[Перевод] Интеграция проверок пароля в KeePass по базе данных утечек22.01.2019 15:49

Данная статья по шагам описывает процесс интеграции проверок пароля на безопасность в менеджере паролей KeePass. Проверки используют последнюю базу данных Have I Been Pwned, где хранятся утекшие пароли, и всё это работает локально, поэтому вам не надо беспокоиться о возможности утечек хэшей паролей в интернет.

KeePass — прекрасный менеджер паролей для десктопа, по умолчанию хранящий базы локально. Он богат различными возможностями, и с 2016 года подвергается регулярному аудиту.

Have I Been Pwned — онлайн-сервис для проверки того, не скомпрометирован ли один из ваших онлайн-аккаунтов во время какой-либо утечки паролей.

Некоторые менеджеры паролей, например, 1Password, предлагают возможность проверки пароля в этой базе данных.

Настройка


b52e11e9ef9ee3d5db5af2eafeebcb62.png

Пользователи KeePass могут сделать то же самое, только локально. Вот, что для этого нужно:

  • Установить KeePass.
  • Скачать последнюю версию плагина HIPB Offline Check. KeePass поддерживает кучу плагинов, способных улучшать безопасность и предоставлять другие возможности.
  • Скачать последнюю базу данных с паролями с сайта Have I Been Pwned (сортированную по хэшам).

Поместите плагин в каталог для плагинов KeePass. У него открытый код, и вы могли бы сделать его с нуля, если бы у вас были нужные навыки. По умолчанию KeePass установлен в C:\Program Files (x86)\KeePass.

Распакуйте базу с паролями в какой-либо каталог. В текстовом виде она занимает 23 Гб, а в сжатом для скачивания — 9 Гб.

Запустите KeePass и выберите меню Tools > HIBP Offline Check. Нажмите Browse и выберите файл с паролями, распакованный ранее.

В диалоге можно менять другие параметры, к примеру, название столбца в KeePass или текст, который выводится на экран для безопасных и опасных паролей.

Наконец, выберите View > Configure Columns и активируйте столбец Have I Been Pwned, чтобы видеть результаты находок в базе.

Проверка паролей KeePass в базе Have I Been Pwned


b2fa8cfe3f70cd3160d4d4f982c7c2dd.png

Проверить пароли на нахождение в базе можно несколькими способами.

  1. Двойной клик на поле с любым паролем.
  2. Можно выбрать несколько пунктов, нажать правую клавишу и Selected Entries > Have I Been Pwned database.

Плагин автоматически проверяет любой обновлённый пароль на наличие в базе. Плагин сравнивает хэш пароля с хэшем в базе, чтобы узнать, не утёк ли он.

Совпадение с базой утекших паролей не означает автоматически, что пароль стал известен третьим лицам — всё зависит от сложности пароля и возможностей третьих лиц по его расшифровке.

Что можно сделать с утекшими паролями


Можно рекомендовать сменить пароли, обнаруженные в базе Have I Been Pwned. Просто зайдите на сайт или выберите нужный сервис, и меняйте на нём пароль вручную.

KeePass можно использовать для генерации безопасных паролей; они автоматически проверяются на наличие в базе Have I Been Pwned, так что на этот счёт тоже можно не беспокоиться.

Итоги


Основное преимущество данного метода состоит в локальности всех проверок. Недостаток в том, что придётся регулярно скачивать новые выпуски базы и проверять пароли на наличие в них.

А каким менеджером паролей пользуетесь вы?

© Habrahabr.ru