Est-il sûr de stocker mes mots de passe dans un .7z / .zip crypté par 7-zip?

11

Voici ce que je fais:

Tapez toutes sortes de mots de passe dans un fichier Excel (.xlsx)

Zip avec un mot de passe par 7-zip

  • AES 256

  • longueur> 8

  • combinaison de symboles AZ az 0-9

  • différent de tout autre mot de passe

Téléchargez-le sur Dropbox ou plus.

Est - il assez sûr, comme je ne pas envie d'installer un logiciel supplémentaire spécifiquement pour le stockage des mots de passe? (Je veux dire, si je n'insiste pas sur un logiciel supplémentaire, des moyens plus sûrs?)

Soyez un peu plus précis:

Scénario 1:

Fondamentalement, je suppose que personne ne sera intéressé par mes mots de passe. Est-il suffisamment sûr pour empêcher certaines attaques occasionnelles (pour le plaisir peut-être) par des pirates?

Scénario 2:

Si le gouvernement s'intéresse à moi et que mon ordinateur peut être pris, est-ce sûr?

SOMMAIRE

Le gars qui pose cette question est paranoïaque et assez paresseux (pour installer des logiciels supplémentaires).

Selon Biglig , Randolf Richardson et MaQleod, l' AES-256 (la méthode de cryptage utilisée par 7-zip) est assez agréable pour empêcher toute tentative fortuite .

KeePass est recommandé par pepoluan au cas où je ne serais pas si paresseux. Une liste étendue pour la gestion des mots de passe peut être trouvée dans une question connexe sur ce site: Comment gardez-vous une trace de tous vos mots de passe? , dans lequel KeePass est le plus voté.

TrueCrypt est recommandé pour le cryptage par Darokthar .

Pour le scénario 2 (l'affaire gouvernementale), la cryptanalyse des flexibles en caoutchouc ne doit pas être sous-estimée (apportée par grawity ).

La question reste ouverte à de meilleures réponses. Pas de logiciel supplémentaire spécifique au mot de passe / cryptage.

7-zip password-management aes Communauté
la source
2
Quels sont vos scénarios d'attaque, c'est-à-dire contre quoi voulez-vous vous protéger? Frères et sœurs analphabètes ou gouvernements étrangers (ou les vôtres)?
Daniel Beck
@Daniel Beck, je ne sais pas. Vous pouvez me considérer comme paranoïaque. Je veux juste me sentir en sécurité en général.
1
Dans le cas du scénario 2, ne sous-estimez jamais l'efficacité de la cryptanalyse avec un tuyau en caoutchouc .
user1686

Réponses:

4

J'utiliserais personnellement KeePass .

Non seulement KeePass a une version portable (que vous pouvez exécuter directement à partir d'un UFD), c'est une base de données de mots de passe complète, avec une fonction de `` type automatique '', donc personne n'a besoin de voir quel est votre mot de passe.

pepoluan
la source
Je connais KeePass , qui est mentionné dans une autre question de ce site. Je me demande simplement si je n'insiste pas sur un logiciel supplémentaire ....
1
Hmmm ... pas de logiciel supplémentaire, hein? Eh bien, lorsque vous décryptez votre fichier de mot de passe, vous utiliserez probablement le bloc-notes pour voir son contenu que quelqu'un peut jeter un coup d'œil par-dessus votre épaule . Ensuite, vous feriez un copier-coller certains logiciels espions / enregistreurs de frappe pourraient regarder le presse-papiers . KeePass garde votre mot de passe caché, en plus il peut contourner les enregistreurs Ctrl-V keepass.info/help/v2/autotype_obfuscation.html
pepoluan
6

7-zip utilise AES-256, qui est jugé acceptable par la NSA pour les documents TOP SECRET.

En supposant que vous utilisez une phrase de passe forte qui devrait être plus que suffisante pour persuader l'attaquant de ne pas s'embêter à essayer de casser le fichier, mais de passer immédiatement à vous le battre avec une clé.

Biglig
la source
3
Ha ha! Ce commentaire sur la clé est hilarant. Si cela se produit, je recommande fortement de ne pas dire quelque chose comme "Oh, bonjour M. Fix It!"
Randolf Richardson
1
L'AES de 7zip est suffisant pour le scénario un.
Biglig
Scénario 2, la force du chiffrement n'est pas le problème. Cela dépend où vous êtes, mais dans ma légalité, les flics peuvent me mettre en prison si je ne leur dis pas mon mot de passe. Je ne pense pas que vous puissiez faire quelque chose contre le gouvernement et rester paresseux.
Biglig
3

Si le cryptage AES-256 est suffisamment sûr, 7-Zip le fera. Il fournit également une option supplémentaire pour crypter les noms de fichiers. Si vous cryptez vos données, vous devriez probablement également crypter les noms de fichiers.

Randolf Richardson
la source
En fait, je viens de nommer le fichier comme devoirs ou plus ....
@Nate Bross, ou alors . Je ne suis pas si stupide ....
1

Cela dépend de votre programme .zip si le cryptage est sécurisé. Je suggérerais d'utiliser Truecrypt à la place. Vous pouvez créer un fichier crypté et y stocker votre fichier Excel. Pour les mots de passe, je pense qu'il vaut mieux avoir des mots de passe forts et les écrire que d'utiliser des mots de passe faibles. Tant que votre système n'est pas compromis et que vous utilisez un mot de passe fort pour votre fichier Truecrypt, il devrait être assez sûr. Mais je n'y enregistrerais aucune donnée bancaire en ligne.

Si votre système est compromis par un enregistreur de frappe, il pourrait même être préférable d'utiliser des mots de passe stockés que de les pirater avec le clavier. Mais je n'utiliserais que le fichier Truecrypt dans la boîte de dépôt pour des raisons de sauvegarde. Je ne sais pas si dropbox utilise une connexion sécurisée, sinon le mot de passe et le fichier pourrait être reniflé par un attaquant. Surtout si vous utilisez des HotSpots WiFi ou un réseau partagé.

Daniel Beck a aussi raison. Vous devez considérer le scénario d'attaque. Si vous travaillez pour une entreprise et avez des données secrètes, ce n'est peut-être pas une bonne solution, mais pour un utilisateur normal, c'est tout à fait correct. Vous devez cependant changer régulièrement vos mots de passe. Peut-être tous les mois ou tous les deux mois. Juste pour être sûr.

Darokthar
la source
Je ne connais pas Truecrypt . 7-zip utilise AES-256. Dans quelle mesure est-il plus faible que Truecrypt ?
Dropbox utilise HTTPS pour la synchronisation.
@Dante Jiang Si Dropbox utilise https, cela devrait être sûr tant que les deux côtés ne sont pas compromis (votre box et le serveur Dropbox). Truecrypt est un programme de cryptage. Vous pouvez essentiellement crypter n'importe quel fichier avec lui, en le mettant dans le conteneur Truecrypt. Ensuite, vous pouvez monter le fichier comme un appareil (il devient LETTRE: dans l'explorateur Windows). Ensuite, vous pouvez ouvrir les fichiers cryptés normalement. Avec Truecrypt, vous pouvez sélectionner l'algorithme à utiliser et vous pouvez placer des fichiers cryptés dans des fichiers cryptés. De plus, vous pouvez utiliser des certificats comme mots de passe de cryptage (si vous êtes paranoïaque).
Darokthar
0

La sécurité est relativement relative, mais d'une manière générale, elle ne serait pas du tout considérée comme sûre et ne serait pas recommandée.

MaQleod
la source
2
AES 256 est bon, il empêchera l'utilisateur moyen de tenter quoi que ce soit. Si la phrase secrète est suffisamment forte, vous ne devriez pas avoir à vous soucier d'attaques encore plus avancées. Je ne suis tout simplement pas d'accord avec le stockage de mots de passe sur un service tiers, quel que soit le cryptage utilisé.
MaQleod