Czy przechowywanie pliku KeePass w Dropbox jest bezpieczne? [Zamknięte]

56

Czy bezpiecznie jest przechowywać plik bazy danych haseł KeePass w Dropbox? Baza danych może mieć długie (ponad 14 znaków alfanumerycznych, znakowych, specjalnych) hasło i lokalny plik kluczy na komputerze lub telefonie komórkowym, który nie jest udostępniany w Dropbox?

dropbox keepass TusharG
źródło
1
Hasła nie należy przechowywać w miejscu, w którym inni mogą je zobaczyć (np. Dropbox).
m0skit0
2
Inni nie widzą mojego pliku hasła, ponieważ Dropbox przechowuje plik ściśle z moim loginem, chyba że mam go w folderze współdzielonym.
TusharG
1
Administratorzy serwerów Dropbox?
m0skit0,
Dropbox miał poważną usterkę w zakresie bezpieczeństwa, dzięki której każdy mógł w pełni uzyskać dostęp do dowolnego konta.
slhck 28.10.11
7
Usterka związana z bezpieczeństwem i standardowa funkcja to nie to samo. Poza tym keepass używa własnego szyfrowania.
Sirex,

Odpowiedzi:

43

Pytanie nie dotyczy tego, czy ufasz dropboxowi, ale czy ufasz keypass. Jeśli przechowalnia haseł ujawnia swoje sekrety, gdy ktoś inny je przejmie, będziesz chciał znaleźć coś innego.

Keypass używa AES-256 do szyfrowania, który pozostaje de facto standardem, a SHA-256 do tworzenia klucza z hasła wraz z solą.

Więc metoda szyfrowania jest dobra. Więc powinieneś rozważyć, czy są jakieś słabości implementacyjne, które mogą zostać wykorzystane przez kogoś, kto zdobędzie twój skarbiec. Cóż, keepass wydaje się robić metodę szyfrowania ciągłego, w której plik jest dzielony na bloki i wielokrotnie szyfrowany. Brutalny atak zająłby trochę czasu i można zwiększyć liczbę kluczy na sekundę, które można przetestować podczas tworzenia bazy danych. Wybierz, aby wykonać wiele rund. Oznacza to, że testowanie klucza wymaga czasu. Dla ciebie oznacza to, że musisz poczekać sekundę, aż baza danych się otworzy. Dla atakującego oznacza to, że muszą poczekać sekundę, aby przetestować swój następny klucz.

Zastosowano inne metody ochrony, ale nie są one istotne w tym scenariuszu, takie jak przechowywanie zawartości skarbca zaszyfrowanej w pamięci, gdy skarbiec jest otwarty.

Powinieneś przejrzeć zastosowane metody bezpieczeństwa, a jeśli czujesz się szczęśliwy, że jeśli skarbiec wpadnie w niepowołane ręce, będziesz bezpieczny.

Paweł
źródło
1
Dla mnie bardzo ważne jest uzyskanie dostępu do bazy danych keepass na moim telefonie, jednak utrzymanie jej w synchronizacji jest dużym problemem. Na razie zaryzykuję i użyję złożonego dużego hasła z lokalnym plikiem klucza jako podwójnego zabezpieczenia i trzymam go w skrzynce nadawczej, podczas gdy będę przechowywać plik klucza w systemie plików mobilnych i na dysku twardym na komputerze. Wiem, że to ryzyko.
TusharG
2
Co stanie się w (bardzo odległej) przyszłości, gdy AES-256 będzie łamliwy? Dropbox przechowuje stare wersje plików, więc Twoje hasła będą zagrożone, nawet jeśli do tego czasu zaktualizujesz do bardziej bezpiecznego mechanizmu. jakieś pomysły?
doublehelix,
1
@flixfe Przechowuje 30 dni poprawek, więc jest tam szansa. Żądanie usunięcia funkcji do Dropbox lub alternatywne rozwiązanie do przechowywania w chmurze, które pozwala na usunięcie wersji lub wcale ich nie ma, naprawiłoby to.
Paul
1
Nawet jeśli AES-256 się zepsuje. Uzyskanie dostępu do mojego pliku bazy danych haseł nie wystarczy, ponieważ moja baza danych potrzebuje hasła i lokalnego pliku klucza do otwarcia bazy danych. Sprawdziłem również, jak działa keepass, że nigdy nie tworzy żadnego niezaszyfrowanego pliku wymiany, który można później odzyskać na Dropboksie, więc czuję się bardzo bezpiecznie. Wszystko tworzy plik, który mówi, że baza danych jest odblokowana.
TusharG
2
@TusharG: AES-256 jest omawiany jako ochrona Keepass; dlatego jeśli AES-256 został uszkodzony i masz bazę danych, nie potrzebujesz ani pliku klucza, ani hasła, aby sprawdzić jego zawartość. Jednak problem nie istnieje: gdy AES-256 będzie powoli łamany, jeśli Keepass jest nadal dobrze utrzymany, migruje do innego standardu szyfrowania znacznie więcej niż 30 dni wcześniej.
Blaisorblade,
5

Istnieją różne stopnie bezpieczeństwa, a wygoda Dropbox w porównaniu z bezpieczeństwem tego, co próbujesz zrobić, jest czymś, co musisz sam ocenić.

Również bezpieczeństwo zależy od najsłabszego punktu. Jeśli którykolwiek z poniższych elementów zostanie naruszony, Twoje pliki zostaną ujawnione:

  • Ty (zapomnij się wylogować, zostaw hasło na lepkiej, udostępnij swój dropbox komuś innemu)
  • Każdy komputer, z którym synchronizujesz Dropbox. Czy używają silnych haseł? Oprogramowanie aktualne? Czy ich dyski są szyfrowane? Czy mają włączone autologowanie?
  • Twoje połączenie sieciowe z Dropbox. Czy masz zaporę ogniową? Czy oprogramowanie / oprogramowanie modemu / routera jest aktualne? Czy są odpowiednio skonfigurowane?
  • Oprogramowanie Dropbox, sieć i komputery.
  • Amazon S3 (gdzie przechowywane są twoje pliki).

Zastanów się, co może pomóc w podjęciu tej decyzji:

  1. Plik bazy danych będzie przechowywany na każdym komputerze, na którym zainstalowano Dropbox.
  2. Dropbox przechowuje kopię zapasową pliku lokalnie, nawet po usunięciu pliku.
  3. Musisz upewnić się, że folder, w którym przechowujesz plik, nie jest oznaczony jako publiczny.
  4. Możliwe jest , że ktoś w firmie przeczyta twoje pliki. Zgodnie z informacjami podanymi w linku tylko kilka wybranych osób ma dostęp do twoich danych i podobno będą miały do ​​nich dostęp tylko w przypadku wezwania.
  5. Dropbox przechowuje twoje pliki na Amazon S3, co oznacza, że ​​jest możliwe (choć bardzo mało prawdopodobne: będą musieli je odszyfrować), aby ktoś w Amazon mógł uzyskać dostęp do twoich danych.
BryanH
źródło
8
To wszystko mówi o bezpieczeństwie Dropbox i jego szyfrowaniu. Jak bezpieczna jest baza danych KeePass bez pliku klucza? Czy każdy może odszyfrować bazę danych KeePass bez hasła i pliku klucza?
TusharG