KeePassファイルをDropboxに保存して安全ですか?[閉まっている]


56

KeePassパスワードデータベースファイルをDropboxに保存しても安全ですか?データベースは、Dropboxで共有されていないマシンまたはモバイル上の長い(14+の英数字、特殊文字)パスワードとローカルキーファイルを持つことができますか?


1
パスワードは、他の人が見ることができる場所(Dropboxなど)に保存しないでください。
m0skit0

2
他のユーザーは、共有フォルダーに保存していない限り、Dropboxがログイン時にファイルを厳密に保持するため、パスワードファイルを見ることができません。
TusharG

1
Dropboxサーバー管理者ですか?
m0skit0

Dropboxには重大なセキュリティ障害があり、誰でもすべてのアカウントに完全にアクセスできました。
-slhck

7
セキュリティ障害があり、それを標準機能として使用することはまったく同じではありません。さらに、keepassは独自の暗号化を使用します。
サイレックス

回答:


43

ここでの質問は、Dropboxを信頼するかどうかではなく、キーパスを信頼するかどうかです。パスワードボルトが他の誰かがそれを手に入れたときにその秘密を放棄した場合、他の何かを見つけたいでしょう。

キーパスは、事実上の標準である暗号化にAES-256を使用し、ソルトと共にパスフレーズからキーを作成するためにSHA-256を使用します。

したがって、暗号化方式は優れています。だから、あなたはあなたのボールトを手に入れた誰かによって悪用される可能性のある実装の弱点があるかどうかを検討したくなるでしょう。keepassは、ファイルをブロックに分割して多重暗号化するローリング暗号化方式を実行しているようです。総当たり攻撃には時間がかかり、データベースの作成時にテストできるキー/秒を増やすことができます。多くのラウンドを行うためにそれを選択してください。つまり、キーのテストには時間がかかります。あなたにとっては、データベースが開くのを1秒ほど待つ必要があるということです。攻撃者にとって、次のキーをテストするのに1秒ほど待たなければならないことを意味します。

使用されている他の保護方法もありますが、ボールトが開いているときにボールトの内容をメモリに暗号化しておくなど、このシナリオには関係ありません。

使用されているセキュリティメソッドを確認する必要があります。金庫が間違った手に落ちた場合、安全であることに満足している場合は、それを選択します。


1
私にとって、モバイルでkeepassデータベースにアクセスすることは非常に重要ですが、同期を保つことは大きな問題です。とりあえず、ローカルのキーファイルに複雑な大きなパスワードを二重のセキュリティとして使用し、Dropboxに保管して、モバイルファイルシステムとコンピューターのHDDにキーファイルを保存します。私は彼らがリスクであることを知っています。
TusharG

2
AES-256が壊れる可能性がある(非常に遠い)将来に何が起こりますか?Dropboxはファイルの古いリビジョンを保持するため、それまでにさらに安全なメカニズムにアップグレードした場合でも、パスワードは危険にさらされます。何かご意見は?
ダブル

1
@flixfe 30日間の改訂が行われているため、機会があります。Dropboxへの機能の削除リクエスト、またはリビジョンの削除を許可するか、まったく持っていない代替のクラウドストレージソリューションがこれを修正します。
ポール

1
AES-256が壊れても。データベースを開くにはパスワードとローカルキーファイルが必要なので、パスワードデータベースファイルにアクセスするだけでは不十分です。また、keepassがどのように機能するかを確認しました。暗号化されていないスワップファイルは作成されず、後でdropboxで取得できるため、非常に安全です。データベースがロック解除されているというファイルを作成します。
TusharG

2
@TusharG:AES-256はKeepass保護として議論されています。したがって、AES-256が壊れていてデータベースがある場合、その内容を確認するためにキーファイルまたはパスワードは必要ありません。ただし、問題は存在しません。AES-256がゆっくりと壊れた場合、Keepassがまだ十分に維持されていれば、30日以上も前に別の暗号化標準に移行します。
ブレイザーブレード

5

セキュリティにはさまざまな程度があります。Dropboxの利便性としようとしていることのセキュリティは、自分で評価する必要があります。

また、セキュリティは最も弱い点に依存します。次のいずれかが危険にさらされると、ファイルが公開されます。

  • あなた(ログアウトするのを忘れて、パスワードを付箋に残し、Dropboxを他の人と共有する)
  • Dropboxを同期したすべてのコンピューター。強力なパスワードを使用していますか?ソフトウェアは最新ですか?ディスクは暗号化されていますか?自動ログインが有効になっていますか?
  • Dropboxへのネットワーク接続。ファイアウォールはありますか?モデム/ルーターのファームウェア/ソフトウェアは最新ですか?適切に構成されていますか?
  • Dropboxのソフトウェア、ネットワーク、コンピューター。
  • Amazon S3(ファイルが保存されている場所)。

次のことを考慮してください。これは、その決定を下すのに役立ちます。

  1. データベースファイルは、Dropboxがインストールされているすべてのコンピューターに保存されます。
  2. ファイルを削除しても、Dropboxはファイルのバックアップコピーをローカルに保存します。
  3. ファイルを保存しているフォルダがパブリックとしてマークされていないことを確認する必要があります。
  4. 会社の誰かがあなたのファイルを読むことは可能です。リンクの情報によると、ごく少数の人だけがあなたのデータにアクセスしており、彼らは召喚された場合にのみアクセスすると思われます。
  5. DropboxはあなたのファイルをAmazon S3に保存します。つまり、Amazonの誰かがあなたのデータにアクセスすることは可能です(非常に可能性は低いですが、解読する必要があります)。

8
これはすべて、Dropboxのセキュリティとその暗号化について述べています。しかし、キーファイルのないKeePassデータベースはどれほど安全ですか?誰でもパスワードとキーファイルなしでKeePassデータベースを解読できますか?
TusharG
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.