En cuanto a la capacidad de usar ' key files
' con KeePass .
Para generar la clave de 256 bits para los cifrados de bloque, se utiliza el algoritmo de hash seguro SHA-256. Este algoritmo comprime la clave de usuario proporcionada por el usuario (que consta de contraseña y / o archivo de clave) a una clave de tamaño fijo de 256 bits. Esta transformación es unidireccional, es decir, es computacionalmente inviable invertir la función hash o encontrar un segundo mensaje que se comprima al mismo hash.
El ataque recientemente descubierto contra SHA-1 no afecta la seguridad de SHA-256. SHA-256 todavía se considera muy seguro .
(hay otra actualización reciente , pero creo que esas noticias no son relevantes aquí ).
Hasta el punto en la mano ,
Derivación de clave :
si solo se utiliza una contraseña (es decir, ningún archivo de clave), la contraseña más una sal aleatoria de 128 bits se codifica con SHA-256 para formar la clave final (pero tenga en cuenta que hay un cierto preprocesamiento: Protección contra ataques de diccionario). La sal aleatoria evita ataques basados en hashes precalculados.
Cuando se utiliza la contraseña y el archivo de clave, la clave final se deriva de la siguiente manera: SHA-256 (SHA-256 (contraseña), contenido del archivo de clave), es decir, el hash de la contraseña maestra se concatena con los bytes del archivo de clave y el byte resultante la cadena se vuelve hash con SHA-256 nuevamente . Si el archivo de clave no contiene exactamente 32 bytes (256 bits), también se combinan con SHA-256 para formar una clave de 256 bits. La fórmula anterior cambia a: SHA-256 (SHA-256 (contraseña), SHA-256 (contenido del archivo clave)).
Si cree que su contraseña será un poco más débil (y mejor para su memoria),
el archivo de clave es un buen segundo factor .
Entonces, use ambos (juntos).
Gibson
referencia de entrevista que ha tomado de su propio sitio (sí, he escuchado a Leo antes, está bien). Agregue sus puntos aquí como una nueva respuesta para que las personas puedan beneficiarse.El objetivo es mantener sus contraseñas seguras, por lo que esto es obvio: contraseña. Si usa un archivo de clave y pierde el control de su base de datos de contraseñas, todas sus contraseñas quedan expuestas.
fuente
SHA-256(SHA-256(password), key file contents)
. El acceso al archivo solo es inútil. Pero, el conocimiento de la contraseña sin el contenido del archivo hace que sea más difícil romperla. Y, el archivo también agrega un fuertesalt
a su contraseña.Usa ambos. Mantenga su archivo de clave en su unidad flash y tráigalo siempre con usted. Pero no en ningún lugar del escritorio (es lo mismo que escribir una contraseña en notas adhesivas). Estoy usando de esta manera a mi partición HDD encriptada (con truecrypt). Entonces, si alguien aún obtiene su contraseña de alguna manera, también necesita el archivo de clave.
fuente
Para un novato en la gestión de contraseñas:
solo contraseña
¿Por qué?
Corta sus problemas de gestión de archivos (incorrectos) a la mitad y los limita a un solo archivo.
Un KeepassX .kdbx db se puede proteger con una contraseña mixta de 64 caracteres. Eso es suficiente para crear una contraseña larga y segura.
Esto ayuda a subrayar que la contraseña (segura) (en su cabeza) es su enfoque principal (no donde guardó el archivo de clave, etc.).
Si tiene problemas para recordar contraseñas (por supuesto, todos lo hacemos) use un administrador de contraseñas (como KeepassX) y solo tendrá que recordar una buena y segura.
fuente
He optado por el uso de archivos clave. También he creado una cuenta de correo electrónico utilizada específicamente para almacenar mi archivo de claves (no me gusta andar con un flash USB cada vez que quiero acceder a mi cuenta de banca electrónica, por ejemplo).
Si la computadora que estoy usando no es personal, simplemente ingreso a esa cuenta de correo electrónico en la computadora en la que me gustaría usar el archivo de clave, luego ingreso a otra cuenta de correo electrónico que tiene la versión más reciente de mi .kdbx archivo.
Por último, descargo KeePass y lo instalo en la PC, uso la clave y .kdbx junto con mi contraseña de la base de datos y ¡listo!
Por supuesto, borro tanto el archivo .kdbx como el archivo de clave en la PC utilizada.
fuente