¿Cómo almacenar las contraseñas en un archivo de texto en USB de forma segura?

Navega tus respuestas
5

Estoy planeando crear un archivo de texto para almacenar mis contraseñas, por lo que solo necesito recordar 1 contraseña (en este momento, tengo cerca de 20 contraseñas largas / complejas en mi mente y me preocupa que pueda olvidar 1 o más de ellos).

Si creo un archivo de texto, almaceno las contraseñas en ese archivo de texto, muevo ese archivo de texto a una memoria USB y encripta la memoria USB con EncFS.

  1. Si la memoria USB es robada, ¿qué tan segura es la memoria USB?
  2. Si el método anterior se puede asegurar aún más, ¿cómo lo haría?

Supongo que no existe una solución en este momento para evitar los ataques de fuerza bruta de futuras computadoras cuánticas posibles. Si no, estoy buscando la siguiente mejor solución.

    
pregunta oshirowanen 13.04.2014 - 12:25
fuente

5 respuestas

11

En realidad, computadoras cuánticas no son una amenaza tan grande para el cifrado simétrico . Para ponerlo en términos simples (y algo simplistas):

  • Una computadora cuántica, si existe, romperá totalmente los algoritmos de intercambio de claves y cifrado asimétricos más utilizados (RSA, ElGamal, Diffie-Hellman ...) pero no todos los algoritmos asimétricos (el control de calidad no rompe el concepto de cifrado asimétrico, solo algunas de sus encarnaciones).

  • Para el cifrado simétrico, la búsqueda exhaustiva del espacio clave es más rápida , pero sigue siendo costosa. En términos generales, una tecla n -bit ofrece resistencia 2n/2 contra un QC (comparado con 2 n para una computadora clásica).

En el contexto del cifrado basado en contraseña de un archivo, donde la clave es (derivada de) una contraseña, usted está en el mundo "simétrico", por lo que si le temen a las computadoras cuánticas, entonces "basta" que elija un Contraseña con el doble de entropía. Por ejemplo, apunta a una entropía de contraseña de 120 bits y deberías estar bien. Consulte esta respuesta para ejemplos de cálculos de contraseña de entropía.

Se puede decir que las computadoras cuánticas en realidad no existen (no el control de calidad "verdadero", el tipo que puede comer RSA en el desayuno), y cuando existen (si es que alguna vez sucede), al principio serán muy caras. Es poco probable que alguien que pueda pagar los pocos miles de millones de dólares para un control de calidad que funcione funcione con sus contraseñas.

De todos modos, a menos que se haya hecho con una incompetencia excesiva, el cifrado simétrico será el punto más fuerte del sistema, no el más débil. Cualquier cifrado se basa en algún software, en algún lugar, que realiza el cifrado y el descifrado. Ese será el punto débil; el malware y los registradores de claves son una amenaza mucho más plausible que un atacante que de alguna manera obtuvo su memoria USB y decide atacar el cifrado por adelantado. Probablemente, tal atacante escribiría un virus desagradable en la memoria USB y lo guardaría en su bolsillo.

(que es una forma de decir que esto no es un juego: no hay reglas entre el atacante y el defensor, y nada obliga al atacante a jugar bien e intenta romper el cifrado solo .)

Además, no olvide usabilidad : mantener al atacante lejos de sus contraseñas está bien; pero no te encierres Una memoria USB no es la pieza de hardware más confiable que existe, y se puede perder. Deberías guardar copias de seguridad.

    
respondido por el Thomas Pornin 13.04.2014 - 13:51
fuente
6

He utilizado un método similar en el pasado: tenía un archivo de texto sin formato que contenía mis credenciales y lo cifré con Cifra Blowfish .

Ahora uso KeePass , un administrador de contraseñas sin conexión. Lo recomiendo encarecidamente, ya que es

  1. Mucho más fácil de usar que un archivo de texto cifrado, y
  2. Mucho más seguro que un archivo de texto cifrado solo una vez ( N = 1, ver más abajo). KeePass es compatible con la autenticación y protección multifactor contra los keyloggers, solo para mencionar algunas ventajas.

La base de datos cifrada que contiene mis credenciales se almacena en un directorio del cual se realiza automáticamente una copia de seguridad en Wuala , un servicio de almacenamiento seguro de archivos. , o podría usar servicios similares como Dropbox, Google Drive o OneDrive.

También recomiendo usar un archivo de clave, que es como una segunda contraseña muy segura (al menos 256 bits de entropía), y almacenar esto en un dispositivo de almacenamiento masivo USB (algo que tiene ). Combinado con una contraseña maestra segura (algo que sabes ), esencialmente has configurado un mecanismo de autenticación de 2 factores que es muy difícil de romper.

Asegúrese de no guardar la base de datos y el archivo de clave en la misma ubicación. Es esencial que mantenga el archivo de clave en secreto, por lo que en un medio que está en su persona y una copia de seguridad (por ejemplo, en papel) en una bóveda o en una ubicación segura similar. Si pierde el medio en el que está almacenado el archivo de clave, simplemente puede usar KeePass para generar un nuevo archivo de clave, haciendo que la clave perdida sea inútil. E incluso si un atacante pudiera obtener el archivo de clave Y la base de datos, la base de datos aún está protegida con su contraseña maestra segura.

KeePass hace que sea mucho más difícil ingresar a la base de datos mediante ataques de fuerza bruta o diccionario. Lo hace mediante el cifrado de la base de datos no una vez, pero muchas veces. La recomendación es establecer el número de rondas N tan alto, que descifrar la base de datos demora 1 segundo en su sistema (en el hardware moderno N supera fácilmente los 10 millones). Puede que no parezca mucho, y de hecho no es para uso diario, pero para un atacante hará que el ataque de fuerza bruta o diccionario tome N más tiempo.

Consulte KeePass Security para obtener una explicación de todas las funciones de seguridad.

También puede usar una YubiKey en lugar del archivo de clave. KeePass es compatible con YubiKey a través de OtpKeyProv plugin . De hecho:

  

Se admiten todas las señales del generador que siguen el estándar OATH HOTP (RFC 4226).

Entonces no estás limitado a un YubiKey.

    
respondido por el Steven Volckaert 13.04.2014 - 13:28
fuente
0

Hay un análisis de seguridad de EncFS que dice que puede ser atacado si el atacante se hace con varias versiones de El texto cifrado. ¿Por qué no usar gpg para cifrar el archivo de texto? ¿Estás planeando seriamente desafiar a un adversario que es capaz de construir una computadora cuántica? Eso suena bastante ridículo. Con el 0.001% del dinero que necesito para construir esa computadora, puedo contratar a un equipo profesional que obtenga sus datos secretos, ya sea por phishing, violencia, lo que sea ...

    
respondido por el kaidentity 17.08.2016 - 16:04
fuente
-1

Un buen método de encriptación como AES o RSA es más que suficiente. Nada es 100% seguro, pero usar RSA-1024 o RSA-2048 debería ser suficiente.

    
respondido por el Petre Popescu 13.04.2014 - 13:08
fuente
-3

Recientemente creé una "herramienta" (archivo) llamada Bobsie-Crypter para finalmente deshacerse del mismo problema, puedes encontrarla aquí:

enlace

Básicamente es solo un archivo html con alguna interfaz para un manejo sencillo y encripta los datos con AES. Aún no es una prueba ultra super NSA, pero hace un buen trabajo.

    
respondido por el Skippy 10.10.2018 - 10:38
fuente

Lea otras preguntas en las etiquetas

Métodos más rápidos para descifrar un disco TrueCrypt, esp. Conociendo los algoritmos utilizados. ¿Permitir que una aplicación web mueva, copie y / o elimine archivos fuera de la raíz del servidor puede ser un problema de seguridad?