Czy przechowywanie moich haseł w zaszyfrowanym pliku .7z / .zip przez 7-zip jest bezpieczne?

11

Oto co robię:

Wpisz wszystkie rodzaje haseł w pliku programu Excel (.xlsx)

Zapnij go hasłem za pomocą 7-zip

  • AES 256

  • długość> 8

  • kombinacja symboli AZ az 0-9

  • różni się od innych haseł

Prześlij go do Dropbox lub mniej więcej.

Czy jest wystarczająco bezpieczny, ponieważ nie chcę instalować żadnego dodatkowego oprogramowania specjalnie do przechowywania haseł? (Mam na myśli, że jeśli nalegam na żadne dodatkowe oprogramowanie, nie ma bezpieczniejszych sposobów?)

Bądź bardziej szczegółowy:

Scenariusz 1:

Zasadniczo sądzę, że nikt nie będzie zainteresowany moimi hasłami. Czy jest wystarczająco bezpieczny, aby zapobiec niektórym przypadkowym atakom (być może dla zabawy) hakerów?

Scenariusz 2:

Jeśli rząd jest mną zainteresowany i mój komputer może zostać zabrany, czy jest bezpieczny?


PODSUMOWANIE

Facet zadający to pytanie jest paranoikiem i dość leniwy (aby zainstalować dodatkowe oprogramowanie).

Według Biglig , Randolfa Richardsona i MaQleod AES-256 (metoda szyfrowania używana przez 7-zip) jest na tyle dobra, że ​​zapobiega przypadkowym próbom .

KeePass jest polecany przez pepoluan w przypadku, gdy nie jestem tak leniwy. Rozszerzoną listę do zarządzania hasłami można znaleźć w pokrewnym pytaniu na tej stronie: Jak śledzić wszystkie swoje hasła? , w którym KeePass jest najczęściej głosowanym.

TrueCrypt jest zalecany do szyfrowania przez Darokthar .

W przypadku scenariusza 2 (sprawa rządowa) nie należy lekceważyć kryptoanalizy gumowego węża (przyczynia się to grawitacja ).

Pytanie jest nadal otwarte na lepsze odpowiedzi. Bez dodatkowego oprogramowania związanego z hasłem / szyfrowaniem.

Społeczność
źródło
2
Jakie są twoje scenariusze ataku, czyli przed czym chcesz chronić? Komputerowe analfabetyzm rodzeństwo lub rządy zagraniczne (lub własne)?
Daniel Beck
@Daniel Beck Nie wiem. Możesz uznać mnie za paranoika. Po prostu chcę ogólnie czuć się bezpiecznie.
1
W przypadku scenariusza 2 nigdy nie lekceważ skuteczności kryptoanalizy węża gumowego .
user1686,

Odpowiedzi:

4

Osobiście użyłbym KeePass .

KeePass ma nie tylko wersję przenośną (którą można uruchomić bezpośrednio z UFD), jest to w pełni funkcjonalna baza danych haseł z funkcją „automatycznego wpisywania”, dzięki czemu nikt nie musi wiedzieć, jakie jest twoje hasło.

pepoluan
źródło
Znam KeePass , o którym mowa w innym pytaniu na tej stronie. Zastanawiam się tylko, czy nalegam na żadne dodatkowe oprogramowanie ...
1
Hmmm ... bez dodatkowego oprogramowania, co? Cóż, kiedy odszyfrujesz plik hasła, prawdopodobnie użyjesz notatnika, aby zobaczyć jego zawartość, którą ktoś może zerknąć przez ramię . Następnie skopiuj i wklej niektóre programy szpiegujące / keylogger mogą obserwować schowek . KeePass ukrywa twoje hasło, a także może ominąć rejestratory Ctrl-V keepass.info/help/v2/autotype_obfuscation.html
pepoluan
6

7-zip korzysta z AES-256, który jest uznawany przez NSA za akceptowalny dla dokumentów TOP SECRET.

Zakładając, że używasz silnego hasła, które powinno wystarczyć, aby przekonać atakującego, aby nie zawracał sobie głowy próbą złamania pliku, ale natychmiast przystąpił do bicia go kluczem.

Biglig
źródło
3
Ha ha! Ten komentarz na temat klucza jest przezabawny. Jeśli tak się stanie, zdecydowanie zalecam powstrzymanie się od powiedzenia czegoś takiego: „Cześć, panie Fix It!”
Randolf Richardson
1
AES 7zip jest wystarczający dla pierwszego scenariusza.
Biglig,
Scenariusz 2, siła szyfrowania nie jest problemem. Zależy gdzie jesteś, ale według mojej jurysdykcji gliniarze mogą mnie wtrącić do więzienia, jeśli nie podam im mojego hasła. Nie sądzę, że możesz zrobić coś przeciwko rządowi i pozostać leniwym.
Biglig,
3

Jeśli szyfrowanie AES-256 jest wystarczająco bezpieczne, zrobi to 7-Zip. Zapewnia również dodatkową opcję szyfrowania nazw plików. Jeśli szyfrujesz swoje dane, prawdopodobnie powinieneś także zaszyfrować nazwy plików.

Randolf Richardson
źródło
Właściwie
@Nate Bross, czy coś takiego . Nie jestem aż tak głupi ...
1

To, czy szyfrowanie jest bezpieczne, zależy od programu .zip. Sugerowałbym zamiast tego użyć Truecrypt. Możesz utworzyć zaszyfrowany plik i zapisać w nim plik programu Excel. W przypadku haseł uważam, że lepiej jest mieć silne hasła i zapisać je, niż używać słabych haseł. Tak długo, jak twój system nie jest zagrożony i używasz silnego hasła do pliku Truecrypt, powinno to być całkiem bezpieczne. Ale nie zapisałbym w nim żadnych danych bankowości internetowej.

Jeśli twój system jest zagrożony przez rejestrator kluczy, może być nawet lepiej użyć przechowywanych haseł niż włamać się do nich za pomocą klawiatury. Ale chciałbym użyć pliku Truecrypt w skrzynce odbiorczej tylko do celów tworzenia kopii zapasowych. Nie wiem, czy dropbox korzysta z bezpiecznego połączenia, czy nie hasło i plik może być wąchany przez atakującego. Zwłaszcza jeśli korzystasz z hotspotów WiFi lub sieci współdzielonej.

Daniel Beck też ma rację. Musisz wziąć pod uwagę scenariusz ataku. Jeśli pracujesz dla firmy i masz tajne dane, może to nie być dobre rozwiązanie, ale dla zwykłego użytkownika jest to całkiem w porządku. Powinieneś jednak regularnie zmieniać hasła. Może co miesiąc lub co dwa miesiące. Tak dla pewności.

Darokthar
źródło
Nie wiem o Truecrypt . 7-zip używa AES-256. W jakim stopniu jest słabszy niż Truecrypt ?
Dropbox używa HTTPS do synchronizacji.
@Dante Jiang Jeśli Dropbox korzysta z https, powinno to być bezpieczne, dopóki obie strony nie zostaną naruszone (Twoje urządzenie i serwer Dropbox). Truecrypt to program szyfrujący. Możesz w zasadzie zaszyfrować nim dowolny plik, umieszczając go w kontenerze Truecrypt. Następnie możesz zamontować plik jak urządzenie (staje się LISTEM: w Eksploratorze Windows). Następnie możesz normalnie otworzyć zaszyfrowane pliki. Za pomocą Truecrypt możesz wybrać, którego algorytmu użyć, i możesz umieścić zaszyfrowane pliki w zaszyfrowanych plikach. Ponadto możesz użyć certyfikatów jako haseł szyfrujących (jeśli jesteś paranoikiem).
Darokthar
0

Bezpieczny jest względny, ale ogólnie rzecz biorąc, nie byłby w ogóle uważany za bezpieczny i nie byłby wskazany.

MaQleod
źródło
2
AES 256 jest dobry, uniemożliwi przeciętnemu użytkownikowi próbowanie czegokolwiek. Jeśli hasło jest wystarczająco silne, nie powinieneś martwić się nawet bardziej zaawansowanymi atakami. Po prostu nie zgadzam się na przechowywanie haseł w usługach stron trzecich, niezależnie od zastosowanego szyfrowania.
MaQleod,