Guardé una copia de mi base de datos KeePass en un disco duro portátil y perdí la unidad. ¿Debería preocuparme por eso?

7

He estado usando KeePass durante años y tengo muchas cuentas. Necesito acceder a ellos en cualquier lugar donde trabaje, así que almaceno una copia de mi base de datos en un disco duro portátil.

La unidad no está encriptada. La base de datos está encriptada usando AES-256 con millones de rondas de encriptación, pero solo uso una única contraseña para abrirla.

La contraseña es una combinación de caracteres en mayúsculas y minúsculas, números y marcas especiales, y se basa en una cantidad de palabras aleatorias y no relacionadas.

He perdido el disco. ¿Debería preocuparme que la base de datos sea crackeada?     

pregunta LQ2' 08.04.2016 - 11:29
fuente

1 respuesta

10

TL; DR: Puede relajarse: su base de datos es absolutamente segura.

Detalles técnicos:
El cifrado utilizado por KeePass no está roto a partir de hoy. La fuerza bruta de la llave AES-256 no es factible. Asumiendo que su contraseña tiene más de aproximadamente 80 bits de entropía, los millones de rondas de derivación de claves hacen que la contraseña sea inviable, también.

La entropía de su contraseña depende de qué tan bien haya elegido sus palabras. Vamos a hacer otro ejemplo:
Escogiste 5 palabras distintas. El atacante debe asumir un conjunto de aproximadamente 7000 palabras en inglés para no perderse una de sus palabras. Las palabras solas compensan 10 ^ 19 combinaciones posibles. Supongamos además que ha cambiado dos letras por palabra a un número o un carácter especial. Eligió números similares a la letra y caracteres especiales aleatorios de un conjunto de 10. El intercambio de letras solo compensa (13 * 13) ^ 5 = 137 * 10 ^ 9 combinaciones posibles. En total, eso es alrededor de 1,3 * 10 ^ 30 combinaciones posibles; equivalente a unos 100 bits de entropía.

Brute-forcing 100 bits no es completamente imposible imo (128 se considera imposible antes del cuantico, pero 100 a 128 es un gran paso). Ese esfuerzo es mucho más que factible para cualquier otra persona que no sean grandes gobiernos o empresas. A menos que seas Edward Snowden (lo cual estoy seguro de que no lo eres ya que hiciste esta pregunta), nadie pasará por ese dolor.
La gran cantidad de rondas de derivación se suma a eso, incluso.

    
respondido por el marstato 08.04.2016 - 11:35
fuente

Lea otras preguntas en las etiquetas