poniedziałek, 6 listopada 2017

Synology i KeePass - bo o hasła trzeba dbać

Chyba każdy wie, że zapisywanie haseł w przeglądarce nie należy do bezpiecznych, a jeżeli jeszcze tego nie wiecie, to poniżej zamieszczam dwa linki, które mogą Was zainteresować i przekonać do zrezygnowania z tego pomysłu (a przynajmniej jeżeli chodzi o ważne hasła):
Osobiście uważam, że na luksus zapisywania haseł w przeglądarce można pozwolić sobie tylko na komputerze domowym, a i to nie za bardzo, bo do takiego komputera może usiąść jakiś "dowcipny" serwisant, albo młodszy sąsiad z ambicjami zostania hakerem, który tylko czeka jak wyciągnąć komuś hasło do "fejsa".

No dobrze, ale jeżeli nie w przeglądarce to gdzie? - na żółtych karteczkach?
Od wielu lat korzystam z darmowego programu do przechowywania haseł - nazywa się KeePass i w swojej roli sprawdza się znakomicie. Ma jednakże wadę, która jest też zaletą, a mianowicie jest to program używany lokalnie. Jest to wada, ponieważ coraz bardziej przyzwyczajam się do rozwiązań chmurowych z których mogę korzystać niezależnie od miejsca w którym przebywam. A jak taka wada może być zaletą? 
No cóż. Jeżeli program jest przechowywany lokalnie, to znaczy, że tylko ja mam do niego dostęp, do jego plików i bazy oraz ja kontroluję pełnię dostępu do niego.

Jak więc pogodzić ogień i wodę, tzn. "uchmurowić" program lokalny?:)

Rozwiązaniem może być przechowywanie bazy programu KeePass w usłudze chmurowej. Jakiś czas pokazałem to na przykładzie Dropboxa - Jak synchronizować hasła pomiędzy komputerem i telefonem, czyli o synchronizacji haseł w przeglądarkach i nie tylko.

I owszem, takie rozwiązanie działa i to nawet bezproblemowo, ale jego minusem jest to, że nasza baza z hasłami przechowywana jest w miejscu którego nie kontrolujemy. Sprowadza się to do faktu, że nie tylko firma zewnętrzna ma dostęp do naszych plików i mogą z tego wyniknąć ciekawe "kwiatki" (vide Dropbox trzymał pliki nawet po ich usunięciu), ale - bądźmy szczerzy - służby kraju, w którym firma się znajduje oraz potencjalni intruzi.

Dzisiaj więc postanowiłem przechowywanie haseł wznieść na wyższy poziom bezpieczeństwa i bazę programu KeePass przechowywać nie w jakiejś tam anonimowej chmurze, ale w mojej prywatnej, a dokładniej na lokalnym serwerze Synology, poprzez szyfrowanego FTP-a. 

Schemat synchronizacji bazy programu KeePass przy pomocy serwera FTP
Schemat synchronizacji bazy programu KeePass przy pomocy serwera SFTP

Dlaczego FTP na Synology? Taki pomysł podsunął mi jeden z czytelników, którego niniejszym pozdrawiam:)
Okazało się, że zarówno KeePass oraz KeePass2Android (port KeePassa na Androida) obsługują synchronizację bazy haseł poprzez FTP. Jednocześnie, co mi się bardzo spodobało, nie muszę do całej operacji stawiać odrębnego FTPa bo mam go przecież na Synology. A że jest to całkiem przyjemny FTP, oferujący poziom bezpieczeństwa, którego potrzebowałem na potrzeby niniejszego projektu, to "klamka zapadła" :)

Konfiguracja FTP na Synology DS916+

Poniżej opisana zostanie konfiguracja na Synology DS916+, którego ja używam, ale wg mojej wiedzy, powinna ona wyglądać identycznie na każdym "Synku", jak też odpowiednie opcje powinniście móc odnaleźć w NASach innych producentów. Tak więc do dzieła :)

Utworzenie konta użytkownika

Celem jest zwiększenie bezpieczeństwa, więc zaczniemy od utworzenia specjalnego konta użytkownika. Będzie to tzw. konto techniczne, czyli konto które nie będzie używane przez jakiegokolwiek użytkownika, a jedynie przez aplikacje KeePass i KeePass2Android, w celu dostępu do bazy haseł programu KeePass.

Użytkownik, którego ja założyłem na potrzeby niniejszego tutorialu nazywa się keepass_user. W rzeczywistości nawet login użytkownika nie powinien wskazywać do czego konto jest wykorzystywane i zamiast jakiejś "ludzkiej" nazwy może on mieć postać losowego ciągu znaków, podobnie jak hasło.
Jest to dodatkowy element zwiększający bezpieczeństwo, a że login i hasło zapiszemy potem w aplikacjach klienckich, więc z jego wpisaniem będziemy się trudzić tylko za pierwszym razem.

Formatka tworzenia nowego konta użytkownika w Synology
Formatka tworzenia nowego konta użytkownika w Synology
Użytkownikowi warto ustawić długie, skomplikowane hasło oraz zaznaczyć opcję Nie zezwalaj użytkownikowi na zmianę hasła. Wystarczy bowiem kilka / kilkanaście minut, aby urządzenie wystawione do Internetu zaczęło być skanowane przez boty (więcej na ten temat możecie przeczytać w tym poście - Masz w routerze włączony dostęp przez SSH? Zobacz jak ryzykujesz...)
W takim przypadku pierwszą linię obrony odgrywa niestandardowy login, silne hasło i prawidłowe zabezpieczenie routera (więc o tym w poście - Dobre praktyki w zabezpieczaniu domowych routerów na przykładzie Synology RT2600ac), zaś od strony NASa warto włączyć blokadę IP, którą można znaleźć w Panelu Sterowania → Bezpieczeństwo → zakładka Konto.

No dobrze, ale trochę odbiegłem od tematu ;)

Aby zminimalizować ryzyko wykorzystania utworzonego konta do niecnych celów, w dalszych krokach kreatora, na formatce pt. Przypisz uprawnienia do aplikacji, warto odebrać użytkownikowi prawo do korzystania z wszystkich aplikacji, poza FTP-em.

Prawo korzystania z aplikacji dla użytkownika keepass_user
Prawo korzystania z aplikacji dla użytkownika keepass_user
Następnie można potwierdzić kolejne kroki kreatora i zakończyć tworzenie użytkownika.
W tym momencie mamy utworzone konto techniczne, które nie może zostać wykorzystane do niczego poza FTP-em.

O to nam chodziło :)

Konfiguracja FTP

Dalszym etapem projektu jest uruchomienie FTP-a na Synology.
Do jego konfiguracji dostaniecie się poprzez Panel Sterowania → Usługi Plików → zakładka FTP.
Włączamy szyfrowaną wersję FTPa. Chciałem aby było to FTPS (SSL/TLS), ale jak się okazało KeePass miał problemy z jego obsługą, zaś KeePass2Android wcale takiego trybu nie wspiera. Stanęło więc na SFTP (SSH).

Tutaj mała sugestia odnośnie portu. Albo nie udało mi się tego obczaić, albo KeePass nie umożliwia podania portu na którym ma się łączyć z FTP-em. Tak wiec w poniższym oknie lepiej pozostawić domyślny - 22 - port dla usługi SFTP.
Edycja:
A jednak można wykorzystać niestandardowy port w przypadku połączeń SFTP

Włączenie usługi SFTP
Włączenie usługi SFTP
Kolejnym krokiem jest ustawienie folderu jaki ma być widoczny przez żytkownika keepass_user po skorzystaniu przez niego z FTPa, czyli, w jakim folderze umieścimy bazę z hasłami.

Robimy to na tej samej karcie, ale w dolnej części, gdzie widnieje sekcja Ogólne. Tam poprzez przycisk Ustawienia zaawansowane dostajemy się do opcji Zmień katalogi główne użytkowników.

Opcja umożliwiająca zmianę katalogu głównego FTP dla użytkowników
Opcja umożliwiająca zmianę katalogu głównego FTP dla użytkowników
W otworzonej formatce wybieramy utworzonego przez nas użytkownika i ustawiamy, żeby jego katalogiem głównym FTP był Użytkownik domowy.

Ustawienie folderu domowego jako folderu głównego przy łączeniu przez FTP
Ustawienie folderu domowego jako folderu głównego przy łączeniu przez FTP

Z poziomu Synology będziecie się mogli dostać do tego folderu poprzez aplikację File Station → folder udostępniony Homes → folder z nazwą użytkownika, którego utworzyliśmy.

Dzięki takiemu zabiegowi nie musimy tworzyć specjalnego folderu współdzielonego, zachowujemy czystość w strukturze katalogów itd., itp ;)

Tak więc w tym momencie od strony Synology mamy wszystko gotowe. Pozostaje nawiązać testowe połączenie z FTP-em (np. poprzez darmowego klienta FileZilla) na koncie utworzonego przez nas użytkownika, sprawdzić czy wszystko działa, a jeżeli tak, to skopiować do niego bazę z hasłami.

Poniżej zaznaczyłem na czerwono ustawienia, które są niezbędne do nawiązania połączenia.

Formatka do nawiązywania połączenia w FileZilla (Plik → Menedżer stron)
Jeżeli do tego momentu wszystko działa to znaczy, że konfiguracja SFTP na Synology zakończyła się pomyślnie i możemy przejść do konfiguracji KeePassa i KeePass2Android.
Prawda, że było prosto? ;)

Konfiguracja KeePass do łączenia z szyfrowanym FTP

Domyślnie KeePass obsługuje połączenia przez FTP jedynie w formie niezaszyfrowanej. Jeżeli chcemy korzystać z połączenia SFTP konieczne jest pobranie darmowej wtyczki o nazwie IOProtocolExt, która została napisana przez samego twórcę aplikacji, więc jest raczej bezpieczna.

Jej instalacja sprowadza się do rozpakowania pobranej zawartości do podfolderu Plugins w głównym folderze KeePass i zrestartowaniu programu.

Obecność wtyczki możecie sprawdzić poprzez menu Narzędzia Wtyczki.

Poprawnie zainstalowana wtyczka IOProtocolExt w programie KeePass
Poprawnie zainstalowana wtyczka IOProtocolExt w programie KeePass
Jeżeli jest ona widoczna, można przystępować do próby nawiązania połączenia. 
W tym celu w KeePass przechodzimy do menu Plik → Otwórz Otwórz URL i wypełniamy istniejące tam pola. 

Okno nawiązywania połączenia z serwerem SFTP
Okno nawiązywania połączenia z serwerem SFTP
Adres URL powinien mieć postać:
sftp://adres_IP_serwera/plik_bazy_z_hasłami.kdbx Lub w przypadku korzystania z niestandardowego portu: sftp://adres_IP_serwera:PORT/plik_bazy_z_hasłami.kdbx
Jeżeli wszystko zostało skonfigurowane poprawnie, to wystarczy nacisnąć OK i program powinien zapytać nas o hasło główne do pliku z bazą haseł, potwierdzając tym samym sukces powyższych kroków.

Od tego momentu gdziekolwiek byśmy chcieli skorzystać z naszych haseł, czy to w domu, czy w pracy, będziemy już mieli taką możliwość :)

A gdzie korzystanie ze smartfona?

No tak. Obiecałem przecież, że przedstawię w jaki sposób można z takiej bazy korzystać przez smartfona. 

Przejdźmy zatem do rzeczy.

Ja korzystam z Androida, na którego powstała całkiem przyjemna aplikacja nazwana KeePass2Android. Jest to aplikacja zewnętrzna, ponieważ do chwili obecnej KeePass nie wypuścił wersji mobilnej. Oczywiście jest całe mnóstwo innych apek, które możecie użyć zamiast KeePass2Android, ale tamtych nie znam. Jeżeli znajdziecie coś lepszego niż ta z której ja korzystam, podzielcie się proszę w komentarzach, a chętnie przetestuję :)

Poniższy screen pokazuje, że obsługuje ona wiele sposobów łączenia się z bazą haseł, ale w naszym przypadku wybierzemy połączenie nazwane SFTP (transfer plików przez SSH).

Wybór sposobu łączenia się z bazą haseł
Wybór sposobu łączenia się z bazą haseł
W kolejnym oknie podajemy adres IP naszego serwera, nazwę użytkownika oraz hasło. W odróżnieniu od KeePassa, tutaj nie musimy wpisywać nazwy bazy danych. Po nawiązaniu połączenia, podłączony folder zostanie wylistowany, a my będziemy mogli wskazać odpowiedni plik.

Formatka do nawiązywania połączenia SFTP
Formatka do nawiązywania połączenia SFTP


Następnie aplikacja poprosi nas o hasło główne do bazy z hasłami i voilà :) Mamy gotowe połączenie z telefonu komórkowego :)
No i proszę. Tutaj było jeszcze prościej niż w oryginalnym KeePassie :)

Podsumowanie

Pomysł z plikiem bazy przechowywanym w Dropboxie był dla mnie rewolucją swego czasu. Dostęp z kilku komputerów i smartfona bez konieczności wykonywania żadnych czynności synchronizacyjnych. Miodzio :)
Wszystko robiło się z automatu i pomimo, że jestem ogromnym zwolennikiem rozwiązań chmurowych, to jednak postanowiłem wykorzystać pomysł podsunięty mi przez czytelnika i przenieść bazę do Synka. Zbyt wiele "zachodu" z tym nie było, więc czemu nie :)

Teraz mam pełną kontrolę nad tym, kto ma dostęp do bazy haseł oraz w jaki sposób. 

Jeżeli nie macie Synology na swoim posiadaniu to z powyższego sposobu możecie skorzystać także na innych NASach. Bo żeby stawiać do tego celu osobnego kompa pracującego 24/7 to... no chyba nie bardzo ;)

Cóż więcej... KeePassSynology... to musiało się udać :) Proste i bezproblemowe projekty. Takie lubię :)
Ceny wymienionego w tekście sprzętu wg Ceneo
Synology DS916+ Sprawdź

14 komentarzy:

  1. Jaka jest różńica między tym keepas instalowanym lokalnie czy też na synology, który też jest dostępny za pewne po zalogowaniu się na konto windows, a hasłami w przeglądarce? One przecież nie są dostępne bez logowania na konto Windows, co już samo w sobie jest zabezpieczeniem. A jeśli ktoś zostawia komputer niezablokowany, to nie pomoże mu ani keepas ani nic innego. Artykuł na siłę...

    OdpowiedzUsuń
    Odpowiedzi
    1. To że baza haseł jest wspólna dla każdego urządzenia które chcesz używać teraz i w przyszłości. I to że wraz ze zmianą systemu czy całkowitą zmianą komputera nie tracisz zapisanych haseł. Trzecia sprawa że nie powinno się zapisywać haseł w przeglądarkach bo jakiś syf ci może je zczytać. Są nawet zwykłe programiki które pozwalają ci wyciągnąć hasła z przeglądarki. Więc nie, to nie jest artykuł na siłę.

      Usuń
    2. Witajcie Anonimowi czytelnicy :)

      Anonim z godz. 15.14 doskonale odpowiedział na zadane wcześniej pytanie w zakresie dlaczego nie przechowywać haseł w przeglądarce. Uzupełniłbym je tylko o to, że już na samym wstępie podałem dwa linki, po przeczytaniu których można takie hasła wyciągnąć. Oczywiście, do skorzystania z pierwszego i drugiego sposobu wymagany jest dostęp do konta. Ale czy na pewno?
      Przecież wystarczy Live CD aby pobrać cały folder przeglądarki i zastosować wobec niego np. ChromePassa. Konto Windows nie przed wszystkim broni, a sposobów na wyciągnięcie haseł jest zapewne jeszcze więcej.

      Zaś co do dostępu do Synology zaraz po zalogowaniu się na konto windows - przyznam, że nie do końca wiem o co chodzi. Zarządzanie Synology odbywa się poprzez przeglądarkowy system DSM do którego także trzeba się zalogować.

      Pozdrawiam
      Daniel

      Usuń
    3. Przez sambe, gdzie możesz mieć folder z keepasem udostępniony? Albo przez program FTP z zapisanym hasłem dostępu do serwera FTP (nie wierzę, że podajesz z palca za każdym razem)?

      Przeglądarki trzymają pliki z hasłami otwartym tekstem i na pewno masz dostęp do plików użytkownika w jego katalogu (roaming) z poziomu LiveCD? No, bo nie mów, że korzystasz z tych wszystkich zabezpieczeń, a tak prostego nie posiadasz jak szyfrowanie dysku, a przynajmniej folderów z wrażliwymi danymi.

      Usuń
  2. Rozumiem. W tutorialu jest podany sposób na trzymanie hasła bez udostępniania go przez sambę. W sumie to nikt poza specjalnie utworzonym użytkownikiem i administratorem, nie ma dostępu do pliku bazy haseł.

    Z tego co się orientuję to przeglądarki nie trzymają haseł otwartym tekstem, ale nie jest to nic z czym nie poradziłyby sobie zewnętrzne programy, chociażby wymieniony na wstępie tekstu ChromePass.
    Nie, nie szyfruję dysku w domowym komputerze. W służbowych laptopach oczywiście, ale na domowym sprzęcie nie :)

    Pozdrawiam serdecznie :)
    Daniel

    OdpowiedzUsuń
  3. Ciekawe, czy po takim czasie od publikacji, ktos tu zajrzy?
    Czy dobrze rozumuje, ze wszystko dziala do czasu jak mam polaczenie z internetem? Jak internet np. w telefonie z jakiegos powodu nie dziala, to dostepu do hasel nie ma?
    Czy w rozwiazaniu z chmura, nawet jak internet zdechnie, to nadal mam dostep do pliku z chmury, ktory jest zapisany na telefonie?

    OdpowiedzUsuń
  4. [trochę odkopię temat]
    A jak wygląda kwestia połączenia aplikacji KeePass z serwerem NAS.
    1. Pobiera sobie plik z bazą do siebie i trzyma lokalnie aż do zamknięcia aplikacji? Połączenie SFTP z NAS-em zostaje zamknięte.
    2. Czy "wie gdzie jest plik" i za każdym razem kiedy potrzebne nam jest hasło, w locie, łączy się do NAS-a? A połączenie jest cały czas aktywne.

    OdpowiedzUsuń
  5. A czy jest jakiś program pod iPhone z obsługą bazy na synology ?

    OdpowiedzUsuń
  6. Witam. Dziękuję Autorowi za ten wpis, zmobilizował mnie (wreszcie!) do zmiany filozofii przechowywania pliku z hasłami (bazą danych) Keepass. Do niedawna miałem zorganizowane identycznie jak kiedyś u Autora. Tzn. główny plik był przechowywany w chmurze (jedyna różnica: u mnie na Google Drive). Na pececie, a właściwie dwóch pecetach zainstalowany Keepass2 z pluginem do sychronizacji z GDrive, na smartfonie Keepass2android, który GDrive obsługuje natywnie (nawiasem na Androida innych też nie znam ;).
    Aczkolwiek teraz samą synchronizację pliku z hasłami, przechowywanego obecnie na serwerze Synology, zrealizowałem trochę inaczej niż opisano w artykule. W wielkim skrócie: Keepass2 na pecetach synchronizuje się z plikiem składowanym na Synology poprzez "zwykłą" synchronizację plików, bez stosowania żadnych pluginów (Kepass2->menu Plik->Synchronizuj z plikiem...->tutaj ścieżka/nazwa do pliku udostępnianego na Synology). Z kolei na smartfonie Keepass2android sychronizuje się poprzez WebDAV. Jeżeli bedzie taka wola Autora i ludu, mogę opisać więcej szczegółów.
    Natomiast nie do końca jest dla mnie jasne, w jaki sposób Autor zrealizował dostęp/synchronizację pliku spoza sieci, w której znajduje się serwer Synology? Nie jest to dostatecznie wyjaśnione w artykule. Domniemywam, że na routerze został przekierowany odpowiedni port serwera SFTP. Co potencjalnie zawsze jest proszeniem się o kłopoty, a już szczególnie gdy pozostawimy domyślny port usługi.
    Ja temat załatwiłem inaczej, zresztą już dawno temu, długo przed zabawami z Keepass - do swojej sieci domowej łączę się z zewnątrz za pomocą VPN (konkretnie w moim przypadku OpenVPN, mogę tylko jeszcze zdradzić, że nie pracuje na standardowym porcie 1194 ;). Dzieki temu dostęp do zasobów Synka (i innych urządzeń) jest praktycznie taki sam jak byśmy byli bezpośrednio "wewnątrz" swojej sieci LAN, a połączenie jest zawsze szyfrowane.

    OdpowiedzUsuń
  7. Witam.
    Odnośnie jeszcze VPN - od pewnego czasu jest dla mnie podstawową i praktycznie jedyną metodą dostępu do Synka z "zewnątrz",  spoza mojej sieci LAN. I nie tylko do Synka - właściwie do wszystkich urządzeń w mojej sieci, np. konfiguracji routera, drukarki, itp. W dodatku OpenVPN wymaga przekierowania tylko jednego(!) portu, który w dodatku można zmienić na inny niż domyślny. Ponadto tunel VPN jest szyfrowany, itd., itp. oczywiste oczywistości.

    Co do konieczności zestawienia tunelu przed korzystaniem z Keepassa - niekoniecznie za każdym razem (tu odnoszę się do korespondencji, którą wymieniliśmy na PW, myślę, że nie obrazisz się, że wyjawię, iż taki fakt miał miejsce ;). Jak wspomniałem w poprzednim  wpisie, korzystam z mechanizmów _synchronizacji_ plików baz danych (tzn. pliku znajdującego się na Synology oraz lokalnie na komputerze), a nie otwieram pliku "bezpośrednio" z serwera. Dzięki temu mogę skorzystać z Keepassa  nawet jeżeli z jakichś powodów nie mam połączenia z serwerem. Albo po prostu wiem, że nie będę wprowadzał żadnych zmian, chcę tylko odczytać/przypomnieć sobie jakieś hasło. A powiedzmy sobie szczerze, po początkowym wprowadzeniu wpisów, zmiany w pliku bazy danych potem nie następują aż tak często. Przynajmniej tak jest u mnie ;-)  Oczywiście w przypadku wprowadzenia zmian w pliku lokalnym, albo gdy w międzyczasie został zmieniony plik na serwerze (np. z innego urządzenia, oraz zależy nam na dostępie do tej zmiany) - żeby wszystko "tu i tam" było aktualne trzeba przeprowadzić synchronizację. Na razie robię to ręcznie, ale myślę zaprząc do tego keepassowe wyzwalacze (triggery), np. synchronizować (czy raczej: podąć próbę synchro...) automatycznie przy otwieraniu/zamykaniu pliku bazy danych. Jednak trochę muszę się jeszcze naumieć ;-) Aha, jeszcze jedno: to co napisałem w tym akapicie, tyczy się Keepass2 na pececie. Keepass2android z tego co zauważyłem, że tak napiszę: korzysta z mechanizmów synchronizacji natywnie i w przypadku niepowodzenia otwarcia bazy z serwera (chmury, itp.) otwiera plik lokalny.

    OdpowiedzUsuń
  8. Witam raz jeszcze w sprawie KeePass i NAS Synology.
    W międzyczasie udało mi się stworzyć wspomniane wyżej odpowiednie Wyzwalacze (triggery) do sychronizacji pliku bazy danych z plikem przechowywanym na NAS.

    Reasumując nieco, u mnie organizacja dostępu do bazy danych wygląda w tej chwili tak:
    - główny ("centralny") plik bazy danych Keepass (kbdx) jest przechowywany w folderze współdzielonym na NAS.
    - na pecetach kopie bazy danych są przechowywane lokalnie oraz przy otwieraniu/zamykaniu aplikacji Kepass automatycznie synchronizowane z "centralnym" plikiem, przy pomocy odpowiednich wyzwalaczy-triggerów. Synchronizację można w każdej chwili wymusić także ręcznie, odpowiednią opcją w menu.
    - na smartfonie zainstalowany KeePass2Android, mechanizm synchronizacji jest już w nim gotowy, wbudowany. Dostęp do pliku bazy na NAS przez WebDAV.
    - dostęp do NAS spoza mojej sieci lokalnej przez VPN (OpenVPN). Aczkolwiek jak już wspominałem: w przypadku kłopotów z siecią, braku dostępu i synchronizacji z plikiem "centralnym", na urządzniach można otwierać bazy lokalnie.

    Ponadto plik bazy jest okresowo kopiowany z NAS na zewnętrzny dysk HDD-USB (kopia bezpieczeństwa).
    Uruchomiłem również kopiowanie do chmury (aplikacja Synology Cloud Sync). Ktoś może zapyta: po co, przecież specjalnie zrezygnowałeś z przechowywania pliku kbdx w chmurze, a teraz znów go tam wrzucasz? Zrobiłem tak z rozmysłem, na wypadek armagedonu typu pożar, zalanie, uszkodzenie, kradzież NAS-a, itp. (aczkolwiek są jeszcze pliki baz przechowywane lokalnie na komputerach, w telefonie i kopia na dusku USB - ale założmy, że wszystko poszło z dymem, tfu odpukać...). Cloud Sync umożliwia szyfrowanie i zabezpieczenie kluczem, zatem plik kbdx znajdujący się w chmurze jest jakby podwójnie zaszyfrowany: mechanizmami Cloud Sync oraz Keepass.

    Myślę, że taka organizacja i zebezpieczenie bazy danych Kepass jest wystarczająca dla użytkownika domowego. Pozdrawiam.

    OdpowiedzUsuń
    Odpowiedzi
    1. Dzięki za info :)
      Co do bezpieczeństwa baz w KeePassie.
      Teraz nie mogłem tego znaleźć, ale swego czasu trafiłem na fajne porównanie gdzie było pokazane, że KeePass używa najnowszych technik kryptograficznych na tle innych produktów.
      Tutaj wchodzi w kwestię zarządzanie ryzykiem, ale myślę, że znaczna część osób może przechowywać bazy w chmurze, bez znacznego ryzyka dla ich zawartości.

      Pozdrawiam serdecznie :)
      Daniel

      Usuń
  9. Witam.
    W ostatnim zdaniu poprzedniej wypowiedzi bardziej niż sprawy kryptograficzne miałem na myśli zabezpieczenie przed utratą bazy danych, w przypadku np. awarii serwera NAS. Uważam, że każde rozwiązanie ma swoje zalety i wady. Niemniej skoro jesteśmy posiadaczami takich urządzeń jak NAS (niekoniecznie od Synology - idea zadziała praktycznie na każdym dysku sieciowym...), stosunkowo niewielkim nakładem możemy zorganizować "u siebie" składowanie i dostęp z wielu urządzeń do wspólnej bazy Keepass. Bez pośrednictwa żadnych zewnętrznych "chmur" typu Dropbox, Google Drive, etc.). Użytkownicy, którzy takiej możliwości nie mają (tzn. własnego serwera NAS), raczej są skazani na "chmury", lub skorzystanie z rozwiązań komercyjnych. Czyli także powierzenie (zawierzenie...) przechowywanie bazy haseł gdzieś na serwerach producenta. Pozdrawiam.

    OdpowiedzUsuń

Bardzo proszę o zachowanie netykiety.