Чи зберігає файл KeePass у Dropbox безпечно? [зачинено]


56

Чи безпечно зберігати файл бази даних KeePass з паролем у Dropbox? База даних може мати довгий (14+ альфа, числовий, спеціальний символ) пароль та локальний файл ключа на машині чи на мобільному пристрої, який не використовується у Dropbox?


1
Паролі не повинні зберігатися там, де їх можуть бачити інші (наприклад, Dropbox).
m0skit0

2
Інші не можуть бачити файл мого пароля, оскільки Dropbox зберігає файл строго з моїм логіном, якщо я не зберігаю його у загальній папці.
ТушарГ

1
Адміністратори сервера Dropbox?
m0skit0

Dropbox мав серйозну проблему із захистом, коли кожен міг отримати повний доступ до будь-якого облікового запису.
slhck

7
Виникнути проблеми з безпекою та мати їх як стандартну функцію - це зовсім не те саме. Крім того, holdass використовує власне шифрування.
Сірекс

Відповіді:


43

Питання тут не в тому, чи довіряєте ви dropbox, а чи довіряєте ви keypass. Якщо скарбниця вашого пароля видає свої секрети, коли хтось інший захопить його, тоді вам захочеться знайти щось інше.

Keypass використовує AES-256 для шифрування, що залишається фактично стандартним, а SHA-256 для створення ключа від вашої парольної фрази разом із сіллю.

Тож метод шифрування хороший. Тоді ви хочете подумати, чи є якісь недоліки у здійсненні, якими може скористатися хтось, хто захопить ваш сейф. Добре зберігається, здається, метод шифрування прокатки, де файл розбивається на блоки і множиться зашифровано. Напад грубої сили зайняв би час, і ви можете збільшувати клавіші за секунду, які можна перевірити під час створення бази даних. Виберіть для цього багато раундів. Це означає, що для тестування ключа потрібен час. Для вас це означає, що вам доведеться почекати секунду або близько того, щоб відкрити базу даних. Для зловмисника це означає, що їм доведеться почекати секунду або близько того, щоб перевірити наступний ключ.

Застосовуються інші методи захисту, але вони не стосуються цього сценарію, як збереження вмісту сховища зашифрованим у пам'яті, коли сейф відкритий.

Ви повинні ознайомитись із застосованими методами безпеки, і якщо ви відчуваєте себе щасливими, що якщо оберіг потрапив у чужі руки, що ви були б у безпеці, тоді займіться цим.


1
Для мене дуже важливо отримати доступ до бази даних зберігання на моєму мобільному телефоні, але велика проблема - це синхронізація. Поки що я ризикую і використовую складний великий пароль з локальним файлом Key як подвійну безпеку і зберігатиму його в папці, коли я зберігатиму файл файлів на мобільній файловій системі та на жорсткому диску на комп'ютері. Я знаю, що це ризик.
TusharG

2
Що станеться у (дуже віддаленому) майбутньому, коли AES-256 буде зламаним? Dropbox зберігає старі версії файлів, тому ваші паролі будуть під загрозою, навіть якщо ви до цього часу перейшли на більш безпечний механізм. Будь-які думки?
doublehelix

1
@flixfe Це триває 30 днів ревізії, тож є вікно можливостей. Запит на функцію видалення до папки або альтернативне рішення для зберігання хмари, яке дозволяє видаляти версії або взагалі їх не має, це виправить.
Пол

1
Навіть якщо AES-256 зламається. Отримання доступу до мого файлу бази даних паролів недостатньо, оскільки для відкриття бази даних для моєї бази даних потрібен пароль та локальний файл Key. Також я перевірив, як працює holdass, він ніколи не створює жодного незашифрованого файлу свопу, який можна пізніше отримати в Dropbox, тому це дуже безпечно. Все це створює файл, який говорить, що база даних розблокована.
ТушарГ

2
@TusharG: AES-256 обговорюється як захист Keepass; отже, якщо AES-256 був зламаний і у вас є база даних, вам не знадобиться ні файл ключа, ні пароль, щоб переглянути його вміст. Однак проблеми не існує: коли AES-256 буде повільно зламаний, якщо Keepass все ще добре підтримується, він перейшов до іншого стандарту шифрування набагато більше, ніж за 30 днів до цього.
Blaisorblade

5

Існують різні ступені безпеки, і зручність Dropbox порівняно з безпекою того, що ви намагаєтеся зробити, - це те, що вам потрібно буде оцінити для себе.

Також безпека залежить від найбільш слабкої точки. Якщо будь-яке з наведених нижче порушено, то ваші файли будуть відкриті:

  • Ви (забудьте вийти, залиште свій пароль на клейкому, поділіться своєю скринькою з кимось іншим)
  • Кожен комп'ютер, на якому синхронізовано Dropbox. Вони використовують надійні паролі? Актуальне програмне забезпечення? Чи зашифровані їх диски? Чи увімкнено автологін?
  • Ваше мережеве з'єднання з Dropbox. У вас є брандмауер? Чи прошивка / програмне забезпечення вашого модему / маршрутизатора оновлені? Чи правильно вони налаштовані?
  • Програмне забезпечення, мережа та комп'ютери Dropbox.
  • Amazon S3 (де зберігаються ваші файли).

Розглянемо наступне, і це може допомогти вам прийняти це рішення:

  1. Файл бази даних буде зберігатися на кожному комп’ютері, на якому встановлено ваш дроп-скриньку.
  2. Dropbox зберігає резервну копію файлу локально, навіть коли ви видаляєте файл.
  3. Вам потрібно переконатися, що папка, в якій ви зберігаєте файл, не позначена загальнодоступною.
  4. Це можливо для кого - то в компанії , щоб читати ваші файли. Згідно з інформацією за посиланням, лише декілька людей мають доступ до ваших даних, і вони нібито отримають доступ до них лише у разі виклику в суд.
  5. Dropbox зберігає ваші файли на Amazon S3, а це означає, що це можливо (хоч і дуже малоймовірно: їм доведеться розшифрувати), щоб хтось із Amazon отримав доступ до ваших даних.

8
Це все говорить про безпеку Dropbox та його шифрування. Однак наскільки безпечна база даних KeePass без ключового файлу? Чи може хтось розшифрувати базу даних KeePass без пароля та файлу Key?
ТушарГ
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.