, click ‘View’ → ‘Change Language’,
and select your language. Restart KeePass.
If you are using an old version, please have a look in the
1.x /
2.x
translation archives.
| Language | Author | Downloads | |
|---|---|---|---|
| Arabic |
M. Abdulaziz and A. Gharbeia (1.x) |
||
| Basque | Alesander Gil Almandoz | N/A | |
| Belarusian | Andrew Gavrushenko | N/A | |
| Bulgarian | I. Georgiev (2.x), DonAngel (1.x) |
||
| Burmese | T. Hlaing (2.x), R. Kyaw (1.x) | ||
| Catalan | Albert Morera | ||
| Chinese, Simp. | Leo Dou | ||
| Chinese, Trad. | Kao Shiang-Yuan | ||
| Croatian | I. Bunjevac (2.x), D. Vuković (1.x) |
||
| Czech | M. Pavelka and M. Klíma and R. Tlapák (2.x), T. Glabasňa and P. Chramosta (1.x) |
||
| Danish | Christian Staal | ||
| Dutch | Hilbrand Edskes | ||
| English | Dominik Reichl | Built-in, no download | |
| Estonian | A. Kuhlberg (2.x), A. Viiand (1.x) |
||
| Finnish | Kari Eveli | ||
| French | Ronan Plantec | ||
| Galician | Jesús Amieiro | N/A | |
| German | Dominik Reichl | ||
| Greek | M. Ntovas-Tzimas (2.x), S. Vradelis (1.x) |
||
| Hebrew | Oded Eli (2.x), Tomer Shalev (1.x) |
||
| Hungarian | Pc and Pc Szerviz (2.x), Zotius and Herka (1.x) | ||
| Icelandic | Stefán Örvar Sigmundsson | N/A | |
| Indonesian | Vaksin.com | N/A | |
| Italian | Luca ‘Hexaae’ Longone | ||
| Japanese | Hiroki Matsumoto | ||
| Korean | Incrisis (2.x), P. D. Beom (1.x) |
||
| Latin | Mikael Hiort af Ornäs (2.x), Akkadites (1.x) |
||
| Latvian | Kārlis Šteinbergs | N/A | |
| Lithuanian | Vytautas Rėkus | ||
| Macedonian | Oliver Noveski | N/A | |
| Malay, Bahasa Melayu | Khairul Nizam Bin Taha | N/A | |
| Norwegian, Bokmål | J.-T. Edvardsen (2.x), K. Schjønhaug (1.x) |
||
| Norwegian, Nynorsk | Yngve Spjeld Landro | N/A | |
| Pashto | Mostafa Sadat | N/A | |
| Persian | Iriman (2.x), Torment (1.x) | ||
| Polish | Marcin Czerwien | ||
| Portuguese, BR | C. Mantovani (2.x), MCHAL (1.x) |
||
| Portuguese, PT | José Gonçalves | ||
| Punjabi, Indian | Gurmeet Singh Kochar | N/A | |
| Romanian | F. C. Russen , R. Velcsov |
||
| Russian | Dmitry Yerokhin | ||
| Serbian, Cyrillic | Ljuba Ćirović | ||
| Serbian, Latin | Ljuba Ćirović | ||
| Slovak | Marián Hikaník | ||
| Slovenian | J. Rudec (2.x), P. Klofutar and Z. P. Lipičnik and I. Osredkar (2.x & 1.x) | ||
| Spanish | Marcel Trujillo | ||
| Swedish | Bo Schöllin (2.x), J. Boström (1.x) |
||
| Tamil | Nirmal G. | N/A | |
| Thai | K. Sirap | ||
| Turkish | Kaya Zeren | ||
| Ukrainian | Oleksii Zinchuk (2.x & 1.x), Artem Polivanchuk (2.x) |
||
| Vietnamese | Hà Mạnh Tuấn , Trần Minh Phương |
Note: if you want to update an existing translation or create a translation
that doesn’t exist yet, please first contact the current translator(s)!
Thanks to the following people for maintaining translations in the past:
Michael Åström (Swedish up to 0.92a),
Maciej Chojnacki (Polish up to 1.04),
Alexander Pettersson (Swedish),
Henrik Gregersen (Danish up to 1.04),
Carles Millán (Catalan up to 1.04),
Radoslav Bielik (Slovak up to 1.04),
Documan (Hungarian up to 1.04),
Fabio Negri Cicotti (Brazilian Portuguese up to 1.11),
Kees Koenders (Dutch up to 1.07),
Donaldas Apanavicius (Lithuanian up to 1.04),
Johan Adolfsson (Swedish up to 1.09),
Erhan Burhan (Turkish up to 1.11),
Marc Tissot and
Audran Moulard (French up to 1.17),
Wasilis Mandratzis (Greek up to 1.04),
Knut Schjønhaug (Norwegian Bokmål up to 2.15),
Marc Folch
and Securedigital (Catalan up to 1.18),
Jorma Hurtig (Finnish up to 2.18),
Andrew Gavrushenko
(Russian up to 1.31 and 2.35),
Nikolaos J. Kampouridis
(Greek up to 2.21),
Ozzii
(Serbian up to 1.23 and 2.23),
Mikael Hiort af Ornäs
(Swedish up to 2.30),
Paro Uchkunof (Bulgarian up to 2.10),
Airplanez
(Korean up to 2.36),
Anssi Tähtinen (Finnish up to 1.11),
L. Suwancharthree and P. Kaephukhieo (Thai up to 1.11),
Mauro Rossi
(Italian up to 1.39 and 2.48).
Enpass. Локальная база данных и пожизненная лицензия
Переживающие за сохранность своих данных пользователи могут воспользоваться услугами сервиса Enpass.
Разработчики не предлагают облачное хранение данных и не копируют базу пользователя на свои сервера. Вместо этого нужно самостоятельно выделить место для локального хранилища. Им может стать домашний стационарный компьютер, NAS-сервер, ноутбук или смартфон.
Для синхронизации данных между разными устройствами рекомендуется использовать любой облачный сервис, которому вы доверяете, например, Google Drive или Dropbox.
Бесплатная версия годится только для ознакомления, ведь позволяет хранить не более 20 паролей и не умеет синхронизировать базы данных между собой.
Для доступа ко всем возможностям можно выбрать ежемесячную оплату от $2,4 или единоразовую покупку пожизненной лицензии за $95.55. Сейчас подобная фишка – это большая редкость.
Сравнение тарифных планов и цены доступны на сайте Enpass.
How does .NET improve security and integration?
While these seem to be achievable with all languages
at first glance (in all modern programming languages you can implement AES/Rijndael),
it turns out to be a real criteria. It for example is pretty hard to implement things like
memory protection, auto-type, system-wide hot keys, etc. in Java. Of course, it is
possible, but Java just isn’t designed for that. Also, you’d need to install the Java
runtime. There should be as few dependencies as possible (see portability).
.NET supports security features that are not available in
other frameworks. For example, Code Access Security (CAS) allows protection of resources
and operations on a level that currently can’t be found in any other framework;
in corporate environments, assembly signing allows trusting official KeePass
versions only; etc.
Связка ключей. Бесплатный сервис для всех владельцев техники Apple
Одним из преимуществ экосистемы гаджетов Apple является наличие встроенного менеджера паролей. Его разработка и обслуживание условно включены в стоимость продаваемой техники и больше ни за что платить не придется.
Сервис был представлен в далекой Mac OS 8 (1997 год) и являлся фишкой стандартного браузера Safari. Позже опцию выделили в отдельное приложение Связка ключей, которое стало доступно всем пользователям первых версий Mac OS X. В защищенном виде можно хранить не только пароли от используемых сайтов и сервисов, но и данные для авторизации на сетевых ресурсах, пароли от Wi-Fi сетей, коды от зашифрованных образов дисков и даже сертификаты безопасности.
Связка ключей со временем добралась и до iPhone. С появлением собственного облака Apple сервис эволюционировал в Связку ключей iCloud. На данный момент ей можно воспользоваться на любом гаджете Apple с прошивкой iOS 7.0.3 или новые и OS X Mavericks 10.9 или новее.
Доступ к данным осуществляется после авторизации при помощи пароля администратора Mac, Touch ID или Face ID (в зависимости от используемого устройства). Гаджеты, на которых используется связка ключей обязательно должны быть защищены двухфакторной аутентификацией.
Сервис постоянно развивался, в нем появилась автоматическая генерация сложных паролей, автозаполнение форм, в iOS 14 добавили рекомендации по смене скомпрометированных кодов. В рамках нового сервиса iCloud+ будет доступна генерация случайных адресов электронной почты для регистрации на сторонних сайтах. К сожалению, данная фишка не появится в первой публичной версии iOS 15.
Долгое время сервис оставался эксклюзивной фишкой гаджетов Apple, но купертиновцы постепенно начали расширять перечень поддерживаемых платформ.
Недавно связку ключей стало возможно полноценно использовать в Windows и Linux. А в последнем апдейте приложения под ОС от Microsoft добавили даже менеджер паролей. Никто не отменял быстрый перенос паролей в Связку ключей, которые хранятся в Google Chrome.
У связки ключе есть два недостатка:
Во-первых, сервис недоступен на Android и имеет ограниченный функционал на Windows/Linux. Это ограничение мало волнует пользователей гаджетов Apple.
Во-вторых, возможности связки ключей спрятаны в недрах iOS и macOS. Сервису явно не хватает красивого приложения для iPhone и Mac. Именно этим берут сторонние разработчики.
Купертиновцы же предлагают пользоваться приложением на Mac, которое не менялось много лет, или копаться в настройках iPhone для извлечения нужной информации.
В остальном сервис перекрывает возможности 99% пользователей, отлично работает из коробки и не требует дополнительной оплаты.
Интересно, каким сервисом хранения паролей пользуетесь вы. Будете ли менять 1Password в ближайшее время?
Каким менеджером паролей пользуетесь?
- Только Apple! Только Связка ключей!
- 1Password forever
- LastPass на бесплатном тарифе
- Dashlane — VPN решает
- Свой вариант (напишу в комментариях)
44% Только Apple! Только Связка ключей!
27% 1Password forever
6% LastPass на бесплатном тарифе
1% Dashlane — VPN решает
1785 проголосовали
iPhones.ru
Разработчики сервиса пошли в неверном направлении.
Installer program (KeePass-1.xx-Setup.exe file)
The KeePass development team provides an installer, which copies KeePass
to your hard disk, creates shortcuts in the start menu and associates
KDB files with KeePass, if desired.
Additionally, KeePass is automatically configured to store its settings in
the application data directory of the current user.
This way multiple users can use one KeePass
installation without overwriting each other’s settings (each user has his
own configuration file).
The setup program must run with administrative
rights, however KeePass runs fine without administrative rights once it
is installed.
Installation:
To install KeePass, run the file
and follow the wizard.
Updating:
Run the file.
You do not need to uninstall the old version first.
Your configuration options will not be lost.
Uninstallation:
In order to uninstall KeePass, run the uninstallation program, which is
accessible by a shortcut in the start menu folder of KeePass, or in
the program section of the system control panel. If you also want
to remove your configuration settings, you need to delete the configuration
file in the application data directory of your user profile, see
Configuration.
Silent Installation:
The KeePass installer supports command line
switches for silent installation, i.e. the program gets installed without
asking the user for target directory or association options. The default settings
of the installer are used.
The command line switch performs a silent
installation and shows a status dialog during the setup process. No questions
will be asked though.
The command line switch performs a silent
installation and does not show a status dialog during the setup process.
Destination Path:
The installer allows to choose the destination path to which KeePass is
installed.
However, when the installer detects an existing KeePass installation, it
assumes that the user wants to perform an upgrade and thus doesn’t
display the destination path selection page; the old version will be overwritten
by the new version.
If you want to move an existing KeePass installation to a different path,
first uninstall the old version; the installer of the new version will then
display the destination path selection page again.
Key Hashing and Key Derivation
SHA-256 is used for compressing the components
of the master key
(consisting of a master password, a key file, a Windows user account key
and/or a key provided by a plugin) to a 256-bit key K.
SHA-256 is a cryptographic hash function that is considered to be
very secure. It has been standardized in
NIST FIPS 180-4.
The attack against SHA-1 discovered in 2005 does not affect
the security of SHA-256.
In order to generate the key for the encryption algorithm,
K is transformed using a key derivation function (with
a random salt). This prevents precomputation of keys and makes dictionary
and guessing attacks harder. For details, see the section
».
How does .NET improve productivity?
Productivity means that you can implement features / fix bugs
faster, while producing similar or even higher code quality. Let’s have a look at an
example: adding compression functionality. If you want to do this using unmanaged C++, you’d first
need to search for a library to do that. After finding the very stable ZLib, you’ll need
to learn it. You’ll write some wrapper class for it, handling all the raw buffer
processing. In contrast, you can compress a stream in .NET using one line of code.
Of course this doesn’t mean that you can do «more» in .NET than you can in
unmanaged non-.NET code in terms of functionality (you could also write KeePass
in pure assembler), but features can be implemented faster and the code usually
is more reliable.
Why doesn’t KeePass lock while a sub-dialog is open?
KeePass has various options to lock its workspace automatically
(after some time of inactivity, when the computer gets locked or the user
is switched, when the computer gets suspended, etc.).
However, the workspace is not locked automatically while a sub-dialog
(like the ‘Edit Entry’ dialog) is open.
To understand why this behavior makes sense, it is first important to know what happens
when the workspace gets locked. When locking, KeePass completely closes the database
and only remembers several view parameters, like the last selected group, the top visible
entry, selected entries, etc. From a security point of view, this achieves the best
security possible: breaking a locked workspace is equal to breaking the database itself.
Now back to the original question. Let’s assume a sub-dialog is open and
one of the events occurs that should automatically lock the workspace.
What should KeePass do now?
In this situation, KeePass cannot ask the user what to do,
and must make an automatic decision. There are several possibilities:
-
Do not save the database and lock.
In this case, all unsaved data of the database would be lost. This not only applies to
the data entered in the current dialog, but to all other entries and groups
that have been modified previously. -
Save the database and lock.
In this case, possibly unwanted changes are saved. Often you open files, try something,
having in mind that you can just close the file without saving the changes.
KeePass has an option ‘Automatically save database when KeePass closes or the workspace
is locked’. If this option is enabled and no sub-dialog is open, it’s clear what to do:
try to save the database and if successful: lock the workspace. But what to do with
the unsaved changes in the sub-dialog? Should it be saved automatically, taking away the
possibility of pressing the ‘Cancel’ button? -
Save to a temporary file and lock.
This appears to be the best alternative at first glance, but there are several problems with
it, too. First of all, saving to a temporary file could fail (for example, there could be too
few free disk space, or some other program like a virus scanner could block it).
Secondly, saving to a temporary file isn’t uncritical from a security point of view.
When having to choose a location, typically the user’s temporary directory on the hard
disk is chosen (because it likely has enough free space, required rights for access, etc.).
KeePass databases could be leaked and accumulated there.
It’s not clear what should happen when the computer is being shutdown or crashes while being
locked. When the database is opened the next time, should it use the database stored in
the temporary directory instead? What should happen if the ‘real’ database has been modified
in the meanwhile (a quite realistic situation if you’re carrying your database on an
USB stick)?
Obviously, none of these alternatives is satisfactory.
Therefore, KeePass implements the following simple and easy to understand behavior:
KeePass doesn’t lock while a sub-dialog is open.
This simple concept avoids the problems above. The user is responsible for the
state of the program.
Note that opening a sub-dialog is typically only required for
editing something; it is not required for using
entries, as the main window provides
various methods for this.
Locking when Windows locks.
On Windows XP and older, the Windows service ‘Terminal Services’
should be enabled. If this service is disabled, locking KeePass
when Windows locks might not work. This service isn’t required on newer
operating systems.
