Упс. Перехват пароля KeePass c «Безопасного рабочего стола»

Что Secure Desktop не дает железобетонной защиты — как бы ожидаемо. Сам Доминик об этом предупреждал.

Но все-таки жаль, что оказывается, шпионской программе на вашем ПК не нужно даже повышения прав, чтобы перехватить ввод пароля. И DACL-защита тут не помогает. Пример такого продвинутого килоггера можно найти на гитхабе.

Утешением остается лишь сценарий, когда KeePass запущен с правами администратора, а килоггер таких прав не имеет. В этом случае пароль все же не перехватывается — как, впрочем, и на обычном рабочем столе.

Все это, конечно, не значит, что безопасный рабочий стол бесполезен — он вместе с усложнением автонабора по-прежнему защищает от утечки паролей через «простые» килоггеры — главным образом, через легальные, сознательно установленные пользователем, наподобие Punto Switcher'а.

Подставляем пароль в KeePass с флешки

Ручной ввод пароля в KeePass можно заменить вставкой флешки, где этот пароль будет храниться. Телодвижения станут минимальными — только вставка флешки, после чего KeePass автоматически запустится, а флешка отключится.

Вышел KeePass 2.46. Статьи со сборкой продолжают устаревать

Одно из самых многообещающих и разочаровывающих нововведений — множественное редактирование записей. Казалось бы, оно избавит, наконец, от постылой XML-замены, но не тут-то было: как раз прописывать ассоциации автонабора оно не позволяет. Желающих убедить Доминика в необходимости этой фичи приглашаю в соответствующую ветку. Зато, по крайней мере, теперь можно массово включать и отключать усложнение автонабора.

Другое изменение, из-за которого статьи теряют актуальность, — теперь понадобится вводить пароль, экспортируя базу триггером при отключенной политике «Экспорт без ключа». Впрочем, в сборке эта политика включена.

Новая фича, которую я уже мельком упоминал, — защита от снятия скриншота, в т.ч. от подглядывания через удаленный доступ. Включается правкой файла конфигурации.

Заодно отмечу фичи прошлой версии, KeePass 2.45, из-за которых статьи устарели еще в мае:

— Фильтр по регулярному выражению в триггерных событиях. Благодаря ему можно упростить автоактивацию сохраняемой/закрываемой базы и сделать прочие полезности.

— Автогенерирование паролей при создании записей по шаблонам. Т.е. больше не нужно прописывать в шаблонах сложную конструкцию вместо пароля — достаточно оставит пароль пустым, чтобы при создании записи он сам сгенерировался. Но в тех шаблонах, где требуется нестандартный профиль пароля, сложная конструкция по-прежнему нужна. Дополнительно эта фича слегка мешает: пароль генерируется при создании записи по шаблону паспортных данных и т.п. В таких шаблонах надо будет не делать пароли пустыми, а проставлять на их месте какие-нибудь строки-заглушки.

— Отображение подгрупп шаблонов. Моя прежняя идея прятать неиспользуемые шаблоны в подгруппу unused омрачилась тем, что теперь эта группа видна в меню выбора шаблона.

KeePass с несколькими базами

Предлагаю набор триггеров, который решает различные проблемы, возникающие при использовании нескольких вкладок с базами. Статьи и готовая сборка пересекаются с ним, но частично и в слегка устаревшем виде, обновлять лень. Кроме того, эти триггеры не связаны напрямую с остальными приемами настройки, предложенными в статьях, и поэтому могут оказаться полезными сами по себе.

Не время улыбаться...

Когда шутки с констатацией абсурда становятся банальными, глупыми, вредными и циничными.

Не без даблбайндов пока. Хотя посмотрим, может, созрею до удаления и этой записи.

Облажался с KeePass'ом

Исправляю ошибку, допущенную аж в сентябре 2018: если заблокировать KeePass с двумя базами, имеющими несохраненные изменения, то автоматически сохранится (а также синхронизируется и забэкапится) только одна из них. Причина была в триггерах отключения-включения автоактивации.

Чтобы починить, отредактируйте файлы конфигурации (KeePass.config.xml): замените каждую строчку

<Parameter>{DB_PATH}</Parameter>

на

<Parameter>{T-REPLACE-RX:/{DB_PATH}/^$/?/}</Parameter>

Всего будет по 4 замены в каждом файле. Или просто возьмите готовую сборку (пароль 1). Также в ней слегка поправлены скрипты.

К слову, в версии 2.45 триггеры отключения-включения автоактивации можно вообще удалить. Понадобится лишь изменить сам триггер автоактивации: добавить в его события фильтры по регулярному выражению ^(?i)(?!{T-REPLACE-RX:/{DB_PATH}/([^\w\s])/\$1/}$). Эту и другие новые фичи, например, автогенерирование паролей при создании записей по шаблонам (мой трюк стал почти не нужен) или грядущую защиту от удаленного подсматривания неплохо бы добавить в статьи и сборку. Делать я этого, конечно, не буду.

P.S. Расставшись с комссомолом, обновил условия использования.

Вышел KeePass 2.44, а также WebAutoType 6.3. Обновлены статьи

NB: На comss.ru статьи пока не обновлены.

Первым делом, замечание о плагине WebAutoType. Запускать Chromium-браузеры с аргументом --force-renderer-accessibility больше не требуется, так как теперь WebAutoType сам включает в них Accessibility.

Однако еще вопрос, хорошо ли это, поскольку включение Accessibility приводит к повышенному потреблению ресурсов, вплоть до зависаний, особенно при открытии больших страниц или даже страницы настройки браузера. Так что будьте внимательны: если браузер станет тормозить, попробуйте отказаться от этого плагина и перейти на расширение Url In Title.

По обновлению самого KeePass'а сказать особо нечего, и изменения в статьях с ним не связаны. Теперь про статьи и настройку.

Реализована возможность задавать последовательности автонабора через список эквивалентных доменов.

Во вторую статью добавлены пункты про копирование записей и групп в другую базу.

Скрипт Run.js слегка улучшен.

В переопределениях URL (конкретно в схеме RDP) применен слегка извращенный трюк, чтобы сделать их не зависящими от того, как именно переопределена схема CMD.

Схема LNK удалена из статьи, но оставлена в настройке для совместимости.

Удалены лишние шаблоны и прочий мусор.

Вообще, статьи переструктурированы. Надеюсь, это сделало их чуть последовательнее.

Вы можете остаться на старой настройке, лишь распаковав в нее новый KeePass и новый плагин WebAutoType.

Если хотите перейти на новую сборку (пароль 1), то к сожалению, недостаточно просто переместить в нее свою базу.