web-dev-qa-db-ja.com

Keepassデータベースが2つのロック解除方法を受け入れるようにしますが、必須ではありません

私はKeepassを使用してパスワードを管理しており、自宅のコンピューター(Windows 7)、職場のコンピューター(Ubuntu)、および私のAndroid電話)でDropboxを使用して同期しています。

現在、私はそれを保護するためにマスターパスワードのみを使用していますが、自宅でWindowsユーザーアカウントを使用したいので、毎日長いパスワードを入力する必要はありません。一方、保護のために水利組合を使用するように切り替えると、電話や仕事用のコンピューターから水利組合にアクセスできなくなります。

キーパスデータベースを設定して、ロックを解除するための両方の方法を受け入れるが、必須ではない方法はありますか?この方法では、自宅でWUAを使用し、他の場所ではマスターパスワードを使用できます。

7
Malabarba

パスワードを自宅のPCのテキストファイルに入れて(テキストエディタで改行文字が追加されていないことを確認してください)、キーファイルとしてKeePassに渡すことができます。 (WindowsのEFSでキーファイルを暗号化できます。)

これで、自宅でキーファイルを使用し、他の場所でパスワードを手動で入力できます。

5
user1686

最も簡単な方法(パスワードをあまり変更しない場合、Keepassを使用する場合はおそらく変更します)は、2.xバージョンを使用してデータベースを複製することです。

他の方法はあまりありません。暗号化で何が起こっているかを実際に見ると、1つのキーですべてを暗号化すると、それが暗号化のポイントであるため、別のキーで復号化できないことがわかります。

いずれにせよ、複数のキーを使用しようとすると、キーを確認してから、保存されているキーを使用してデータベースのロックを解除することになりますが、これは非常に安全ではありません。

プログラムが2つの異なる暗号化キーを持つ2つのコピーを同じファイルに保存した場合でも、一方のキーを取得するともう一方のキーを簡単に見つけることができるため、ブルートフォース攻撃が容易になります。また、パスワードを編集するたびに不器用になります。他の鍵を持っています。

Tl; dr:複数のキーを持つことは可能ですが、必要なキーは1つだけで、数学的にはほとんど不可能です。

あなたが持っているもう一つの解決策は、より短いパスワードを取得することです。読む この記事 、AES(Keepassが使用するもの)に関して、fluffy is puffyのような単純なパスワードは、それらの単語が非常に単純であっても、解読するのにおそらく3900万年かかるでしょう。

比較すると、Keepassはデフォルトでパスワードを6,000回ハッシュします(200万に設定しても、ほとんど汗をかきません)。これにより、あらゆる種類の数学的トリックが役に立たなくなります。 passwd.me の発音可能およびlower + upper + num設定を使用して、tahter.3usanduのように、習得と記憶が簡単で、力ずくで推測するのが難しいパスワードを生成できます。一体、あなたは日本語を学ぶことになるかもしれません:-)。

3
digitxp

バージョン2.10以降、KeePassはコマンドラインパラメーター-pw-encをサポートしています。詳細については、 KeePassオンラインヘルプ を参照してください。暗号化された表現でKeePassデータベースのマスターパスワードを受け入れます。

このようにcmdスクリプトを使用します blog-pw-encパラメーターを指定すると、パスワードを入力しなくてもデータベースを自動的に開いたりロックを解除したりできます。このスクリプトをWindowsタスクスケジューラのタスクとして追加します。 「ログオン時」のトリガーを定義します。

このように、KeePassデータベースにはマスターパスワードのみが必要です。マスターパスワードを入力するだけで、他のコンピューターで開くことができます。ただし、自分のコンピューターでは、Windowsユーザーアカウントに依存してデータベースのロックを自動的に解除する安全な方法があります。

サイドノート

  • 暗号化された表現を作成するには、データベースのマスターパスワードを持つKeePassエントリにプレースホルダー {PASSWORD_ENC} を使用する必要があります。暗号化された表現は、作成するたびに少し異なります。それにもかかわらず、それは動作します。

    自動入力シーケンスとして、またはcmd://"cmd.exe" /k echo {PASSWORD_ENC}のようなエントリURLとして使用できます。

  • Cmdウィンドウがポップアップしないようにするには、次のようにcmdスクリプトをVBSスクリプトでラップします サーバー障害に関する回答

  • データベースを自動的にロックするようにKeePassを構成した場合は、ローカルコンピューターとリモートコンピューターの「ワークステーションのロック解除時」と「ユーザーセッションへの接続時」のトリガーを追加できます。

  • タスクスケジューラのタスクで「ユーザーがログオンしているかどうかを実行する」にチェックを入れないでください。そうしないと、タスクはKeePassUIを起動できません。

  • 暗号化は Windows Data Protection API(DPAPI) に依存しています。復号化は、同じマシン/ドメイン上の現在のユーザーに対してのみ可能です。

1