¿Es seguro almacenar mis contraseñas en un .7z / .zip cifrado con 7-zip?


11

Esto es lo que hago:

Escriba todo tipo de contraseñas en un archivo de Excel (.xlsx)

Zip con una contraseña de 7-zip

  • AES 256

  • longitud> 8

  • combinación de símbolos AZ az 0-9

  • diferente de cualquier otra contraseña

Subirlo a Dropbox más o menos.

¿Es lo suficientemente seguro, ya que no quiero instalar ningún software adicional específicamente para almacenar contraseñas? (Quiero decir, si insisto sin software adicional, ¿hay formas más seguras?)

Sé un poco más específico:

Escenario 1:

Básicamente, supongo que nadie estará interesado en mis contraseñas. ¿Es lo suficientemente seguro como para evitar algunos ataques casuales (por diversión, tal vez) por piratas informáticos?

Escenario 2:

Si el gobierno está interesado en mí y me pueden quitar mi computadora, ¿es segura?


RESUMEN

El tipo que hace esta pregunta es paranoico y bastante vago (para instalar software adicional).

Según Biglig , Randolf Richardson y MaQleod, AES-256 (el método de cifrado utilizado por 7-zip) es lo suficientemente bueno como para evitar cualquier intento casual .

KeePass es recomendado por pepoluan en caso de que no sea tan flojo. Puede encontrar una lista extendida para la administración de contraseñas en una pregunta relacionada en este sitio: ¿Cómo realiza un seguimiento de todas sus contraseñas? , en el que KeePass es el más votado.

TrueCrypt se recomienda para el cifrado por Darokthar .

Para el escenario 2 (lo del gobierno), el criptoanálisis con manguera de goma no debe subestimarse (contribuido por la gravedad ).

La pregunta aún está abierta a mejores respuestas. Sin software adicional específico de contraseña / cifrado.


2
¿Cuáles son sus escenarios de ataque, es decir, contra qué quiere protegerse? ¿Hermanos analfabetos informáticos o gobiernos extranjeros (o los suyos)?
Daniel Beck

@Daniel Beck No lo sé. Puedes considerarme paranoico. Solo quiero sentirme seguro en general.

1
En el caso del escenario 2, nunca subestimes la efectividad del criptoanálisis con manguera de goma .
user1686

Respuestas:


4

Yo personalmente usaría KeePass .

KeePass no solo tiene una versión portátil (que puede ejecutar directamente desde un UFD), sino que es una base de datos de contraseñas con todas las funciones, con una función de "tipo automático" para que nadie necesite ver cuál es su contraseña.


KeePass , que se menciona en otra pregunta en este sitio. Me pregunto si insisto ningún software adicional ....

1
Hmmm ... no hay software adicional, ¿eh? Bueno, cuando descodifique su archivo de contraseña, probablemente usará el bloc de notas para ver el contenido que alguien puede mirar por encima del hombro . Luego harías una copia y pegaras, algún spyware / keylogger podría estar mirando el portapapeles . KeePass mantiene su contraseña oculta, además puede omitir los registradores Ctrl-V keepass.info/help/v2/autotype_obfuscation.html
pepoluan

6

7-zip utiliza AES-256, que está calificado como aceptable para documentos TOP SECRET por la NSA.

Suponiendo que use una frase de contraseña fuerte que debería ser más que suficiente para persuadir al atacante de que no se moleste en tratar de descifrar el archivo, sino que continúe inmediatamente para golpearlo con una llave inglesa.


3
¡Jaja! Ese comentario sobre la llave es hilarante. Si esto sucede, recomiendo abstenerse de decir algo como "¡Oh, hola, señor Fix it!"
Randolf Richardson

1
El AES de 7zip es suficiente para el escenario uno.
Biglig

Escenario 2, la fuerza de cifrado no es el problema. Depende de dónde se encuentre, pero en mi opinión los policías pueden meterme en la cárcel si no les digo mi contraseña. No creo que puedas hacer algo contra el gobierno y mantenerte flojo.
Biglig

3

Si el cifrado AES-256 es lo suficientemente seguro, entonces 7-Zip lo hará. También proporciona una opción adicional para cifrar los nombres de archivo. Si está encriptando sus datos, probablemente también debería encriptar los nombres de los archivos.


En realidad, acabo de nombrar el archivo como tarea o algo así ...

@Nate Bross, más o menos . No soy tan estúpido ...

1

Depende de su programa .zip si el cifrado es seguro. Sugeriría usar Truecrypt en su lugar. Puede crear un archivo cifrado y almacenar su archivo de Excel en él. Para las contraseñas, creo que es mejor tener contraseñas seguras y escribirlas que usar contraseñas débiles. Siempre que su sistema no esté comprometido y esté utilizando una contraseña segura para su archivo Truecrypt, debería ser bastante seguro. Pero no guardaría datos bancarios en línea.

Si su sistema se ve comprometido por un registrador de teclas, incluso podría ser mejor usar contraseñas almacenadas que piratearlas con el teclado. Pero solo usaría el archivo Truecrypt en Dropbox por razones de respaldo. No sé si Dropbox usa una conexión segura, si no tienen la contraseña y un atacante podría rastrear el archivo. Especialmente si está utilizando WiFi HotSpots o una red compartida.

Daniel Beck también tiene razón. Tienes que considerar el escenario de ataque. Si está trabajando para una empresa y tiene datos secretos, puede que no sea una buena solución, pero para un usuario normal está bastante bien. Sin embargo, debe cambiar sus contraseñas regularmente. Quizás cada mes o cada dos meses. Sólo para estar seguro.


No sé sobre Truecrypt . 7-zip usa AES-256. ¿Hasta qué punto es más débil que Truecrypt ?

Dropbox usa HTTPS para la sincronización.

@Dante Jiang Si Dropbox usa https, esto debería ser seguro siempre que ambos lados no se vean comprometidos (su caja y el servidor de Dropbox). Truecrypt es un programa de cifrado. Básicamente, podría cifrar cualquier archivo con él, colocando el archivo en el contenedor Truecrypt. Luego puede montar el archivo como un dispositivo (se convierte en CARTA: en el explorador de Windows). Luego puede abrir los archivos encriptados normalmente. Con Truecrypt puede seleccionar qué algoritmo usar y puede colocar archivos cifrados en archivos cifrados. Además, podría usar certificados como contraseñas de cifrado (si es paranoico).
Darokthar

0

Lo suficientemente seguro es relativo, pero en términos generales, no se consideraría seguro en absoluto y no sería aconsejable.


2
AES 256 es bueno, evitará que el usuario promedio intente algo. Si la frase de contraseña es lo suficientemente fuerte, entonces no debería tener que preocuparse por ataques aún más avanzados. Simplemente no estoy de acuerdo con el almacenamiento de contraseñas en un servicio de terceros, independientemente del cifrado utilizado.
MaQleod
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.