KeePass Password Safe – neprobojno čuvane lozinke

...i zašto ne nešto drugo, sa praktičnim primerom exploatisanja budalaštine

U komentarima me je jedan posetilac upitao zašto toliko forsiram TrueCrypt kad i obično šifrovanje fajla WinRAR-om završava posao. Ranije me je čovek koji već podosta vremena radi kao System Admin iznenadio kad je rekao da sve lozinke za sve produkcione servere i VPN naloge koje ima čuva u kriptovanom 7-zip fajlu jer je to najbezbedniji način za čuvanje!?

U razgovoru sa jednim drugarom krenula je priča oko toga šta bi se desilo ako bi mu neko ukrao laptop (i pisao sam o tome ranije, link ovde). On je rekao da ne razmišlja, pošto su mu sve lozinke i bitni fajlovi sačuvani kao excel tabele po 7-zip arhivama, a on zna da one ne mogu da se probiju – i tako je pala opklada da ću mu lozinke koje čuva u excelu unutar šifrovanog 7-zipa, provaliti za 10 minuta na njegovom laptopu.

Metodologija kojom sam to odradio je u opisana u kratkim crtama…..dalje….samo je umesto excela u primeru ispod korišćen Notepad ali je sve ostalo isto.

Zašto NE čuvati poverljive fajlove u šifrovanom WinRAR-u ili 7-Zipu?
Praktičan primer.

U ovom primeru ćemo napraviti fajl „lozinka.txt“ i u njoj tekst „Zajebana lozinka“ – a potom taj fajl zazipovati 7-Zipom sa sve šifrovanjem naziva fajla i postaviti lozinku.Prilikom otvaranja fajla – uredno ćete biti upitani za lozinku.

Lozinke 01

Unesete lozinku i otvorite fajl – sve je regularno.

Lozinke 02

Zatvorite fajl, zatvorite 7-Zip (WinRAR…) arhivu a možete je i obrisati. A šta sad dalje….

Skinete sa neta besplatan program koji se zove Recuva i služi oporavku fajlova koji su obrisani sa kompjutera i iz Recycle Bina. Njime ću da uradim Deep Scan svih fajova iz foldera koje Windows koristi za privremene fajlove, u mom slučaju folder:
C:\Users\Draza\AppData\Local\Temp

Posle 10-tak minuta skeniranja, pretražio sam fajove koji su se pre brisanja nalazili u folderu „7z*“, fajl je detektovan i na izvol’te je (podsećam, fajl je bio zatvoren, kao i arhiva – koja je onako šifrovana obrisana), te sam ga prekopirao na neku drugu particiju i otvorio – najnormalnije, bez ikakvih lozinki i čuda.

Lozinke-04

Klik za uvećanje

Oporavljen fajl, sačuvan na drugoj lokaciji, bez ikakvih šifri

Oporavljen fajl, sačuvan na drugoj lokaciji, bez ikakvih šifri

Ovo je urađeno besplatnim alatom Recuva – pitaj boga šta bi sve moglo da se izbunari nekim sofisticiranijim softverom.

Dakle ukratko – iako imate 7-Zip ili bilo koji fajl zaštićen lozinkom u nekom arhiveru – on neće biti siguran od onog trenutka od kad ga otvorite.

Otvaranjem fajla – kreira se njegova kopija u privremenom folderu koja se briše kad zatvorite fajl – ali se može, kao što sam pokazao u primeru oporaviti u roku od 10 minuta. Ovakav fajl ostaje dostupan oporavku sve dok ga neki drugi fajl ne pregazi i kao takav može postojati na fajl sistemu od 5 minuta do 5 godina 🙂

Drugo, imajte u vidu da je prvenstvena namena alata poput 7-Zipa, WinRAR-a, Excela (možete zaštititi tabele u Excelu ili ceo Excel) nije šifrovanje već nešto drugo. Enkripcija je samo jedna od sekundarnih funkcija.

Kad koristiti šifrovanje arhiverima?

Prvenstveno kad imate fajl koji nije ko zna koliko poverljiv (ali jeste poverljiv) a koji trebate poslati putem interneta (maila, Cloud servisa…). On će biti bezbedan u transportu jer se šalje enkriptovan, te potencijalni napadač i ako upeca fajl – može da se slika ako je lozinka komplikovana – ali, morate znati da fajl postaje ranjiv onog trenutka kad ga neko otvori (pa zatvori, obriše, svejedno).

KeePass Password Safe – ispravan način za čuvanje lozinki i pinova

Za šifrovanje uvek treba koristiti programe kojima je to i namena (i Fića može da poleti ako mu se stave krila, ali nije mu to namena), a da su po mogućstvu otvorenog koda, jer na taj način cela zajednica ima uvid u sam izvor programa, te ako se pojavi nešto sumnjivo, tipa backdoor za NSA/Mosad/Milančetovu pekaru – ALARM, ispravka a rupa biva javno dostupna zajednici – te program može izgubiti debelo na poverenju ukoliko se ispostavi da je taj exploit namerno postavljen.

Kod programa zatvorenog koda – pojma nemate šta je u sam program implemetirano već verujete samo u reč proizvođača, a koji možda ima dil sa ko zna kojom Udbom, level „mi turimo backdoor, vi nam turite milionče ili milijardče u džep“.

Dakle, po meni, kad govorimo o šifrovanju poverljivih fajlova govorimo o: programima TrueCrypt, KeePass Password Safe, PGP enkripciji, full-disk enkripciji na Linuksu.

KeePass Password Safe - klik za uvećanje

KeePass Password Safe – klik za uvećanje

Svojevremeno sam za čuvanje lozinki koristio cloud servis koji se zove LastPass, a koji je broj jedan i extremno lak za korišćenje i ima podosta odbrambenih mehanizama od zabrane logovanja van države koju odaberete pa do dvostepene autentifikacije ali sam od njega odustao jer:

  1. Neka kompanija stoji iza njega, šifruje lokalno lozinke koje unesem pa tako šifrovane čuva šifrovane na svojim serverima i navodno ne može da im pristupi jer su šifrovani lokalno, u šta zaista verujem – ali ne dovoljno.
  2. Ne postoji besplatna varijanta za korišćenje te aplikacije na mobilnim telefonima, tačnije postoji, putem web browsera na telefonu ali je interfejs u tom slučaju ravan pogrebnom preduzeću Topalović d.o.o.
  3. Koliko znam – ne mogu se čuvati fajlovi (VPN ključevi, QR kodovi…)

KeePass Password Safe je program otvorenog koda, dostupan za Windows i Linux (kroz Mono ili Wine) ali i portovan za Linux, MacOS X, iOS, Android pa i onaj nesrećni Windows Phone. On sve podatke koje unesete čuva u jednom fajlu .kdb ili .kdbx koji je šifrovan AES ili TwoFish enkripcijom i do sad, zvanično, niko nikad nije uspeo da bruteforceuje bazu ili da je nekako provali.

Jedini mogući način za „probijanje“ tako šifrovane baze jeste instalacija Keylogger-a koji će pratiti rad na tastaturi, clipboardu i mišu ali ako imate dobar antivirus – džaba sve.

Pročitajte i: Ovaj besplatan antivirus ja preporučujem

Sam program podržava dodatke (link ovde) tako da mu funkcionalnost možete proširiti u nebesa, ali priznaću vam ne koristim ni jedan dodatak. Ono što ja radim je standardno šifrovanje zajebanom lozinkom uz dodatno šifrovanje fajlom koji samo ja znam a koji je javno dostupan na netu na više lokacija, tipa neka mp3 pesma negde – a koja je skinuta na moj kompjuter ili telefon.

Za korišćenje na Android mobilnom telefonu koristim port ovog programa koji se zove KeePass2Android a koji možete povezati tako da enkriptovanu bazu povlači iz recimo vašeg DropBox naloga (samo prvo zaštitite i taj DropBox nalog dvostepenom autentifikacijom, zlu ne trebalo) tako da izmene da će izmene koje budete napravili nad bazom (promena lozinki, korisničkih imena) biti vidljive na svim uređajima koji koriste KeePass.

Ako se neko nekako i domogne tog fajla na DropBox-u, opet mu džaba ako ne zna kako da otključa, te ako ste stavili dovoljno komplikovanu lozinku plus dodatni sloj zaštite fajlom gratis – sve je bezbedno. Bar zvanično. Čitao sam na nekom forumu da je NSA (oni što špijuniraju ceo svet, kamen im u usta) izjavila da je ovo najbezbedniji i neprobojni program, ali, iskreno, ako NSA hvali neki program – ne znam šta da mislim, da li je to dobro ili loše.

KeePass2Android

KeePass2Android

Iako je centralizovano rešenje putem DropBox naloga odlično i ultra praktično – izbegavam ga. Enriptovanu bazu čuvam lokalno, a lozinke kada menjam promenim na kompjuteru pa uradim upload na telefon – i naravno, napravim i bekap te baze te sačuvam sa nekom drugom lozinkom i nekim drugim programom (može i 7-zip ali najbolje TrueCrypt kontejner od 1MB) na nekom drugom Cloud servisu, za svaki slučaj – a otvoriću ga samo ako ostanem iz nekog razloga bez pristupa primarnoj lokaciji fajla.

Ukoliko lozinke čuvate u Excelu, txt fajlu i slično – imate u KeePass-u opciju import gde je podržano bogaoca formata za import, tako da ne morate da prekucavate i kopipejstujete do smrti.

Ostale karakteristike ovog programa koje bih izdvojio: password generator (otprilike sve moje lozinke su njime i napravljene), clipboard autoclear, program autoclose (u slučaju da zaboravite da ga zatvorite na kompjuteru pa odete), grupisanje lozinki, odlična pretraga po bilo kom kriterijumu (tražite lozinku za Facebook ukucate face i dobićete rezultat), brisanje dupliranih unosa i praznih grupa, kreiranje trigera, mogućnosti autentifikacije putem Windows naloga, OTP pina, import-export lozinki u različitim formatima, mogućnosti dodavanja custom polja, dodavanja fajlova u bazu (korisno za VPN ključeve)….

Mane programa

Jedino rešenje ako zaboravite master lozinku

Jedino rešenje ako zaboravite master lozinku

Po meni jedna i jedina mana jeste ta što ako kojim slučajem zaboravite lozinku kojom ste zaključali fajl ili bilo šta drugo što koristite kao autentifikaciju (fajl, OTP)….možete da se upucate zoljom.

Ne postoji nikakav mehanizam da ikako dobijete pristup bazi podataka sem ako nisu sve autentifikacine metode koje ste postavili – ispravne. Tako da, ako imate problema sa pamćenjem ili napišite lozinku na papirče pa sačuvajte negde u stanu, pasošu, šta-ti-ja-znam, ako imate autentifikacioni fajl sačuvajte ga po mailovima, cloud servisima, na više različitim mesta….ili odustanite od ovog programa.

Master lozinka ne mora baš da bude „Kompjuteraš Approve“, postoji i način da bude dovoljno složena a opet laka za pamćenje a više o tome pročitajte ovde.

Link za skidanje programa za PC: KeePass Password Safe (skinite Professional verziju)

3 komentara na tekst KeePass Password Safe – neprobojno čuvane lozinke

  • Milanče

    Koja je služba opasnija, Milančetova Pekara, Džaferova Poslastičarnica ili NSA?

  • Milan

    Pozdrav ,

    Da li je neko mozda koristio „Javascript Obfuscator“ i koliko je to dobar nacin zastite file-ova?

    https://www.javascriptobfuscator.com/default.aspx

    • Darko Dražović

      Kod „Javascript“ sam stao sa čitanjem, dovoljno 🙂

Komentarišite

Email neće biti javno objavljen. Sajt je neobavezan podatak, svi ostali su obavezni.