Плюсы и минусы keepass (кипас)

Аналоги KeePass

KeePassX — программа хранения паролей. Она есть кросс-платформа порта KeePass.

LastPass — полностью бесплатная, также для хранения пароля, создана компанией LastPass. Она разработана в виде плагинов для Google Chrome (Хром), Internet Explorer, Mozilla Firefox, Apple Safari и Opera. Есть и LastPass букмарклет для иных браузеров.

RoboForm — для авто заполнения различных форм на веб-сайтах. Распространяется по лицензии Shareware.

Keychain (пер. с русского: Связка ключей) — функция (технология), благодаря которой, в одном месте ос Mac OS X, в защифрованом и надёжном виде, хранятся личные данные пользователя это: логины и пароли. И последние Password Safe, iMacros.

1. 5
2. 4
3. 3
4. 2
5. 1

(2 голоса, в среднем: 2.5 из 5)

Plugin Installation and Uninstallation

If there are no explicit instructions how to install the plugin,
follow these steps:

1. Download the plugin from the page above and unpack the ZIP file to a
   new folder.
2. In KeePass, click ‘Tools’ → ‘Plugins’ → button
   ‘Open Folder’; KeePass now opens a folder called ‘Plugins’.
   Move the new folder (containing the plugin files) into the ‘Plugins’ folder.
3. Restart KeePass in order to load the new plugin.

To uninstall a plugin, delete the plugin files.

Linux:
On some Linux systems, the package may be
required for plugins to work properly.

Portability:
PLGX plugins are compiled by KeePass and the generated files are stored
in a , which by default is located in the
user’s application data directory (so, running a PLGX plugin by default
creates files outside the KeePass application directory).
These plugin cache files do not need to be copied to other systems though,
because they are generated on each system and do not contain any user data.

Создание базы данных

После открытия окна программы нажмите на пункт меню «View», а затем в контекстном меню выберите пункт «Change Language…».

В окне «Select Language» выберите соответствующий язык. В следующем окне согласитесь на перезапуск программы. После этого программа KeePass будет открыта на русском языке.

Как вы видите, окно программы пока пусто.

Теперь вам необходимо будет создать новую базу паролей. Для этого нужно будет нажать на пункт меню «Файл», а в контекстном меню выбрать пункт «Новый…».

В окне «Создание новой базы паролей» вам нужно будет выбрать место для хранения зашифрованной базы паролей. Здесь можно выбрать несколько вариантов: сохранить базу паролей в папку с самой программой или в какую-нибудь другую папку на компьютере, или на другом внешнем диске.

Вы можете изменить имя файла «НоваяБазаПаролей» созданное по умолчанию, на другое имя файла. Это можно будет сделать позднее, когда вы захотите переименовать название базы данных.

В том случае, если вы зашифрованную базу паролей в папке с самой программой, которую вы разместили на флешке, то тогда вы сможете воспользоваться программой KeePass после подключения флешки к любому компьютеру. В этом варианте использования программы есть один недостаток: флешка может быть потеряна, или выйти из строя.

Я сам использую несколько иной метод хранения базы данных. Я создаю специальную папку на диске «D» своего компьютера, а затем сохраняю там зашифрованную базу данных программы KeePass. Сама папка с программой находится у меня на диске «C», хотя это переносная версия программы. Я создал ярлык для того, чтобы запускать менеджер паролей как обычную программу.

Базу данных, которая находится на диске «D», я сохраняю в облачном хранилище Яндекс.Диск, которое я перенес в этот раздел. Также копирую базу данных в папку с программой на флешке.

В итоге, если мне внезапно понадобится переустановить операционную систему, то база данных KeePass будет сохранена, так как она расположена на другом логическом диске. Если выйдет из строя жесткий диск моего компьютера, то я все равно не потеряю свои данные, так как база данных будет сохранена еще в двух других местах. Таким образом, три разных места сохранения обеспечивают сохранность базы данных.

Внимание! Отнеситесь с большим вниманием к сохранности зашифрованной базы данных программы KeePass. В случае утери базы данных по каким-либо причинам, вы навсегда потеряете доступ к своим паролям.. В диспетчере паролей KeePass можно создать несколько баз данных, у каждой такой базы данных будет свой основной пароль

Обратите особое внимание на сохранность всех баз данных

В диспетчере паролей KeePass можно создать несколько баз данных, у каждой такой базы данных будет свой основной пароль

Обратите особое внимание на сохранность всех баз данных

Portable version (KeePass-1.xx.zip file)

The portable version can be carried around on portable devices (like USB
sticks) and runs on any computer directly from the device, without any installation.
It doesn’t store anything on your system (in contrast to
the setup package, see above). KeePass doesn’t create any new
registry keys and it doesn’t create any configuration files in your Windows
or application data directory of your user profile.

Make sure that KeePass has write access to
its application directory. Otherwise, if it doesn’t have, it’ll attempt
to store the configuration options (nothing security-relevant though) into the
application data directory of the currently logged on user.
For more about that, see this page:
Configuration.

Installation:
KeePass does not need to be installed. Just download the ZIP package, unpack
it with your favorite ZIP program and KeePass is ready to be used. Copy it to
a location of your choice (for example onto your USB stick); no
additional configuration or installation is needed.

Updating:
Download the latest portable package of KeePass, unpack it
and copy all new files over the old ones. Your configuration settings will not
be lost (the settings are stored in the KeePass.ini file,
which won’t be overwritten, because KeePass ZIP packages don’t
include a KeePass.ini file).

Uninstallation:
Simply delete the KeePass folder. This will leave no trace of KeePass on
your system.

Kee Vault

Our easy-to-use Open Source password manager gives you peace of mind and saves you time. It works from all of your modern desktop and mobile devices and is based on proven Open Source security implementations with added protection from the latest Argon2 technology.

You remember one password, Kee Vault remembers the rest

Protection against website hacks and data breaches

Protects you, your family and your friends

Open Source for higher security than other password managers

Next-generation security using Argon2

Based on over a decade of password management software development

Store WiFi access codes, credit card details, secret notes and even small documents

Start securing your online world now! 14 day free trial with no payment details required.

Pricing and Benefits

Our «Supporter Monthly» subscription is only £2 per month. Until the more expensive subscription plans are launched, all Supporters get access to all newly developed features of those plans.

We don’t offer refunds on partially used subscriptions but with the free trial and very cheap monthly subscription option we hope this seems reasonable to you.

	Supporter	Premium
	£2/month or £20 /year	£5/month or £50 /year
	14 day free trial
14 day free trial No payment details required
	Save time
Save time Avoid typing your passwords; unique passwords for all of your accounts means only changing one password if that website suffers a security breach
	Different, extremely secure passwords for every website
Different, extremely secure passwords for every website If one website leaks a password, your other accounts will not be affected
	Use any modern device or web browser, even when offline
Use any modern device or web browser, even when offline Including Windows, Mac, iOS, Android, Linux and others
	Open Source protection
Open Source protection Unlike most password managers you can prove that your data is stored securely
	Web browser integration
Web browser integration Automatically fill and save passwords for each website using the free Kee browser extension
	Latest security protection
Latest security protection Added protection from the latest Argon2 technology for greater protection than existing PBKDF2-based password managers
	Automatic security improvement
Automatic security improvement If your master password is not quite as strong as it could be, we’ll automatically enable increased protection for your Vault
	Generate strong passwords
Generate strong passwords Every password you use should be long and complicated; because Kee Vault remembers them for you, it can create very long and highly secure passwords for you
	Protection against mistakes
Protection against mistakes Old versions of each entry allow you to recover from accidents
	Manual Backups
Manual Backups Save a backup of your Vault whenever and wherever you want
	Protected (encrypted) standard format exports
Protected (encrypted) standard format exports It’s your data so you can take it with you if you leave
	Import from your old password manager
Import from your old password manager Including fully encrypted import from KeePass Password Safe 2
	Reliable storage
Reliable storage Chances of the remote copy of your Vault failing	10 ^ -9	10 ^ -18
	Backup Versions
Backup Versions Number of days old versions of the entire Vault are available for restoration in the event of any mistakes	30
	Securely attach small files
Securely attach small files Size listed is the maximum allowed size of your Vault	10MB	25MB
	Best form filling accuracy
Best form filling accuracy Exclusive improvements to web browser form integration features
	Concurrent browser extension use with KeePass
Concurrent browser extension use with KeePass Store some logins in Kee Vault and others on your desktop computer (requires installation and configuration of additional free open source software)
	Available now
Available now Some Premium features will be made available to Supporters for a limited time

The premium subscription plan above is currently being developed — prices and details are all subject to change but they are here to provide an indication of what we’re likely to work on in 2022. Future features will be added to the subscription plan that can most efficiently cover the costs of developing and maintaining the feature so that we’re always giving you the best possible value for money.

General Information

KeePass 2.x has an option (in ‘Tools’ → ‘Options’ → tab ‘Security’)
to show the master key dialog on a different/secure desktop
(supported on Windows ≥ 2000), similar to Windows’
User Account Control (UAC).

Benefit.
Most currently available keyloggers only work on the user’s primary
desktop and do not capture keypresses on the secure desktop.
So, the secure desktop protects the master key against most keyloggers.

Limitations.

• Although most keyloggers do not work on KeePass’ secure desktop,
  keyloggers can be developed to also work on it.
  This could only be prevented if KeePass would be running on a secure desktop
  with higher rights
  (e.g. as system process, like Windows’ UAC), which however would be completely
  impractical, because KeePass could not interact
  (drag&drop, auto-type, integration plugins, …) with other applications
  on the user’s primary desktop anymore.
• Currently, only the normal ‘Enter Master Key’ dialog can be displayed
  on a secure desktop, not the master key creation dialog or
  other master key prompts.

Compatibility.
The option is turned off by default for compatibility reasons.

Как использовать Keepass

Перед началом пользования программой Keepass её нужно установить, настроить и русифицировать генератор паролей.

Установка. Нужно скачать и распаковать последнюю версию с официального сайта. Мы вам рекомендуем портативную версию с установкой на флеш-накопитель.

Желательно также настроить запуск программы при старте системы.

Сервис → Настройка → Интеграция → Запуск KeePass при старте системы.

И сделаем, чтобы он всегда открывался в свернутом и блокированном состоянии:

Сервис → Настройка → Дополнительно → Запуск в свернутом и заблокированном состоянии.

Очень удобно, что в Кипасе по умолчанию присутствует AutoType (Автоподбор), нажатием сочетания клавиш Ctrl+Alt+A {USERNAME} {TAB} {PASSWORD} {ENTER}.

Инструкция: как создать новую базу паролей

КeePass будет сохранять все пароли в созданной базе. Итак, для этого нужно создать базу -> выбрать в основном меню «Файл — Новый…» или щелкнуть мышкой левую пиктограмму на панели всех инструментов. Всплывет окно, в котором будет предложено ввести главный пароль или ключ диск. Ваша база паролей будет закодирована паролем, который вы тут наберёте. После чего нажмите .

https://youtube.com/watch?v=66CjUFAx8Eo

Теперь вы находитесь в главном окне. Слева группы паролей, а Справа записи о паролях.

Добавление записи

Теперь можно сохранить ваш первый пароль в этой базе паролей под названием KeePass! Нажмите правой кнопкой мышки в правом окне и потом выберите «Добавление записи…». Всплывёт следующее окно. В нём вы можете редактировать запись: введите придуманное название для нее, пользовательское имя, ссылку, пароль и др. Когда закончите заполнение, нажмите .

Теперь вы можете видеть Вашу только что созданную запись в списке паролей в правой части.

Как пользоваться записью

Теперь Вы получили созданную запись в вашем списке паролей. Что с ней можно делать?

У вас есть несколько различных вариантов. К примеру, вы можете сделать копию имени пользователя из записи в буфер обмена ОС Windows. После того как вы его скопировали, вы можете отправить его и использовать в любой другой программе. Работает, и копирование паролей.

Плагины

KeePass имеет такую архитектуру, расширяемую функциональность сторонними модулями, так называемыми — плагинами. Самые популярные плагины можно скачать с домашней страницы KeePass (доступны экспорт или импорт из различных форматов данных, создание резервных копий баз данных, автоматизации, интеграция менеджера паролей с браузерами и т. д.). Нужно знать так же и о том, что плагины способны поставить под угрозу безопасность проги KeePass, так как они разработаны независимыми авторами-программистами и имеют доступ к базе данных KeePass. Она шифрует и ссылки, и логины и примечания.

Strong Security

• KeePass supports the Advanced Encryption Standard (AES, Rijndael) and the Twofish
  algorithm to encrypt its password databases.
  Both of these ciphers are regarded as being very secure.
  AES e.g. became effective as a U.S. Federal government standard
  and is approved by the National Security Agency (NSA)
  for top secret information.
• The complete database is encrypted, not only the password fields.
  So, your user names, notes, etc. are encrypted, too.
• SHA-256 is used to hash the master key components.
  SHA-256 is a 256-bit cryptographically secure one-way hash function.
  No attacks are known yet against SHA-256.
  The output is transformed using a key derivation function.
• Protection against dictionary and guessing attacks: by transforming
  the master key component hash using a key derivation function (AES-KDF,
  Argon2, …), dictionary and guessing attacks can be made harder.
• Process memory protection: your passwords are encrypted while KeePass
  is running, so even when the operating system dumps the KeePass
  process to disk, your passwords aren’t revealed.
• Protected in-memory streams: when loading the inner XML format,
  passwords are encrypted using a session key.
• Security-enhanced password edit controls: KeePass is the first password
  manager that features security-enhanced password edit
  controls. None of the available password edit control spies work against these controls.
  The passwords entered in those controls aren’t even visible in the process memory of KeePass.
• The master key dialog can be shown on a secure desktop, on which almost no
  keylogger works. Auto-Type can be protected against keyloggers, too.
• See also the security information page.

Is Auto-Type keylogger-safe?

Is the Auto-Type feature resistant to keyloggers?

KeePass 1.x Only
No.
The Auto-Type feature has been designed in a way that it’s impossible for
target applications to distinguish real keys from auto-typed ones. This
on the one hand has the advantage that the feature is really compatible with
all applications out there. On the other hand, the auto-typed keys can of
course be logged by keyloggers.
If you worry about keyloggers, you have to use one of the other
methods (drag&drop, copying to clipboard, KeeForm, …).

KeePass 2.x Only
By default: no. The Auto-Type method in KeePass 2.x works the same as the one in
1.x and consequently is not keylogger-safe.
However, KeePass features an alternative method called
Two-Channel Auto-Type Obfuscation (TCATO),
which renders keyloggers useless. This is an opt-in feature (because it
doesn’t work with all windows) and must be enabled for entries manually.
See the TCATO documentation for details.

Why does a desktop switch occur during entering the master key?

Symptoms.
While entering the master key for a KeePass database on the secure desktop,
a switch to a different desktop occurs.
KeePass then displays a message
‘An application has switched from the secure desktop to a different desktop.’,
and offers to switch back to the secure desktop.

Reason.
A different application is causing the switch.
For example, users have reported the following applications to cause desktop
switches:

• Acronis Scheduler Helper (e.g. part of Acronis True Image WD Edition).
• HitmanPro.
• Seagate DiscWizard.
• TeamViewer.

Solution.
Unfortunately, KeePass cannot prevent other applications from switching to
a different desktop. Therefore, the only solutions are to either turn off
the secure desktop option of KeePass (in ‘Tools’ → ‘Options’ → tab ‘Security’)
or terminate the interfering application.

Enter Master Key on Secure Desktop (Protection against Keyloggers)

KeePass 2.x has an option (in ‘Tools’ → ‘Options’ → tab ‘Security’)
to show the master key dialog on a different/secure desktop
(supported on Windows 2000 and higher), similar to Windows’
User Account Control (UAC). Almost no keylogger works on a secure desktop.

The option is turned off by default for compatibility reasons.

More information can be found on the
Secure Desktop
help page.

KeePass 2.x Only
Note that auto-type can be secured against keyloggers, too, by using
Two-Channel Auto-Type Obfuscation.

Note: KeePass was one of the first password managers that allow
entering the master key on a different/secure desktop!

Why does the Input Method Editor (IME) not work on a secure desktop?

Some Input Method Editors (IMEs) are incompatible with secure desktops.
Trying to show such an IME on a secure desktop can result in problems
(black screen, IME/CTF process with high CPU usage, …).
In order to avoid such problems, KeePass disables the IME on secure desktops.

If you need the IME for entering the master password, turn off the
secure desktop option as follows:

1. Start KeePass. If you are prompted for the master key (on the secure
   desktop), click .
2. Click ‘Tools’ → ‘Options’ → tab ‘Security’ →
   turn off the option ‘Enter master key on secure desktop’.
   Close the dialog with .
3. Restart KeePass.

On the primary desktop, the IME can be used as usual.

Help / Guides / Tutorials / Reviews

Articles:

• Official KeePass Help CenterThe help center contains a first steps tutorial, extensive documentation
  of all KeePass features, FAQs, etc.
• First Steps Tutorial at HowToAnswerIntroduction to KeePass (overview, basic usage).
• KeePass — Getting Started on Windows (PDF)Introductory guide (setup, creating a database, basic usage) by
  Richard Thomas.
• Steps to Set Up KeePassInstructions how to set up KeePass
  (installation, plugins, storing the database file in Google Drive,
  integration with Firefox and Chrome, Android/iOS ports,
  using entries, password generator) by Jacob Egner.
• Locking Down Your Passwords with KeePassKeePass review (overview, configuration, basic usage, using TANs,
  portable use), published at Tom’s Hardware Guide.
• KeePass Review (ProPrivacy)KeePass review (security/privacy, basic usage, browser integration) at ProPrivacy.
• KeePass Review (VPN Critic)KeePass review (plugins, security, basic usage) at VPN Critic.
• KeePass Review (Slant)KeePass review (pros and cons) at Slant.
• KeePass Review (SuperbWebsiteBuilders)KeePass review (databases, basic usage, organization) at SuperbWebsiteBuilders.
• How To Install KeePass On Ubuntu And Use It To Manage PasswordsKeePass tutorial (setup, basic usage, importing/exporting CSV files).
• Top KeePass apps for Android and iOS usersReview of some popular KeePass-compatible apps.
• Articles by soft-management:
  • Der Kennwort-Schutz in der Praxis: Das KeePass-Setup
  • KeePass Praxis Teil 2: Einfach loslegen
  • KeePass: Kennworteingabe mit Auto-Type
• Sichere Passwortverwaltung mit KeePass
  KeePass review (overview, basic usage, plugins).

Books:

One Password For LifeMotivation for using KeePass, installation walkthrough, basic usage,
best practices.

Videos:

• Dai’s Video Tutorials:
  • Basic KeePass Usage
  • Changing the Database Master Key
  • Importing CSV Files
  • Importing XML Files
  • Importing CSV Files Exported by Spreadsheet Application (OpenOffice Calc)
  • KeePass Settings

Documentations:

• Configuration
  File Format Documentation (GP42.be)Documentation of most nodes in the configuration XML file format
  of KeePass 2.x, with screenshots and XML examples.
• Configuration
  File Format Documentation (T. Bug Reporter)Documentation of most nodes in the configuration XML file format
  of KeePass 2.x.

Как перенести файл с паролями на новый компьютер?

Итак, у пользователя возникла необходимость перенести файл с паролями с одного устройства на другое. В этом случае предлагаем следовать пошаговой инструкции:

1. Скачиваем и устанавливаем программу синхронизации на компьютер. Синхронизировать будем через google — диск, поэтому нам потребуется gmail — аккаунт. Проходим авторизацию: вводим логин и пароль от почты.
2. Устанавливаем KeePass Password Safe на новый компьютер.
3. Создаем файл базы данных и настраиваем систему шифрования с ключом шифрования. Для этого выбираем файл — создать — ок. Местом хранения базы выбираем google диск и придумываем имя для базы данных.
4. В новом окне проставляем галочки в пунктах «расширенные настройки» и «ключевой файл» и нажимаем кнопку «создать».
5. Новый файл сохраняем на компьютер.
6. Откроется окно сбора энтропии: тут нужно водить мышкой по левой части выпавшего окна, чтобы создать случайные биты.
7. После того, как бит будет создан, нажимаем кнопку «ок».
8. В выпавшем поле «мастер-пароль» придумываем пароль от базы и нажимаем «ок».
9. Теперь у нас есть база на google диске, а ключевой файл сохранен на компьютере (п.5).
10. Файл ключа копируем на флеш-карту и переносим на новый компьютер.
11. На новом компьютере открываем новый файл через google-диск.
12. Находим свой аккаунт — OK.
13. Щелкаем на файл базы паролей.
14. Появляется окно выбора хранилища. Тут нужно выбрать «Пароль + файл-ключ», затем «изменить расположение».
15. Выбираем «Системное средство выбора файлов», находим файл-ключ и нажимаем на него.
16. Прописываем пароль от базы и нажимаем на разблокировку.
17. Если все сделано верно, то в новом окне появятся пункты «скопировать пользователя» и «скопировать пароль».

Ключевой файл создавать не обязательно, но его наличие повышает безопасность базы.

Таким образом, при помощи любого облачного хранилища можно переносить файл базы данных с одного устройства на другое.

Начало работы с KeePass

Пороли хранятся в базах данных с расширением .kdb для версии 1.хх и .kdbx для версии 2.хх. Создаются базы данных с именем по умолчанию Database для версии 1.хх и NewDatabase для версии 2.хх.

Создание новой базы данных

Выполните следующие пункты, чтобы создать новую базу данных для хранения паролей:

• Нажмите на иконку «Создать…» или выберите в меню «Файл» >> «Создать…».
• Придумайте надежный Мастер-пароль*, запомните** его (или сохраните в надежном месте) и впишите в соответствующее поле.
• Нажмите «OK», введите мастер-пароль повторно, снова нажмите «OK».
• Нажмите на иконку «Сохранить» или выберите в меню «Файл» >> «Сохранить».
• Выберите место, где будет храниться база паролей, смените*** ее название и сохраните.

*Вместо Мастер-пароля или совместно с ним можно использовать Ключевой файл (любой сложный файл, например, изображение). Если Ключевой файл будет утерян, модифицирован или поврежден, открыть базу данных будет невозможно.

**Если вы забудете Мастер-пароль, базу данных открыть уже никогда не сможете и все ваши пароли будут утеряны.

***Если у вас будет несколько баз данных, имя по умолчанию обязательно надо сменить, чтобы не путаться среди разных баз с одним именем, а также случайно не перезаписать одну другой.

Добавление новой записи

Нажмите иконку «Добавить запись…» или выберите в меню «Правка» >> «Добавить запись…». Откроется окно добавления новой записи:

Окно добавления новой записи в KeePass

Как видно на изображении, каждая запись может состоять из названия, логина, пароля, URL и комментария (заметки). Для новой записи хороший менеджер KeePass уже сгенерировал надежный пароль, который при необходимости можно заменить на свой, нажав перед этим на кнопку с тремя точками справа от поля с паролем.

Заполните форму и нажмите кнопку «OK». Новая запись будет создана. Сохраните ее, нажав на иконку «Сохранить». Если забудете, при закрытии приложения менеджер паролей предложит сохранить данные.

Вход в базу данных осуществляется по Мастер-паролю, который вы придумали при ее создании.

1. Через контекстное меню, кликнув правой кнопкой мыши по записи.
2. Кликом по соответствующей иконке на панели инструментов, предварительно выделив нужную запись в списке.
3. Дважды кликнув левой кнопкой мыши по логину, паролю или ссылке непосредственно в строке записи.

Сменить Мастер-пароль или Ключевой файл можно перейдя по ссылкам меню «Файл» >> «Изменить мастер-ключ…».

Более подробно вы можете ознакомиться с хорошим менеджером паролей и его возможностями в Справочном центре KeePass на его официальном сайте.

Plugin Cache

PLGX plugins are compiled and stored in a plugin cache directory on the
user’s system. This cache highly improves the startup performance of KeePass.
Old files are normally deleted from the cache
automatically (this can be disabled in the plugins dialog).
The cache does not contain any user data.

By default, the plugin cache is located in the user’s application data
directory. However, this can be overridden using the
setting in the configuration file
(this setting supports placeholders and environment variables).
So, if you’re for example using KeePass on a portable device and don’t want
the cache to be on the system, you could set the path to .

Do not relocate the plugin cache into the ‘Plugins’ folder of the
KeePass application directory, because this can result in a severe
performance degradation.

Unofficial KeePass forks and ports also available

A fork is a new software offering created from the source code of another piece of software. KeePass, as an open source software, provides its code for free.

This is why some very interesting forks and porting possibilities have arisen:

• KeePassXC: this is a fork based on the old KeePAsX project that came to an end in 2016 and is still under GPL license for Windows, MacOS and Linux.
• WinPass: this brilliant port has been designed fr devices running Windows Mobile 8/10.
• KeePassB: this port is for the Blackberry platform.
• KeePass2Android and KeePassDroid: more porting at work here, only this time for the Android platform.
• MacPass: a reference port for the MacOS platform.
• KeeWeb: this web application allows you to synchronise your database via Dropbox for access from any device.

Events

• Application initialized:
  This event occurs when KeePass has finished initializing, but didn’t perform
  any main window automations (like opening a default database) yet.
• Application started and ready:
  This event occurs when KeePass has started up, performed main window
  automations (like opening a default database) and is ready for user actions.
• Application exit:
  This event occurs when KeePass is about to exit. Databases have been closed
  already, but resources (like fonts, …) are still valid.
• Opened database file:
  This event occurs right after a database file has been opened successfully.
• Saving database file:
  This event occurs right before a database file is saved.
• Saved database file:
  This event occurs right after a database file has been saved successfully.
• Synchronizing database file:
  This event occurs right before a database file is synchronized
  with another database file.
• Synchronized database file:
  This event occurs right after a database file has been synchronized
  with another database file.
• Closing database file (before saving):
  This event occurs right before a database file is closed.
  It occurs before KeePass saves the database automatically or asks the
  user whether to save unsaved changes.
• Closing database file (after saving):
  This event occurs right before a database file is closed.
  The database file already was saved automatically or unsaved changes were
  saved/discarded depending on the user’s choice.
• Copied entry data to clipboard:
  This event occurs when entry data (user name, password, …) is copied
  to the Windows clipboard.
• Time — Periodic:
  This event occurs at user-defined intervals.
  The event is raised only if KeePass is not occupied
  with a different task (like showing a subdialog).
  • Interval: Time span between the events, in seconds.
  • Restart timer on KeePass activity:
    If this option is turned on, a KeePass activity
    (user interaction, automation, subdialog, plugin activity, …)
    causes a restart of the timer, i.e. one full interval must
    pass for the next event.
• Custom toolbar button clicked:
  This event occurs when the user clicks a custom toolbar button. Custom
  toolbar buttons can be created using the ‘Add custom toolbar button’
  trigger action.

«Переходим к БД»

Если удается получить БД KeePass целиком, то сразу стоит учесть несколько факторов.
Во-первых, в версии 1.x база будет .kdb, а в более новых 2.x версиях — .kdbx.
Во-вторых если версия 2.28-2.29 или 2.30 и база уже разлочена, существует возможность использования инструмента KeeFarce (https://github.com/denandz/KeeFarce) для извлечения паролей из памяти.
Но эта атака требует доставки файлов на диск жертвы, а некоторые из них вызовут алерты антивирусов. И самое главное уже появился более функциональный инструмент, но о нем позднее.
Поэтому можно поступить проще — запустить кейлогер, убить процесс KeePass и подождать пока не будет набран пароль.
Или же просто запустить кейлогер и подождать до начала следующего дня.
Здесь стоит упомянуть специальную фичу «secure desktop», которая призвана защищать от кейлогеров, но она всегда выключена по дефолту, и ее довольно редко включают. И ее тоже можно будет обойти в дальнейшем.

Далее, если стоит задача по подбору пароля для БД KeePass, то здесь на помощь приходит отличный брутфорсер HashCat версии 3.0, релиз которого состоялся совсем недавно.
Но вначале нужно будет извлечь хеш из БД с помощью одной из специальных утилит, которых есть пару штук на выбор.

Одна из проекта john ripper, а именно — keepass2john

А другая написанная Will Schroeder на питоне

Затем уже можно использовать hashcat с опцией -m 13400.

«Разбираемся с DPAPI»

Если опция UserAccount установлена в значение true (в конфиге KeePass.config.xml), то это автоматически означает, что мастер пароль для БД включает в себя опцию «Windows User Account».
В таком случае, KeePass будет смешивать элементы учетки текущего Windows пользователя с любым паролем и/или ключом для создания композитного (http://keepass.info/help/base/keys.html) мастер ключа.
Тогда получается, что даже кейлоггер или найденный ключ не помогут в открытии БД с паролями?
Не все так однозначно.
Для работы с композитным ключом KeePass использует DPAPI (Windows Data Protection Application Programming Interface).
Этот интерфейс предоставляет несколько простых крипто вызовов, которые в свою очередь позволяют легко шифровать/расшифровывать чувствительные данные.
Информация пользователя (в том числе и его пароль) используется для шифрования мастер ключа, который затем применяется с опциональной энтропией для шифрования уже данных самого приложения.

В результате, для восстановления композитного мастер ключа требуются следующие шаги:

1) Копирование каталога, содержащего пользовательский DPAPI мастер ключ. Этот каталог находится по адресу C:\Users\Имя_пользователя\AppData\Roaming\Microsoft\Protect\\. Имя каталога будет в формате SID, т. е. S-1-…

2) Копирование файла C:\Users\Имя_пользователя\AppData\Roaming\KeePass\ProtectedUserKey.bin. Этот файл используется при создании композитного мастер ключа.

3) Отметить для себя логин и домен пользователя, который создавал БД KeePass.

4) Переместить каталог в %APPDATA%\Microsoft\Protect\ на подконтрольной атакующему Windows машине. Эта машина не обязательно должна входить в домен.

5) Создать несколько ключей в реестре, в ветке HKCU:\SOFWARE\Microsoft\WindowsNT\CurrentVersion\DPAPI\MigratedUsers. Подробнее почитать про это можно в KeePass вики (https://sourceforge.net/p/keepass/wiki/Recover%20Windows%20User%20Account%20Credentials/attachment/DPAPI%20migration.reg.txt)

6) Запустить утилиту для миграции C:\Windows\system32\dpapimig.exe, и ввести старый пароль пользователя.

7) Открыть KeePass версии 2.x, выбрать добытую БД в формате .kdbx, ввести пароль/ключ и установить опцию «Windows User Account» для открытия уже самой БД с паролями.

Разумеется, все эти действия можно автоматизировать.
Скрипт на PowerShell позволяющий ускорить эти действия (https://gist.github.com/HarmJ0y/2af9ac57f95e6663a26742774c822b10)
Для его работы нужно указать SID каталог, имя юзера и файл ProtectedUserKey.bin

«А если ключ хранится не на локальном диске, а только на USB флешке?»

В этом случае опять нужно будет обратиться к возможностям подсистемы WMI.
Matt Graeber провел исследование и обнаружил WMI класс «Win32_VolumeChangeEvent», который срабатывает каждый раз при подключении USB флешки.
Поэтому ничто не мешает написать небольшой скрипт, который будет взаимодействовать с подключенной флешкой.
При этом на выбор есть два варианта — с сохранением функционала после перезагрузки, либо до тех пор пока запущен наш процесс powershell.exe.

Если не требуется выживание после ребута, то можно использовать Register-WmiEvent и Win32_VolumeChangeEvent:

Этот код позволит скопировать файл в C:\temp\ в тот момент когда флешка будет подключена к системе.
Кстати, этим же способом можно мониторить события и на удаленных хостах (если есть соответствующие привилегии) с помощью опций -ComputerName и -Credential.

Если же нужно чтобы отслеживание работало и после перезагрузки, то придется использовать WMI_Backdoor (https://github.com/mattifestation/WMI_Backdoor) авторством того же Matt Graeber.

What are KeePass Classic and KeePass Professional?

During the initial development of 2.x (i.e. while there was no public alpha version
available), it was called «KeePass Professional». The current 1.x version should
be renamed to «KeePass Classic». This naming should emphasize that 2.x isn’t
simply the successor of 1.x. Shortly before the first alpha version was released, there
were long discussions about the naming and we finally decided to call the new version
«2.x».

This was done particularly with regard to future development. The naming was changed,
but the intention remains the same: 2.x isn’t the successor of 1.x, and 1.x isn’t dead.