aWallet Password Manager

Navega tus respuestas
4

NOTA: Esta pregunta es una subparte de la pregunta original en un Administrador de contraseñas de Wallet publicado en Cryptography.StackExchange. Como sugerido por @SEJPM , lo estoy publicando aquí desde el tema de la pregunta es más adecuado para InformationSecurity.StackExchange.

Después de leer muchos artículos sobre cómo aumentar la seguridad de mis cuentas web, comencé a usar aWallet Password Manager para Android para hacer una copia de seguridad de mis contraseñas. Me gusta por las siguientes razones:

  • Puedo tener bastante contraseñas de buena entropía : soy capaz de agregar una mezcla de minúsculas y amp; MAYÚSCULAS alfabetos, dígitos, caracteres especiales (incluidos los espacios) y tienen contraseñas razonablemente largas (más de 10 caracteres)
  • Guardar mis contraseñas de forma segura me permite tener contraseñas distintas para cada cuenta web que de otra forma sería imposible. Esto evitaría un efecto de cascada (que otorga credenciales de todas las cuentas) que se crearía si una de mis cuentas, cuyas credenciales de inicio de sesión que comparto con varias cuentas, se vea comprometida.

No hace falta decir que el segundo punto es debatible porque tener todas las credenciales almacenadas en un solo lugar introduce un punto único de falla y representa un riesgo igual para el < em> reacción en cadena mencionada anteriormente.

Dado mi limitado conocimiento de la criptografía y las dudas sobre la privacidad (dados los incidentes recientes de robos en línea), quiero testificar la seguridad de un Gestor de contraseñas de Wallet antes de guardar mi Información bancaria / Tarjeta en ella. Esto es lo que afirman en su página de Google PlayStore :

  

CARACTERÍSTICAS DE SEGURIDAD

     

• Todos los datos están cifrados, incluidos los nombres de las entradas, las definiciones de categoría   y los propios datos.

     

• Cifra datos usando algoritmos AES y Blowfish con tamaños de clave de 256, 192 y 128 bits.

     

• Cuando el archivo de datos se descifra, se intentan con todas las combinaciones de algoritmo, tamaño de clave y modo de operación de cifrado (CBC, CFB, OFB y ECB) con la contraseña maestra para desbloquear el archivo de datos. Esto hace que los ataques de fuerza bruta sean más largos. La aplicación en sí no almacena ningún indicio sobre el cifrado real, el tamaño de la clave o el modo de funcionamiento del cifrado.

     

• Utiliza un 'salt' generado aleatoriamente combinado con la contraseña maestra. La sal ayuda a proteger de los ataques de diccionario fuera de línea.

     

• La clave para abrir el archivo de datos se crea combinando su contraseña maestra con el 'salt' de 512 bits. El resultado es hash 1000 veces por SHA-256. El hashing repetitivo hace que un ataque de fuerza bruta sea más difícil.

Si bien ninguno de estos puntos tiene mucho sentido para mí, lo poco que sé acerca de la criptografía me dice que [corríjame si me equivoco] repetir una técnica de cifrado varias veces no matemáticamente mejorar la seguridad ; solo puede dar una falsa impresión de seguridad añadida.

Y debido a esta inconsistencia, comencé a dudar de la validez de sus otras afirmaciones. Mis preguntas son: -

  1. ¿Existe alguna herramienta / técnica que pueda usar para intentar descifrar el archivo data.crypt que usa una aplicación de Wallet para probar su seguridad?
  2. aWallet no ofrece su propio almacenamiento en la nube y nos permite (opcionalmente) hacer una copia de seguridad del archivo data.crypt en Google Drive o Dropbox. ¿Qué tan seguro sería eso si uso la autenticación de 2 factores para mi cuenta de Google?
  3. En general, ¿es seguro almacenar las credenciales de inicio de sesión o los datos bancarios o ambos en un administrador de contraseñas?
pregunta y2k-shubham 09.04.2018 - 05:27
fuente

2 respuestas

2

Tenga en cuenta: esta publicación responde realmente a la (s) pregunta (s) en la pregunta y no comenta (mucho) sobre la seguridad de aWallet. Le sugiero que visite la versión de esta pregunta de Crypto.SE para una revisión de los detalles criptográficos.

  

¿Existe alguna herramienta / técnica que pueda usar para intentar descifrar el   ¿El archivo data.crypt usado por una aplicación de Wallet para probar su seguridad?

Una búsqueda rápida no reveló nada, por lo que supongo que este administrador de contraseñas no es lo suficientemente grande / no se ha investigado lo suficiente como para hacer que alguien más escriba una herramienta para atacar a este administrador de contraseñas.

  

aWallet no ofrece ningún almacenamiento en la nube propio y nos permite   (opcionalmente) haga una copia de seguridad del archivo data.crypt en Google Drive o Dropbox.   ¿Qué tan seguro sería eso si uso 2-Factor-Authentication para mi   Cuenta de Google?

Esto depende mucho.
Suponiendo que las medidas de seguridad de un Billetero sean realmente buenas y , utilice una contraseña segura y / o un archivo de clave local, luego cargar la base de datos de contraseñas cifradas en un servicio en la nube no afectará la seguridad, ya que su contraseña y / o El archivo de claves todavía protege las contraseñas. Por supuesto, la autenticación adicional y el control de acceso de estos servicios en la nube significa que es probable que solo usted y el proveedor tengan acceso y, por lo general, lo mejor para el proveedor es no filtrar los archivos de usuario.

  

En general, ¿es seguro almacenar credenciales de inicio de sesión o datos bancarios?   o ambos en un administrador de contraseñas?

Sí, mucho, si el administrador de contraseñas es decente.
El uso de un administrador de contraseñas le permite tener fácilmente contraseñas seguras y únicas para cada sitio web, lo que significa que se requiere un compromiso de su base de datos de contraseñas o de su cliente local. Como ya hemos establecido, la contraseña segura evita un compromiso de la copia de seguridad, por lo que el cliente queda comprometido como el vector para aprender la contraseña. Pero tan pronto como su cliente se vea comprometido, todas las apuestas se desactivarán de todos modos, ¡porque el atacante podría simplemente olfatear su teclado o monitorear / interceptar los datos de su red! Así que, en general, poco para perder y mucho para ganar al usar (buenos) administradores de contraseñas.

Si aWallet es un buen administrador de contraseñas, es una pregunta diferente (y se responde en Crypto.SE).

    
respondido por el SEJPM 09.04.2018 - 19:08
fuente
2

aWallet específicamente: no lo use. El creador obviamente no sabe lo que están haciendo. Solo seleccionaré una preocupación (hay varias que probablemente sean más obvias para People Smarter Than Me): podría encriptar su base de datos en modo ECB (a veces, pero no siempre).

El modo ECB es notablemente no seguro porque el mismo texto simple siempre se cifra al mismo texto cifrado. Por lo tanto, el modo BCE "no oculta los patrones de datos bien ... no proporciona una confidencialidad seria del mensaje, y es no se recomienda su uso en protocolos criptográficos en absoluto ".

Gestores de contraseñas en general: use uno. Pero elija uno bien conocido con buena reputación como 1Password, LastPass, KeePass, Dashlane, etc. O al menos use uno creado o recomendado por una empresa de seguridad o un investigador de seguridad conocido si no sabe dónde buscar. Un buen administrador de contraseñas con encriptación competente ( no al parecer, en un Wallet) es perfectamente seguro para guardar en la nube, siempre que su contraseña maestra sea segura.

Editar: Aceptar No puedo resistirme a elegir algunos otros puntos que saltan hacia mí para gritar "aléjate":

  • Con respecto a la transformación de la contraseña maestra en una clave de cifrado: "SHA-256 ha procesado el resultado 1000 veces". Esto es ridículamente insuficiente. Si se hacen correctamente, como mínimo utilizarían PBKDF con 10,000 rondas o más, en lugar de un bucle hash personalizado de solo 1000. Incluso eso sería apenas suficiente, y se compararía mal con los administradores de contraseñas implementados correctamente. Cientos de miles o más rondas serían más como eso. O abandone el hashing de contraseña basado en SHA y use algo como bcrypt o argon2. Este software no se puede comparar con las herramientas modernas.
  • "Es compatible con la destrucción automática del archivo de datos después de que se haya intentado un número predefinido de desbloqueos fallidos". Esto no afecta a un atacante en absoluto. La única persona que puede hacer daño es el usuario legítimo. Un atacante hará una copia de la base de datos o usará el software modificado para eliminar el límite de conjetura. Usted , por otro lado, puede perder accidentalmente todas sus contraseñas, y nunca volver a verlas, al activar el bloqueo de mayúsculas o una clave muerta, o algo por el estilo.
respondido por el Ben 09.04.2018 - 18:51
fuente

Lea otras preguntas en las etiquetas

¿Cómo funciona este bypass de AppLocker exactamente? ("Squibblydoo") Ejecute el comando bash cuando haya espacios y '' / \? & | se filtran?