
Композитный (Составной) мастер ключ

На этой странице подробно описывается, как менеджер паролей KeePass Password Safe блокирует доступ к своим Базам данных.
- Мастер - пароли
- Ключевые файлы
- Использование Учетной записи пользователя Windows
- Для администраторов: Определение минимальных свойств мастер-ключей
KeePass хранит Ваши пароли в надежно зашифрованном файле (базе данных). Эта база данных заблокирована с помощью Мастер-пароля, Ключевого файла и / или Учетной записи пользователя Windows. Для разблокировки Базы данных, все основные источники (пароль, файл ключей, ...) являются обязательными. При совместном использовании, эти источники ключей формируют очень надежный Композитный Мастер ключ.
KeePass не поддерживает альтернативное применение ключей, то есть абсолютно исключено, что Вы сможете открыть базу данных с помощью пароля или ключевого файла. Либо Вы используете пароль, либо ключевой файл, либо оба одновременно (если так предустановлено), взаимозаменяемость недопустима.
Мастер пароли
Если для открытия Базы данных, Вы используете только мастер-пароль, Вы должны хорошо помнить один пароль или парольную фразу (с высокой степенью надежности!). KeePass прекрасно вооружен защитными функциями против брутфорса (brute force) и атаки по словарю (dictionary attacks) на мастер-пароль, более подробно читайте об этом на .
Если вы забудете этот мастер-пароль, потеряются все Ваши пароли находившиеся в этой Базе данных. Не существует никаких бэкдоров или универсальных ключей, которыми можно было бы открывать базы данных. Не существует никакой возможности восстановления паролей.
Ключевые файлы
При использовании Ключевого файла, Вам не потребуется запомнание длинного, сложного Мастер ключа. База данных может быть заблокирована при помощи ключевого файла. Ключевой файл является основным Мастер-паролем только содержится он не в голове, а в файле. Ключевые файлы, как правило гораздо надежнее, чем Мастер пароли, потому как, ключик может быть гораздо более сложным, но с другой стороны его труднее содержать в тайне.
- Ключевой файл может быть использован вместо пароля, или в дополнение к паролю (или Учетной записи пользователя в Windows, KeePass 2.x).
- Ключевой файл может быть любым файлом по Вашему выбору, хотя рекомендуется выбрать один с большим количеством случайных данных.
- Ключевой файл не должен быть изменен, иначе это помешает открытию базы данных. Если Вы захотите использовать другой ключевой файл, Вам прийдется изменить главный ключ и использовать новый / другой ключевой файл.
- Для Ключевых файлов необходимо проводить резервное копирование, иначе вы не сможете открыть базу данных в случае отказа или модификации / восстановления жесткого диска.Это то же самое, как и забыть главный пароль. Бэкдоров не существует.
Не резервируйте ключевой файл в том же каталоге, что и Ваша база данных, используйте другой каталог, а лучше диск. Для проверки резервной копии, проведите тестовое открытие Вашей Базы данных на другом компьютере. Боле детальную информацию по резервному копированию ключевого файла и баз данных, см. .
Смысл ключевого файла состоит в том, что вы получили что-то для аутентификации (в отличие от Мастер пароля, где вы что-то знаете), например, файл на USB Stick. Содержимое Ключевого файла (например данные ключей, содержащиеся в ключевом файле ) необходимо держать в тайне. Дело не в том, чтобы сохранить тайну местонахождения Ключевого файла - Выбор файла из тысяч, имеющихся на вашем жестком диске в принципе не повысит безопасность (его легко найти для malware/attackers, например, путем наблюдения за доступом к файлам в последнее время). Попытка сохранить Ключевой файл в тайном месте не очень эффективна.
Если Вы потеряете ключ-диск (или более точно ключ-файл) и не имеете резервной копии ключ-файла, Ваши пароли, хранящиеся в базе паролей, также можно считать потерянными. Это равносильно тому, что Вы забыли главный пароль.
Чтобы зарезервировать ключ-диск, проведите резервное копирование файла "pwsafe.key", который хранится в корневом каталоге Вашего ключ-диска. Если ранее, Вы установили ключевой файл вручную (а не использовали файл по умолчанию - "pwsafe.key"), то Вам необходимо скопировать этот файл, а не "pwsafe.key".
Использование Учетной записи пользователя Windows
Вы спокойно можете изменять пароль, для своей учетной записи пользователя Windows. Это не повлияет на базу KeePass.
Будьте очень внимательны при использовании этой опции. Если будет удалена Ваша учетная запись пользователя Windows, Вы больше не сможете открыть свою базу KeePass. Кроме того, при использовании этой опции на домашней системе и при выходе Вашего компьютера из строя (например повреждается жесткий диск), то будет недостаточно, просто создать новую учетную запись Windows при новой установке с тем же именем и паролем, Вам понадобиться скопировать полную запись пользователя (т.е. SID, ...). А это не простая задача, поэтому если Вы не знаете, как это сделать, то настоятельно рекомендуем Вам не использовать эту опцию.
Если Вы решаете использовать эту функцию, строго рекомендуются не пологаться (в плане безопасности) исключительно на нее, а дополнительно использовать одну из двух других опций (пароль или файл ключей).
Защита с помощью учетных записей пользователей поддерживается в Windows 98 / ME.
Для Администраторов: Определение Минимальных Свойств Главных мастер-ключей
Администраторы могут указывать минимальную длину и / или минимальную оценку качества, для применяемых паролей. Вы можете установить KeePass проверку этих двух минимальных требований путем добавления / редактирования соответствующих записей в INI / XML файлах конфигурации.
KeeMasterPasswordMinLength
может содержать минимальную длину мастер пароля в символах. Например, установив KeeMasterPasswordMinLength=10,
KeePass будет работать с паролями, имеющими не менее 10 символов. Значение параметра ключа
KeeMasterPasswordMinQuality
может содержать минимальную оценку качества пароля в битах. Например, задав KeeMasterPasswordMinQuality=64
будут разрешаться только пароли с оценкой качества по меньшей мере в 64 бита.MinimumLength
в настройках Security/MasterPassword
может содержать минимальную длину пароля в символах. Например, установив это значение равным 10-ти,
KeePass будет принимать только пароли, имеющие не менее 10 символов. А значение
MinimumQuality
в настройках Security/MasterPassword
может содержать минимальную оценку качества пароля в битах. Например, установив это значение равным 32
, будут приниматься только пароли с оценкой качества по меньшей мере в 32 бита. В KeePass ≥ 2,10, указав
KeyCreationFlags
и / или KeyPromptFlags
(в узле UI)
Вы можете задействовать различные состояния (включить, отключить, проверять, непроверять) параметров контроля ключей, создание и оперативные диалоги. Эти значения могут быть поразрядными комбинациями, одного или более из следующих флажков:Флаг (Hex) | Флаг (Dec) |
Описание |
---|---|---|
0x0 | 0 | Не определяет никаких действий (по умолчанию). |
0x1 | 1 | Включить пароль. |
0x2 | 2 | Включить ключевой файл. |
0x4 | 4 | Включите учетную запись пользователя. |
0x100 | 256 | Отключить пароль. |
0x200 | 512 | Отключить ключевой файл. |
0x400 | 1024 | Отключить учетную запись пользователя. |
0x10000 | 65536 | Проверка пароля. |
0x20000 | 131072 | Проверка ключевого файла. |
0x40000 | 262144 | Проверка учетной записи пользователя. |
0x1000000 | 16777216 | Непроверять пароль. |
0x2000000 | 33554432 | Непроверять ключевой файл. |
0x4000000 | 67108864 | Непроверять учетную запись пользователя. |
Например, если Вы захотели бы обеспечить использование опции "Учетная запись пользователя", то могли бы включить проверку и контроль (таким образом, что пользователь больше не сможет непроверить это) 263168, указав в качестве значения (0x40000 + 0x400 = 0x40400 = 263168).