Усложнить пароль

Чем это круче генерации рандомного 30-символьного пароля в keepass с последующим автовводом и автоподстановкой?

Молодец, ты изобрёл шифрование ключа парольной фразой.

Запомнить сложнее. :)

В кипасе нечего запоминать кроме мастер-пароля. Сгенереные пароли хранятся в шифрованой базе данных. БД разблокируется с мастер-пароля, который сохраняется в системе и автоматически разблокирует БД со стартом сеанса. Затем через syncthing синхронизируешь это с мобилой и с другими устройствами где нужны будут пароли. В мобильнике тоже ничего вводить не надо тк БД разблокируется с отпечатка пальца. В итоге пароли подобрать невозможно т.к. на каждый сайт создается свой рандомный пароль с очень высокой энтропией, БД забэкаплена на нескольких устройствах и автоматически обновляется когда на одном из устройств добавлен новый пароль, безопасность БД зависит исключительно от мастер-пароля который надо вводить всего один раз на каждом новом устройстве.

А по-моему он изобрел плохую, негодную PBKDF.

Скорее так, да.

в keepassxc есть опция указывать файл, который будет каким-то там образом смешиваться с паролем. Как раз то что ты хочешь. Проблема в том, что этот файл надо не потерять, так что лично я таким не пользуюсь.

Прозреваю, что тебе скорее всего не нравится пароль в виде случайной строки со спецсимволами и т.п., и ты хочешь сделать его короче при сохранении энтропии. Все правильно, случайная строка - это то, что должно автоматически вставляться из менеджера паролей, и не более. Для сценариев, когда ты сам что-то запоминаешь и вводишь, гораздо лучше подходит парольная фраза. Вот хороший гайд EFF по теме: https://www.eff.org/dice

имеет ли особый смысл в усложнении пароля

Не имеет. 10 случайных букв нижнего регистра хватит для любой домохозяйки.

Keepass может ли быть использован для логина в систему? Или он только для интернет ресурсов?

Вбивай отрывок из стихотворения по-русски, на английской раскладке и всё. И длинно и запоминать ничего не надо, кроме стиха, который ты и так уже знаешь. Ну или частушку например.

Как заслышу я гармошку, 
Заиграет кровь ключом. 
Увлеклась я гармонистом, 
А гармошка – ни при чем!

googlepass: rfrpfcksiezufhvjirepfbuhftnrhjdmrk.xjv
yandexpass: edktrkfcmzufhvjybcnjvfufhvjirfybghbxtv

Профит

Я делаю иначе, любой клавише на клавиатуре, соответствует дополнительные клавиши для нажатия, по схеме. То есть для пароля из двух клавиш дополнительно нажимаются клавишы в количестве более 10. То есть пароль из двух,трех символов для запоминания, будет при этом достаточно сложным.

https://xkcd.com/936/

Тут это, адепты вялого тебя распнут щаз

keepass для любых паролей в системе - и в браузере, и вне браузера.

Да, ты прав, чтобы БД разблокировалась со стартом сеанса нужно ещё сам сеанс разлочить, это второй сложный пароль который надо запомнить. Но выучить два сложных пароля - приемлемая цена за такое удобство и безопасность.

correct, Horse! Battery staple!

историю фразы и пруфы ищи на xkcd )

Похоже на правду: для 10-ти символьного пароля в нижнем регистре на вычисление bcrypt на ферме RTX-5090 уйдет 40 лет. Если взять вероятность получения подходящего хеша 50%, то 20 лет. https://www.reddit.com/r/dataisbeautiful/comments/1kanli9/oc_i_updated_our_popular_password_table_for_2025

Для LUKS2 рекомендуют минимум 65 бит энтропии, т.е. 14 рандомных букв нижнего регистра. Ожидается что Argon2 тормознет вычисление хешей на видеокартах, но количество прогонов вычисляется для текущего железа при создании LUKS на разделе. По умолчанию параметры подбираются под вычисление хеша на локалхосте за 1 секунду. За это же время ферма насчитает на порядки больше хешей. Поэтому 10 букв нижнего регистра все таки может быть маловато. https://gitlab.com/cryptsetup/cryptsetup/-/blob/main/FAQ.md#5-security-aspects

Похоже на правду: для 10-ти символьного пароля в нижнем регистре на вычисление bcrypt на ферме RTX-5090 уйдет 40 лет.

Так это очень мало. Это значит на 10 штуках RTX 5090 (доступно даже физическому лицу, пусть и не любому) можно всего за 4 года набрутфорсить пароль, а на 100 штуках — за менее чем полгода. И это без учёта того, что условно через год уже будут более мощные девайсы.

Вот 16 символов — уже что-то адекватное.

за некропостинг предусмотрен отдельный котёл в аду!

Пароли не нужны, только вход по ключу.

Таблица для фермы из 12 штук RTX5090, за 4 года переберет только 10% от общего количества. С вероятностью в 50% уйдет 20 лет. Ферма из 100 штук и годы энергопотребления будет стоить конских денег. Такой роскоши не будет.

Ферма из 100 штук и годы энергопотребления будет стоить конских денег. Такой роскоши не будет

Главное надеяться и верить, да ;)

Keepass может ли быть использован для логина в систему?

Если верно помню, то есть интеграция с ssh ключами, так что если под фразой логин в систему понимается логин через ssh, то да.

Но идея такая

Корованы можно будет грабить?

БД разблокируется с мастер-пароля, который сохраняется в системе и автоматически разблокирует БД со стартом сеанса.

А как это сделать? Не могу найти настройку