Está mantendo um arquivo KeePass no Dropbox seguro? [fechadas]

56

É seguro manter o arquivo de banco de dados de senha do KeePass no Dropbox? Banco de dados pode ter longa (14 + alfa, numérica, caractere especial) senha e arquivo de chave local na máquina ou no celular que não é compartilhado no Dropbox?

TusharG
fonte
1
As senhas não devem ser armazenadas onde outras pessoas possam vê-las (como o Dropbox).
m0skit0
2
Outros não podem ver meu arquivo de senhas, pois o Dropbox mantém o arquivo estritamente com o meu login, a menos que eu o tenha mantido na pasta compartilhada.
TusharG
1
Administradores do servidor Dropbox?
m0skit0
O Dropbox teve uma grande falha de segurança onde todos puderam acessar totalmente qualquer conta.
slhck
7
Ter uma falha de segurança e tê-la como um recurso padrão não é exatamente a mesma coisa. Além disso, o keepass usa sua própria criptografia.
Sirex

Respostas:

43

A questão aqui não é se você confia no dropbox, mas se você confia no keypass. Se o seu cofre de senha desiste de seus segredos quando alguém o pega, então você vai querer encontrar outra coisa.

O Keypass usa o AES-256 para criptografia, que continua sendo o padrão de fato, e o SHA-256 para criar uma chave de sua frase secreta junto com um sal.

Portanto, o método de criptografia é bom. Então você vai querer considerar se há alguma fraqueza de implementação que pode ser explorada por alguém se apossar do seu cofre. Bem keepass parece fazer um método de criptografia rolante, onde o arquivo é dividido em blocos e multiplicado criptografado. Um ataque de força bruta levaria tempo e você pode aumentar as chaves por segundo que podem ser testadas ao criar o banco de dados. Escolha para fazer muitas rodadas. Isso significa que leva tempo para uma chave ser testada. Para você, isso significa que você tem que esperar por um segundo para que o banco de dados seja aberto. Para um invasor, isso significa que eles precisam esperar um segundo para testar sua próxima chave.

Existem outros métodos de proteção empregados, mas não são relevantes para esse cenário, como manter o conteúdo do Vault criptografado na memória quando a proteção estiver aberta.

Você deve rever os métodos de segurança usados, e se você se sentir feliz que, se o cofre cair nas mãos erradas, você estaria seguro, então vá em frente.

Paulo
fonte
1
Para mim, é muito importante ter acesso ao banco de dados keepass no meu celular, mas mantê-lo em sincronia é um grande problema. Por agora eu vou dar uma chance e usar uma senha grande complexa com o arquivo de chave local como segurança dupla e mantê-lo na caixa de depósito enquanto eu vou armazenar o arquivo de chave no sistema de arquivos móvel e no disco rígido no computador. Eu sei que isso é um risco.
TusharG
2
O que acontece no futuro (muito distante) quando o AES-256 será quebrável? O Dropbox mantém revisões antigas de arquivos, portanto, suas senhas estarão em risco, mesmo se você tiver atualizado para um mecanismo mais seguro até então. Alguma ideia?
doublehelix
1
@flixfe Ele mantém 30 dias de revisões, então há uma janela de oportunidade lá. Uma solicitação de recurso de exclusão para o dropbox, ou uma solução alternativa de armazenamento em nuvem que permita exclusões de revisões ou que não as tenha de forma alguma, corrigiria isso.
Paul
1
Mesmo se o AES-256 quebrar. Obter acesso ao meu arquivo de banco de dados de senha não é suficiente, pois meu banco de dados precisa de senha e um arquivo de chave local para abrir o banco de dados. Também verifiquei como o keepass funciona, ele nunca cria qualquer arquivo de swap não criptografado, que pode ser posteriormente recuperado em dropbox, então é muito muito seguro eu sinto. Tudo isso cria um arquivo que diz que o banco de dados está desbloqueado.
TusharG
2
@TusharG: AES-256 está sendo discutida como a proteção Keepass; portanto, se o AES-256 foi quebrado e você possui o banco de dados, não é necessário o arquivo de chave ou a senha para examinar seu conteúdo. No entanto, o problema não existe: quando o AES-256 tiver sido quebrado lentamente, se o Keepass ainda estiver bem mantido, ele terá migrado para um padrão de criptografia diferente, muito mais do que 30 dias antes.
Blaisorblade
5

Existem diferentes graus de segurança, e a conveniência do Dropbox versus a segurança do que você está tentando fazer é algo que você precisará avaliar por si mesmo.

Além disso, a segurança depende do ponto mais fraco. Se qualquer um dos itens a seguir estiver comprometido, seus arquivos serão expostos:

  • Você (esqueça de sair, deixe sua senha em um sticky, compartilhe sua caixa de depósito com outra pessoa)
  • Todo computador com o qual você tem o Dropbox é sincronizado. Eles estão usando senhas fortes? Software atualizado? Seus discos são criptografados? Eles têm autologin ligado?
  • Sua conexão de rede com o Dropbox. Você tem um firewall? O firmware / software do modem / roteador está atualizado? Eles estão configurados corretamente?
  • Software, rede e computadores do Dropbox.
  • Amazon S3 (onde seus arquivos são armazenados).

Considere o seguinte e que pode ajudá-lo a tomar essa decisão:

  1. O arquivo de banco de dados será armazenado em todos os computadores em que você tiver sua caixa de depósito instalada.
  2. O Dropbox armazena uma cópia de backup do arquivo localmente, mesmo quando você exclui o arquivo.
  3. Você precisa garantir que a pasta na qual você está armazenando o arquivo não esteja marcada como pública.
  4. É possível que alguém na empresa leia seus arquivos. De acordo com as informações do link, apenas algumas poucas pessoas têm acesso aos seus dados e, supostamente, só terão acesso se forem intimadas.
  5. O Dropbox armazena seus arquivos no Amazon S3, o que significa que é possível (embora muito improvável: eles precisarem descriptografá-lo) para alguém na Amazon acessar seus dados.
BryanH
fonte
8
Tudo isso fala sobre a segurança do Dropbox e sua criptografia. No entanto, quão seguro é o banco de dados KeePass sem arquivo de chave? Alguém pode descriptografar o banco de dados KeePass sem senha e arquivo de chave?
TusharG