KeePass: ¿utiliza un archivo de clave o una contraseña normal?

17

Estoy configurando una base de datos KeePass y ofrece la posibilidad de usar un archivo de clave, que dice que es más seguro porque puede usar una contraseña más larga y compleja pero es más fácil de romper porque solo necesita el archivo de clave para abrir el archivo base de datos. Solo usaré el archivo de clave en 2 computadoras (una de escritorio y una portátil), ¿cuál es la mejor opción?

Tenga en cuenta que definitivamente es más atractivo usar el archivo de clave para mí porque me cuesta recordar algo cercano a una contraseña aleatoria.

passwords  encryption  password-management  keepass 
RCIX
fuente

Respuestas:

17

En cuanto a la capacidad de usar ' key files' con KeePass .

Para generar la clave de 256 bits para los cifrados de bloque, se utiliza el algoritmo de hash seguro SHA-256. Este algoritmo comprime la clave de usuario proporcionada por el usuario (que consta de contraseña y / o archivo de clave) a una clave de tamaño fijo de 256 bits. Esta transformación es unidireccional, es decir, es computacionalmente inviable invertir la función hash o encontrar un segundo mensaje que se comprima al mismo hash.

El ataque recientemente descubierto contra SHA-1 no afecta la seguridad de SHA-256. SHA-256 todavía se considera muy seguro .

(hay otra actualización reciente , pero creo que esas noticias no son relevantes aquí ).
Hasta el punto en la mano ,

Derivación de clave :
si solo se utiliza una contraseña (es decir, ningún archivo de clave), la contraseña más una sal aleatoria de 128 bits se codifica con SHA-256 para formar la clave final (pero tenga en cuenta que hay un cierto preprocesamiento: Protección contra ataques de diccionario). La sal aleatoria evita ataques basados ​​en hashes precalculados.

Cuando se utiliza la contraseña y el archivo de clave, la clave final se deriva de la siguiente manera: SHA-256 (SHA-256 (contraseña), contenido del archivo de clave), es decir, el hash de la contraseña maestra se concatena con los bytes del archivo de clave y el byte resultante la cadena se vuelve hash con SHA-256 nuevamente . Si el archivo de clave no contiene exactamente 32 bytes (256 bits), también se combinan con SHA-256 para formar una clave de 256 bits. La fórmula anterior cambia a: SHA-256 (SHA-256 (contraseña), SHA-256 (contenido del archivo clave)).

Si cree que su contraseña será un poco más débil (y mejor para su memoria),
el archivo de clave es un buen segundo factor .
Entonces, use ambos (juntos).

nik
fuente
jasonh
@jasonh, ¡Guau! usted me rechaza por sugerir seguridad de dos factores, con una Gibsonreferencia de entrevista que ha tomado de su propio sitio (sí, he escuchado a Leo antes, está bien). Agregue sus puntos aquí como una nueva respuesta para que las personas puedan beneficiarse.
nik
77
Sí, lo hice. Entiendo tener un segundo factor, pero aquí es inútil. El archivo de claves se mantendría prácticamente con la base de datos de contraseñas si es un usuario móvil. Si pierde el control de la base de datos, probablemente también haya perdido el control del archivo de clave. Como señala Steve Gibson, un archivo de clave no le brinda mucha seguridad adicional, si la hay.
jasonh
2
Un segundo factor es útil en el ejemplo del fútbol de PayPal. En este caso, tiene un dispositivo físico y una contraseña. Si su contraseña se ve comprometida, no hay razón para creer que su fútbol se pierde al mismo tiempo de forma predeterminada. En comparación, cuando los productos son una base de datos de contraseñas y el mecanismo de seguridad es simplemente otro archivo que reside junto a la base de datos, ¿de qué sirve? Ninguna.
jasonh
2
+1 para el uso de archivo de clave y contraseña maestra. Entonces, incluso si obtienen el archivo db y la clave, solo debe recordar 1 contraseña larga. Todavía no pueden hackear cerebros, así que en vez de eso, recibe entrenamiento de resistencia a la tortura.
Piotr Kula
5

El objetivo es mantener sus contraseñas seguras, por lo que esto es obvio: contraseña. Si usa un archivo de clave y pierde el control de su base de datos de contraseñas, todas sus contraseñas quedan expuestas.

jasonh
fuente
44
Siempre estará en riesgo si almacena su 'contraseña' en algún lugar (ya sea en una nota adhesiva o como un archivo de clave). Siempre que mantenga la contraseña en su cabeza (y es lo suficientemente compleja), entonces debería estar mejor.
Sam
1
Al utilizar tanto la contraseña y el archivo de la clave , la clave final se obtendrá de la siguiente manera: SHA-256(SHA-256(password), key file contents). El acceso al archivo solo es inútil. Pero, el conocimiento de la contraseña sin el contenido del archivo hace que sea más difícil romperla. Y, el archivo también agrega un fuerte salta su contraseña.
nik
1

Usa ambos. Mantenga su archivo de clave en su unidad flash y tráigalo siempre con usted. Pero no en ningún lugar del escritorio (es lo mismo que escribir una contraseña en notas adhesivas). Estoy usando de esta manera a mi partición HDD encriptada (con truecrypt). Entonces, si alguien aún obtiene su contraseña de alguna manera, también necesita el archivo de clave.

Pawka
fuente
1
Solo asegúrese de tener una copia de seguridad de su archivo de claves, así como de la base de datos de contraseñas. Si alguno de ellos se corrompe, necesitará una copia de seguridad nueva.
Torbjørn
0

Para un novato en la gestión de contraseñas:
solo contraseña
¿Por qué?
Corta sus problemas de gestión de archivos (incorrectos) a la mitad y los limita a un solo archivo.
Un KeepassX .kdbx db se puede proteger con una contraseña mixta de 64 caracteres. Eso es suficiente para crear una contraseña larga y segura.
Esto ayuda a subrayar que la contraseña (segura) (en su cabeza) es su enfoque principal (no donde guardó el archivo de clave, etc.).
Si tiene problemas para recordar contraseñas (por supuesto, todos lo hacemos) use un administrador de contraseñas (como KeepassX) y solo tendrá que recordar una buena y segura.

dotnetspec
fuente
1
Esto no responde la pregunta (muy específica) que se hizo.
Mokubai
-1

He optado por el uso de archivos clave. También he creado una cuenta de correo electrónico utilizada específicamente para almacenar mi archivo de claves (no me gusta andar con un flash USB cada vez que quiero acceder a mi cuenta de banca electrónica, por ejemplo).

Si la computadora que estoy usando no es personal, simplemente ingreso a esa cuenta de correo electrónico en la computadora en la que me gustaría usar el archivo de clave, luego ingreso a otra cuenta de correo electrónico que tiene la versión más reciente de mi .kdbx archivo.

Por último, descargo KeePass y lo instalo en la PC, uso la clave y .kdbx junto con mi contraseña de la base de datos y ¡listo!

Por supuesto, borro tanto el archivo .kdbx como el archivo de clave en la PC utilizada.

Roger Johnson
fuente
10
Consideraría esta mala práctica de seguridad en muchos niveles.
kluka
1
Sí, bastante inútil y más peligrosamente peligroso; especialmente la parte sobre simplemente abrir su archivo de contraseña en una computadora que "no es la mía personal". Sheesh Malo, ya que no puedo expresar cuán mala es esta práctica. Tengo una computadora portátil de trabajo que va conmigo a todas partes y, aunque es conveniente, porque otras personas (como en el departamento de TI) la "mantienen", ni siquiera confío en eso para almacenar o incluso abrir mi contraseña personal db.
nanker
@nanker, ¿cómo utiliza su contraseña personal db en su computadora portátil de trabajo? ¿Tiene tanto el archivo de claves como la base de datos en una clave usb?
RED_
2
@RED_ Nunca abro mi base de datos personal de keepass en mi computadora portátil del trabajo, no importa cuán conveniente pueda parecer a veces. La computadora portátil está bastante cargada para mis rutinas diarias y, aunque anteriormente he intentado determinar cuáles son todos los servicios que se ejecutan en la computadora portátil, aún no he podido precisarlos. Así que no puedo y no confío lo suficiente como para abrir mi base de datos keepass. Supongo que me llaman paranoico, pero siento que estoy en un lugar informado y feliz en lo que respecta a la seguridad de mi contraseña.
nanker
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.