KeePass Password Safe – непробојно чуване лозинке

У коментарима ме је један посетилац упитао зашто толико форсирам VeraCrypt/TrueCrypt кад и обично шифровање фајла WinRAR-ом завршава посао. Раније ме је човек који већ подоста времена ради као систем админ изненадио кад је рекао да све лозинке за све продукционе сервере и VPN налоге које има чува у криптованом 7-zip фајлу јер је то најбезбеднији начин за чување!?

У разговору са једним другаром кренула је прича око тога шта би се десило ако би му неко украо лаптоп (и писао сам о томе раније, линк овде). Он је рекао да не размишља, пошто су му све лозинке и битни фајлови сачувани као Excel табеле по 7-zip архивама, а он зна да оне не могу да се пробију – и тако је пала опклада да ћу му лозинке које чува у Excelу унутар шифрованог 7-zipа, провалити за 10 минута на његовом лаптопу.

Методологија којом сам то одрадио је у описана у кратким цртама…даље…само је уместо Excel-а у примеру испод коришћен Notepad али је све остало исто.

Зашто НЕ чувати поверљиве фајлове у шифрованом WinRAR-u или 7Zip-у | Практичан пример.

У овом примеру ћемо направити фајл „lozinka.txt“ и у њој текст „Зајебана лозинка“ – а потом тај фајл зазиповати 7-Zipом са све шифровањем назива фајла и поставити лозинку.Приликом отварања фајла – уредно ћете бити упитани за лозинку.

Лозинке

Унесете лозинку и отворите фајл – све је регуларно.

Лозинке

Затворите фајл, затворите 7-Zip (WinRAR…) архиву а можете је и обрисати. А шта сад даље….

Скинете са нета бесплатан програм који се зове Recuva и служи опоравку фајлова који су обрисани са компјутера и из Recycle Bin-a. Њиме ћу да урадим дубинско скенирање свих фајова из фолдера које Виндовс користи за привремене фајлове, у мом случају фолдер: C:\Users\Draza\AppData\Local\Temp

После 10-так минута скенирања, претражио сам фајове који су се пре брисања налазили у фолдеру „7z*“, фајл је детектован и на извол’те је (подсећам, фајл је био затворен, као и архива – која је онако шифрована обрисана), те сам га прекопирао на неку другу партицију и отворио – најнормалније, без икаквих лозинки и чуда.

Опорављен фајл, сачуван на другој локацији, без икаквих шифри
Опорављен фајл, сачуван на другој локацији, без икаквих шифри

Ово је урађено бесплатним алатом Recuva – питај бога шта би све могло да се избунари неким софистициранијим софтвером.

Дакле укратко – иако имате 7-Zip или било који фајл заштићен лозинком у неком архиверу – он неће бити сигуран од оног тренутка од кад га отворите.

Отварањем фајла – креира се његова копија у привременом фолдеру која се брише кад затворите фајл – али се може, као што сам показао у примеру опоравити у року од 10 минута. Овакав фајл остаје доступан опоравку све док га неки други фајл не прегази и као такав може постојати на фајл систему од 5 минута до 5 година 🙂

Друго, имајте у виду да је првенствена намена алата попут 7-Zip, WinRAR-a, Excel-a (можете заштитити табеле у Excel-у или цео Excel) није шифровање већ нешто друго. Енкрипција је само једна од секундарних функција.

Кад користити шифровање архиверима?

Првенствено кад имате фајл који није ко зна колико поверљив (али јесте поверљив) а који требате послати путем интернета (имејла, клауд сервиса…). Он ће бити безбедан у транспорту јер се шаље енкриптован, те потенцијални нападач и ако упеца фајл – може да се слика ако је лозинка компликована – али, морате знати да фајл постаје рањив оног тренутка кад га неко отвори (па затвори, обрише, свеједно).

KeePass Password Safe – исправан начин за чување лозинки и других осетљивих података

За шифровање увек треба користити програме којима је то и намена (и Фића може да полети ако му се ставе крила, али није му то намена), а да су по могућству отвореног кода, јер на тај начин цела заједница има увид у сам извор програма, те ако се појави нешто сумњиво, типа „backdoor“ за NSА/Мосад/Миланчетову пекару – АЛАРМ, исправка а рупа бива јавно доступна заједници – те програм може изгубити дебело на поверењу уколико се испостави да је тај „exploit“ намерно постављен.

Код програма затвореног кода – појма немате шта је у сам програм имплеметирано већ верујете само у реч произвођача, а који можда има дил са ко зна којом УДБА-ом, левел „ми туримо рупу у програму, ви нам турите милионче или милијардче у џеп“.

Дакле, по мени, кад говоримо о шифровању поверљивих фајлова говоримо о: програмима VeraCrypt, KeePass Password Safe, PGP енкрипцији, full-disk енкрипцији на Линуксу.

Својевремено сам за чување лозинки користио клауд сервис који се зове LastPass, а који је број један и екстремно лак за коришћење и има подоста одбрамбених механизама од забране логовања ван државе коју одаберете па до двостепене аутентификације али сам од њега одустао јер:

  1. Нека компанија стоји иза њега, шифрује локално лозинке које унесем па тако шифроване чува шифроване на својим серверима и наводно не може да им приступи јер су шифровани локално, у шта заиста верујем – али не довољно.
  2. Не постоји бесплатна варијанта за коришћење те апликације на мобилним телефонима, тачније постоји, путем веб браузера на телефону али је интерфејс у том случају раван погребном предузећу Топаловић д.о.о.
  3. Колико знам – не могу се чувати фајлови (VPN кључеви, QR кодови…)
KeePass Password Safe је програм отвореног кода, доступан за Виндовс и Линукс (кроз Mono или Wine) али и портован за Линукс, MacOS X, iOS, Андроид па и онај несрећни Windows Phone. Он све податке које унесете чува у једном фајлу .kdb или .kdbx који је шифрован AES или TwoFish енкрипцијом и до сад, званично, нико никад није успео да брутфорсује базу или да је некако провали.

Једини могући начин за „пробијање“ тако шифроване базе јесте инсталација Keylogger-a који ће пратити рад на тастатури, клипборду и мишу али ако имате добар антивирус – џаба све.

Прочитајте и: Овај бесплатан антивирус ја препоручујем

Сам програм подржава додатке (линк овде) тако да му функционалност можете проширити у небеса, али признаћу вам не користим ни један додатак. Оно што ја радим је стандардно шифровање зајебаном лозинком уз додатно шифровање фајлом који само ја знам а који је јавно доступан на нету на више локација, типа нека mp3 песма негде – а која је скинута на мој компјутер или телефон.

За коришћење на Андроид мобилном телефону користим порт овог програма који се зове KeePass2Android а који можете повезати тако да енкриптовану базу повлачи из рецимо вашег Дропбокс (Dropbox) налога – само прво заштитите и тај Дропбокс налог двостепеном аутентификацијом, злу не требало, тако да измене да ће измене које будете направили над базом (промена лозинки, корисничких имена) бити видљиве на свим уређајима који користе KeePass.

Ако се неко некако и домогне тог фајла на Дропбоксу, опет му џаба ако не зна како да откључа, те ако сте ставили довољно компликовану лозинку плус додатни слој заштите фајлом гратис – све је безбедно. Бар званично. Читао сам на неком форуму да је NSА (они што шпијунирају цео свет, камен им у уста) изјавила да је ово најбезбеднији и непробојни програм, али, искрено, ако NSА хвали неки програм – не знам шта да мислим, да ли је то добро или лоше.

KeePass2Android
KeePass2Android

Иако је централизовано решење путем Дропбокс налога одлично и ултра практично – избегавам га. Енриптовану базу чувам локално, а лозинке када мењам променим на компјутеру па урадим „upload“ на телефон – и наравно, направим и бекап те базе те сачувам са неком другом лозинком и неким другим програмом (може и 7-zip али најбоље VeraCrypt контејнер од 1MB) на неком другом клауд сервису, за сваки случај – а отворићу га само ако останем из неког разлога без приступа примарној локацији фајла.

Уколико лозинке чувате у Excel-у, txt фајлу и слично – имате у KeePass-у опцију импорт где је подржано богаоца формата за импорт, тако да не морате да прекуцавате и копипејстујете до смрти.

Остале карактеристике овог програма које бих издвојио: password generator (отприлике све моје лозинке су њиме и направљене), clipboard autoclear, програм autoclose (у случају да заборавите да га затворите на компјутеру па одете), груписање лозинки, одлична претрага по било ком критеријуму (тражите лозинку за Фејсбук укуцате Face и добићете резултат), брисање дуплираних уноса и празних група, креирање тригера, могућности аутентификације путем Виндовс налога, OTP пина (o-те-пе пин), импорт-експорт лозинки у различитим форматима, могућности додавања нових поља, додавања било каквих фајлова у базу (корисно за VPN кључеве)….

Мане програма

Једино решење ако заборавите мастер лозинку
Једино решење ако заборавите мастер лозинку

По мени једна и једина мана јесте та што ако којим случајем заборавите лозинку којом сте закључали фајл или било шта друго што користите као аутентификацију (фајл, OTP)….можете да се упуцате зољом.

Не постоји никакав механизам да икако добијете приступ бази података сем ако нису све аутентификацине методе које сте поставили – исправне. Тако да, ако имате проблема са памћењем или напишите лозинку на папирче па сачувајте негде у стану, пасошу, шта-ти-ја-знам, ако имате аутентификациони фајл сачувајте га по имејловима, клауд сервисима, на више различитим места…или одустаните од овог програма.

Мастер лозинка не мора баш да буде „Компјутераш Approve“, постоји и начин да буде довољно сложена а опет лака за памћење а више о томе прочитајте овде.

Link за скидање програма за компјутер: KeePass Password Safe (скините Professional верзију)