суббота, 16 января 2021 г.

Коротко о KeePass 2.47

Усовершенствован поиск. Много всего продвинутого: профили поиска, поддержка XPath, поиск по истории.

Возможность отождествлять разнообразные тире и дефисы. Вряд ли пригодится в моей настройке, но может быть.

Копирование групп в буфер обмена. Прежний запутанный способ больше не нужен. Почти.

Возможность отключить сохранение конфигурации. Отображение сообщений об ошибках. Теперь, если хочется сделать конфигурацию неизменной, не помечаем ее только для чтения, а добавляем в нее (или в enforced-конфигурацию) параметр Configuration/Application/ConfigSave=false.

Поддержка одноразовых паролей TOTP без плагинов. Чтобы приделать к чему-нибудь двухфакторную аутентификацию, добавляем в соответствующую запись поле TimeOtp-Secret-Base32 (см. варианты) и сохраняем туда разделяемый секрет. Кто пользуется моей настройкой — добавьте в запись |default| поле TimeOtp со значением {{}TIMEOTP}, чтобы набирать эти пароли кнопкой [F].

Ключевые файлы: дефолтное расширние .keyx, новый формат, проверка корректности, возможность распечатки и создания вручную. Кроме того, в справке теперь есть информация о разных форматах ключевых файлов.

Улучшения в деривации ключа. См. рекомендации.

Возможность экспорта базы под другим паролем, с родительскими группами или без. Жаль, не для триггеров.

понедельник, 26 октября 2020 г.

Упс. Перехват пароля KeePass c «Безопасного рабочего стола»

Что Secure Desktop не дает железобетонной защиты — как бы ожидаемо. Сам Доминик об этом предупреждал.

Но все-таки жаль, что оказывается, шпионской программе на вашем ПК не нужно даже повышения прав, чтобы перехватить ввод пароля. И DACL-защита тут не помогает. Пример такого продвинутого килоггера можно найти на гитхабе.

Утешением остается лишь сценарий, когда KeePass запущен с правами администратора, а килоггер таких прав не имеет. В этом случае пароль все же не перехватывается — как, впрочем, и на обычном рабочем столе.

Все это, конечно, не значит, что безопасный рабочий стол бесполезен — он вместе с усложнением автонабора по-прежнему защищает от утечки паролей через «простые» килоггеры — главным образом, через легальные, сознательно установленные пользователем, наподобие Punto Switcher'а.

понедельник, 19 октября 2020 г.

Подставляем пароль в KeePass с флешки

Ручной ввод пароля в KeePass можно заменить вставкой флешки, где этот пароль будет храниться. Телодвижения станут минимальными — только вставка флешки, после чего KeePass автоматически запустится, а флешка отключится.

пятница, 11 сентября 2020 г.

Вышел KeePass 2.46. Статьи со сборкой продолжают устаревать

Одно из самых многообещающих и разочаровывающих нововведений — множественное редактирование записей. Казалось бы, оно избавит, наконец, от постылой XML-замены, но не тут-то было: как раз прописывать ассоциации автонабора оно не позволяет. Желающих убедить Доминика в необходимости этой фичи приглашаю в соответствующую ветку. Зато, по крайней мере, теперь можно массово включать и отключать усложнение автонабора.

Другое изменение, из-за которого статьи теряют актуальность, — теперь понадобится вводить пароль, экспортируя базу триггером при отключенной политике «Экспорт без ключа». Впрочем, в сборке эта политика включена.

Новая фича, которую я уже мельком упоминал, — защита от снятия скриншота, в т.ч. от подглядывания через удаленный доступ. Включается правкой файла конфигурации.

Заодно отмечу фичи прошлой версии, KeePass 2.45, из-за которых статьи устарели еще в мае:

— Фильтр по регулярному выражению в триггерных событиях. Благодаря ему можно упростить автоактивацию сохраняемой/закрываемой базы и сделать прочие полезности.

— Автогенерирование паролей при создании записей по шаблонам. Т.е. больше не нужно прописывать в шаблонах сложную конструкцию вместо пароля — достаточно оставит пароль пустым, чтобы при создании записи он сам сгенерировался. Но в тех шаблонах, где требуется нестандартный профиль пароля, сложная конструкция по-прежнему нужна. Дополнительно эта фича слегка мешает: пароль генерируется при создании записи по шаблону паспортных данных и т.п. В таких шаблонах надо будет не делать пароли пустыми, а проставлять на их месте какие-нибудь строки-заглушки.

— Отображение подгрупп шаблонов. Моя прежняя идея прятать неиспользуемые шаблоны в подгруппу unused омрачилась тем, что теперь эта группа видна в меню выбора шаблона.

среда, 9 сентября 2020 г.

KeePass с несколькими базами

Предлагаю набор триггеров, который решает различные проблемы, возникающие при использовании нескольких вкладок с базами. Статьи и готовая сборка пересекаются с ним, но частично и в слегка устаревшем виде, обновлять лень. Кроме того, эти триггеры не связаны напрямую с остальными приемами настройки, предложенными в статьях, и поэтому могут оказаться полезными сами по себе.

пятница, 14 августа 2020 г.

Не время улыбаться...

Когда шутки с констатацией абсурда становятся банальными, глупыми, вредными и циничными.

Не без даблбайндов пока. Хотя посмотрим, может, созрею до удаления и этой записи.

понедельник, 20 июля 2020 г.

Облажался с KeePass'ом

Исправляю ошибку, допущенную аж в сентябре 2018: если заблокировать KeePass с двумя базами, имеющими несохраненные изменения, то автоматически сохранится (а также синхронизируется и забэкапится) только одна из них. Причина была в триггерах отключения-включения автоактивации.

Чтобы починить, отредактируйте файлы конфигурации (KeePass.config.xml): замените каждую строчку

<Parameter>{DB_PATH}</Parameter>

на

<Parameter>{T-REPLACE-RX:/{DB_PATH}/^$/?/}</Parameter>

Всего будет по 4 замены в каждом файле. Или просто возьмите готовую сборку (пароль 1). Также в ней слегка поправлены скрипты.

К слову, в версии 2.45 триггеры отключения-включения автоактивации можно вообще удалить. Понадобится лишь изменить сам триггер автоактивации: добавить в его события фильтры по регулярному выражению ^(?i)(?!{T-REPLACE-RX:/{DB_PATH}/([^\w\s])/\$1/}$). Эту и другие новые фичи, например, автогенерирование паролей при создании записей по шаблонам (мой трюк стал почти не нужен) или грядущую защиту от удаленного подсматривания неплохо бы добавить в статьи и сборку. Делать я этого, конечно, не буду.

P.S. Расставшись с комссомолом, обновил условия использования.