Mantenere un file KeePass in Dropbox è sicuro? [chiuso]


56

È sicuro conservare il file del database delle password di KeePass in Dropbox? Il database può avere una password lunga (14+ alfa, numerica, carattere speciale) e un file chiave locale sul computer o sul dispositivo mobile che non è condiviso in Dropbox?


1
Le password non devono essere archiviate dove altri possono vederle (come Dropbox).
m0skit0,

2
Altri non possono vedere il mio file di password poiché Dropbox mantiene il file rigorosamente con il mio login a meno che non lo abbia tenuto nella cartella condivisa.
TusharG,

1
Amministratori del server Dropbox?
m0skit0,

Dropbox aveva un grosso problema di sicurezza in cui tutti potevano accedere a qualsiasi account.
slhck,

7
Avere un difetto di sicurezza e averlo come funzionalità standard non è esattamente la stessa cosa. Inoltre keepass utilizza la propria crittografia.
Sirex,

Risposte:


43

La domanda qui non è se ti fidi del dropbox, ma se ti fidi del keypass. Se il tuo vault password cede i suoi segreti quando qualcun altro lo acquisisce, allora vorrai trovare qualcos'altro.

Keypass utilizza AES-256 per la crittografia, che rimane lo standard di fatto, e SHA-256 per creare una chiave dalla passphrase insieme a un valore salt.

Quindi il metodo di crittografia è buono. Quindi ti consigliamo di considerare se ci sono punti deboli di implementazione che possono essere sfruttati da qualcuno che si impadronisce del tuo vault. Bene keepass sembra fare un metodo di crittografia rolling, in cui il file viene suddiviso in blocchi e moltiplicato crittografato. Un attacco di forza bruta richiederebbe tempo e puoi aumentare le chiavi al secondo che possono essere testate durante la creazione del database. Scegli per fare molti round. Ciò significa che ci vuole tempo per testare una chiave. Per te, significa che devi aspettare un secondo circa per aprire il database. Per un attaccante, significa che devono aspettare un secondo circa per testare la chiave successiva.

Esistono altri metodi di protezione utilizzati, ma non sono rilevanti per questo scenario, come mantenere i contenuti del deposito crittografati in memoria quando il deposito è aperto.

Dovresti rivedere i metodi di sicurezza utilizzati e, se ti senti felice che se il caveau cadesse nelle mani sbagliate, saresti al sicuro, allora provaci.


1
Per me è molto importante avere accesso al database keepass sul mio cellulare, ma tenerlo sincronizzato è un grosso problema. Per ora prenderò una possibilità e userò una grande password complessa con un file chiave locale come doppia sicurezza e la terrò in dropbox mentre memorizzerò il file chiave sul file system mobile e sull'HDD sul computer. So che è un rischio.
TusharG,

2
Cosa succede in un futuro (molto lontano) quando AES-256 sarà fragile? Dropbox mantiene vecchie revisioni dei file, quindi le tue password saranno a rischio, anche se a quel punto hai eseguito l'upgrade a un meccanismo più sicuro. qualche idea?
doublehelix,

1
@flixfe Mantiene 30 giorni di revisioni, quindi c'è una finestra di opportunità lì. Una richiesta di funzionalità di eliminazione a dropbox o una soluzione di archiviazione cloud alternativa che consente l'eliminazione delle revisioni o non le ha risolte.
Paul,

1
Anche se l'AES-256 si rompe. Ottenere l'accesso al mio file di database delle password non è sufficiente in quanto il mio database necessita di password e di un file chiave locale per aprire il database. Ho anche controllato come funziona keepass che non crea mai alcun file di swap non crittografato che può essere successivamente recuperato su dropbox, quindi è molto sicuro. Tutto crea un file che dice che il database è sbloccato.
TusharG,

2
@TusharG: AES-256 è in discussione come protezione Keepass; quindi, se AES-256 era rotto e si dispone del database, non è necessario né il file chiave né la password per visualizzarne il contenuto. Tuttavia, il problema non esiste: quando AES-256 si sarà lentamente rotto, se Keepass è ancora ben mantenuto, sarà migrato a un diverso standard di crittografia molto più di 30 giorni prima.
Blaisorblade l'

5

Esistono diversi gradi di sicurezza e la praticità di Dropbox rispetto alla sicurezza di ciò che stai cercando di fare è qualcosa che devi valutare da solo.

Inoltre, la sicurezza dipende dal punto più debole. Se una delle seguenti condizioni è compromessa, i tuoi file sono esposti:

  • Tu (dimentica di disconnettersi, lascia la password su un appiccicoso, condividi la tua casella personale con qualcun altro)
  • Ogni computer con cui hai Dropbox sincronizzato. Usano password complesse? Software aggiornato? I loro dischi sono crittografati? Hanno attivato l'autologin?
  • La tua connessione di rete a Dropbox. Hai un firewall? Il firmware / software del modem / router è aggiornato? Sono configurati correttamente?
  • Software, rete e computer di Dropbox.
  • Amazon S3 (dove sono archiviati i tuoi file).

Considera quanto segue e che potrebbe essere in grado di aiutarti a prendere quella decisione:

  1. Il file del database verrà archiviato su ogni computer su cui è installato il tuo dropbox.
  2. Dropbox memorizza una copia di backup del file localmente, anche quando si elimina il file.
  3. Devi assicurarti che la cartella in cui stai memorizzando il file non sia contrassegnata come pubblica.
  4. È possibile che qualcuno dell'azienda legga i tuoi file. Secondo le informazioni al link, solo poche persone selezionate hanno accesso ai tuoi dati e presumibilmente accederanno a questi solo se citati.
  5. Dropbox archivia i tuoi file su Amazon S3, il che significa che è possibile (anche se molto improbabile: dovrebbero essere in grado di decrittografarlo) affinché qualcuno su Amazon possa accedere ai tuoi dati.

8
Tutto ciò parla della sicurezza di Dropbox e della sua crittografia. Tuttavia, quanto è sicuro il database KeePass senza file chiave? Qualcuno può decifrare il database KeePass senza password e file chiave?
TusharG,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.