KeePass dosyasını Dropbox'ta tutmak güvenli midir? [kapalı]


56

KeePass şifre veritabanı dosyasını Dropbox'ta saklamak güvenli midir? Veritabanında, Dropbox'ta paylaşılmayan uzun (14+ alfa, sayısal, özel karakter) parola ve makinede veya mobilde yerel Anahtar dosyası bulunabilir mi?


1
Şifreler, başkalarının görebileceği yerlerde saklanmamalıdır (Dropbox gibi).
m0skit0

2
Diğerleri, şifremi dosyamı göremiyor çünkü Dropbox paylaşılan klasörde tutmadığım sürece kesinlikle giriş bilgilerimle dosya tutuyor.
TusharG

1
Dropbox sunucu yöneticileri?
m0skit0

Dropbox'ta herkesin herhangi bir hesaba tam olarak erişebileceği büyük bir güvenlik sorunu vardı .
slhck

7
Bir güvenlik sorununa sahip olmak ve standart bir özellik olarak sahip olmak aynı şey değil. Ayrıca keepass kendi şifrelemesini kullanır.
Sirex

Yanıtlar:


43

Buradaki soru dropbox'a güvenip güvenmediğiniz değil, keypass'a güvenip güvenmediğiniz değil. Parola kasanız, başkası tarafından ele geçirildiğinde sırlarından vazgeçerse, başka bir şey bulmak isteyeceksiniz.

Keypass, şifreleme için fiili standart olan AES-256'yı ve parolanızdan bir tuzla birlikte bir anahtar oluşturmak için SHA-256'yı kullanır.

Yani şifreleme yöntemi iyidir. O zaman, kasanızı ele geçiren birinin yararlanabileceği herhangi bir uygulama zayıflığı olup olmadığını düşünmek isteyeceksiniz. Keepass, dosyanın bloklara bölündüğü ve şifreli olarak çarpıldığı bir döndürme şifreleme yöntemi yapıyor gibi görünüyor. Bir kaba kuvvet saldırısı zaman alacaktı ve veritabanını oluştururken test edilebilen saniyede bir anahtar artırabilirsin. Birçok tur yapması için seçin. Bu, bir anahtarın test edilmesinin zaman aldığı anlamına gelir. Sizin için, veritabanının açılması için bir saniye kadar beklemeniz gerektiği anlamına gelir. Bir saldırgan için, bir sonraki anahtarını test etmek için bir saniye kadar beklemeleri gerektiği anlamına gelir.

Kullanılan diğer koruma yöntemleri vardır, ancak kasa açıkken kasa içeriğinin şifrelenmiş halde tutulması gibi, bu senaryo ile ilgili değildir.

Kullanılan güvenlik yöntemlerini gözden geçirmelisiniz ve eğer kasa yanlış ellere geçerse güvende olacağınız için mutlu olursanız, o zaman devam edin.


1
Benim için cep telefonumda keepass veritabanına erişim sağlamak çok önemli ancak senkronizasyonu sürdürmek büyük bir sorun. Şimdilik bir anahtar alıyorum ve yerel anahtar dosyasıyla karmaşık büyük parolayı iki kat güvenlik olarak kullanacağım ve anahtar dosyayı mobil dosya sisteminde ve HDD’de bilgisayarda depolayacağım. Onların bir risk olduğunu biliyorum.
TusharG

2
AES-256'nın kırılabileceği (çok uzaktaki) gelecekte ne olacak? Dropbox, dosyaların eski revizyonlarını korur, böylece o zamana kadar daha güvenli bir mekanizmaya yükselseniz bile şifreleriniz risk altında olur. Düşüncesi olan var mı?
doublehelix

1
@flixfe 30 günlük revizyonları tutar, bu yüzden orada bir fırsat penceresi vardır. Dropbox'a yönelik bir silme özelliği isteği veya revizyonların silinmesine izin veren veya hepsine sahip olmayan alternatif bir bulut depolama çözümü bu sorunu çözecektir.
Paul

1
AES-256 kırılsa bile. Parola veritabanı dosyama erişmek, veritabanımın parola ve veritabanını açmak için yerel bir Anahtar dosyası gerektirmesi nedeniyle yeterli değildir. Ayrıca, keepass'ın nasıl çalıştığını kontrol ettim, daha sonra dropbox'a geri alınabilecek herhangi bir unencryped takas dosyası oluşturmadı, bu yüzden çok güvenli hissediyorum. Hepsi veritabanının kilidinin açık olduğunu söyleyen bir dosya oluşturur.
TusharG

2
@TusharG: AES-256 Keepass koruması olarak tartışılıyor; Bu nedenle, eğer AES-256 kırılmışsa ve veritabanınız varsa, içeriğine bakmak için anahtar dosyaya veya şifreye ihtiyacınız yoktur. Bununla birlikte, sorun mevcut değil: AES-256 yavaş yavaş kırılacağı zaman, Keepass hala iyi korunursa, 30 günden daha önce farklı bir şifreleme standardına geçecektir.
Blaisorblade

5

Farklı güvenlik dereceleri vardır ve Dropbox'ın rahatlığı ile yapmaya çalıştığınız şeyin güvenliğine karşı kendiniz için değerlendirmeniz gereken bir şey vardır.

Ayrıca, güvenlik en zayıf noktaya bağlıdır. Aşağıdakilerden herhangi biri tehlikeye girerse, dosyalarınız açıkta kalır:

  • Siz (çıkış yapmayı unutun, şifrenizi yapışkanda bırakın, dropbox'ınızı başka biriyle paylaşın)
  • Dropbox'ınız ile senkronize edilen her bilgisayar. Güçlü şifreler mi kullanıyorlar? Yazılım güncel mi? Diskleri şifrelenmiş mi? Otolog açıldı mı?
  • Dropbox ile ağ bağlantınız. Güvenlik duvarınız var mı? Modem / yönlendiricinizin üretici yazılımı / yazılımı güncel midir? Düzgün yapılandırılmışlar mı?
  • Dropbox'ın yazılımı, ağı ve bilgisayarları.
  • Amazon S3 (dosyalarınızın saklandığı yer).

Aşağıdakileri göz önünde bulundurun; bu karar vermenize yardımcı olabilir:

  1. Veritabanı dosyası, dropbox'ınızı kurduğunuz her bilgisayarda saklanacaktır.
  2. Dropbox, dosyayı silseniz bile dosyanın yedek kopyasını yerel olarak depolar.
  3. Dosyayı kaydettiğiniz klasörün genel olarak işaretlenmemiş olduğundan emin olmanız gerekir.
  4. Öyle olası şirkette kimse dosyalarınızı okumak için. Bağlantıdaki bilgilere göre, yalnızca birkaç seçilmiş kişi verilerinize erişebilir ve sözde yalnızca mahkeme celbi varsa erişebilir.
  5. Dropbox, dosyalarınızı Amazon S3'te saklar; bu, Amazon'daki birisinin verilerinize erişmesi için mümkün olduğu anlamına gelir (çok düşük ihtimalde olsa: şifrelerin çözülmesi gerekir).

8
Bunların hepsi Dropbox güvenliği ve şifrelemesi hakkında konuşuyor. Ancak KeePass veritabanı anahtar dosyası olmadan ne kadar güvenli? Kimse KeePass veritabanını şifre ve Anahtar dosyası olmadan çözebilir mi?
TusharG
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.