Việc giữ tệp KeePass trong Dropbox có an toàn không? [đóng cửa]

56

Có an toàn để giữ tệp cơ sở dữ liệu mật khẩu KeePass trong Dropbox không? Cơ sở dữ liệu có thể có mật khẩu dài (14+ alpha, số, ký tự đặc biệt) và tệp Khóa cục bộ trên máy hoặc trên thiết bị di động không được chia sẻ trong Dropbox?

dropbox  keepass 
TusharG
nguồn
1
Mật khẩu không nên được lưu trữ ở nơi người khác có thể nhìn thấy chúng (như Dropbox).
m0skit0
2
Những người khác không thể xem tệp mật khẩu của tôi vì Dropbox giữ tệp đúng với thông tin đăng nhập của tôi trừ khi tôi đã giữ nó trong thư mục dùng chung.
TusharG
1
Quản trị viên máy chủ Dropbox?
m0skit0
Dropbox có một trục trặc bảo mật lớn , nơi mọi người có thể truy cập đầy đủ vào bất kỳ tài khoản nào .
slhck
7
Có một trục trặc bảo mật và có nó như một tính năng tiêu chuẩn không hoàn toàn giống nhau. Bên cạnh đó Keepass sử dụng mã hóa riêng của mình.
Sirex

Câu trả lời:

43

Câu hỏi ở đây không phải là liệu bạn có tin tưởng dropbox hay không, mà là bạn có tin tưởng keypass không. Nếu hầm mật khẩu của bạn từ bỏ bí mật của nó khi người khác nắm giữ nó, thì bạn sẽ muốn tìm thứ khác.

Keypass sử dụng AES-256 để mã hóa, vẫn là tiêu chuẩn thực tế và SHA-256 để tạo khóa từ cụm mật khẩu của bạn cùng với muối.

Vì vậy, phương pháp mã hóa là tốt. Vì vậy, sau đó bạn sẽ muốn xem xét nếu có bất kỳ điểm yếu triển khai nào có thể bị khai thác bởi ai đó đang nắm giữ kho tiền của bạn. Well keepass dường như thực hiện một phương pháp mã hóa cuộn, trong đó tệp được chia thành các khối và được mã hóa nhân lên. Một cuộc tấn công vũ phu sẽ mất thời gian và bạn có thể tăng các khóa mỗi giây có thể được kiểm tra khi tạo cơ sở dữ liệu. Chọn cho nó để làm nhiều vòng. Điều này có nghĩa là cần có thời gian để kiểm tra khóa. Đối với bạn, điều đó có nghĩa là bạn phải đợi một giây hoặc lâu hơn để cơ sở dữ liệu mở. Đối với một kẻ tấn công, điều đó có nghĩa là họ phải đợi một giây hoặc lâu hơn để kiểm tra khóa tiếp theo của họ.

Có các phương thức bảo vệ khác được sử dụng, nhưng không liên quan đến kịch bản này, như giữ cho nội dung của vault được mã hóa trong bộ nhớ khi vault được mở.

Bạn nên xem lại các phương thức bảo mật được sử dụng và nếu bạn cảm thấy hạnh phúc rằng nếu kho tiền rơi vào tay kẻ xấu mà bạn an toàn, thì hãy dùng nó.

Paul
nguồn
1
Đối với tôi, việc truy cập cơ sở dữ liệu Keepass trên điện thoại di động của tôi là rất quan trọng, tuy nhiên việc giữ nó đồng bộ hóa là một vấn đề lớn. Bây giờ tôi sẽ có cơ hội và sử dụng mật khẩu lớn phức tạp với tệp Khóa cục bộ làm bảo mật kép và giữ nó trong dropbox trong khi tôi sẽ lưu trữ tệp chính trên hệ thống tệp di động và trên ổ cứng trên máy tính. Tôi biết họ là một rủi ro.
TusharG
2
Điều gì xảy ra trong tương lai (rất xa) khi AES-256 sẽ bị phá vỡ? Dropbox giữ các bản sửa đổi cũ của các tệp, vì vậy mật khẩu của bạn sẽ gặp rủi ro, ngay cả khi bạn đã nâng cấp lên một cơ chế an toàn hơn trước đó. Có suy nghĩ gì không?
doublercix
1
@flixfe Nó giữ 30 ngày sửa đổi, vì vậy có một cửa sổ cơ hội ở đó. Một yêu cầu tính năng xóa đối với dropbox hoặc giải pháp lưu trữ đám mây thay thế cho phép xóa các sửa đổi hoặc hoàn toàn không có chúng sẽ khắc phục điều này.
Paul
1
Ngay cả khi AES-256 bị hỏng. Truy cập tệp cơ sở dữ liệu mật khẩu của tôi là không đủ vì cơ sở dữ liệu của tôi cần mật khẩu và tệp Khóa cục bộ để mở cơ sở dữ liệu. Ngoài ra tôi đã kiểm tra cách Keepass hoạt động, nó không bao giờ tạo ra bất kỳ tệp hoán đổi nào chưa được xử lý mà sau này có thể được gỡ lại trên dropbox nên tôi cảm thấy rất an toàn. Tất cả nó chứa một tập tin nói rằng cơ sở dữ liệu được mở khóa.
TusharG
2
@TusharG: AES-256 đang được thảo luận là bảo vệ Keepass; do đó, nếu AES-256 bị hỏng và bạn có cơ sở dữ liệu, bạn không cần tệp chính hoặc mật khẩu để xem nội dung của nó. Tuy nhiên, vấn đề không tồn tại: khi AES-256 sẽ bị phá vỡ từ từ, nếu Keepass vẫn được duy trì tốt, nó sẽ chuyển sang một tiêu chuẩn mã hóa khác hơn 30 ngày trước.
Blaisorblade
5

Có nhiều mức độ bảo mật khác nhau và sự tiện lợi của Dropbox so với bảo mật của những gì bạn đang cố gắng làm là điều bạn cần tự đánh giá.

Ngoài ra, an ninh phụ thuộc vào điểm yếu nhất. Nếu bất kỳ điều nào sau đây bị xâm phạm, thì các tệp của bạn sẽ bị lộ:

  • Bạn (quên đăng xuất, để lại mật khẩu, hãy chia sẻ dropbox của bạn với người khác)
  • Mỗi máy tính bạn có Dropbox được đồng bộ hóa. Họ đang sử dụng mật khẩu mạnh? Phần mềm cập nhật? Các đĩa của họ được mã hóa? Họ có bật autologin không?
  • Kết nối mạng của bạn với Dropbox. Bạn có tường lửa không? Phần sụn / phần mềm của modem / bộ định tuyến có được cập nhật không? Chúng có được cấu hình đúng không?
  • Phần mềm, mạng và máy tính của Dropbox.
  • Amazon S3 (nơi lưu trữ tệp của bạn).

Hãy xem xét những điều sau đây và điều đó có thể giúp bạn đưa ra quyết định:

  1. Tệp cơ sở dữ liệu sẽ được lưu trữ trên mọi máy tính mà bạn đã cài đặt dropbox.
  2. Dropbox lưu trữ một bản sao lưu của tệp cục bộ, ngay cả khi bạn xóa tệp.
  3. Bạn cần đảm bảo rằng thư mục bạn đang lưu trữ tệp không được đánh dấu công khai.
  4. thể cho ai đó ở công ty đọc các tập tin của bạn. Theo thông tin tại liên kết, chỉ một số ít người được chọn có quyền truy cập vào dữ liệu của bạn và họ được cho là sẽ chỉ truy cập nếu được trát hầu tòa.
  5. Dropbox lưu trữ các tệp của bạn trên Amazon S3, điều đó có nghĩa là có thể (mặc dù rất khó xảy ra: họ phải có khả năng giải mã nó) để ai đó ở Amazon truy cập dữ liệu của bạn.
BryanH
nguồn
8
Tất cả điều này nói về bảo mật Dropbox và mã hóa của nó. Tuy nhiên, cơ sở dữ liệu KeePass an toàn như thế nào khi không có tệp chính? Bất cứ ai cũng có thể giải mã cơ sở dữ liệu KeePass mà không cần mật khẩu và tệp Key?
TusharG
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.