«

»

Распечатать Запись

Как в KeePass проверить надежность паролей по базе Have I Been Pwned (HIBP)

В нижеследующей статье – рассказ, как в приложении для хранения паролей KeePass проверить их надежность с помощью авторитетного сервиса Have I Been Pwned. Тему интересного и, надеюсь, полезного обзора я почерпнул с сайта GHacks, поэтому о данном "хаке" русскоязычная аудитория пока не знает. Если вы печетесь о безопасности личных данных и имеете немного времени и места на винчестере – жмите на кнопку "Далее".

Немного о героях моего краткого повествования. KeePass – менеджер паролей, прошедший в 2016-ом году аудит в Европейской комиссии по аудиту открытого ПО (EU-FOSSA), которая показала его полную безопасность и безбэкдорность. Чему свидетельствует большая популярность у пользователей (автор блога тоже не остался в стороне). Ну, а сервис в виде веб-сайта HIBP, где можно узнать, не были ли взломаны ваши учетные записи в Сети, весьма известен в импортном "забугорье". Кстати, его название переводится как "Меня поимели?" (жаргонный англоязычный мем), базы взломанных "учёток" автор проекта Трой Хант (Troy Hunt) берет с хакерских форумов.

Проверяем надежность паролей в KeePass по локальной базе HIBP

Сразу предупрежу: дабы процесс проверки не был "мучительно" долгим, желательно иметь производительный ПК, скоростной интернет и 35 Гигабайт свободного места на винчестере.

  • Итак, загрузите последнюю версию плагина HIPB Offline Check по прямой ссылке.
  • Откройте в KeePass меню "Сервис" → "Плагины" → в новом окне кликните по кнопке "Открыть папку" (скриншот выше) → перенесите файл HIBPOfflineCheck.plgx в открытую директорию C:\Program Files (x86)\KeePass Password Safe 2\Plugins.
  • Скачайте базу с "ломаными" паролями с сайта Haveibeenpwned.com здесь (см. "SHA-1 (ordered by hash)" в нижней части страницы).
  • Распакуйте архив, например, на несистемном диске D:\, не забыв, что общий объем архива и извлеченного файла составит порядка 35 Гигабайт (в настоящий момент 10 Гб + 23 Гб).

  • В менеджере паролей раскройте "Сервис" → "HIBP Offline Check" → в новом окне нажмите кнопку "Browse" и найдите файл базы с паролями → "Открыть".
  • Дополнительно активируйте обозначенную на скриншоте опцию, дабы плагин выводил сообщение "WARNING: INSECURE PASSWORD. This password is insecure and publicly known" (с англ. "Внимание: ненадежный пароль. Этот пароль известен и небезопасен") → "ОК".
  • И последняя, не менее важная манипуляция: в меню "Вид" → "Настроить столбцы" → в окошке "Настройка столбцов" выберите "Have I Been Pwned?", иначе результаты аудита не отобразятся в интерфейсе приложения.

Осталось только проверить имеющиеся пароли к сервисам по базе HIBP и, в случае необходимости, заменить их на более надежные (см. в KeePass все то же меню "Сервис" → "Создать пароль").

Заключение

Основное преимущество метода – проверки выполняются локально, с экономией времени, если паролей много. Недостатком сверки по базе Have I Been Pwned является необходимость загружать большие файлы со списком 6,5 миллиардов "ломаных" аккаунтов.

Дмитрий dmitry_spb Евдокимов

Постоянная ссылка на это сообщение: http://TestSoft.su/kak-v-keepass-proverit-nadezhnost-parolei-po-baze-have-i-been-pwned-hibp/

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Вы можете использовать эти теги HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>