Советы по настройке и оптимизации работы менеджера паролей KeePass

Даже установив менеджер паролей, можно пользоваться им неэффективно. Примерно полгода я довольно неуклюже юзал KeePass (офф. сайт, вики), пока, наконец, мне это не надоело.
Для решения проблемы я перелопатил кучу форумов, статей и хелпов с целью максимально обезопасить и одновременно автоматизировать и упростить свою работу с KeePass.
В этой статье я собираюсь поделиться накопленным опытом, чтобы вам не пришлось проделывать ту же работу. Подавляющее большинство описанных настроек выставляются единожды, а профит от них вы будете получать ежедневно.
Let's do it!
Приблизительный размер статьи ≈ 8 страниц.

Вступление

Вступление будет недолгим: пару слов на классическую тему — «Означает ли использование менеджера паролей вместо блокнотика с ручкой тяжелую форму паранойи?». Для большинства ответ очевиден: хотите вы того или нет, но «блокнотик с ручкой» перестает работать в тот самый момент, когда вы начинаете писать в него данные для входа в 101-ый новомодный сервис, который решили «просто потестить».
Вообще, перейти на электронное хранение паролей это как бросить курить: все якобы осознают подобную необходимость, только всегда откладывают до лучших времен.

Кратко о преимуществах и конкурентах KeePass

Полный список всех возможностей программы приведен на этой странице русскоязычного сайта о KeePass.

Я остановлюсь лишь на некоторых ключевых особенностях, остальные мы рассмотрим по ходу статьи:

• Высокая безопасность. Помимо чисто технических деталей вроде используемых алгоритмов шифрования и кеширования (о которых можно узнать по ссылке выше), для нас не менее важной является поддержка двухфакторной аутентификации (для открытия базы нужно знать пароль + иметь особый файл).
• Открытый исходный код. Есть мнение, что надёжный криптографический софт не может быть закрытым. KeePass — сертифицированная OSI Certified программа.
• Кроссплатформенность. Полная, включая все мобильные ОС, кроме WebOS и Symbian. Детали на официальной странице для загрузок.
• Бесплатность. Когда программой такого уровня можно пользоваться бесплатно, я не вижу причин платить за аналоги.
• Портативность. KeePass не требует установки, может работать с флешки, ничего не создает и не хранит в системе.
• Проверка временем. KeePass — это классика. Программа разрабатывается и поддерживается с 2003 года. В таком деликатном деле, как хранение паролей, очевидно, не стоит гнаться за последними новинками.

Теперь пару слов о конкурентах (подробнее можно почитать хабр "Популярные менеджеры паролей в сравнении")…
Так вот, половина из них предлагает свои продукты на платной основе (и как я уже говорил, я не смог найти ни одной причины, по которой стоит заплатить), а вторая половина хранит ваши данные в облаке. По-моему очевидно, что место, где тысячи людей хранят свои секреты — это очень логичная мишень для всевозможных атак. Так что боюсь, это лишь вопрос времени, тем более что первая весточка от LastPass уже прилетала (пруф на хабре "Возможно, был взломан LastPass").

Я никогда не пользовался LastPass, но из отзывов у меня сложилось впечатление, что все его функции можно легко настроить с помощью KeePass и его плагинов. Разница в том, что в этом случае только вы будете владеть базой своих паролей.

Установка и общие настройки KeePass

Установка. Загрузить и установить последнюю версию можно на официальной странице программы. Я рекомендую портативную версию с последующей установкой на флешку.

Русификация. Скачиваете русскую версию языкового файла отсюда и копируете ее в каталог программы. После этого

запускаете KeePass → View → Change Language → Выбираете язык → и Перезапускаете KeePass.

Запуск при старте системы. Заставляем KeePass стартовать вместе с ОС:

Сервис → Настройки → Интеграция → Запускать KeePass при старте системы (для текущего пользователя).

И делаем, чтобы KeePass всегда запускался в свернутом и заблокированном состоянии:

Сервис → Настройки → Дополнительно → Запускать в свернутом и заблокированном состоянии.

Автоматическое сохранение БД после изменений. Хитро используя возможность настройки триггеров для автоматизации, добьемся моментального автосохранения базы паролей после любого существенного изменения в ней. Для этого идем в

Сервис → Триггеры → Добавить.

Далее вводим название «Автосохранение базы» и переходим на вкладку

События → Состояние интерфейса пользователя обновлено → вкладка Условия → Текущая база паролей содержит несохраненные изменения → вкладка Действия → Сохранить текущую базу паролей.

Увеличение количества циклов шифрования. Зачем это нужно понятно из скриншота ниже:

Количество циклов легко увеличивается до нескольких миллионов без существенных замедлений в работе. Просчитать, на что способен ваш компьютер можно, кликнув по «Рассчитать для секундной задержки».

Составной мастер ключ

Что это? Все просто, смотрите: есть KeePass, есть База паролей — отдельный файл, который можно хранить где угодно, есть Основной пароль — то, что вы должны знать, чтобы получить доступ к этой базе, и есть Ключевой файл — то, что вы должны иметь, чтобы получить доступ к этой базе.

1) Основной пароль. Пароль, который вы храните в голове или в другом сухом и надежном месте. Единственное, что вам нужно помнить для работы с KeePass. Естественно, ваш главный пароль должен быть максимально надежным и т.д.

Напоминание о смене Основного пароля. Выставляем здесь:

Файл → Настройки базы паролей → Дополнительно:

2) Ключевой файл. Пароль к вашей базе, который содержится не в голове, а в файле. Можно использовать вместо Основного пароля, но рекомендуется использовать в дополнение к нему.

Рекомендации по выбору и использованию Ключевого файла

• В качестве Ключевого файла рекомендуется выбирать файл с большим количеством случайных данных, который ни при каких обстоятельствах не должен быть изменен (иначе вы не сможете открыть базу). Расширение и название у Ключевого файла может быть любым.
• Не стоит хранить Ключевой файл в одной папке с KeePass или базой паролей. Лучше выбрать файл, который будет одним из многих схожих файлов, находящихся в другой папке и желательно на съемном носителе. Проследите, чтобы имя, расширение, размер и дата файла совпадала с остальными файлами в этой папке.
• В качестве ключевого можно попробовать использовать файл, который вы всегда легко сможете скачать в интернете. Например, изображение в вашем блоге. Понятно, что это не очень надежно, но знание такого лайфхака может пригодиться.
• Чтобы сделать процесс работы с KeePass еще немного безопаснее, можно отучить его запоминать путь к Ключевому файлу и хранить историю. Для этого идем в

  Сервис → Настройки → Дополнительно

  и снимаем галочку с «Запоминать источники ключа». А потом во вкладке Внешний вид выставляем для «Запоминать недавно использованные файлы» значение = 0. И, наконец, не забываем отключить сохранение истории недавно использованных документов в Windows:

  Панель управление → Панель задач и меню Пуск → снимаем две галочки с Хранить и отображать.

  После этих манипуляций путь к Ключевому файлу при старте KeePass будет необходимо выбирать вручную.

Создание новых записей

Настройка автоматических паролей. При регистрации очередного аккаунта KeePass умеет автоматически генерировать для него рандомный пароль. Это очень удобно. Дефолтный шаблон получаемого пароля можно немного подкорректировать, чтобы увеличить надежность. Делается это так

Сервис → Генератор Паролей → Настройки

Здесь увеличиваем количество знаков в новом пароле и указываем, какие наборы символов мы хотим использовать при создании новых паролей. На вкладке Просмотр можно сразу же заценить примеры паролей, созданных по вашему шаблону.
Далее на этой же вкладке выбираем профиль «Автогенерируемые пароли для новых записей» и жмем на иконку с дискетой.

После этого в выпадающем меню «Сохранить как профиль» выбираем «Автогенерируемые пароли» и жмем Ок, чтобы перезаписать шаблон профиля.

Горячие клавиши. Универсальное сочетание вызова окна KeePass из любого приложения — Ctrl+Alt+K. Если после этого нажать Insert, то KeePass перейдет к созданию новой записи в базе паролей:

Напоминание о просроченных паролях. Внизу этого окна устанавливаем (при желании) напоминание о необходимости сменить пароль к записи.

Позже в поле Комментарии рекомендую добавить URL смены пароля на сайте — пригодится.
Теперь научим KeePass показывать напоминания о просроченных паролях при старте программы. Для этого идем в

Сервис → Настройки → Дополнительные → После открытия базы паролей показывать просроченные записи.

Возможность прикреплять файлы к записи. Да, именно так! На вкладке Дополнительно к записи можно прикрепить любые файлы, которые будут закодированы и сохранены вместе с другими данными в базе паролей. Этой функции можно найти уйму применений…

История изменения паролей. KeePass хранит историю изменений для каждой отдельной записи. Бывает крайне важно узнать, какой пароль использовался ранее или как давно он был изменен. Это, а также восстановление старого пароля, доступно на вкладке История.

Способы автоматизации ввода паролей на сайтах

Переходим к самой интересной части. Как максимально упростить ввод паролей? Для этого существует несколько вариантов.

1) Автонабор. С помощью этой функции KeePass может автоматически заполнять поля ввода логина и пароля на сайтах. Для этого достаточно поставить курсор на поле ввода логина и нажать сочетание клавиш для Автонабора (по умолчанию Ctrl+Alt+A). Я забиндил сочетание Ctrl+Alt+A на одну из кнопок мыши, чем еще больше упростил использование этой функции.

Шаблоны Автонабора. Автонабор работает по определенному алгоритму, который можно изменять. Шаблон Автонабора по умолчанию выглядит как

{UserName}{TAB}{Password}{ENTER}

(т.е. KeePass вводит логин на сайте → нажимает TAB для перехода к полю пароля → вводит пароль → жмет ENTER).
Но такой шаблон не универсален. Например, иногда бывает необходимо отметить чекбокс вроде «Запомнить меня на этом компьютере». Тогда нужно создать новый шаблон или изменить текущий на

{UserName}{TAB}{Password}{TAB} {ENTER}

(второй TAB перейдет на чекбокс, а Пробел поставит необходимую галочку).

Упрощаем выставление параметров Автонабора. Чтобы не изменять шаблон вручную для каждой записи, можно воспользоваться следующим лайфхаком: создаем несколько групп записей внутри базы с различными правами Автонабора (например, у меня это «Стандарт», «С чекбоксом» и «Без Enter» на скриншоте ниже):

Дело в том, что по умолчанию записи в KeePass наследуют параметры Автонабора от своей группы. Следовательно, в будущем достаточно просто перетянуть запись в нужную группу, чтобы ей были присвоены соответствующие параметры Автонабора.

Разные последовательности для разных окон. Еще бывает, что на разных страницах одного и того же сайта данные вводятся в различной последовательности. Например, на одной из них нужно отметить чекбокс, на другой нет. На вкладке Автонабор каждой записи можно выбрать текущее окно из выпадающего списка и в пару кликов прописать для него индивидуальные параметры Автонабора.

Несколько аккаунтов на одном сайте. Если аккаунтов на сайте у вас несколько, то при нажатии на Ctrl+Alt+A KeePass предлагает сделать выбор (пример для betteri.ru на скриншоте)

Плюсы и минусы Автонабора. Для корректной работы Автонабора никакие вспомогательные плагины для интеграции с браузером не требуются. Автонабор работает в любом браузере и приложении. Браузер вообще ничего не знает о KeePass. Основным же недостатком является уязвимость для кейлоггеров. Но эта проблема решаема с помощью…

Двойное усложнение Автонабора. Эта функция обезвреживает применение стандартных клавиатурных шпионов. Кейлоггер может «видеть» нажатие Ctrl-V, но не может зарегистрировать фактическое содержание, вставляемое из буфера обмена. Поскольку данная функция работает не со всеми целевыми окнами, то разработчик убрал возможность ее включения по умолчанию. Так что Двойное усложнение необходимо включать для каждой конкретной записи на вкладке «Автонабор».

Упрощаем быстрый поиск. Существуют и другие методы ввода паролей. Ведь не всегда вы можете или хотите воспользоваться Автонабором. Но, прежде чем перейти к ним, давайте выставим две полезные для этого настройки. Для этого идем в

Сервис → Настройки → Внешний вид

и упрощаем себе поиск по своей базе паролей таким образом:

2) Двойной клик по записи. Для ввода данных с помощью этого способа нужно найти и выбрать запись, которую собираетесь использовать, и сделать двойной клик по одному из ее полей.

В зависимости от того, на какое поле вы нажали, KeePass проделает следующее:

• Название: откроет окно редактирования этой записи;
• Имя: скопирует имя пользователя в буфер обмена;
• Пароль: скопирует пароль пользователя в буфер обмена;
• Ссылка: откроет содержащийся в ней адрес в браузере или скопирует его в буфер обмена (необходимый вариант задается в настройках).

3) Drag&Drop. Это еще один способ ввода данных. Любое поле (имя, пароль) записи KeePass можно перетаскивать и вставлять в окна других программ и приложений.

Совместное использование одной базы паролей и бэкап

Совместное использование. Больше никакой передачи паролей по аське или электронной почте! KeePass можно настроить для комфортной совместной работы. Вот как я реализовал это с помощью Dropbox:

1. Создаем папку внутри Dropbox.
2. Расшариваем ее через меню правой кнопки мыши, вводим email сотрудника(-ов).
3. В KeePass создаем новую базу паролей и выбираем ее размещение в общей папке Dropbox.
4. Передаем другим пользователям Основной пароль, Ключевой файл и рекомендации, изложенные выше в совете «Автоматическое сохранение БД после изменений».
   Кстати, на этом примере проще всего понять полезность Ключевого файла: сама база находится в облаке, но Ключевой файл — только на компьютерах пользователей. Так что теоретически даже доступ к вашему Dropbox ничем не поможет злоумышленнику.

При попытке сохранить общую базу, KeePass сначала проверяет, был ли файл на диске изменен со времени загрузки. Если да, то KeePass спрашивает, синхронизировать, перезаписать или же оставить его без изменений (см. скриншот).

Бэкап. Архиважен для базы паролей и ключевого файла. Я использую комбинацию из облачных хранилищ + программы для бэкапа Genie Timeline, о которой я рассказывал подробно. Настроено это так: я просто вставляю флешку в компьютер, Genie моментально начинает делать бэкап, после чего я флешку достаю. Бинго!
Какой бы вид бэкапа вы не использовали, обязательно проверьте, открывается ли сохраненная база данных на другом компьютере.

Будет интересно узнать, чем вы пользуетесь для хранения паролей? А если вы активный пользователь KeePass, то нашли ли вы что-то полезное для себя в этой статье?

Еще полезно прочитать по теме:
«Какие рутинные задачи решает за меня сервис ifttt.com»

«Полное собрание всех способов увеличения базовой вместимости Dropbox»

«Краткое руководство по продуктивной работе в Google Chrome. Полезные расширения, настройки и горячие клавиши»