W skali 1-10 KeePass Password Safe zasługuje na pełną "dziesiątkę". Często jest tak, że korzystając z jakiegoś programu, czegoś nam w nim brakuje, program uznajemy za dobry, ale nie idealny, dlatego kusi poszukiwanie alternatyw. Po krótkich testach KeePassa stwierdziłem, że poszukiwanie czegokolwiek w zamian jest bezcelowe - KeePass posiada wszystkie funkcje, jakie powinien mieć idealny menedżer haseł. Używam go codziennie, nigdy nie sprawił mi żadnych trudności i nigdy niespodziewanie nie odmówił współpracy. Wielką zaletą KeePassa jest jego oficjalne wydanie w wersji portable, co umożliwia dostęp do haseł na innych komputerach bez potrzeby instalacji programu.
Jak na co dzień wygląda praca z KeePaseem? Ogólnie mówiąc - wzorowo. Działa bardzo stabilnie (używam go jakieś trzy lata, nie zawiesił się ani razu), daje się łatwo skonfigurować pod preferencje użytkownika, jest mały i lekki, a baza kilkudziesięciu haseł zajmuje ledwie 20-30 KB. Przed pierwszym użyciem zalecam przejrzenie opcji KeePassa w celu dostosowania go do własnych potrzeb. Dla polskiego użytkownika ważna jest przede wszystkim zmiana domyślnego skrótu klawiaturowego funkcji Auto-Type. Domyślny skrót to "Ctrl+Alt+A", kolidujący z polską literą "ą". Osobiście polecam zmianę na "Ctrl+Alt+W" - ot, takie skojarzenie "W" = "wpisz". Inne ważne ustawienia to między innymi autoukrywanie loginów i haseł lub dostosowanie kolumn w okienku programu.
KeePass przechowuje hasła w grupach i podgrupach. Oczywiście można utworzyć tylko jedną grupę i trzymać w niej wszystkie hasła, jednak przy dużej ilości haseł praktyczniejsze i wygodniejsze jest porozmieszczanie ich w grupach tematycznych. Przykładowo grupa "E-mail" może zawierać loginy i hasła do skrzynek pocztowych, grupa "Forum" - dane logowania do wszystkich for, na których jesteśmy użytkownikami, a grupa "Programy" - klucze rejestracyjne do zakupionych aplikacji. W celu wygodniejszej nawigacji poszczególnym grupom można przydzielić odpowiednie ikonki; np. dla grupy "Bank" - znak dolara, a dla grupy zawierającej PINy do kart SIM - symbol telefonu komórkowego. Jeżeli zawarty w programie zestaw ikon okaże się niewystarczający, można użyć własnej ikony; zostanie ona wówczas dołączona do bieżącej bazy.
Nie każdy wie, jak powinno wyglądać silne hasło, z ilu i jakich znaków powinno się ono składać i jaka powinna być jego siła. Takim użytkownikom KeePass podaje pomocną dłoń w postaci wbudowanego generatora haseł. Użytkownik ma możliwość ustalenia ilości i rodzaju znaków, jakie chce użyć w swoim haśle, a jego siłę (w bitach) może sprawdzić na graficznym pasku mierniczym.
Wspomniałem wcześniej o funkcji Auto-Type. Co to właściwie jest? Wpis w bazie KeePassa zawiera standardowo: tytuł (nazwa wpisu, portalu, poczty itd.), nazwę użytkownika (login), hasło, adres URL oraz notatki. Bardzo ważny element to adres URL - należy tu podać dokładny adres URL strony, na której następuje logowanie. Domyślnie funkcja Auto-Type (po ustawieniu kursora w okienku logowania i naciśnięciu odpowiedniego skrótu klawiaturowego) wykonuje następujące działanie: "wpisuje" nazwę użytkownika/login, następnie - "naciskając" przycisk tabulatora - przechodzi do okienka z hasłem, tam "wpisuje" hasło i "potwierdza" Enterem. Tak oto - pewnie, bezpiecznie i z minimalnym udziałem użytkownika - KeePass umożliwia zalogowanie się do wielu witryn internetowych. Napisałem "do wielu". Dlaczego nie do wszystkich? Otóż mimo poprawności wszelkich danych w konkretnym wpisie KeePassa, funkcja Auto-Type z niektórymi stronami po prostu nie współpracuje. Trudno powiedzieć, czy to wina stron czy KeePassa. I tak, przykładowo, do serwisu Allegro czy poczty Gmail z wykorzystaniem Auto-Type zalogujemy się bezproblemowo, a do niejakiego portalu o nazwie dobreprogramy.pl niestety nie... Oczywiście na takich "problemowych" witrynach zamiast auto-wpisu użyć należy tradycyjnych metod: "kopiuj-wklej" lub "przeciągnij i upuść". I tu drobne "ale": metoda "przeciągnij i upuść" nie działa w przeglądarce Opera. A co jeśli do tego samego adresu URL przypisanych jest kilka loginów i haseł? W takim przypadku, zanim nastąpi auto-wpis, oczom użytkownika ukaże się okienko z wyborem odpowiednich wartości. Uwaga! - Auto-Type wpisuje dane logowania tak, jak by to robił użytkownik: poszczególne znaki loginu/hasła pojawiają się pojedynczo (ale dość szybko) w odpowiednich okienkach i dopiero następuje "Enter". Jeżeli zanim "wpisze się" całe hasło otworzymy w przeglądarce nową kartę, może się zdarzyć, że część hasła, które nie zdążyło się wpisać, zostanie w nowej karcie wpisane do paska wyszukiwania; a potem nastąpi "Enter" i nasza domyślna wyszukiwarka spróbuje wyszukać nasze hasło w Sieci :)
Producenci KeePassa duży nacisk położyli na bezpieczeństwo jego użytkowania. Najsłabszym ogniwem jest jak zwykle człowiek. To właśnie ustawienia zdefiniowane przez użytkownika decydują o jakości bezpieczeństwa całego programu. Bo co z tego, że KeePass tworzy silne hasła i odpowiednio szyfruje swoją bazę, skoro sam użytkownik bazy tej odpowiednio nie chroni? Program zabezpieczyć można na trzy różne sposoby, które można również zastosować jednocześnie. Po pierwsze: silne hasło, po drugie: plik-klucz. Osobiście preferuję zastosowanie kompleksowego użycia hasła oraz pliku-klucza. Samo hasło może okazać się zbyt łatwe do złamania, dlatego warto jako drugie zabezpieczenie zastosować plik-klucz. Takim kluczem może być dowolny plik, np. jakiś dokument lub zdjęcie. Najlepiej jeśli plik-klucz będzie się znajdować na jakimś nośniku zewnętrznym. Uwaga! - jeśli choć część pliku-klucza zostanie zmieniona, nie uzyskamy dostępu do bazy programu. Mój plik-klucz to plik instalacyjny pewnej aplikacji; nawet jeśli przypadkowo zostanie zmieniony lub usunięty, mogę ponownie pobrać go z Sieci. Plik-klucz można również utworzyć za pomocą samego KeePassa. Jednak takie klucze otrzymują automatycznie rozszerzenie .key, co moim zdaniem czyni je zbyt łatwymi do zidentyfikowania. Trzeba też pamiętać, aby w zaawansowanych opcjach programu koniecznie odhaczyć "pamiętaj dane kluczy". Jeśli tego nie zrobimy, KeePass podczas otwierania bazy automatycznie wskaże pełną prawidłową ścieżkę prowadzącą do pliku-klucza. Trzecia metoda zabezpieczeń związana jest bezpośrednio z konkretnym kontem użytkownika systemu Windows; dostęp do bazy programu może uzyskać tylko i wyłącznie właściciel danego konta. Jeśli konto zostanie usunięte, dostęp do bazy będzie niemożliwy. Często korzystam z wersji KeePass Portable, dlatego ta metoda jest dla mnie absolutnie nieodpowiednia.
Otwarta już baza danych może być również chroniona przed nieuprawnionym dostępem. Mamy tu do wyboru opcje: blokowanie bazy po pewnym czasie nieaktywności (czas w sekundach ustala użytkownik), blokowanie bazy po zminimalizowaniu do traya lub podczas przełączania użytkownika, samoczynne zamykanie programu zamiast blokowania bazy. Jeśli często korzystamy z metody "kopiuj-wklej", warto ustawić maksymalny czas przechowywania skopiowanych danych w schowku systemowym; wystarczy kilka, najwyżej kilkanaście sekund; po tym czasie schowek zostanie wyczyszczony. Inna możliwość to czyszczenie schowka podczas zamykania programu.
Na koniec kilka porad doświadczonego użytkownika:
- bazę programu najlepiej zabezpieczyć jednocześnie i hasłem i plikiem-kluczem;
- plik-klucz nie powinien znajdować się w tym samym miejscu co pliki programu;
- plik-klucz w żaden sposób nie powinien kojarzyć się z KeePassem i powinien znajdować się najlepiej na urządzeniu przenośnym lub w takim folderze, w którym znajduje się dość duża liczba innych plików; jest to ważne, ponieważ podczas otwierania bazy programu, po kliknięciu ikonki "wskaż plik klucza", eksplorator Windows automatycznie otwiera właśnie ten folder, w którym znajduje się plik-klucz(!), a więc ryzyko zidentyfikowania tego właściwego pliku jest dość duże;
- plikiem-kluczem nie powinien być żaden plik, który da się łatwo zmodyfikować;
- ulokowanie loginów/haseł w grupach tematycznych znacznie ułatwia korzystanie z programu;
- używanie "Kosza" zapobiega przypadkowemu usunięciu wpisów;
- funkcja Auto-Type nie chroni przed programami typu keylogger;
- warto wykonać kopię zapasową bazy danych i umieścić ją na dysku przenośnym lub wirtualnym;
- KeePass działa "od razu" - nie wymaga ani rejestracji, ani zakładania konta w jakimkolwiek serwisie.
- program może w regularnych odstępach czasu przypominać o zmianie hasła dostępowego