• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Пароли под защитой GPG

Предисловие

Хранить пароли в гугл-хроме очень удобно. Можно залогиниться с любого устройства под своим аккаунтом и получить доступ ко всем сайтам и паролям. Круто? Круто.
До тех пор, пока вы не поймаете стилер.

Проприетарные менеджеры так же удобны. Но концепция хранения моих паролей где-то там, на каких-то серверах меня не впечатляет.
А мы сегодня будем использовать связку gpg + pass + browserpass.

Установка и настройка

Устанавливаем пакеты:
Bash:
sudo apt install gpg
sudo apt install pass
sudo apt install qtpass
gpg чаще всего уже предустановлен.
pass будет надёжно хранить наши пароли.
qtpass предоставит нам удобный графический интерфейс.

Для начала нам нужно сгенерировать новый gpg ключ.
Bash:
gpg --full-generate-key
На создании ключа я не буду долго останавливаться, всё делается по методу далее-далее. Мыло и идентификатор никто проверять не будет.

После этого необходимо инициализировать pass
Для начала смотрим id нашего саб-ключа
Bash:
gpg -k --keyid-format long
На выходе получим что-то типо
Код:
/home/user/.gnupg/pubring.kbx
-----------------------------
pub   rsa3072/074059C5D078BB05 2019-12-27 [SC]
      58C3A7D48E1EF82933986FD6074059C5D078BB05
uid                 [ultimate] testt
sub   rsa3072/CE4F8F8052CFF9AA 2019-12-27 [E]
Где CE4F8F8052CFF9AA - идетификатор саб-ключа. У вас он будет другим.
Инициализируем им pass
Bash:
pass init CE4F8F8052CFF9AA

Управление паролями

Теперь добавим новый пароль. Это можно сделать 2-я способами.
1. Через командную строку, используя pass insert [сайт.ру]. Можно использовать параметр -m для мультистрочного ввода.
Пример:
Код:
pass insert -m test.com
Enter contents of test.com and press Ctrl+D when finished:

login:user
password:pass
Что бы посмотреть пароль, используем
Bash:
pass show test.ru
2. Через qtpass. Первый раз при запуске он ругднётся, нам нужно бщует выбрать "Use pass". При создании пароля в качестве имени файла надо указать домен сайта, например "mail.ru". Советую сразу задать шаблон в настройках.

Вы скажите... YMainErr, это же жуткий гемор так просматривать пароли. Да, но зато всё секьюно :D

Экспорт-импорт-бекап

Зашифрованные файлы с паролями будут храниться тут:
/home/user/.password-store/

Экспорт открытого и приватного ключей, а так же импорт:
Bash:
gpg --export-secret-keys CE4F8F8052CFF9AA --armor --output key-private.txt
gpg --armor --export CE4F8F8052CFF9AA  --output key-public.txt
gpg --import key.txt
Приватный ключь нужен будет для расшифровки наших паролей, а публичный - для шифрования.

Браузер

Ладно, действительно копировать ручками не удобно. Поэтому поставим расширение для браузера и gui для ввода пароля от ключа.
Код:
sudo apt install webext-browserpass
sudo apt install pinentry-gtk2
Перезапускаем браузер, если расширение не появилось - ищем его в магазине под названием browserpass

Добавляем пароли, переходим на сайт и жмакаем Ctrl+Shift+F
Must die
Можно ли экспортировать пароли под винду? Да, конечно.
Устанавливаем:
Экспортируем закрытый ключ (или оба, если планируем добавлять пароли из под форточек). Импортируем под виндой в клеопатру.
Копируем файлы *.gpg из /home/user/.password-store/ в куда-нибудь.
Устанавливаем последний *.msi отсюда: browserpass/browserpass-native
Устанавливаем плагин для браузера - Browserpass

Как всё это синхронизировать - решайте сами.

Tor browser

При использовании тор-браузера вас ожидают некоторые подводные камни. Например в линукс нужно будет сделать:
Код:
cp /home/user/.gnupg/pubring.kbx /home/user/.local/share/torbrowser/tbb/x86_64/tor-browser_en-US/Browser/.gnupg/
А под виндой вам нужно будет положить файлики с паролями (*.gpg) в папку "пользователь/.password-store/"
Т.к. настройки плагина вам не даст поменять NoScript

Android и немного синхронизации

Под телефон тоже можно. Но один хороший человек уже выложил видеоинструкцию и рассказал про синхронизацию через git, повторяться не буду:


В заключение

Теперь, что бы спереть ваши пароли понадобится не только badusb, но специально обученный файловый стилер и кейлоггер (или пояльник). GLHF
 

Trap

One Level
29.04.2018
3
1
BIT
0
Метод конечно интересный ,но не проще тогда пользоваться keepass и хранить базу на google drive ,раз удобно иметь акккаунт гугл ?
 

sith_ortodox

Green Team
11.10.2018
50
33
BIT
28
Я пользуюсь buttercup. Работает везде и на всём. Ни разу не подвел. Файл с паролями зашифрован и хранится, где удобно пользователю.
Но идея с pgp интересная. Установил на Kali. Поюзаю, пригляжусь
 

Shadow User

Green Team
10.07.2017
138
29
BIT
0
У меня проще. Шифруем текстовый файл с паролями в gpg.
Используем: gpg --decrypt <file> | grep <site>.
 
  • Нравится
Реакции: Nubusers

Nubusers

Green Team
23.07.2019
55
21
BIT
0
У меня проще. Шифруем текстовый файл с паролями в gpg.
Используем: gpg --decrypt <file> | grep <site>.
Эффективно почти всё, что очень просто. Ты так все пароли в блокнотике шифруете? Я просто к тому, что кому надо - тот расшифрует всегда. А так лишняя предосторожность не помешает. Да и самому спокойно
 
  • Нравится
Реакции: Shadow User

Shadow User

Green Team
10.07.2017
138
29
BIT
0
Эффективно почти всё, что очень просто. Ты так все пароли в блокнотике шифруете? Я просто к тому, что кому надо - тот расшифрует всегда. А так лишняя предосторожность не помешает. Да и самому спокойно
Пароли шифрую, а для других файлов, есть cryptsetup.
Screenshot at 2020-07-19 21-53-48.png
 
  • Нравится
Реакции: Nubusers
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!