Хабрахабр

[Перевод] Интеграция проверок пароля в KeePass по базе данных утечек

Данная статья по шагам описывает процесс интеграции проверок пароля на безопасность в менеджере паролей KeePass. Проверки используют последнюю базу данных Have I Been Pwned, где хранятся утекшие пароли, и всё это работает локально, поэтому вам не надо беспокоиться о возможности утечек хэшей паролей в интернет.

Он богат различными возможностями, и с 2016 года подвергается регулярному аудиту. KeePass – прекрасный менеджер паролей для десктопа, по умолчанию хранящий базы локально.

Have I Been Pwned – онлайн-сервис для проверки того, не скомпрометирован ли один из ваших онлайн-аккаунтов во время какой-либо утечки паролей.

Некоторые менеджеры паролей, например, 1Password, предлагают возможность проверки пароля в этой базе данных.

Настройка

Вот, что для этого нужно:
Пользователи KeePass могут сделать то же самое, только локально.

  • Установить KeePass.
  • Скачать последнюю версию плагина HIPB Offline Check. KeePass поддерживает кучу плагинов, способных улучшать безопасность и предоставлять другие возможности.
  • Скачать последнюю базу данных с паролями с сайта Have I Been Pwned (сортированную по хэшам).

У него открытый код, и вы могли бы сделать его с нуля, если бы у вас были нужные навыки. Поместите плагин в каталог для плагинов KeePass. По умолчанию KeePass установлен в C:\Program Files (x86)\KeePass.

В текстовом виде она занимает 23 Гб, а в сжатом для скачивания – 9 Гб. Распакуйте базу с паролями в какой-либо каталог.

Нажмите Browse и выберите файл с паролями, распакованный ранее. Запустите KeePass и выберите меню Tools > HIBP Offline Check.

В диалоге можно менять другие параметры, к примеру, название столбца в KeePass или текст, который выводится на экран для безопасных и опасных паролей.

Наконец, выберите View > Configure Columns и активируйте столбец Have I Been Pwned, чтобы видеть результаты находок в базе.

Проверка паролей KeePass в базе Have I Been Pwned

Проверить пароли на нахождение в базе можно несколькими способами.

  1. Двойной клик на поле с любым паролем.
  2. Можно выбрать несколько пунктов, нажать правую клавишу и Selected Entries > Have I Been Pwned database.

Плагин сравнивает хэш пароля с хэшем в базе, чтобы узнать, не утёк ли он. Плагин автоматически проверяет любой обновлённый пароль на наличие в базе.

Совпадение с базой утекших паролей не означает автоматически, что пароль стал известен третьим лицам – всё зависит от сложности пароля и возможностей третьих лиц по его расшифровке.

Что можно сделать с утекшими паролями

Можно рекомендовать сменить пароли, обнаруженные в базе Have I Been Pwned. Просто зайдите на сайт или выберите нужный сервис, и меняйте на нём пароль вручную.

KeePass можно использовать для генерации безопасных паролей; они автоматически проверяются на наличие в базе Have I Been Pwned, так что на этот счёт тоже можно не беспокоиться.

Итоги

Основное преимущество данного метода состоит в локальности всех проверок. Недостаток в том, что придётся регулярно скачивать новые выпуски базы и проверять пароли на наличие в них.

А каким менеджером паролей пользуетесь вы?

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»