Введение
И снова рад приветствовать дорогих читателей данной статьи! Cегодня хочу рассказать вам о менеджере паролей KeePassXC. В своей прошлой статье про составление и хранение паролей я ошибочно рекомендовал вам программу KeePass для хранения паролей, но далее, как оказалось, данное программное обеспечение полно различных уязвимостей, включая недавнюю CVE-2023-24055 KeePass 2.5x. В связи с этим хочу привести вам альтернативу, а заодно и описать данную уязвимость.KeePassXC
KeePassXC - это современный, безопасный менеджер паролей с открытым исходным кодом, который хранит и управляет вашей самой конфиденциальной информацией. Данный ПО есть на Linux и на Windows. Установку демонстрировать буду конечно же на Linux. Делается это не столь сложно, для этого потребуется лишь одна командаapt install keepassxcДалее открываем собственно само меню:
Создание базы данных
Нажмите кнопку «Создать новую базу данных»Имя и описание заполните на ваше усмотрение:
На следующем окне вы можете выбрать задержку для доступа к базе данных — чем выше значение, тем надёжнее защита от брутфорса, но больше времени требуется для чтения и сохранения базы данных.
Если нажать на кнопку «Дополнительные параметры», то здесь вы сможете выбрать алгоритмы шифрования, функцию формирования ключа и сделать настройку количества итераций — чем больше итераций, тем сложнее брутфорс, но и дольше задержка при открытии и сохранении БД.
Дважды введите мастер-пароль:
Выберите папку, куда вы хотите сохранить файл БД с паролями:
Как пользоваться KeePassXC
По умолчанию в KeePassXC нет групп для сортировки сохраняемых паролей:
Для создания новых групп кликните правой кнопкой на «Корень» и выберите «Новая группа»
Достаточно ввести имя группы и при желании можно установить для неё собственную иконку:
Для сохранения нового логина и пароля выберите группу и нажмите кнопку «Добавить новую запись»:
Введите данные для сохранения:
Настройка
Давайте же глянем на функциональность. В первую очередь нельзя не заметить совершенно другой дизайн программы, который, как по мне, выглядит более приятней, но это уже каждому на свой вкус и цвет. Тем более, что мы пришли сюда не на картинку посмотреть. Давайте же сразу посмотрим доступные нам настройки:
В общих настройках можно включить автозапуск; создать резервную копию перед сохранением базы данных; так же небольшая кастомизация интерфейса. Идём дальше:
Пожалуй, думаю будет самое интересное меню, это конечно же раздел безопасности. Из функционала который мне больше всего приглянулся, хочу отметить блокировку базы данных при неактивности в течение заданного вами времени; очистка буфера обмена в течение заданного времени. В целом в этом разделе в основном функционал заточен под то, чтобы, так сказать, не держать базу долго "на виду".
Ну а мы идём дальше и следующим у нас не менее интересный пункт, а конкретно - Интеграция с браузером:
Весьма кстати удобная функция, по сути это то же автозаполнение логинов и паролей в браузере, которые с помощью флешки и трёх секунд злоумышленнику достать не составит особого труда, исходя из этого автозаполнение в браузере удобное конечно, но не безопасное. Так вот, здесь всё так же, только это автозаполнение будет уже безопасным, т.к пароли достаются из нашей защищённой базы с паролями, что будет довольно быстро и удобно. Тем самым злоумышленник уже не сможет получить доступ к вашим логинам и паролям. Для этого нужно установить на свой браузер официальное расширение. Нам нужно будет поставить галочку напротив браузера который используем, далее нажать на ссылку расширения для нашего браузера после строк "Установите его для". Собственно устанавливаем, в настройках KeePassXC обязательно должна быть поставлена галочка в пункте "Включить интеграцию с браузером" и обязательно должна быть поставлена галочка напротив вашего браузера. Так же не забываем сохранить настройки, для этого просто внизу нажимаем OK. Далее заходим в само расширение, перед этим нужно будет обязательно открыть нашу базу данных и в записях паролей в таком случае должна быть заполнена ссылка на сайт авторизации. Если настройки у вас выставлены правильно, вам должен будет выйти следующий пункт:
Далее просто нажимаем "Подключиться". Здесь, по сути, ваш браузер подключается к конкретной базе данных
Задаём имя для нашего соединения и далее уже просто заносим логины и пароли. Затем при авторизации на сервисах или социальных сетях расширение будет само за вас заполнять все данные, нужно будет просто кликать "Далее". Удобно? Несомненно. Безопасно? Разумеется.
Кстати, вот как и выглядят соединения с базами данных. Как можно заметить, ключ к базе данных не виден даже нам:
Уязвимость KeePass
Итак, давайте же разберём уязвимости KeePass, который ошибочно я рекомендовал вам ранее, на примере недавней CVE-2023-24055 KeePass 2.5x.Если не углубляться в подробности и перейти к сути, то имея доступ к файлу конфигурации KeePass можно эксфильтровать хранящиеся пароли на свой хост в открытом виде. Ещё одна ключевая особенность заключается в том, что не обязательно даже мониторить, когда пользователь откроет менеджер. Как я ещё в дальнейшем узнал, оказывается способ был описан ещё 7 лет назад.
Подробней с данной уязвимостью и её эксплуатированием вы можете ознакомиться здесь: GitHub - alt3kx/CVE-2023-24055_PoC: CVE-2023-24055 PoC (KeePass 2.5x).
Заключение
Я весьма рад тому, что исправил свою ошибку при выборе в качестве менеджера паролей KeePass и так же просвятил вас, своих дорогих читателей. Крайне извиняюсь за поспешную рекомендацию весьма не надёжного менеджера паролей. Что тут ещё сказать, всем нам свойственно ошибаться, но так же и учиться на своих ошибках. А лучше всего учиться на ошибках других людей. На сегодня у меня всё, всем благодарен за прочтение данной статьи.
Последнее редактирование модератором:
