KeePass: utilizzare un file chiave o una password normale?


17

Sto configurando un database KeePass e offre la possibilità di utilizzare un file chiave, che dice che è più sicuro perché può usare una password più lunga e più complessa ma è più facile da rompere perché è necessario solo il file chiave per aprire il Banca dati. Userò il file chiave solo su 2 computer (un desktop e un laptop), quale è l'opzione migliore?

Si noti che è sicuramente più interessante utilizzare il file chiave per me perché ho difficoltà a ricordare qualcosa vicino a una password casuale.

Risposte:


17

Per quanto riguarda la capacità di usare ' key files' con KeePass .

Per generare la chiave a 256 bit per i codici a blocchi, viene utilizzato l'algoritmo Secure Hash SHA-256. Questo algoritmo comprime la chiave utente fornita dall'utente (composta da password e / o file chiave) in una chiave a dimensione fissa di 256 bit. Questa trasformazione è a senso unico, cioè non è calcolabile dal punto di vista computazionale invertire la funzione hash o trovare un secondo messaggio che comprime nello stesso hash.

L' attacco recentemente scoperto contro SHA-1 non influisce sulla sicurezza di SHA-256. SHA-256 è ancora considerato molto sicuro .

(c'è un altro aggiornamento recente , ma penso che tali notizie non siano rilevanti qui ).
Al punto a portata di mano ,

Derivazione chiave :
se viene utilizzata solo una password (ovvero nessun file chiave), la password più un salt casuale a 128 bit vengono sottoposti a hash usando SHA-256 per formare la chiave finale (ma si noti che esiste una preelaborazione: Protezione contro gli attacchi del dizionario). Il sale casuale impedisce attacchi basati su hash pre-calcolati.

Quando si utilizzano sia la password che il file chiave, la chiave finale viene derivata come segue: SHA-256 (SHA-256 (password), contenuto del file chiave), ovvero l'hash della password principale viene concatenato con i byte del file chiave e il byte risultante la stringa viene nuovamente hash con SHA-256 . Se il file della chiave non contiene esattamente 32 byte (256 bit), anche questi vengono sottoposti a hash con SHA-256 per formare una chiave a 256 bit. La formula sopra cambia quindi in: SHA-256 (SHA-256 (password), SHA-256 (contenuto del file chiave)).

Se pensi che la tua password sarà un po 'più debole (e migliore per la tua memoria),
il file chiave è un buon secondo fattore .
Quindi, utilizzare entrambi (insieme).



@jasonh, Wow! mi hai votato per aver suggerito la sicurezza a due fattori, con un Gibsonriferimento all'intervista che hai preso dal suo sito (sì, ho già sentito Leo prima, bene). Aggiungi i tuoi punti qui come una nuova risposta in modo che le persone possano trarne beneficio.
nik,

7
Si l'ho fatto. Capisco di avere un secondo fattore, ma qui è inutile. Il file di chiavi verrebbe mantenuto virtualmente con il database delle password stesso se sei un utente mobile. Se perdi il controllo del database, probabilmente hai perso anche il controllo del file chiave. Come osserva Steve Gibson, un file chiave non offre molta sicurezza aggiuntiva, se presente.
Jasonh,

2
Un secondo fattore è utile nell'esempio del calcio PayPal. In questo caso hai un dispositivo fisico e una password. Se la tua password viene compromessa, non c'è motivo di credere che il tuo calcio manchi allo stesso tempo per impostazione predefinita. In confronto, quando le merci sono un database di password e il meccanismo di sicurezza è semplicemente un altro file che si trova accanto al database stesso, a che serve? Nessuna.
Jasonh,

2
+1 per l'uso del file chiave e della password principale. Quindi, anche se ottengono il file db e la chiave, devi solo ricordare 1 password lunga. Non possono ancora hackerare il cervello, quindi prendi un allenamento di resistenza alla tortura.
Piotr Kula,

5

Il punto è mantenere al sicuro le tue password, quindi questo è un gioco da ragazzi: password. Se si utilizza un file chiave e si perde il controllo del database delle password, tutte le password vengono esposte.


4
Sarai sempre a rischio se memorizzi la tua 'password' da qualche parte (sia su una nota adesiva o come file chiave). Finché tieni la password in testa (ed è abbastanza complessa) allora dovresti stare meglio.
Sam,

1
Quando si utilizzano sia la password e file di chiave , la chiave finale è derivata come segue: SHA-256(SHA-256(password), key file contents). L'accesso al solo file è inutile. Ma la conoscenza della password senza il contenuto del file rende più difficile la sua rottura. E, il file aggiunge anche un forte saltalla tua password.
nik,

1

Usali entrambi. Conserva il tuo file chiave nell'unità flash e portalo sempre con te. Ma non da qualche parte sul desktop (è lo stesso che scrivere la password su foglietti adesivi). Sto usando questo modo per la mia partizione HDD crittografata (con TrueCrypt). Quindi, se qualcuno ottiene ancora in qualche modo la tua password, ha bisogno anche del file delle chiavi.


1
Assicurati di avere un backup del tuo file di chiavi e del database delle password stesso. Se uno di essi viene danneggiato, è necessario un nuovo backup.
Torbjørn,

0

Per i principianti nella gestione delle password:
solo password
Perché?
Taglia a metà i problemi di gestione dei file (mis) e li limita a un solo file.
Un db KeepassX .kdbx può essere protetto con una password mista di 64 caratteri. È molto ampio lo scopo di creare una password lunga e sicura.
Questo aiuta a sottolineare che la password (forte) (nella tua testa) è il tuo obiettivo principale (non dove hai conservato il file chiave ecc.).
Se hai problemi a ricordare le password (ovviamente, lo facciamo tutti) usa un gestore di password (come KeepassX) e dovrai ricordarne solo una buona.


1
Questo non risponde alla domanda (molto specifica) che è stata posta.
Mokubai

-1

Ho optato per l'uso del file chiave. Ho anche creato un account e-mail utilizzato specificamente per archiviare il mio file di chiavi (non mi piace andare in giro con il flash USB ogni volta che voglio accedere al mio account di e-banking ad esempio).

Se il computer che sto utilizzando non è il mio personale, accedo semplicemente a quell'account e-mail sul computer in cui vorrei utilizzare il file chiave, quindi accedo a un altro account e-mail che ha la versione più recente del mio .kdbx file.

Infine, scarico KeePass e lo installo sul PC, utilizzo la chiave e .kdbx insieme alla password del mio database e il gioco è fatto!

Ovviamente, ripulisco sia il file .kdbx che il file delle chiavi sul PC utilizzato.


10
Considererei questa cattiva pratica di sicurezza su molti livelli.
kluka,

1
Sì piuttosto inutile e sicuramente pericoloso; in particolare la parte relativa all'apertura del file delle password su un computer che "non è la mia personale". Sheesh. Brutto male come in non posso esprimere quanto sia brutta questa pratica. Ho un laptop da lavoro che mi accompagna dappertutto e quindi è comodo, perché altre persone (come nel reparto IT) lo "mantengono", non mi fido nemmeno di archiviare o aprire la mia password personale su.
Nanker,

@nanker come usi allora la tua password personale db sul tuo laptop di lavoro? Hai sia il file di chiavi che il database su una chiave USB?
RED_

2
@RED_ Non apro mai il mio DB personale di Keepass sul mio portatile di lavoro, non importa quanto a volte possa sembrare conveniente. Il laptop è piuttosto carico per le mie routine quotidiane e anche se in precedenza ho cercato di determinare quale sia tutto il servizio in esecuzione sul laptop non sono ancora stato in grado di risolverli tutti. Quindi non posso e non mi fido abbastanza per aprire il mio DB Keepass. Chiamami paranoico, immagino, ma mi sento in un posto informato e felice per quanto riguarda la sicurezza della mia password.
nanker
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.