¿Es seguro mantener un archivo KeePass en Dropbox? [cerrado]

56

¿Es seguro mantener el archivo de base de datos de contraseñas KeePass en Dropbox? La base de datos puede tener una contraseña larga (más de 14 caracteres alfabéticos, numéricos, especiales) y un archivo de clave local en la máquina o en el dispositivo móvil que no se comparte en Dropbox.

TusharG
fuente
1
Las contraseñas no deben almacenarse donde otros puedan verlas (como Dropbox).
m0skit0
2
Otros no pueden ver mi archivo de contraseña, ya que Dropbox mantiene el archivo estrictamente con mi inicio de sesión a menos que lo haya guardado en una carpeta compartida.
TusharG
1
¿Administradores del servidor de Dropbox?
m0skit0
Dropbox tuvo un problema técnico de seguridad importante en el que todos podían acceder a cualquier cuenta.
slhck
77
Tener un problema de seguridad y tenerlo como característica estándar no es exactamente lo mismo. Además keepass utiliza su propio cifrado.
Sirex

Respuestas:

43

La pregunta aquí no es si confía en Dropbox, sino si confía en keypass. Si su bóveda de contraseñas revela sus secretos cuando alguien más la tiene, entonces querrá encontrar otra cosa.

Keypass utiliza AES-256 para el cifrado, que sigue siendo el estándar de facto, y SHA-256 para crear una clave a partir de su frase de contraseña junto con una sal.

Entonces el método de encriptación es bueno. Entonces, querrá considerar si hay debilidades de implementación que puedan ser explotadas por alguien que se apodere de su bóveda. Bueno, keepass parece hacer un método de cifrado continuo, donde el archivo se divide en bloques y se cifra de forma múltiple. Un ataque de fuerza bruta llevaría tiempo, y puede aumentar las claves por segundo que se pueden probar al crear la base de datos. Elige que haga muchas rondas. Esto significa que lleva tiempo probar una clave. Para usted, significa que tiene que esperar un segundo más o menos para que se abra la base de datos. Para un atacante, significa que tienen que esperar un segundo más o menos para probar su siguiente clave.

Hay otros métodos de protección empleados, pero no son relevantes para este escenario, como mantener los contenidos de la bóveda encriptados en la memoria cuando la bóveda está abierta.

Debe revisar los métodos de seguridad utilizados, y si se siente feliz de que si la bóveda cayera en las manos equivocadas, estaría a salvo, entonces hágalo.

Pablo
fuente
1
Para mí es muy importante obtener acceso a la base de datos keepass en mi dispositivo móvil, pero mantenerla sincronizada es un gran problema. Por ahora, me arriesgaré y usaré una contraseña grande y compleja con un archivo de clave local como doble seguridad y la guardaré en Dropbox mientras almaceno el archivo de clave en el sistema de archivos móvil y en el disco duro en la computadora. Sé que es un riesgo.
TusharG
2
¿Qué sucede en el futuro (muy distante) cuando AES-256 será rompible? Dropbox mantiene revisiones antiguas de archivos, por lo que sus contraseñas estarán en riesgo, incluso si ha actualizado a un mecanismo más seguro para entonces. ¿Alguna idea?
doublehelix
1
@flixfe Mantiene 30 días de revisiones, por lo que hay una ventana de oportunidad allí. Una solicitud de función de eliminación a Dropbox, o una solución alternativa de almacenamiento en la nube que permita la eliminación de revisiones o que no las tenga en absoluto solucionaría esto.
Paul
1
Incluso si se rompe el AES-256. Obtener acceso al archivo de mi base de datos de contraseñas no es suficiente ya que mi base de datos necesita una contraseña y un archivo de clave local para abrir la base de datos. También verifiqué cómo funciona keepass, nunca crea ningún archivo de intercambio sin cifrar que luego se pueda recuperar en Dropbox, por lo que es muy seguro. Todo esto crea un archivo que dice que la base de datos está desbloqueada.
TusharG
2
@TusharG: AES-256 se está discutiendo como la protección Keepass; por lo tanto, si AES-256 se rompió y tiene la base de datos, no necesita el archivo de clave o la contraseña para ver su contenido. Sin embargo, el problema no existe: cuando AES-256 se haya roto lentamente, si Keepass aún se mantiene bien, habrá migrado a un estándar de cifrado diferente mucho más de 30 días antes.
Blaisorblade
5

Hay diferentes grados de seguridad, y la conveniencia de Dropbox frente a la seguridad de lo que estás tratando de hacer es algo que deberás evaluar por ti mismo.

Además, la seguridad depende del punto más débil. Si alguno de los siguientes se ve comprometido, sus archivos están expuestos:

  • Tú (olvídate de cerrar sesión, deja tu contraseña en un lugar fijo, comparte tu dropbox con otra persona)
  • Todas las computadoras con las que tienes Dropbox sincronizado. ¿Están usando contraseñas seguras? ¿Software actualizado? ¿Están encriptados sus discos? ¿Tienen activado el inicio de sesión automático?
  • Su conexión de red a Dropbox. ¿Tiene un firewall? ¿El firmware / software de su módem / enrutador está actualizado? ¿Están configurados correctamente?
  • El software, la red y las computadoras de Dropbox.
  • Amazon S3 (donde se almacenan sus archivos).

Considere lo siguiente y eso puede ayudarlo a tomar esa decisión:

  1. El archivo de la base de datos se almacenará en cada computadora que tenga instalado Dropbox.
  2. Dropbox almacena una copia de seguridad del archivo localmente, incluso cuando elimina el archivo.
  3. Usted necesita asegurarse de que la carpeta que está almacenando el archivo no esté marcado pública.
  4. Es posible que alguien de la empresa lea sus archivos. Según la información en el enlace, solo unas pocas personas selectas tienen acceso a sus datos y supuestamente solo accederán a ellos si se les cita.
  5. Dropbox almacena sus archivos en Amazon S3, lo que significa que es posible (aunque muy poco probable: tendrían que poder descifrarlo) que alguien en Amazon acceda a sus datos.
BryanH
fuente
8
Todo esto habla sobre la seguridad de Dropbox y su encriptación. Sin embargo, ¿qué tan segura es la base de datos KeePass sin archivo de clave? ¿Alguien puede descifrar la base de datos KeePass sin contraseña y archivo de clave?
TusharG