¿Qué tan seguros son los archivos de contraseña utilizados por Password Safe y Password Gorilla?

Por rápido, significan que una vez que haya configurado una clave de descifrado (por ejemplo, ingresó su contraseña), puede descifrar un archivo grande o pequeño muy rápidamente. El tiempo necesario para verificar una sola frase de contraseña de twofish y DES es similar (vea tiempo / ciclos para configurar la clave y IV - vector de inicialización):

enlace

(estos son puntos de referencia para el cifrado, pero deberían ser similares).

Wikipedia enumera algunos avances en los ataques de dos personas, pero concluye citando al primer autor de la publicación parcial de hace décadas. ataque:

  

"Pero incluso desde una perspectiva teórica, Twofish no es ni remotamente   roto. No ha habido extensiones a estos resultados desde que fueron   publicado en 2000 ".

Sin embargo, usted menciona que tiene una contraseña compleja. Probablemente debería estar utilizando una frase de contraseña. Ocho caracteres aleatorios (mayúsculas / minúsculas + números) ~ 2 ⁴⁷ ~ 10 ¹⁴ ? El punto de referencia citado puede tardar unos 10 microsegundos (10 ^-5 s) para probar una contraseña; por lo que podría probar 10 ^ 14 contraseñas en 10 ⁹ s ~ 100 años de tiempo de CPU; que está en el ámbito de la factibilidad de que el gobierno finalmente se rompa. Si dijera una frase de contraseña de 6 palabras (77 bits de entropía) tomaría 100 mil millones de años del tiempo de CPU actual para romper.

Al realizar el cifrado mientras se usa una contraseña como clave, hay dos fases:

1. La contraseña se transforma en una clave adecuada para el algoritmo de cifrado simétrico que se va a utilizar.
2. El algoritmo de cifrado se aplica a los datos que se van a cifrar.

y la lentitud configurable, los dos mantras del buen procesamiento de contraseñas, se deben aplicar en el paso 1, no en el paso 2. Si el cifrado fuera inherentemente lento, entonces sería muy lento para usted, porque el tiempo de cifrado es proporcional al tamaño de los datos para cifrar o descifrar. Por otro lado, el atacante solo tiene que descifrar el primer bloque o algo así para descartar rápidamente las contraseñas incorrectas.

En otras palabras, si el cifrado en sí fuera lento, no sería capaz de hacerlo tan sembrado como desearía, y el atacante no se vería muy frustrado. Al hacer la lentitud en el paso de hash de contraseña, por otro lado, puedes hacer las cosas más iguales entre tú y el atacante. No he buscado lo que Password Safe emplea para ese paso, pero las recomendaciones habituales son bcrypt y PBKDF2 .

En la práctica , la velocidad de cifrado no es importante. 3DES es "lento", lo que significa que descifrar toda su contraseña almacenada tomaría 500 microsegundos en lugar de 50 con un algoritmo más rápido, pero de todos modos no vería la diferencia. La broma de Scheneier sobre la velocidad de Twofish es solo una vieja pieza de publicidad comercial que tenía sentido hace 15 años cuando Twofish estaba involucrado en la competencia AES (pero, en última instancia, Rijndael ganó y se convirtió en "AES").

No conozco ninguna evaluación independiente de Password Safe y su seguridad. Sin embargo, el hecho de que el código fuente del programa esté abierto es de cierta comodidad cuando se trata de puertas traseras ocultas, comportamiento de "llamar a casa", etc.

Hasta que esté disponible un análisis completo e independiente, mantendría mi archivo Password Safe dentro de un TrueCrypt contenedor. De esa manera, las posibles vulnerabilidades en la implementación de Password Safe deberían ser un problema menor.

Aquí hay información adicional, que no pretende restar valor a las excelentes respuestas anteriores.

Un análisis del formato de archivo de Password Safe se puede encontrar en el documento "Sobre la seguridad de los formatos de base de datos de Password Manager", por Gasti y Rasmussen. Al momento de escribir este artículo, está disponible en línea en enlace , pero no lo hago No sé cuánto tiempo estará ese enlace en vivo. Hay un artículo más extenso de los mismos autores que profundiza en el análisis matemático real de ese formato de archivo; Solo lo encontré en sitios académicos que cobran por descargar un artículo, así que todavía no lo he leído. Se hace referencia en el documento anterior, si alguien quiere intentarlo.

También ... Es posible que desee leer un poco acerca de las frases de contraseña de diceware en lugar de crear códigos de contraseña más cortos pero criptográficamente fuertes (que no deberían contener palabras de diccionario). ambos planteamientos tienen ventajas y desventajas. Las bases de datos de Password Safe deben mantenerse en el estado de bloqueo siempre que sea posible, lo que significa que la frase de contraseña maestra / contraseña debe ingresarse con frecuencia. Es importante resistir la tentación de hacer cualquier cosa que la debilite.

TL; DR? El documento revisó 9 formatos diferentes de bases de datos de contraseñas:

• Google Chrome
• Firefox
• Microsoft Internet Explorer
• 1Password
• KDB (también conocido como KeePass 1.x)
• KDBX4 (también conocido como KeePass 2.x)
• PINs
• PasswordSafe v3
• Roboform

De estos, el formato de PasswordSafe fue el más fuerte, y el único resistente frente a todos los ataques propuestos por el escritor.

La mayoría de los ataques analizados en otras respuestas son ataques de fuerza bruta que adivinan la contraseña. Aparte de eso, se ha verificado :

  

Password Safe protege las contraseñas con el cifrado Twofish   Algoritmo, una alternativa rápida y gratuita a DES. La seguridad del programa tiene   ha sido verificado a fondo por Counterpane Labs bajo la supervisión de   Bruce Schneier, autor de Criptografía Aplicada y creador de la   Algoritmo Twofish.

¿Pero está utilizando Password Safe o un puerto, como éste para Mac ? Si es así, estas son las malas noticias de Schneier de Counterpane

  

Varios puertos, clones y lectores de terceros también están disponibles. yo   no he mirado ninguno de estos programas, y no puedo responder por sus   Compatibilidad o su seguridad.

Entonces la respuesta es "muy".