¿Es TrueCrypt lo suficientemente seguro como para almacenar contraseñas de texto simple?

Navega tus respuestas
17

La razón: quiero poder usar una unidad USB portátil para acceder a mis contraseñas en cualquier máquina y sistema operativo. TrueCrypt parece ser el único programa que tiene soporte suficiente en todas las plataformas principales. Así que pensé que almacenaría mis contraseñas en un volumen oculto en un contenedor TrueCrypt almacenado en la unidad en un archivo .txt simple, de modo que pueda estar seguro de acceder a eso en cualquier máquina.

Mi pregunta es: ¿es suficiente seguridad (razonable) para almacenar mis contraseñas? ¿O debería usar más capas de cifrado? ¿Qué tan fácil sería acceder a las contraseñas si alguna vez perdiera el disco?

(Aparte de los intentos obvios de registrar la contraseña "maestra" en una máquina, asumamos que todas las máquinas en las que usaré la unidad están limpias)

    
pregunta Florian Peschka 03.09.2012 - 08:29
fuente

8 respuestas

19

Eso es tan bueno como el cifrado se va a conseguir. TrueCrypt es un software de encriptación de disco respetado y respetado. No hay garantías en la vida, pero TrueCrypt es tan bueno como se ve hoy.

El principal riesgo restante no es que alguien encuentre una debilidad criptoanalítica en TrueCrypt y rompa los algoritmos de cifrado de TrueCrypt. Más bien, los principales riesgos restantes son:

  • Que elegirá una contraseña incorrecta para TrueCrypt. Defensa: elija una frase de contraseña larga y segura para TrueCrypt.

  • Que una de las máquinas que usas tiene malware. Si escribe su frase de contraseña TrueCrypt en cualquier máquina que esté infectada con malware, ya no tendrá ningún motivo para esperar que esté seguro. Entonces, ¿confías en que tus máquinas probablemente estén libres de malware?

(Más capas de cifrado no harán nada contra estos riesgos.)

La respuesta corta es: si cree que sus máquinas están limpias de malware, es probable que este enfoque sea lo suficientemente seguro.

P.S. Si pierde el disco y no tiene copias de seguridad, no tendrá suerte. Por lo tanto, mantenga una copia de seguridad del archivo en otro lugar: tal vez una copia impresa que guarde en un lugar seguro, tal vez otra copia de la unidad, también encriptada, o tal vez algo completamente distinto.

    
respondido por el D.W. 03.09.2012 - 08:58
fuente
5

Tuve un problema similar, necesitaba una forma de cifrar los datos en memorias USB de forma portátil.

Primero pensé en comprar una de estas memorias USB cifradas. Hay dos tipos: algunos dependen de una aplicación de software, mientras que otros tienen un candado físico. Deseché la opción de software porque eran solo para Windows, y porque no puedo estar 100% seguro de que el software sea seguro y no pueda ser pirateado, o que tenga una puerta trasera, o incluso "teléfonos de casa". También descarté los candados, ya que algunos usuarios informaron sobre la pérdida de datos y necesitaban formatear la unidad de vez en cuando. Además, no puedo confiar en que el candado no se rompa con el uso.

Por lo tanto, actualmente estoy usando TrueCrypt para tener volúmenes cifrados basados en archivos de contenedor en memorias USB normales. Pero esta no es una solución completamente portátil, ya que TrueCrypt necesita permisos de administrador (por lo tanto, si va a un cibercafé o intenta usar un terminal público, no funcionará). Por otro lado, estos volúmenes se pueden configurar para que se monten automáticamente (lo cual es bueno, pero solo en caso de que la computadora esté protegida), y funciona tanto en Windows como en Linux, por lo que lo estoy usando para mover datos de mi hogar a trabajo. TrueCrypt también es de código abierto, por lo que puede inspeccionar el código y asegurarse de que hace exactamente lo que dice.

Para cifrar las contraseñas de las cuentas, recomiendo usar un formato de archivo más estándar (como zip) que también admita el cifrado. Un buen ejemplo de esto es 7-zip que soporta AES-256 y también es de código abierto. Las ventajas: puede llevar una versión 7-zip portátil en el USB junto con los archivos cifrados, y puede ejecutarla en cualquier computadora sin preocuparse por los permisos (por lo que es un enfoque completamente portátil). Los contras: cada vez que necesite agregar o modificar un archivo en el contenedor zip, deberá descifrar el archivo contenedor, modificarlo y cifrar todo nuevamente. Como puede ver, a menos que recuerde destruir el archivo comprimido temporal sin cifrar, cualquiera puede recuperarlo. Entonces, sí, es un buen enfoque, pero para archivos de solo lectura, siempre que sepas lo que estás haciendo.

En el futuro, probablemente codificaría mi propia solución similar a Dropbox, con versiones de escritorio y móviles.

    
respondido por el Mister Smith 03.09.2012 - 11:19
fuente
1

No soy criptógrafo, pero he oído que TrueCrypt es muy seguro.

Para mayor seguridad, es probable que pueda instalarlo en una unidad segura como las que hace Verbatim o Kingston .

O por menos seguridad, considere un servicio muy conveniente como LastPass .

    
respondido por el JCP 03.09.2012 - 09:04
fuente
1

Otra forma en que un atacante podría recuperar su contraseña de Truecrypt (necesita acceso físico a su computadora y el volumen se ha montado recientemente): recupere la contraseña de la RAM después de que se haya apagado. La RAM puede retener información durante minutos o incluso más en las condiciones físicas adecuadas.

ver, por ejemplo, Ataques de arranque en frío en las claves de cifrado

    
respondido por el Benoit 03.09.2012 - 11:15
fuente
1

No lo recomendaría. No es que no sea seguro, es que estás reinventando innecesariamente la rueda. Busque en un administrador de contraseñas como (mi favorito) LastPass , KeePass o Roboform .

    
respondido por el Fairlight 25.09.2012 - 00:43
fuente
1

Use un contenedor de archivos TrueCrypt (Win, Linux, Mac) o use una imagen de disco cifrada (Mac) con una contraseña segura. Dentro de la tienda hay un archivo de texto para cada inicio de sesión. Por ejemplo, My Bank.txt, Amazon.com.txt, Facebook.txt.

La ventaja es que, en el caso de que se produzca un bloqueo mientras está viendo un inicio de sesión, solo hay un archivo abierto para ser volcado en el disco, no un solo archivo de texto con el lote.

    
respondido por el Chris 21.07.2014 - 20:32
fuente
0

solo como referencia, ya hay un brute-forcer enlace , nada es 100% seguro. Por supuesto, no solo abrirá su contraseña, pero la existencia de una herramienta de este tipo abre espacio a los servicios en la nube para desplegar una gran capacidad informática en este tipo de ataques. compruebe esto también: enlace
Truecrypt es una excelente herramienta de encriptación de discos, soy un gran fan del tiempo, lo recomiendo totalmente, si su hardware es lo suficientemente rápido, podría mejore la seguridad seleccionando una combinación de varios cifrados como Serpent-AES, si no el estándar AES es una buena opción para usted. Para el algoritmo hash recomiendo SHA-512.

    
respondido por el Tawfik Khalifeh 05.09.2012 - 00:56
fuente
0

Una cosa a considerar es cómo la información podría filtrarse.

Si la indexación de búsqueda ve el archivo, es posible que sus contraseñas se almacenen en el índice de búsqueda. O tal vez el editor de texto que utilice almacenará versiones temporales de cualquier archivo que abra. O tal vez su escáner de virus escaneará cualquier archivo que abra y tal vez almacene alguna información al respecto. O quizás a su sistema operativo le guste almacenar algo de información sobre archivos recientemente abiertos. O quizás algún software de monitoreo de actividad tome una captura de pantalla mientras se muestran sus contraseñas. O como mencionó Chris, los bloqueos podrían volcar los datos en el disco.

Si hibernas o usas el modo de suspensión híbrido, es muy probable que tus contraseñas no se cifren en el archivo de hibernación.

    
respondido por el Buge 28.08.2014 - 17:46
fuente

Lea otras preguntas en las etiquetas

¿Por qué los rootkits se ocultan en los controladores? ¿Cuándo usa OpenID frente a OpenID Connect?