Uso práctico y seguro de KeePass

Hay formas de aumentar la dificultad de recuperar la contraseña maestra de KeePass, como configurarla para permitir la entrada solo en el escritorio seguro.

Para evitar que alguien obtenga su archivo de base de datos KeePass y ejerza la fuerza bruta en él, también puede aumentar el recuento de iteraciones AES que KeePass realiza durante el proceso de derivación de la contraseña maestra, para aumentar el esfuerzo requerido para forzar la fuerza maestra en caso de que su base de datos esté exfiltrada.

También hay una opción para configurar la ofuscación de dos canales durante el tipo automático cuando KeePass escribe el nombre de usuario y la contraseña por ti. Debería evitar que los registradores de claves en bruto recuperen la contraseña específica que utiliza para ese sitio.

Para evitar el acceso malicioso a la base de datos KeePass (y su frase de contraseña de descifrado, ya que necesita escribirlo en texto sin formato de alguna manera ... y eso puede ser interceptado si su computadora está comprometida), en primer lugar, mantenga su computadora segura. Ya conoce el simulacro: instale y actualice su software AV, mantenga actualizado el sistema operativo y el software de su computadora, tenga un firewall, revise los registros con regularidad, etc.

Finalmente, aumente la entropía y la longitud de la contraseña maestra utilizada. En lugar de 9 caracteres, ¿qué hay de 13+? En lugar de solo letras inferiores, ¿qué hay de incluir mayúsculas e incluso uno o dos caracteres especiales también? Cuanto más impredecible y más larga sea su contraseña, más tiempo le tomará a su atacante forzar la clave maestra de la base de datos.

No hay manera de cubrir con azúcar este. Un malware / keylogger instalado en su computadora significa que sus contraseñas están expuestas. Eso es todo, no hay manera de evitarlo.

Un malware / keylogger registrará su contraseña maestra, interceptará el portapapeles, de alguna manera accederá a la base de datos desencriptada en la memoria, etc.     

Puede intentar configurar algún tipo de solución OTP además de la contraseña que almacena en keepass o como sustituto.

Uno bastante asequible podría ser yubikey ( enlace ).

Puedes hacer cosas como intercambiar un PAM de linux con un yubico y usar un yubikey para iniciar sesión en una caja de linux y así sucesivamente ...

Esto no es publicidad, sino un ejemplo asequible de otp. Quizás no sea una solución para cada caso de uso de keepass, pero si almacena las credenciales del sistema en keepass, puede agregarles un nivel de seguridad ...

Editar: También como se mencionó, use mucho más de 9 dígitos. Use algo largo y complejo que aún sea bueno para escribir, como una oración larga con algunos caracteres especiales adicionales. No hagas cosas simples como intercambiar una e con una 3. Hay complementos de fuerza bruta para ese tipo de cosas. Solo agrega cantos aleatorios al final / principio y / o medio ...

Edit2: acabo de encontrar esto: enlace vea la parte correspondiente al final. No puedo prometerle que esta es una implementación correcta y segura de otp y que el complemento no tiene fallas. Sin embargo, la teoría suena bien y es un buen punto de partida para investigar un poco o buscar alternativas como esta.

Edit3: una alternativa gratuita a yubikey sería la aplicación Google Authenticator para iOS o Android que debería funcionar bien con el plugin keepass OtpKeyProv según enlace

(de nuevo, no puedo prometer que la implementación de OtpKeyProv sea impecable ...)

Uno de los ataques es registrar un depurador para KeePass.exe que reemplazaría completamente a KeePass.exe con otra cosa, potencialmente una copia muy buena que no reconozco. Otros son registradores de teclado.

Hice lo siguiente para evitar el acceso a la base de datos principal de KeePass:

• descargar la fuente KeePass
• eliminar la versión móvil (porque esa no se compiló en mi PC)
• realice algunos cambios, por ejemplo, Cambie el color de fondo y agregue un ícono, para que pueda distinguir mi propia versión de otras
• cambia el nombre del ejecutable para que no se vea afectado por un ataque de depurador genérico
• agregue algunos caracteres de la contraseña en el código, para que un keylogger nunca obtenga la contraseña completa
• Cambie la extensión de archivo de .kdbx para que alguien que esté viendo accesos a archivos no pueda descubrir que esta es una variante de KeePass y que alguien que esté escaneando el disco tampoco la encuentre.
• Reemplace todas las cadenas "KeePass" en el código
• Compila la nueva versión
• No lo instale, use solo una versión portátil de USB
• Activar solicitud de contraseña segura

Aunque ya no puedo actualizar KeePass fácilmente, sigo pensando que tengo una versión más segura que es menos atacable. Alguien tendría que crear un ataque solo para mi propia versión, lo cual es poco probable.

También podrías:

• cambia un poco el formato del archivo, por ejemplo, escriba bytes adicionales al principio, para que el archivo sea más difícil de detectar por los escáneres de firmas.

Así que ahora la contraseña principal de la base de datos KeePass es bastante segura, aún es posible acceder a las contraseñas que se copian de KeePass en otras aplicaciones. Un atacante puede abrir rápidamente una ventana invisible y luego activar KeePass nuevamente. KeePass usará la ventana invisible para pegar la contraseña. Incluso el auto tipo de doble canal difícilmente puede evitar este ataque, especialmente si la ventana invisible pasa los datos a la ventana correcta, por lo que no lo notará.

Aunque no he implementado una contramedida para eso, supongo que haría lo siguiente:

• genera el título de la ventana de la ventana que KeePass usará para pegar las contraseñas
• detecta períodos cortos de tiempo que KeePass pasa al fondo. Incluso si presiona Alt-Tab dos veces muy rápido, debería haber ~ 100 ms entre una desactivación y una activación de KeePass

Una idea que probablemente necesite derechos de administrador y necesite más conocimientos internos de Windows que los que tengo actualmente:

• Suspenda todos los programas (o casi todos, quizás mantenga algunos ejecutables de Windows en ejecución), excepto su KeePass modificado y el programa de destino. Después de pegar la contraseña, desactívela. Atacantes que, por ejemplo, Encuestar el portapapeles debe ser anulado. No estoy seguro para otros tipos de notificaciones, como enlaces de teclado.

¿Cuál es tu principal amenaza?

1. Para la mayoría, podría ser el software trojan / keylogger buscando dinero fácil. Algunos keyloggers detectan cuando abres Keepass y luego robas la contraseña y la base de datos.

   • Asegure su computadora. El dispositivo / teléfono sin conexión podría ser una opción.
   • Evita escribir información que recordarás. Puede escribir email1 o companyemail2 en lugar de su correo electrónico real.
   • Escriba la contraseña siempre con la ayuda del mouse y en el orden incorrecto. Esto bloqueará el keylogger simple.
   • Un archivo de claves puede bloquear keyloggers simples.
   • Keepass y la base de datos dentro de la máquina virtual fuera de línea bloquearían al keylogger promedio para que no robe la base de datos.

2. Alguien quiere hacer un esfuerzo para forzar la fuerza bruta de su base de datos o su base de datos está en público.

   • Elija una contraseña aleatoria larga y use el archivo de claves.

Nasrus ha dado muy buenas sugerencias.

Además; No sé si ya lo está haciendo de esa manera, pero puede usar KeePass en una máquina Linux que sería más segura.

Ubuntu o Debian estarían bien, pero si está muy preocupado, puede intentar Tails que tiene como objetivo preservar su privacidad y anonimato centrándose en la seguridad.