Ist die Aufbewahrung einer KeePass-Datei in Dropbox sicher? [geschlossen]

56

Ist es sicher, die KeePass-Kennwortdatenbankdatei in Dropbox zu speichern? Die Datenbank kann ein langes (14+ alphanumerisches, Sonderzeichen-) Kennwort und eine lokale Schlüsseldatei auf dem Computer oder auf dem Mobiltelefon haben, die nicht in Dropbox freigegeben ist.

TusharG
quelle
1
Passwörter sollten nicht dort gespeichert werden, wo andere sie sehen können (wie z. B. Dropbox).
m0skit0
2
Andere können meine Passwortdatei nicht sehen, da Dropbox die Datei nur mit meiner Anmeldung speichert, wenn ich sie im freigegebenen Ordner gespeichert habe.
TusharG
1
Dropbox-Server-Administratoren?
m0skit0
Dropbox hatte eine große Sicherheitslücke, bei der jeder uneingeschränkt auf jedes Konto zugreifen konnte .
Slhck
7
Eine Sicherheitslücke zu haben und sie als Standard zu haben, ist nicht ganz dasselbe. Außerdem verwendet keepass eine eigene Verschlüsselung.
Sirex

Antworten:

43

Die Frage ist hier nicht, ob Sie Dropbox vertrauen, sondern ob Sie Keypass vertrauen. Wenn Ihr Kennwort-Tresor seine Geheimnisse preisgibt, wenn eine andere Person darauf zugreift, möchten Sie etwas anderes finden.

Keypass verwendet AES-256 für die Verschlüsselung, was de facto der Standard bleibt, und SHA-256, um einen Schlüssel aus Ihrer Passphrase zusammen mit einem Salt zu erstellen.

Die Verschlüsselungsmethode ist also gut. Dann sollten Sie sich überlegen, ob es Implementierungsschwächen gibt, die ausgenutzt werden können, wenn jemand Ihr Depot in die Hand nimmt. Nun, keepass scheint eine fortlaufende Verschlüsselungsmethode zu sein, bei der die Datei in Blöcke aufgeteilt und mehrfach verschlüsselt wird. Ein Brute-Force-Angriff würde einige Zeit in Anspruch nehmen, und Sie können die Schlüssel pro Sekunde erhöhen, die beim Erstellen der Datenbank getestet werden können. Wählen Sie, dass es viele Runden machen soll. Dies bedeutet, dass das Testen eines Schlüssels einige Zeit in Anspruch nimmt. Für Sie bedeutet dies, dass Sie ungefähr eine Sekunde warten müssen, bis die Datenbank geöffnet ist. Für einen Angreifer bedeutet dies, dass er ungefähr eine Sekunde warten muss, um seinen nächsten Schlüssel zu testen.

Es werden andere Schutzmethoden verwendet, die für dieses Szenario jedoch nicht relevant sind, z. B. das Verschlüsseln des Tresorinhalts im Speicher, wenn der Tresor geöffnet ist.

Sie sollten die verwendeten Sicherheitsmethoden überprüfen. Wenn Sie froh sind, dass der Tresor in die falschen Hände geraten ist und Sie in Sicherheit sind, versuchen Sie es.

Paul
quelle
1
Für mich ist es sehr wichtig, auf meinem Handy auf die keepass-Datenbank zuzugreifen. Es ist jedoch ein großes Problem, sie synchron zu halten. Im Moment nutze ich das Risiko und verwende ein komplexes großes Passwort mit lokaler Schlüsseldatei als doppelte Sicherheit. Behalte es in der Dropbox, während ich Schlüsseldateien auf dem mobilen Dateisystem und auf der Festplatte auf dem Computer speichere. Ich weiß, dass sie ein Risiko darstellen.
TusharG
2
Was passiert in (sehr ferner) Zukunft, wenn AES-256 zerbrechlich sein wird? Dropbox behält alte Revisionen von Dateien bei, sodass Ihre Passwörter gefährdet sind, selbst wenn Sie bis dahin auf einen sichereren Mechanismus aktualisiert haben. Irgendwelche Gedanken?
Doppelhelix
1
@flixfe Es werden 30 Tage lang Überarbeitungen durchgeführt, sodass sich dort ein Zeitfenster ergibt. Eine Anforderung zum Löschen von Features an Dropbox oder eine alternative Cloud-Speicherlösung, die das Löschen von Revisionen zulässt oder diese überhaupt nicht hat, würde dies beheben.
Paul
1
Auch wenn der AES-256 kaputt geht. Der Zugriff auf meine Kennwortdatenbankdatei reicht nicht aus, da meine Datenbank ein Kennwort und eine lokale Schlüsseldatei zum Öffnen der Datenbank benötigt. Außerdem habe ich überprüft, wie keepass funktioniert. Es werden keine unverschlüsselten Auslagerungsdateien erstellt, die später auf dropbox abgerufen werden können, sodass ich mich sehr sicher fühle. Alles, was es schafft, ist eine Datei, die besagt, dass die Datenbank entsperrt ist.
TusharG
2
@TusharG: AES-256 wird als Keepass-Schutz diskutiert. Wenn AES-256 defekt ist und Sie über die Datenbank verfügen, benötigen Sie weder die Schlüsseldatei noch das Kennwort, um den Inhalt anzuzeigen. Das Problem besteht jedoch nicht: Wenn AES-256 langsam kaputt gegangen ist und Keepass noch immer gut gewartet ist, wurde es vor mehr als 30 Tagen auf einen anderen Verschlüsselungsstandard migriert.
Blaisorblade
5

Es gibt verschiedene Sicherheitsstufen, und die Bequemlichkeit von Dropbox im Vergleich zu der Sicherheit, die Sie erreichen möchten, müssen Sie selbst beurteilen.

Sicherheit hängt auch vom schwächsten Punkt ab. Wenn eine der folgenden Situationen gefährdet ist, werden Ihre Dateien angezeigt:

  • Sie (vergessen, sich abzumelden, lassen Sie Ihr Passwort auf einem Sticky, teilen Sie Ihre Dropbox mit jemand anderem)
  • Jeder Computer, mit dem Sie Dropbox synchronisiert haben. Verwenden sie starke Passwörter? Software aktuell? Sind ihre Festplatten verschlüsselt? Haben sie die automatische Anmeldung aktiviert?
  • Ihre Netzwerkverbindung zu Dropbox. Hast du eine Firewall? Ist die Firmware / Software Ihres Modems / Routers auf dem neuesten Stand? Sind sie richtig konfiguriert?
  • Dropbox Software, Netzwerk und Computer.
  • Amazon S3 (wo Ihre Dateien gespeichert sind).

Beachten Sie Folgendes, und dies kann Ihnen möglicherweise bei dieser Entscheidung helfen:

  1. Die Datenbankdatei wird auf jedem Computer gespeichert, auf dem Ihre Dropbox installiert ist.
  2. Dropbox speichert eine Sicherungskopie der Datei lokal, auch wenn Sie die Datei löschen.
  3. Sie müssen sicherstellen, dass der Ordner, in dem Sie die Datei speichern, nicht als öffentlich markiert ist.
  4. Es ist möglich, dass jemand im Unternehmen Ihre Dateien liest. Den Informationen unter dem Link zufolge haben nur einige wenige Personen Zugriff auf Ihre Daten und sie werden angeblich nur dann darauf zugreifen, wenn sie vorgeladen sind.
  5. Dropbox speichert Ihre Dateien in Amazon S3, was bedeutet, dass es für jemanden bei Amazon möglich ist (auch wenn dies sehr unwahrscheinlich ist: er müsste es entschlüsseln können), auf Ihre Daten zuzugreifen.
BryanH
quelle
8
Hier geht es um die Dropbox-Sicherheit und ihre Verschlüsselung. Wie sicher ist die KeePass-Datenbank ohne Schlüsseldatei? Kann jemand die KeePass-Datenbank ohne Passwort und Schlüsseldatei entschlüsseln?
TusharG