Concernant la possibilité d'utiliser ' key files
' avec KeePass .
Afin de générer la clé 256 bits pour les chiffrements de bloc, l'algorithme de hachage sécurisé SHA-256 est utilisé. Cet algorithme comprime la clé utilisateur fournie par l'utilisateur (composée d'un mot de passe et / ou d'un fichier de clés) en une clé de taille fixe de 256 bits. Cette transformation est à sens unique, c'est-à-dire qu'il est impossible sur le plan informatique d'inverser la fonction de hachage ou de trouver un deuxième message qui se comprime dans le même hachage.
L' attaque récemment découverte contre SHA-1 n'affecte pas la sécurité de SHA-256. SHA-256 est toujours considéré comme étant très sécurisé .
(il y a une autre mise à jour récente , mais je pense que ces nouvelles ne sont pas pertinentes ici ).
Au point en question ,
Dérivation de clé :
si seul un mot de passe est utilisé (c'est-à-dire aucun fichier de clé), le mot de passe plus un sel aléatoire de 128 bits sont hachés à l'aide de SHA-256 pour former la clé finale (mais notez qu'il existe un certain prétraitement: protection contre les attaques par dictionnaire). Le sel aléatoire empêche les attaques basées sur des hachages pré-calculés.
Lorsque vous utilisez à la fois le mot de passe et le fichier de clés, la clé finale est dérivée comme suit: SHA-256 (SHA-256 (mot de passe), contenu du fichier de clés), c'est-à-dire que le hachage du mot de passe principal est concaténé avec les octets du fichier de clés et l'octet résultant la chaîne est de nouveau hachée avec SHA-256 . Si le fichier de clés ne contient pas exactement 32 octets (256 bits), ils sont également hachés avec SHA-256 pour former une clé de 256 bits. La formule ci-dessus se transforme alors en: SHA-256 (SHA-256 (mot de passe), SHA-256 (contenu du fichier clé)).
Si vous pensez que votre mot de passe va être un peu plus faible (et meilleur pour votre mémoire),
le fichier clé est un bon deuxième facteur .
Donc, utilisez les deux (ensemble).
Gibson
référence d'interview que vous avez prise sur son propre site (ouais, j'ai déjà entendu Leo auparavant, très bien). Veuillez ajouter vos points ici comme nouvelle réponse pour que les gens puissent en bénéficier.Le but est de garder vos mots de passe sécurisés, c'est donc une évidence: mot de passe. Si vous utilisez un fichier de clés et que vous perdez le contrôle de votre base de données de mots de passe, vos mots de passe sont tous exposés.
la source
SHA-256(SHA-256(password), key file contents)
. L'accès au fichier seul est inutile. Mais, la connaissance du mot de passe sans le contenu du fichier rend sa rupture plus difficile. Et, le fichier ajoute également un fortsalt
à votre mot de passe.Utilise les deux. Conservez votre fichier clé dans votre lecteur flash et apportez-le toujours avec vous. Mais pas quelque part sur le bureau (c'est la même chose que d'écrire un mot de passe sur des notes autocollantes). J'utilise de cette façon ma partition de disque dur cryptée (avec truecrypt). Donc, si quelqu'un obtient toujours votre mot de passe, il a également besoin du fichier de clés.
la source
Pour un débutant dans la gestion des mots de passe:
Mot de passe uniquement
Pourquoi?
Il réduit de moitié vos problèmes de gestion des fichiers et les limite à un seul fichier.
Une base de données KeepassX .kdbx peut être sécurisée avec un mot de passe mixte de 64 caractères. Il y a amplement de possibilités pour créer un mot de passe long et sécurisé.
Cela aide à souligner que le mot de passe (fort) (dans votre tête) est votre objectif principal (pas où vous avez gardé le fichier clé, etc.).
Si vous avez du mal à vous souvenir des mots de passe (bien sûr, nous le faisons tous), utilisez un gestionnaire de mots de passe (comme KeepassX) et vous n'aurez qu'à vous en souvenir d'un bon.
la source
J'ai opté pour l'utilisation des fichiers clés. J'ai également créé un compte de messagerie utilisé spécifiquement pour stocker mon fichier de clés (je n'aime pas traîner avec un flash USB chaque fois que je veux accéder à mon compte e-banking par exemple).
Si l'ordinateur que j'utilise n'est pas mon ordinateur personnel, je me connecte simplement à ce compte de messagerie sur l'ordinateur sur lequel j'aimerais utiliser le fichier de clé, puis je me connecte à un autre compte de messagerie contenant la version la plus récente de mon .kdbx fichier.
Enfin, je télécharge KeePass et l'installe sur le PC, utilise la clé et .kdbx avec mon mot de passe de base de données et c'est tout!
Bien sûr, j'efface à la fois le fichier .kdbx et le fichier clé sur le PC utilisé.
la source