การรักษาไฟล์ KeePass ใน Dropbox ปลอดภัยหรือไม่ [ปิด]

56

ปลอดภัยไหมที่จะเก็บไฟล์ฐานข้อมูลรหัสผ่าน KeePass ใน Dropbox? ฐานข้อมูลสามารถมีรหัสผ่านยาว (14+ อัลฟ่าตัวเลขอักขระพิเศษ) และไฟล์คีย์ท้องถิ่นบนเครื่องหรือบนมือถือที่ไม่ได้แชร์ใน Dropbox?

dropbox  keepass 
TusharG
แหล่งที่มา
1
ไม่ควรเก็บรหัสผ่านที่คนอื่นสามารถเห็นได้ (เช่น Dropbox)
m0skit0
2
คนอื่นไม่สามารถดูไฟล์รหัสผ่านของฉันได้เนื่องจาก Dropbox เก็บไฟล์อย่างเข้มงวดด้วยการเข้าสู่ระบบของฉันเว้นแต่ฉันจะเก็บไว้ในโฟลเดอร์ที่แชร์
TusharG
1
ผู้ดูแลระบบเซิร์ฟเวอร์ Dropbox?
m0skit0
Dropbox มีความผิดพลาดความปลอดภัยที่สำคัญที่ทุกคนสามารถเข้าถึงได้อย่างเต็มที่ใด ๆบัญชี
slhck
7
การมีข้อผิดพลาดด้านความปลอดภัยและการใช้เป็นคุณสมบัติมาตรฐานนั้นไม่เหมือนกันเลย นอกจาก Keepass ใช้การเข้ารหัสของตัวเอง
Sirex

คำตอบ:

43

คำถามที่นี่ไม่ใช่ว่าคุณเชื่อถือได้ดรอปบ็อกซ์ แต่ไม่ว่าคุณจะไว้วางใจคีย์พาส หากรหัสผ่านของคุณให้ความลับของมันเมื่อคนอื่นได้รับมันคุณจะต้องหาอย่างอื่น

Keypass ใช้ AES-256 สำหรับการเข้ารหัสซึ่งยังคงเป็นมาตรฐานโดยพฤตินัยและ SHA-256 เพื่อสร้างคีย์จากข้อความรหัสผ่านของคุณพร้อมกับเกลือ

ดังนั้นวิธีการเข้ารหัสจึงดี ดังนั้นคุณจะต้องพิจารณาว่ามีจุดอ่อนในการติดตั้งใช้งานหรือไม่ซึ่งอาจถูกโจมตีโดยใครบางคนที่ถือห้องนิรภัยของคุณ ดูเหมือนว่าจะมีวิธีการเข้ารหัสลับอย่างต่อเนื่องโดยที่ไฟล์ถูกแบ่งออกเป็นบล็อกและเข้ารหัสแบบทวีคูณ การโจมตีด้วยกำลังดุร้ายจะใช้เวลาและคุณสามารถเพิ่มคีย์ต่อวินาทีที่สามารถทดสอบได้เมื่อสร้างฐานข้อมูล เลือกให้มันทำหลายรอบ ซึ่งหมายความว่าต้องใช้เวลาในการทดสอบคีย์ สำหรับคุณนั่นหมายความว่าคุณต้องรออีกหนึ่งวินาทีเพื่อให้ฐานข้อมูลเปิด สำหรับผู้โจมตีหมายความว่าพวกเขาต้องรออีกหนึ่งวินาทีเพื่อทดสอบคีย์ถัดไปของพวกเขา

มีวิธีการป้องกันอื่น ๆ ที่ใช้ แต่ไม่เกี่ยวข้องกับสถานการณ์นี้เช่นการรักษาเนื้อหาของห้องนิรภัยที่เข้ารหัสในหน่วยความจำเมื่อห้องนิรภัยเปิดอยู่

คุณควรตรวจสอบวิธีการรักษาความปลอดภัยที่ใช้และหากคุณรู้สึกมีความสุขที่หากห้องนิรภัยตกอยู่ในมือผิดที่คุณปลอดภัยแล้วให้ลองทำดู

พอล
แหล่งที่มา
1
สำหรับฉันมันสำคัญมากที่จะได้รับการเข้าถึงฐานข้อมูล keepass บนมือถือของฉัน แต่การทำให้ข้อมูลตรงกันเป็นปัญหาใหญ่ ตอนนี้ฉันจะใช้โอกาสนี้และใช้รหัสผ่านขนาดใหญ่ที่ซับซ้อนด้วยไฟล์ Key ในตัวเพื่อความปลอดภัยสองเท่าและเก็บไว้ในดรอปบ็อกซ์ในขณะที่ฉันจะจัดเก็บไฟล์สำคัญในระบบไฟล์มือถือและ HDD บนคอมพิวเตอร์ ฉันรู้ว่าพวกเขามีความเสี่ยง
TusharG
2
จะเกิดอะไรขึ้นในอนาคต (ที่ห่างไกล) เมื่อ AES-256 จะแตกหัก? Dropbox เก็บไฟล์ฉบับเก่าไว้ดังนั้นรหัสผ่านของคุณจะมีความเสี่ยงแม้ว่าคุณจะอัพเกรดเป็นกลไกที่ปลอดภัยกว่าก็ตาม ความคิดใด ๆ
doublehelix
1
@flixfe มันแก้ไข 30 วันดังนั้นจึงมีหน้าต่างแห่งโอกาสอยู่ที่นั่น คำขอลบคุณลักษณะไปยังดรอปบ็อกซ์หรือโซลูชันพื้นที่เก็บข้อมูลบนคลาวด์สำรองที่อนุญาตให้ลบการแก้ไขหรือไม่สามารถแก้ไขได้
พอล
1
แม้ว่า AES-256 จะแตก การเข้าถึงไฟล์ฐานข้อมูลรหัสผ่านของฉันไม่เพียงพอเนื่องจากฐานข้อมูลของฉันต้องการรหัสผ่านและไฟล์ Key ในเครื่องเพื่อเปิดฐานข้อมูล นอกจากนี้ฉันตรวจสอบวิธีการทำงานของ keepass มันไม่เคยสร้างไฟล์ swap ที่ไม่มีการเข้ารหัสใด ๆ ซึ่งสามารถนำไปใช้กับ dropbox ได้ในภายหลังดังนั้นมันจึงปลอดภัยมาก ๆ มันสร้างไฟล์ที่บอกว่าฐานข้อมูลถูกปลดล็อก
TusharG
2
@TusharG: AES-256 กำลังถูกกล่าวถึงเป็นการป้องกันของ Keepass ดังนั้นหาก AES-256 เสียหายและคุณมีฐานข้อมูลคุณไม่จำเป็นต้องใช้ไฟล์คีย์หรือรหัสผ่านเพื่อดูเนื้อหา อย่างไรก็ตามปัญหาไม่ได้เกิดขึ้น: เมื่อ AES-256 จะถูกทำลายอย่างช้าๆหาก Keepass ยังคงได้รับการดูแลอย่างดีมันจะย้ายไปยังมาตรฐานการเข้ารหัสที่แตกต่างกันมากกว่า 30 วันก่อน
Blaisorblade
5

มีระดับความปลอดภัยที่แตกต่างกันและความสะดวกสบายของ Dropbox เทียบกับความปลอดภัยของสิ่งที่คุณพยายามทำคือสิ่งที่คุณต้องประเมินด้วยตัวคุณเอง

ความปลอดภัยขึ้นอยู่กับจุดอ่อนที่สุด หากสิ่งใดสิ่งหนึ่งต่อไปนี้ถูกบุกรุกไฟล์ของคุณจะถูกเปิดเผย:

  • คุณ (ลืมที่จะออกจากระบบปล่อยรหัสผ่านของคุณไว้ในเหนียวแบ่งปัน dropbox ของคุณกับคนอื่น ๆ )
  • คอมพิวเตอร์ทุกเครื่องที่คุณมี Dropbox ซิงค์อยู่ พวกเขาใช้รหัสผ่านที่คาดเดายาก? ซอฟต์แวร์ทันสมัยหรือไม่ มีการเข้ารหัสดิสก์ของพวกเขา พวกเขาเปิด autologin หรือไม่
  • การเชื่อมต่อเครือข่ายของคุณไปยัง Dropbox คุณมีไฟร์วอลล์หรือไม่ เฟิร์มแวร์ / ซอฟต์แวร์ของโมเด็ม / เราเตอร์ของคุณทันสมัยหรือไม่? มีการกำหนดค่าอย่างเหมาะสมหรือไม่
  • ซอฟต์แวร์เครือข่ายและคอมพิวเตอร์ของ Dropbox
  • Amazon S3 (ที่เก็บไฟล์ของคุณ)

พิจารณาสิ่งต่อไปนี้และอาจช่วยให้คุณตัดสินใจได้:

  1. ไฟล์ฐานข้อมูลจะถูกเก็บไว้ในคอมพิวเตอร์ทุกเครื่องที่คุณติดตั้งดรอปบ็อกซ์ของคุณ
  2. Dropbox เก็บสำเนาสำรองของไฟล์ไว้ในเครื่องแม้ว่าคุณจะลบไฟล์ก็ตาม
  3. คุณต้องตรวจสอบให้แน่ใจว่าโฟลเดอร์ที่คุณจัดเก็บไฟล์นั้นไม่ได้ถูกทำเครื่องหมายเป็นสาธารณะ
  4. เป็นไปได้ที่บุคคลใน บริษัท จะอ่านไฟล์ของคุณ ตามข้อมูลที่ลิงค์มีเพียงไม่กี่คนเท่านั้นที่สามารถเข้าถึงข้อมูลของคุณและพวกเขาควรจะเข้าถึงได้เฉพาะเมื่อมีหมายศาล
  5. Dropbox จัดเก็บไฟล์ของคุณใน Amazon S3 ซึ่งหมายความว่าเป็นไปได้ (แม้ว่าจะไม่น่าเป็นไปได้มาก: พวกเขาจะต้องสามารถถอดรหัสได้) สำหรับบางคนที่ Amazon เพื่อเข้าถึงข้อมูลของคุณ
BryanH
แหล่งที่มา
8
ทั้งหมดนี้พูดถึงความปลอดภัยของ Dropbox และการเข้ารหัส อย่างไรก็ตามฐานข้อมูล KeePass ปลอดภัยเพียงใดโดยไม่มีไฟล์คีย์ ทุกคนสามารถถอดรหัสฐานข้อมูล KeePass ที่ไม่มีรหัสผ่านและไฟล์คีย์ได้หรือไม่
TusharG
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.