Apakah menyimpan file KeePass di Dropbox aman? [Tutup]

56

Apakah aman untuk menyimpan file basis data kata sandi KeePass di Dropbox? Database dapat memiliki kata sandi (14+ alfa, numerik, karakter khusus) yang panjang dan file Kunci lokal di mesin atau di ponsel yang tidak dibagi di Dropbox?

dropbox keepass TusharG
sumber
1
Kata sandi tidak boleh disimpan di tempat orang lain dapat melihatnya (seperti Dropbox).
m0skit0
2
Orang lain tidak dapat melihat file kata sandi saya karena Dropbox menyimpan file dengan ketat dengan login saya kecuali saya menyimpannya di folder bersama.
TusharG
1
Administrator server Dropbox?
m0skit0
Dropbox memiliki masalah keamanan utama di mana semua orang dapat sepenuhnya mengakses akun apa pun .
slhck
7
Memiliki kesalahan keamanan dan menjadikannya sebagai fitur standar bukan hal yang sama. Selain itu keepass menggunakan enkripsi sendiri.
Sirex

Jawaban:

43

Pertanyaannya di sini bukanlah apakah Anda memercayai dropbox, tetapi apakah Anda memercayai keypass. Jika kubah kata sandi Anda melepaskan rahasianya ketika orang lain mengambilnya, maka Anda ingin mencari yang lain.

Keypass menggunakan AES-256 untuk enkripsi, yang tetap menjadi standar de facto, dan SHA-256 untuk membuat kunci dari frasa sandi Anda bersama dengan garam.

Jadi metode enkripsi bagus. Jadi, Anda harus mempertimbangkan jika ada kelemahan implementasi yang dapat dieksploitasi oleh seseorang yang memegang brankas Anda. Well keepass tampaknya melakukan metode enkripsi bergulir, di mana file tersebut dipecah menjadi blok dan dikalikan dienkripsi. Serangan brute force akan memakan waktu, dan Anda dapat meningkatkan kunci per detik yang dapat diuji saat membuat database. Pilih untuk melakukan banyak putaran. Ini berarti perlu waktu untuk menguji suatu kunci. Bagi Anda, itu berarti Anda harus menunggu sedetik atau lebih agar database terbuka. Untuk seorang penyerang, itu berarti mereka harus menunggu beberapa saat untuk menguji kunci mereka berikutnya.

Ada metode perlindungan lain yang digunakan, tetapi tidak relevan dengan skenario ini, seperti menjaga konten vault dienkripsi dalam memori ketika vault terbuka.

Anda harus meninjau metode keamanan yang digunakan, dan jika Anda merasa senang bahwa jika lemari besi jatuh ke tangan yang salah bahwa Anda akan aman, maka lakukanlah.

Paul
sumber
1
Bagi saya itu sangat penting untuk mendapatkan akses ke basis data keepass di ponsel saya tetapi menjaganya tetap sinkron adalah masalah besar. Untuk saat ini saya akan mengambil risiko dan menggunakan kata sandi besar yang kompleks dengan file Key lokal sebagai keamanan ganda dan menyimpannya di dropbox sementara saya akan menyimpan file kunci pada sistem file seluler dan pada HDD di komputer. Saya tahu mereka berisiko.
TusharG
2
Apa yang terjadi di masa depan (yang sangat jauh) ketika AES-256 akan mudah pecah? Dropbox menyimpan revisi file lama, sehingga kata sandi Anda akan berisiko, bahkan jika Anda telah meningkatkan ke mekanisme yang lebih aman saat itu. Adakah pikiran?
doublehelix
1
@flixfe Ini membuat revisi selama 30 hari, jadi ada jendela peluang di sana. Permintaan fitur hapus ke dropbox, atau solusi penyimpanan cloud alternatif yang memungkinkan penghapusan revisi atau tidak memilikinya sama sekali akan memperbaikinya.
Paul
1
Bahkan jika AES-256 rusak. Mendapatkan akses file database kata sandi saya tidak cukup karena database saya membutuhkan kata sandi dan file Key lokal untuk membuka database. Saya juga memeriksa bagaimana keepass berfungsi, tidak pernah membuat file swap apa pun yang tidak diunduh yang kemudian dapat diambil kembali di dropbox sehingga saya merasa sangat aman. Semua itu menciptakan file yang mengatakan basis data tidak terkunci.
TusharG
2
@TusharG: AES-256 sedang dibahas sebagai perlindungan Keepass; karenanya, jika AES-256 rusak dan Anda memiliki database, Anda tidak perlu file kunci atau kata sandi untuk melihat isinya. Namun, masalahnya tidak ada: ketika AES-256 akan perlahan-lahan rusak, jika Keepass masih terpelihara dengan baik itu akan bermigrasi ke standar enkripsi yang berbeda lebih dari 30 hari sebelumnya.
Blaisorblade
5

Ada berbagai tingkat keamanan, dan kenyamanan Dropbox versus keamanan apa yang Anda coba lakukan adalah sesuatu yang perlu Anda evaluasi sendiri.

Juga, keamanan tergantung pada titik terlemah. Jika salah satu dari yang berikut ini disusupi, maka file Anda terbuka:

  • Anda (lupa logout, tinggalkan kata sandi Anda di sticky, bagikan dropbox Anda dengan orang lain)
  • Setiap komputer tempat Dropbox Anda selaraskan. Apakah mereka menggunakan kata sandi yang kuat? Perangkat lunak terbaru? Apakah disk mereka dienkripsi? Apakah autologin mereka dihidupkan?
  • Koneksi jaringan Anda ke Dropbox. Apakah Anda memiliki firewall? Apakah modem / perangkat tegar / peranti lunak Anda mutakhir? Apakah sudah terkonfigurasi dengan benar?
  • Perangkat lunak, jaringan, dan komputer Dropbox.
  • Amazon S3 (tempat file Anda disimpan).

Pertimbangkan yang berikut dan yang mungkin dapat membantu Anda membuat keputusan itu:

  1. File basis data akan disimpan di setiap komputer yang Anda pasang dropbox Anda.
  2. Dropbox menyimpan salinan cadangan file secara lokal, bahkan ketika Anda menghapus file.
  3. Anda perlu memastikan bahwa folder tempat Anda menyimpan file tidak ditandai untuk publik.
  4. Hal ini dimungkinkan bagi seseorang di perusahaan untuk membaca file Anda. Menurut informasi di tautan, hanya beberapa orang tertentu yang memiliki akses ke data Anda dan mereka seharusnya hanya akan mengaksesnya jika dipanggil.
  5. Dropbox menyimpan file Anda di Amazon S3, yang artinya memungkinkan (walaupun sangat tidak mungkin: mereka harus bisa mendekripsi) bagi seseorang di Amazon untuk mengakses data Anda.
Bryan
sumber
8
Ini semua berbicara tentang keamanan Dropbox dan enkripsi-nya. Namun seberapa aman basis data KeePass tanpa file kunci? Adakah yang bisa mendekripsi basis data KeePass tanpa kata sandi dan file kunci?
TusharG