Seguridad adicional del archivo de claves en la parte superior de una contraseña maestra para KeePass

Navega tus respuestas
12

Uso KeePass + Dropbox para administrar y sincronizar mis contraseñas en mis dispositivos. Este sistema funciona realmente bien y confío en el modelo de seguridad de KeePass.

Sin embargo, mi mayor preocupación es la contraseña maestra, ya que me preocupa no poder proteger mi PC contra los keyloggers. Para aliviar este temor, quiero introducir un segundo factor de autenticación.

KeePass solo permite el uso de un archivo de claves como segundo factor de autenticación, y aunque el almacenamiento de un archivo de claves en una memoria USB me parece una solución segura, también es demasiado restrictivo para mí. Si utilizara un archivo de claves, probablemente lo almacenaría en Dropbox, pero ¿esto realmente agrega alguna seguridad adicional? Mi idea es que si mi contraseña maestra está comprometida, para que el atacante tenga éxito, también necesitará mi base de datos KeePass. Si tiene acceso a eso, lo más probable es que también tenga acceso al archivo de claves, por lo que no obtuve ninguna seguridad adicional.

¿Algún comentario o sugerencia para una mejor configuración que no agregue demasiada sobrecarga?

    
pregunta snth 12.05.2011 - 00:29
fuente

3 respuestas

9

Creo que su modelo de seguridad tiene un par de fallas potenciales aquí. Enumeraré los problemas potenciales que puedo ver, y puede avisarme si son preocupaciones válidas en sus circunstancias particulares:

Si tiene una preocupación real por no poder proteger su computadora contra los keyloggers, la implicación es que un atacante podría instalar cualquier cosa, lo que en mi opinión significa que el juego terminó: pueden extraer todos los datos de su KeePass si inicia sesión con un token o no al tomar esa información la próxima vez que use KeePass.

Además, el almacenamiento en Dropbox significa que potencialmente podrían llevar a cabo este ataque desde otras ubicaciones compartiendo su Dropbox según esta vulnerabilidad .

Tu única protección real contra un actor de amenazas que crees que puede comprometer tu máquina es no usar esa máquina (a menos que puedas configurarlo de tal manera que no puedan comprometerla, por supuesto) y hacer algo como usar KeePass en un dispositivo móvil (donde corre el riesgo de perderlo o robarlo).

    
respondido por el Rory Alsop 12.05.2011 - 10:25
fuente
1

Aunque @Rory Alsop es correcto en última instancia, su segunda mejor opción es ingresar la contraseña principal de KeePass en un escritorio seguro (casi no funciona ningún keylogger en un escritorio seguro ) y haga esto en conjunto con el uso de clave y / o autenticación OTP .

Su mejor opción, si está disponible para usted, es usar la sugerencia anterior más tener KeePass instalado en una máquina remota que usted sabe que (mejor) está físicamente asegurada. Esto esencialmente expande la sugerencia de @Rory Alsop a algo procesable.

    
respondido por el Gaia 04.03.2013 - 07:47
fuente
0

Si un atacante tiene acceso a su computadora, todas las apuestas están desactivadas.

Una solución TFA de baja sobrecarga está utilizando una ID abierta provista por Google con aplicación de autenticación . Aunque eso no funciona en todas partes.

    
respondido por el Ben 15.05.2011 - 03:39
fuente

Lea otras preguntas en las etiquetas

¿Qué algoritmos de hash difusos existen? Contraseña segura de la base de datos almacenada en una variable env