KeePass: sử dụng tệp chính hoặc mật khẩu thông thường?


17

Tôi đang thiết lập cơ sở dữ liệu KeePass và nó cung cấp khả năng sử dụng tệp chính, nó bảo mật hơn vì nó có thể sử dụng mật khẩu dài hơn và phức tạp hơn nhưng dễ bị phá vỡ hơn vì bạn chỉ cần mở tệp chính để mở cơ sở dữ liệu. Tôi sẽ chỉ sử dụng tệp chính trên 2 máy tính (một máy tính để bàn và một máy tính xách tay), đó là lựa chọn tốt nhất?

Lưu ý rằng việc sử dụng tệp chính đối với tôi chắc chắn sẽ hấp dẫn hơn vì tôi khó nhớ được bất cứ thứ gì gần với mật khẩu ngẫu nhiên.

Câu trả lời:


17

Về khả năng sử dụng ' key files' với KeePass .

Để tạo khóa 256 bit cho mật mã khối, Thuật toán băm an toàn SHA-256 được sử dụng. Thuật toán này nén khóa người dùng được cung cấp bởi người dùng (bao gồm mật khẩu và / hoặc tệp khóa) thành khóa có kích thước cố định 256 bit. Chuyển đổi này là một chiều, tức là không thể tính toán được để đảo ngược hàm băm hoặc tìm một thông điệp thứ hai nén đến cùng một hàm băm.

Cuộc tấn công được phát hiện gần đây chống lại SHA-1 không ảnh hưởng đến an ninh của SHA-256. SHA-256 vẫn được coi là rất an toàn .

(có một bản cập nhật gần đây , nhưng tôi nghĩ những tin tức như vậy không liên quan ở đây ).
Đến điểm trong tầm tay ,

Dẫn xuất khóa :
Nếu chỉ sử dụng mật khẩu (nghĩa là không có tệp khóa), mật khẩu cộng với muối ngẫu nhiên 128 bit được băm bằng SHA-256 để tạo khóa cuối cùng (nhưng lưu ý có một số tiền xử lý: Bảo vệ chống tấn công từ điển). Muối ngẫu nhiên ngăn chặn các cuộc tấn công dựa trên băm được tính toán trước.

Khi sử dụng cả mật khẩu tệp khóa, khóa cuối cùng có nguồn gốc như sau: SHA-256 (SHA-256 (mật khẩu), nội dung tệp chính), tức là hàm băm của mật khẩu chính được nối với các byte tệp chính và byte kết quả chuỗi được băm với SHA-256 một lần nữa . Nếu tệp khóa không chứa chính xác 32 byte (256 bit), thì chúng cũng được băm bằng SHA-256, để tạo thành khóa 256 bit. Công thức trên sau đó thay đổi thành: SHA-256 (SHA-256 (mật khẩu), SHA-256 (nội dung tệp chính)).

Nếu bạn nghĩ rằng mật khẩu của bạn sẽ yếu hơn một chút (và tốt hơn cho bộ nhớ của bạn),
thì tệp chính là yếu tố thứ hai tốt .
Vì vậy, sử dụng cả hai (cùng nhau).


Tôi sẽ xem bình luận của Steve Gibson về vấn đề này: grc.com/sn/sn-182.txt
jasonh

@jasonh, Wow! bạn bỏ phiếu cho tôi vì đã đề xuất bảo mật hai yếu tố, với một Gibsontài liệu tham khảo phỏng vấn bạn đã lấy từ trang web của anh ấy (vâng, tôi đã nghe Leo trước đây, tốt thôi). Vui lòng thêm điểm của bạn ở đây như một câu trả lời mới để mọi người có thể hưởng lợi.
nik

7
Vâng, tôi đã làm. Tôi hiểu có yếu tố thứ hai, nhưng nó vô dụng ở đây. Keyfile sẽ được giữ gần như với chính cơ sở dữ liệu mật khẩu nếu bạn là người dùng di động. Nếu bạn mất quyền kiểm soát cơ sở dữ liệu, có lẽ bạn cũng đã mất quyền kiểm soát tệp chính. Như Steve Gibson lưu ý, một tệp chính không cung cấp cho bạn bảo mật bổ sung, nếu có.
jasonh

2
Một yếu tố thứ hai là hữu ích trong ví dụ về bóng đá PayPal. Trong trường hợp này, bạn có một thiết bị vật lý và mật khẩu. Nếu mật khẩu của bạn bị xâm phạm, không có lý do nào để tin rằng bóng đá của bạn bị mất cùng một lúc theo mặc định. Trong so sánh, khi hàng hóa là một cơ sở dữ liệu mật khẩu và cơ chế bảo mật chỉ đơn giản là một tệp khác nằm bên cạnh cơ sở dữ liệu, nó có gì tốt? Không ai.
jasonh

2
+1 cho tệp khóa sử dụng và mật khẩu chính. Vì vậy, ngay cả khi họ nhận được tệp db và khóa, bạn chỉ cần nhớ 1 mật khẩu dài. Thay vào đó, họ không thể hack não để có được sự huấn luyện kháng cự tra tấn.
Piotr Kula

5

Toàn bộ vấn đề là giữ an toàn cho mật khẩu của bạn, vì vậy đây là một mật khẩu không có trí tuệ: mật khẩu. Nếu bạn sử dụng một tệp chính và bạn mất quyền kiểm soát cơ sở dữ liệu mật khẩu của mình, mật khẩu của bạn sẽ bị lộ.


4
Bạn sẽ luôn gặp rủi ro nếu bạn lưu trữ 'mật khẩu' của mình ở đâu đó (có thể là trên một ghi chú dán hoặc dưới dạng tệp chính). Miễn là bạn giữ mật khẩu trong đầu (và nó đủ phức tạp) thì bạn nên tốt hơn.
Sam

1
Khi sử dụng cả mật khẩu tệp khóa , khóa cuối cùng có nguồn gốc như sau : SHA-256(SHA-256(password), key file contents). Truy cập vào tập tin một mình là vô ích. Nhưng, kiến ​​thức về mật khẩu mà không có nội dung tập tin làm cho việc phá vỡ nó trở nên khó khăn hơn. Và, tập tin cũng thêm một điểm mạnh saltvào mật khẩu của bạn.
nik

1

Sử dụng cả hai. Giữ tập tin chính của bạn trong ổ đĩa flash của bạn và mang nó theo bên mình. Nhưng không phải ở đâu đó trên máy tính để bàn (nó giống như viết mật khẩu trên ghi chú dán). Tôi đang sử dụng cách này để phân vùng ổ cứng được mã hóa của mình (với truecrypt). Vì vậy, nếu bất cứ ai vẫn nhận được mật khẩu của bạn, họ cũng cần keyfile.


1
Chỉ cần đảm bảo có một bản sao lưu của keyfile của bạn, cũng như chính cơ sở dữ liệu mật khẩu. Nếu một trong số chúng bị hỏng, bạn sẽ cần một bản sao lưu mới.
Torbjørn

0

Đối với người mới quản lý mật khẩu:
Chỉ mật khẩu
Tại sao?
Nó cắt giảm một nửa mối quan tâm quản lý tệp của bạn (mis) và giới hạn nó chỉ trong một tệp.
Một db KeepassX .kdbx có thể được bảo mật bằng mật khẩu 64 ký tự hỗn hợp. Đó là rất nhiều phạm vi để tạo một mật khẩu dài, an toàn.
Điều này giúp nhấn mạnh rằng mật khẩu (mạnh) (trong đầu bạn) là trọng tâm chính của bạn (không phải là nơi bạn giữ keyfile, v.v.).
Nếu bạn gặp khó khăn trong việc ghi nhớ mật khẩu (tất nhiên, tất cả chúng ta đều làm) sử dụng trình quản lý mật khẩu (như KeepassX) và bạn sẽ chỉ phải nhớ một mật khẩu mạnh.


1
Điều này không trả lời câu hỏi (rất cụ thể) đã được hỏi.
Mokubai

-1

Tôi đã chọn sử dụng tập tin chính. Tôi cũng đã tạo một tài khoản email được sử dụng riêng để lưu trữ khóa của mình (tôi không thích sử dụng flash USB mỗi lần tôi muốn truy cập vào tài khoản ngân hàng điện tử của mình).

Nếu máy tính tôi đang sử dụng không phải là máy tính cá nhân của tôi, tôi chỉ cần đăng nhập vào tài khoản email đó trên máy tính mà tôi muốn sử dụng tệp chính, sau đó đăng nhập vào một tài khoản email khác có phiên bản .kdbx mới nhất của tôi tập tin.

Cuối cùng, tôi tải xuống KeePass và cài đặt nó trên PC, sử dụng khóa và .kdbx cùng với mật khẩu Cơ sở dữ liệu của tôi và đó là nó!

Tất nhiên, tôi xóa sạch cả tệp .kdbx và tệp chính trên PC được sử dụng.


10
Tôi sẽ xem xét thực hành bảo mật xấu này trên nhiều cấp độ.
kluka

1
Vâng khá vô dụng và nguy hiểm nhất; đặc biệt là phần đơn giản là mở tệp mật khẩu của bạn trên máy tính "không phải là tài liệu cá nhân của tôi." Sheesh. Xấu tệ như trong tôi không thể diễn tả sự thực hành này tệ đến mức nào. Tôi có một máy tính xách tay làm việc đi khắp mọi nơi với tôi và vì vậy trong khi thuận tiện, bởi vì những người khác (như trong phòng CNTT.) "Duy trì" nó, tôi thậm chí không tin rằng sẽ lưu trữ hoặc thậm chí mở db mật khẩu cá nhân của mình.
nanker

@nanker làm thế nào để bạn sử dụng db mật khẩu cá nhân của bạn trên máy tính xách tay của bạn sau đó? Bạn có cả keyfile và cơ sở dữ liệu trên khóa usb không?
ĐỎ_

2
@RED_ Tôi không bao giờ mở DB cá nhân của mình trên máy tính xách tay công việc của mình, bất kể đôi khi nó có vẻ thuận tiện như thế nào. Máy tính xách tay được tải khá tốt cho các hoạt động hàng ngày của tôi và mặc dù trước đây tôi đã cố gắng xác định tất cả các dịch vụ chạy trên máy tính xách tay là gì nhưng tôi vẫn chưa thể khắc phục tất cả. Vì vậy, tôi không thể và không tin tưởng nó đủ để mở DB của tôi. Gọi tôi là hoang tưởng tôi đoán, nhưng tôi cảm thấy tôi đang ở một nơi hạnh phúc, thông tin về mật khẩu của tôi.
nanker
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.