Mac на службе у хакера. Часть 3 – Управление паролями при помощи KeePassX

Автор: Barrow

Теперь, когда мы разобрались, как защитить информацию при помощи шифрования, пришло время научиться управлять паролями.

У нас, специалистов по безопасности, как и у обычных пользователей, масса паролей, которые нуждаются в управлении. Поскольку все мы люди-человеки, то нам сложно создавать случайные пароли, устойчивые к перебору. При создании сложной комбинации можно воспользоваться информацией на этой странице, но мы пойдем другим путем и поручим всю рутинную работу приложению-менеджеру, которое одновременно и защищает и генерирует пароли, удовлетворяющие нужным условиям.

На рынке существует множество менеджеров паролей для macOS. Наиболее известные: LastPass, 1Password, и KeePassX. Я предпочитаю KeePassX, поскольку этот менеджер с открытым исходным кодом, очень безопасен, работает практически везде и позволяет мне управлять как базой, так и файлом с ключом. Для шифрования хранилища паролей KeePassX использует 256-битный алгоритм AES или Twofish. За все время в этом менеджере было найдено всего 2 уязвимости.

Шаг 1: Загрузка KeePassX

Вначале нужно загрузить KeePassX с домашней страницы. Поскольку у нас есть образ диска, после подключения мы переместим KeePassX в папку Applications.

Рисунок 1: Иконка приложения KeePassX

В большинстве систем macOS вы не сможете сразу же запустить KeePassX из-за того, что приложение от неизвестного разработчика и не подписано. Нам нужно добавить исключение в настройки безопасности. Если вас подобное не устраивает, вероятно, следует воспользоваться другим менеджером паролей.

Зайдите в папку Applications, куда был скопирован KeePassX, кликните на control (или на правую кнопку мыши) над иконкой KeePassX и выберите "Open". Должно появиться следующее окно:

Рисунок 2: Внешний вид приложения KeePass

Уже существующую базу паролей для KeePass можно открыть, если зайти в раздел "Database" и выбрать "Open database". Если у вас пока нет базы паролей, переходим к следующему шагу.

Шаг 2: Создание новой базы с ключами

Зайдите в раздел "Database" и выберите пункт "New database". В демонстрационных целях я буду использовать файл ключа вместе с паролем. Без файла ключа база данных бесполезна. Если вы потеряете файл ключа, то потеряете также все свои пароли. Я храню свой файл с ключом в безопасном месте, и еще одну копию на USB-накопителе. Если я буду хранить файл с ключом вместо с базой, и злоумышленник получит доступ к моей системе, то есть вероятность, что пароль будет подобран. Как говорится, лучше перебдеть, чем недобдеть.

Рисунок 3: Создание пароля для базы данных

Кликните на поле "Password" и, по возможности, введите длинный пароль (опять же рекомендую воспользоваться страницей Diceware).

Далее отметьте галочку "Key file" (если вы хотите использовать файл с ключом) и нажмите на кнопку "Create". Появится диалоговое окно для сохранения ключа. Выберите местонахождение и сохраните файл. Затем KeePassX сгенерирует ключ. После установки пароля нажмите "OK".

Шаг 3: Добавление группы паролей в базу данных

В новой базе присутствует только одна группа "Root", в которой по умолчанию будут храниться все пароли. Группы используются для организации паролей в такой классификации, в которой вы пожелаете.

Рисунок 4: Чистая база данных

Если использовать только одну группу "Root", то пароли будут храниться в хаотическом порядке, поэтому мы создадим несколько дополнительных групп. Кликаем на Control (или на правую кнопку мыши) на папке "Root" и выбираем "Add new group". Вы также можете зайти в раздел "Groups" в меню и выбрать "Add new group".

Введите имя и группы и, если нужно, примечание. Если вы придерживаетесь политики периодической смены паролей, то в поле "Expires" можно задать дату и время, по истечению которых появится напоминание о том, что нужно выбрать новые пароли. После окончания редактирования группы нажмите "OK" в правой нижней части экрана.

Рисунок 5: Редактирование параметров группы

Если вам нужно больше групп, повторите процедуру, описанную выше. Если нужна особо детальная классификация, можно создать подгруппы.

 
Рисунок 6: Иерархия групп и подгрупп

Шаг 4: Добавление записей

Теперь настало время создать несколько учетных записей.

Выберите группу и нажмите Command N или войдите в раздел "Entries" в меню и выберите "Add new entry". Введите заголовок, имя пользователя и нажмите кнопку "Gen." для создания нового пароля. Вы можете установить правила генерации. Я выбрал специальные символы в разделе Character types, но вы можете задать свои собственные правила. После настройки нажмите "Accept".

Заполните остальные поля и нажмите кнопку "OK" в нижней части окна для сохранения записи.

Рисунок 7: Параметры учетной записи

Повторите эту процедуру для всех учетных записей, и в итоге у вас будут длинные пароли для каждого аккаунта. Возможно, не настолько сильные как пароли, созданные при помощи Diceware, но достаточно устойчивые к прямому перебору.

Шаг 5: Используйте базу данных

Чтобы использовать сохраненный пароль, выберите нужную запись и нажмите Command C. Пароль скопируется в буфер обмена. После этого используйте комбинацию Command V для вставки пароля в нужно поле веб-сайта, приложения и т. д. KeePassX очистит буфер обмена через 10 секунд. Несмотря на то, что в KeePassX есть функция автозаполнения, пока что этот функционал находится в стадии тестирования.

После прочтения трех частей ваш жесткий диск зашифрован и пароли находятся в безопасности. Далее мы познакомимся с терминалом, настроим управление пакетами и поработаем с редактором vim.
Оставайтесь на связи.