Conserver un fichier KeePass dans Dropbox est-il sécurisé? [fermé]

56

Est-il prudent de conserver le fichier de base de données de mots de passe KeePass dans Dropbox? La base de données peut avoir un mot de passe long (plus de 14 caractères alphabétiques, numériques et spéciaux) et un fichier de clé local sur la machine ou sur le mobile qui n'est pas partagé dans Dropbox?

TusharG
la source
1
Les mots de passe ne doivent pas être stockés là où les autres peuvent les voir (comme Dropbox).
m0skit0
2
Les autres utilisateurs ne peuvent pas voir mon fichier de mots de passe car Dropbox conserve le fichier strictement avec mon identifiant de connexion, sauf si je l'ai conservé dans un dossier partagé.
TusharG
1
Administrateurs du serveur Dropbox?
m0skit0
Dropbox présentait un problème de sécurité majeur: tout le monde pouvait accéder à n’importe quel compte.
Slhck
7
Avoir un problème de sécurité et en faire une fonctionnalité standard n'est pas tout à fait la même chose. De plus, Keepass utilise son propre cryptage.
Sirex

Réponses:

43

La question ici n'est pas de savoir si vous faites confiance à Dropbox, mais si vous faites confiance à keypass. Si votre coffre de mots de passe renonce à ses secrets quand quelqu'un d'autre s'en empare, vous voudrez alors trouver autre chose.

Keypass utilise AES-256 pour le chiffrement, qui reste le standard de facto, et SHA-256 pour créer une clé à partir de votre phrase secrète avec un sel.

Donc, la méthode de cryptage est bonne. Dans ce cas, vous voudrez peut-être déterminer s’il existe des faiblesses dans l’implémentation pouvant être exploitées par une personne s’emparant de votre centre de sauvegarde. Keepass semble utiliser une méthode de cryptage progressive, dans laquelle le fichier est divisé en blocs et crypté plusieurs fois. Une attaque par force brute prend du temps et vous pouvez augmenter le nombre de clés par seconde pouvant être testées lors de la création de la base de données. Choisissez pour cela faire beaucoup de tours. Cela signifie qu'il faut du temps pour qu'une clé soit testée. Pour vous, cela signifie que vous devez attendre une seconde environ pour que la base de données s'ouvre. Pour un attaquant, cela signifie qu'il doit attendre une seconde ou plus pour tester sa prochaine clé.

D'autres méthodes de protection sont utilisées, mais ne sont pas pertinentes pour ce scénario, par exemple, le contenu chiffré du coffre-fort doit être chiffré en mémoire lorsque le coffre-fort est ouvert.

Vous devriez revoir les méthodes de sécurité utilisées et, si vous vous sentez content que si le coffre-fort tombe entre de mauvaises mains, vous serez en sécurité, foncez.

Paul
la source
1
Pour moi, il est très important d’avoir accès à la base de données keepass sur mon mobile, mais le garder synchronisé est un gros problème. Pour le moment, je vais tenter le coup et utiliser un gros mot de passe complexe avec un fichier de clé local comme double sécurité et le conserver dans une boîte de dépôt pendant que je vais stocker le fichier de clé sur le système de fichiers mobile et sur le disque dur de l'ordinateur. Je sais que leur est un risque.
TusharG
2
Que se passe-t-il dans le futur (très lointain) quand AES-256 sera cassable? Dropbox conserve les anciennes révisions de fichiers afin que vos mots de passe soient menacés, même si vous avez déjà effectué la mise à niveau vers un mécanisme plus sécurisé. Des pensées?
doublehelix
1
@flixfe Il conserve 30 jours de révisions, il y a donc une fenêtre d'opportunité. Une demande de suppression de fonctionnalité dans une boîte de dépôt, ou une solution de stockage en nuage alternative qui permet la suppression de révisions ou ne les contient pas du tout, résoudrait ce problème.
Paul
1
Même si l'AES-256 casse. Obtenir l'accès à mon fichier de base de données de mots de passe n'est pas suffisant car ma base de données a besoin d'un mot de passe et d'un fichier de clé local pour ouvrir la base de données. De plus, j'ai vérifié le fonctionnement de keepass, qui ne créait jamais aucun fichier d'échange non chiffré pouvant être retranscrit ultérieurement sur une boîte de dépôt, ce qui est très sûr, à mon avis. Tout cela crée un fichier qui dit que la base de données est déverrouillée.
TusharG
2
@TusharG: AES-256 est en cours de discussion en tant que protection Keepass; par conséquent, si AES-256 était endommagé et que vous disposiez de la base de données, vous n'avez besoin ni du fichier de clé ni du mot de passe pour consulter son contenu. Cependant, le problème n'existe pas: quand AES-256 sera cassé lentement, si Keepass est toujours bien maintenu, il aura migré vers une norme de cryptage différente bien plus de 30 jours auparavant.
Blaisorblade
5

Il existe différents degrés de sécurité et la commodité de Dropbox par rapport à la sécurité de ce que vous essayez de faire est quelque chose que vous devez évaluer pour vous-même.

En outre, la sécurité dépend du point le plus faible. Si l'un des éléments suivants est compromis, vos fichiers sont exposés:

  • Vous (oubliez de vous déconnecter, laissez votre mot de passe sur un sticky, partagez votre dropbox avec quelqu'un d'autre)
  • Tous les ordinateurs sur lesquels vous avez synchronisé Dropbox. Utilisent-ils des mots de passe forts? Logiciel à jour? Est-ce que leurs disques sont cryptés? Ont-ils la connexion automatique activée?
  • Votre connexion réseau à Dropbox. As-tu un pare-feu? Le micrologiciel / logiciel de votre modem / routeur est-il à jour? Sont-ils configurés correctement?
  • Le logiciel, le réseau et les ordinateurs de Dropbox.
  • Amazon S3 (où sont stockés vos fichiers).

Considérez ce qui suit et qui pourrait vous aider à prendre cette décision:

  1. Le fichier de base de données sera stocké sur chaque ordinateur sur lequel votre Dropbox est installée.
  2. Dropbox stocke une copie de sauvegarde du fichier localement, même lorsque vous supprimez le fichier.
  3. Vous devez vous assurer que le dossier dans lequel vous stockez le fichier n'est pas marqué comme public.
  4. Il est possible que quelqu'un de la société lise vos fichiers. Selon les informations sur le lien, seules quelques personnes ont accès à vos données et elles n’y accéderont que si elles sont assignées à comparaître.
  5. Dropbox stocke vos fichiers sur Amazon S3, ce qui signifie qu'il est possible (bien que très improbable: ils doivent pouvoir le déchiffrer) pour que quelqu'un chez Amazon puisse accéder à vos données.
BryanH
la source
8
Tout cela parle de la sécurité de Dropbox et de son cryptage. Cependant, la base de données KeePass est-elle sûre sans fichier de clé? Quelqu'un peut-il déchiffrer la base de données KeePass sans mot de passe ni fichier de clé?
TusharG