[Перевод] Интеграция проверок пароля в KeePass по базе данных утечек
Данная статья по шагам описывает процесс интеграции проверок пароля на безопасность в менеджере паролей KeePass. Проверки используют последнюю базу данных Have I Been Pwned, где хранятся утекшие пароли, и всё это работает локально, поэтому вам не надо беспокоиться о возможности утечек хэшей паролей в интернет.
KeePass — прекрасный менеджер паролей для десктопа, по умолчанию хранящий базы локально. Он богат различными возможностями, и с 2016 года подвергается регулярному аудиту.
Have I Been Pwned — онлайн-сервис для проверки того, не скомпрометирован ли один из ваших онлайн-аккаунтов во время какой-либо утечки паролей.
Некоторые менеджеры паролей, например, 1Password, предлагают возможность проверки пароля в этой базе данных.
Настройка
Пользователи KeePass могут сделать то же самое, только локально. Вот, что для этого нужно:
- Установить KeePass.
- Скачать последнюю версию плагина HIPB Offline Check. KeePass поддерживает кучу плагинов, способных улучшать безопасность и предоставлять другие возможности.
- Скачать последнюю базу данных с паролями с сайта Have I Been Pwned (сортированную по хэшам).
Поместите плагин в каталог для плагинов KeePass. У него открытый код, и вы могли бы сделать его с нуля, если бы у вас были нужные навыки. По умолчанию KeePass установлен в C:\Program Files (x86)\KeePass.
Распакуйте базу с паролями в какой-либо каталог. В текстовом виде она занимает 23 Гб, а в сжатом для скачивания — 9 Гб.
Запустите KeePass и выберите меню Tools > HIBP Offline Check. Нажмите Browse и выберите файл с паролями, распакованный ранее.
В диалоге можно менять другие параметры, к примеру, название столбца в KeePass или текст, который выводится на экран для безопасных и опасных паролей.
Наконец, выберите View > Configure Columns и активируйте столбец Have I Been Pwned, чтобы видеть результаты находок в базе.
Проверка паролей KeePass в базе Have I Been Pwned
Проверить пароли на нахождение в базе можно несколькими способами.
- Двойной клик на поле с любым паролем.
- Можно выбрать несколько пунктов, нажать правую клавишу и Selected Entries > Have I Been Pwned database.
Плагин автоматически проверяет любой обновлённый пароль на наличие в базе. Плагин сравнивает хэш пароля с хэшем в базе, чтобы узнать, не утёк ли он.
Совпадение с базой утекших паролей не означает автоматически, что пароль стал известен третьим лицам — всё зависит от сложности пароля и возможностей третьих лиц по его расшифровке.
Что можно сделать с утекшими паролями
Можно рекомендовать сменить пароли, обнаруженные в базе Have I Been Pwned. Просто зайдите на сайт или выберите нужный сервис, и меняйте на нём пароль вручную.
KeePass можно использовать для генерации безопасных паролей; они автоматически проверяются на наличие в базе Have I Been Pwned, так что на этот счёт тоже можно не беспокоиться.
Итоги
Основное преимущество данного метода состоит в локальности всех проверок. Недостаток в том, что придётся регулярно скачивать новые выпуски базы и проверять пароли на наличие в них.
А каким менеджером паролей пользуетесь вы?