KeePass: bir anahtar dosyası mı yoksa normal bir şifre mi kullanıyorsunuz?

17

Bir KeePass veritabanı kuruyorum ve daha uzun ve daha karmaşık bir şifre kullanabileceğinden ancak kırılması daha kolay olduğu için daha güvenli olduğu söylenen bir anahtar dosyasını kullanma olanağı sunuyor. veri tabanı. Anahtar dosyasını sadece 2 bilgisayarda (bir masaüstü ve bir dizüstü bilgisayar) kullanacağım, hangisi en iyi seçenek?

Rastgele bir parolaya yakın bir şeyi hatırlamakta zorlandığım için anahtar dosyayı kullanmak benim için kesinlikle daha çekici.

passwords  encryption  password-management  keepass 
RCIX
kaynak

Yanıtlar:

17

Kullanma olanağı İlişkin ' key filesile' KeePass .

Blok şifreleyiciler için 256 bit anahtar üretmek amacıyla Güvenli Karma Algoritma SHA-256 kullanılır. Bu algoritma, kullanıcı tarafından sağlanan kullanıcı anahtarını (parola ve / veya anahtar dosyasından oluşan) 256 bit sabit boyutlu bir anahtara sıkıştırır. Bu dönüşüm tek yönlüdür, yani karma işlevini tersine çevirmek veya aynı karma değerine sıkışan ikinci bir mesaj bulmak hesaplamaya uygun değildir.

SHA-1'e yakın zamanda keşfedilen saldırı , SHA-256'nın güvenliğini etkilememektedir. SHA-256 hala çok güvenli olarak kabul edilmektedir .

( yeni bir güncelleme daha var , ancak bence bu tür haberler burada alakalı değil ).
Eldeki noktaya kadar ,

Anahtar Türetme :
Yalnızca bir parola kullanılırsa (yani anahtar dosyası yoksa), son anahtarı oluşturmak için SHA-256 kullanılarak parola artı 128 bit rasgele tuz karıştırılır (ancak bazı önişlemler olduğunu unutmayın: Sözlük Saldırılarına Karşı Koruma). Rastgele tuz, önceden hesaplanmış karmalara dayanan saldırıları önler.

Şifre kullanılması durumunda ve anahtar dosyası, aşağıdaki gibi, son anahtar elde edilir: SHA-256 (SHA-256 (şifre), anahtarın içeriği), yani, ana şifre karma anahtar dosyası bayt ve elde edilen bayt ile birleştirilmiş dize tekrar SHA-256 ile birleştirilir . Anahtar dosyası tam olarak 32 bayt (256 bit) içermiyorsa, 256 bitlik bir anahtar oluşturmak için SHA-256 ile de karma hale getirilir. Daha sonra yukarıdaki formül şu şekilde değişir: SHA-256 (SHA-256 (şifre), SHA-256 (anahtar dosya içeriği)).

Eğer şifrenizin biraz daha zayıf (ve hafızanız için daha iyi) olacağını düşünüyorsanız
, anahtar dosya iyi bir ikinci faktördür .
Yani, ikisini de (birlikte) kullanın.

nik
kaynak
Steve Gibson'ın konuyla ilgili yorumuna bir göz atarım
jasonh
@jasonh, Vay canına! iki faktörlü güvenlik önerdiğim için bana oy Gibsonveriyorsun, kendi sitesinden aldığın bir röportaj referansıyla (evet, daha önce Leo'yu duydum, iyi). Lütfen puanlarınızı buraya yeni bir yanıt olarak ekleyin, böylece insanlar faydalanabilir.
nik
7
Evet yaptım. İkinci bir faktöre sahip olduğumu anlıyorum, ama burada işe yaramaz. Bir mobil kullanıcıysanız, anahtar dosya neredeyse parola veritabanıyla korunur. Veritabanının denetimini kaybederseniz, büyük olasılıkla anahtar dosyasının denetimini de kaybettiniz. Steve Gibson'ın belirttiği gibi, bir anahtar dosya varsa size fazladan güvenlik sağlamaz.
jasonh
2
İkinci bir faktör PayPal futbol örneğinde faydalıdır. Bu durumda fiziksel bir aygıtınız ve parolanız vardır. Parolanız tehlikeye girerse, futbolunuzun varsayılan olarak aynı anda eksik olduğuna inanmak için bir neden yoktur. Buna karşılık, mallar bir şifre veritabanı olduğunda ve güvenlik mekanizması sadece veritabanının yanında bulunan başka bir dosya olduğunda, ne iyi? Yok.
jasonh
2
Kullanım anahtarı dosyası ve ana şifre için +1. Db ve anahtar dosyasını alsalar bile, sadece 1 uzun parola hatırlamanız gerekir. Henüz beyinleri hackleyemezler, bunun yerine işkence direnci eğitimi alın.
Piotr Kula
5

Bütün mesele şifrelerinizi güvende tutmaktır, bu yüzden bu bir beyinsiz: şifre. Bir anahtar dosyası kullanırsanız ve parola veritabanınızın denetimini kaybederseniz, parolalarınızın tümü açıktır.

jasonh
kaynak
4
'Parolanızı' bir yerde saklarsanız (yapışkan notta veya anahtar dosyası olarak) risk altında olursunuz. Parolayı kafanızda tuttuğunuz sürece (ve yeterince karmaşıktır) daha iyi olmalısınız.
Sam
1
Şifreyi hem kullanırken ve anahtar dosyasını aşağıdaki gibi nihai anahtar elde edilir: SHA-256(SHA-256(password), key file contents). Yalnızca dosyaya erişim işe yaramaz. Ancak, dosya içeriği olmadan şifrenin bilinmesi onu kırmayı zorlaştırır. Ve dosya ayrıca saltşifrenize güçlü bir ekler .
nik
1

İkisini de kullan. Anahtar dosyanızı flash sürücünüzde tutun ve yanınızda getirin. Ancak masaüstünde bir yerde değil (yapışkan notlarda şifre yazmakla aynıdır). Bu yolu şifreli HDD bölümüne (truecrypt ile) kullanıyorum. Eğer hala şifrenizi bir şekilde kimse alırsa, anahtar dosyasına da ihtiyaç duyarlar.

Pawka
kaynak
1
Sadece anahtar dosyanızın yanı sıra şifre veritabanının yedeğini aldığınızdan emin olun. Bunlardan biri bozulursa, yeni bir yedeklemeye ihtiyacınız olacaktır.
Torbjørn
0

Yeni başlayanlar için şifre yönetimi:
Sadece şifre
Neden?
Dosyanız (yanlış) yönetim endişelerinizi yarıya indirir ve sadece bir dosyayla sınırlar.
Bir KeepassX .kdbx db, 64 karakterlik karışık bir parola ile güvence altına alınabilir. Uzun, güvenli bir şifre oluşturmak için bu kadar geniş bir kapsam.
Bu (güçlü) parolanın (kafanızda) birincil parolanızın altını çizmeye yardımcı olur kafanızda) odak (anahtar dosyasını tuttuğunuz yerde değil .
Şifreleri hatırlamakta sorun yaşıyorsanız (elbette, hepimiz kullanıyoruz) bir şifre yöneticisi (KeepassX gibi) kullanın ve sadece güçlü bir tane hatırlamanız gerekir.

dotnetspec
kaynak
1
Bu, sorulan (çok spesifik) soruyu cevaplamaz.
Mokubai
-1

Anahtar dosya kullanımını tercih ettim. Ayrıca, özellikle anahtar dosyamı saklamak için kullanılan bir e-posta hesabı oluşturdum (örneğin, e-bankacılık hesabıma her erişmek istediğimde USB flaşla takılmayı sevmiyorum).

Kullandığım bilgisayar benim kişisel bilgisayarım değilse, bilgisayardaki bu e-posta hesabına giriş yapmak istiyorum. Anahtar dosyasını kullanmak istiyorum. dosya.

Son olarak, KeePass'ı indirip PC'ye yüklüyorum, anahtarı ve .kdbx'i Veritabanı şifremle birlikte kullanıyorum ve hepsi bu!

Tabii ki, kullanılan bilgisayarda hem .kdbx hem de anahtar dosyasını silerim.

Roger Johnson
kaynak
10
Bu kötü güvenlik uygulamasını birçok düzeyde düşünürdüm.
kluka
1
Evet, oldukça işe yaramaz ve en tehlikeli olanı; özellikle de "kişisel dosyam" olmayan bir bilgisayarda şifre dosyanızı açmayla ilgili bölüm. Sheesh. Kötü olduğu gibi bu uygulamanın ne kadar kötü olduğunu ifade edemem. Benimle her yere gider bir çalışma dizüstü bilgisayar var ve bu yüzden uygun olurken, çünkü diğer insanlar (BT borç gibi.) "Korumak", hatta kişisel şifre db saklamak ve hatta açmak için güvenmiyorum.
nanker
@nanker o zaman iş dizüstü bilgisayarınızda kişisel şifrenizi db nasıl kullanıyorsunuz? Bir usb anahtarında hem keyfile hem de database var mı?
RED_
2
@RED_ Zaman zaman ne kadar uygun görünse de, kişisel dizüstü bilgisayarımı DB'yi çalışma dizüstü bilgisayarımda açmıyorum. Dizüstü bilgisayar günlük rutinleri için oldukça yüklü ve daha önce dizüstü bilgisayarda çalışan tüm hizmetin ne olduğunu belirlemeye çalışmış olmama rağmen henüz hepsini çivilemedim. Yani keepass DB açmak için yeterince güvenemiyorum ve güvenmiyorum. Bana paranoyak diyorum sanırım, ama şifre güvenliğim kadar bilgili ve mutlu bir yerde olduğumu hissediyorum.
nanker
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.