क्या ड्रॉपबॉक्स में KeePass फाइल को सुरक्षित रखना है? [बन्द है]

56

क्या ड्रॉपबॉक्स में KeePass पासवर्ड डेटाबेस फ़ाइल रखना सुरक्षित है? डेटाबेस में मशीन पर या मोबाइल पर लंबे (14+ अल्फा, संख्यात्मक, विशेष चरित्र) पासवर्ड और स्थानीय कुंजी फ़ाइल हो सकती है जो ड्रॉपबॉक्स में साझा नहीं की जाती है?

dropbox  keepass 
TusharG
स्रोत
1
पासवर्डों को संग्रहीत नहीं किया जाना चाहिए जहां अन्य उन्हें देख सकते हैं (जैसे ड्रॉपबॉक्स)।
m0skit0
2
जब तक ड्रॉपबॉक्स ने इसे साझा फ़ोल्डर में नहीं रखा है, तब तक अन्य लोग मेरी पासवर्ड फ़ाइल नहीं देख सकते हैं क्योंकि ड्रॉपबॉक्स मेरे लॉगिन के साथ सख्ती से फ़ाइल रखता है।
तुषारग
1
ड्रॉपबॉक्स सर्वर प्रशासक?
m0skit0 10
ड्रॉपबॉक्स में एक बड़ी सुरक्षा गड़बड़ थी जहां हर कोई किसी भी खाते को पूरी तरह से एक्सेस कर सकता था ।
slhck
7
एक सुरक्षा गड़बड़ होने और एक मानक सुविधा के रूप में होने से यह एक ही बात नहीं है। इसके अलावा Keepass अपने स्वयं के एन्क्रिप्शन का उपयोग करता है।
14x पर Sirex

जवाबों:

43

यहां सवाल यह नहीं है कि क्या आप ड्रॉपबॉक्स पर भरोसा करते हैं, लेकिन क्या आप कीपास पर भरोसा करते हैं। यदि आपका पासवर्ड वॉल्ट किसी और के पकड़े जाने पर अपने रहस्य छोड़ देता है, तो आप कुछ और खोजना चाहेंगे।

Keypass एन्क्रिप्शन के लिए AES-256 का उपयोग करता है, जो वास्तव में मानक है, और एक नमक के साथ अपने पासफ़्रेज़ से एक कुंजी बनाने के लिए SHA-256 रहता है।

तो एन्क्रिप्शन विधि अच्छी है। तो फिर आप इस बात पर विचार करना चाहेंगे कि क्या कोई क्रियान्वयन की कमज़ोरियाँ हैं जिनका फायदा कोई उठा सकता है जो आपकी तिजोरी को पकड़ ले। अच्छी तरह से रखने के लिए एक रोलिंग एन्क्रिप्शन विधि है, जहां फ़ाइल को ब्लॉक में विभाजित किया गया है और एन्क्रिप्ट किया गया है। एक क्रूर बल हमले में समय लगेगा, और आप डेटाबेस बनाते समय परीक्षण किए जा सकने वाले कुंजी प्रति सेकंड बढ़ा सकते हैं। कई राउंड करने के लिए इसे चुनें। इसका मतलब यह है कि कुंजी की जांच के लिए समय लगता है। आपके लिए, इसका मतलब है कि आपको डेटाबेस के खुलने के लिए एक या दूसरे समय का इंतजार करना होगा। एक हमलावर के लिए, इसका मतलब है कि उन्हें अपनी अगली कुंजी का परीक्षण करने के लिए एक या दूसरे इंतजार करना होगा।

अन्य सुरक्षा विधियां नियोजित हैं, लेकिन इस परिदृश्य के लिए प्रासंगिक नहीं हैं, जैसे तिजोरी को खुले रखने पर तिजोरी की सामग्री को स्मृति में रखा जाता है।

आपको उपयोग किए गए सुरक्षा तरीकों की समीक्षा करनी चाहिए, और यदि आपको खुशी महसूस होती है कि यदि तिजोरी गलत हाथों में गिर गई है जो आप सुरक्षित होंगे, तो इसके लिए जाएं।

पॉल
स्रोत
1
मेरे लिए मेरे मोबाइल पर कीपस डेटाबेस का एक्सेस प्राप्त करना बहुत महत्वपूर्ण है, लेकिन इसे सिंक में रखना एक बड़ी समस्या है। अभी के लिए मैं एक मौका लूंगा और स्थानीय कुंजी फ़ाइल के साथ दोहरे सुरक्षा के रूप में जटिल बड़े पासवर्ड का उपयोग करूंगा और इसे ड्रॉपबॉक्स में रखूंगा, जबकि मैं मोबाइल फाइलसिस्टम और कंप्यूटर पर एचडीडी पर कुंजी फ़ाइल संग्रहीत करूंगा। मुझे पता है कि उनका जोखिम है।
तुषारग
2
AES-256 जब टूटने योग्य हो जाएगा तो (बहुत दूर) भविष्य में क्या होता है? ड्रॉपबॉक्स फ़ाइलों का पुराना संशोधन रखता है, इसलिए आपके पासवर्ड जोखिम में होंगे, भले ही आपने तब तक अधिक सुरक्षित तंत्र में अपग्रेड किया हो। कोई विचार?
डबलहेलिक्स
1
@flixfe यह 30 दिनों का संशोधन रखता है, इसलिए वहां अवसर की एक खिड़की है। ड्रॉपबॉक्स या वैकल्पिक क्लाउड स्टोरेज सॉल्यूशन के लिए एक डिलीट फीचर रिक्वेस्ट जो रिव्यूज को डिलीट करने की अनुमति देता है या उनके पास बिल्कुल भी नहीं होता है।
पॉल
1
भले ही AES-256 टूट जाए। मेरे पासवर्ड डेटाबेस फ़ाइल का उपयोग करना पर्याप्त नहीं है क्योंकि डेटाबेस खोलने के लिए मेरे डेटाबेस को पासवर्ड और एक स्थानीय कुंजी फ़ाइल की आवश्यकता है। इसके अलावा, मैंने जाँच की कि कैसे काम करता है यह कभी भी बिना किसी स्वैप फ़ाइल के क्रिएट नहीं करता है, जिसे बाद में ड्रॉपबॉक्स पर रीक्रिएट किया जा सकता है, इसलिए मुझे लगता है कि यह बहुत सुरक्षित है। यह सब एक फ़ाइल बनाता है जो कहता है कि डेटाबेस अनलॉक है।
तुषारगं
2
@ तुषार: एईएस -256 कीपस संरक्षण के रूप में चर्चा की जा रही है; इसलिए, यदि AES-256 टूट गया था और आपके पास डेटाबेस है, तो आपको इसकी सामग्री को देखने के लिए कुंजी फ़ाइल या पासवर्ड की आवश्यकता नहीं है। हालाँकि, समस्या मौजूद नहीं है: जब AES-256 धीरे-धीरे टूट जाएगा, अगर Keepass अभी भी अच्छी तरह से बनाए रखा है, तो यह 30 दिनों से पहले एक अलग एन्क्रिप्शन मानक पर माइग्रेट हो जाएगा।
Blaisorblade
5

सुरक्षा की अलग-अलग डिग्रियां हैं, और ड्रॉपबॉक्स की सुविधा बनाम आप जो करने की कोशिश कर रहे हैं उसकी सुरक्षा कुछ है जो आपको अपने लिए मूल्यांकन करने की आवश्यकता होगी।

इसके अलावा, सुरक्षा सबसे कमजोर बिंदु पर निर्भर करती है। यदि निम्न में से कोई भी समझौता किया जाता है, तो आपकी फाइलें सामने आती हैं:

  • आप (लॉग आउट करना भूल जाते हैं, एक स्टिकी पर अपना पासवर्ड छोड़ दें, अपना ड्रॉपबॉक्स किसी और के साथ साझा करें)
  • आपके पास ड्रॉपबॉक्स का हर कंप्यूटर सिंक किया गया है। क्या वे मजबूत पासवर्ड का उपयोग कर रहे हैं? सॉफ्टवेयर अप-टू-डेट? क्या उनके डिस्क एन्क्रिप्टेड हैं? क्या उनके पास ऑटोलॉगिन चालू है?
  • ड्रॉपबॉक्स में आपका नेटवर्क कनेक्शन। क्या आपके पास फ़ायरवॉल है? क्या आपका मॉडेम / राउटर का फर्मवेयर / सॉफ्टवेयर अप-टू-डेट है? क्या वे ठीक से कॉन्फ़िगर किए गए हैं?
  • ड्रॉपबॉक्स का सॉफ्टवेयर, नेटवर्क और कंप्यूटर।
  • अमेज़ॅन एस 3 (जहां आपकी फाइलें संग्रहीत हैं)।

निम्नलिखित पर विचार करें और वह निर्णय लेने में आपकी सहायता करने में सक्षम हो सकता है:

  1. डेटाबेस फ़ाइल आपके ड्रॉपबॉक्स स्थापित हर कंप्यूटर पर संग्रहीत किया जाएगा।
  2. ड्रॉपबॉक्स स्थानीय रूप से फ़ाइल की एक बैकअप प्रति संग्रहीत करता है, तब भी जब आप फ़ाइल को हटाते हैं।
  3. आपको यह सुनिश्चित करने की आवश्यकता है कि जिस फ़ोल्डर में आप फ़ाइल संग्रहीत कर रहे हैं वह सार्वजनिक रूप से चिह्नित नहीं है।
  4. यह है संभव कंपनी में किसी को अपनी फाइलों को पढ़ने के लिए। लिंक पर दी गई जानकारी के अनुसार, कुछ चुनिंदा लोगों के पास ही आपके डेटा तक पहुंच होती है और यदि सब-वे हैं तो वे इसे केवल एक्सेस करेंगे।
  5. ड्रॉपबॉक्स अमेज़ॅन एस 3 पर आपकी फ़ाइलों को संग्रहीत करता है, जिसका अर्थ है कि यह संभव है (यद्यपि बहुत संभावना नहीं है: उन्हें आपके डेटा तक पहुंचने के लिए अमेज़ॅन में किसी व्यक्ति के लिए इसे डिक्रिप्ट करना होगा)।
BryanH
स्रोत
8
यह सब ड्रॉपबॉक्स सुरक्षा और इसके एन्क्रिप्शन के बारे में बात करता है। हालांकि की फ़ाइल के बिना KeePass डेटाबेस कितना सुरक्षित है? क्या कोई KeePass डेटाबेस को पासवर्ड और की फाइल के बिना डिक्रिप्ट कर सकता है?
तुषारग
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.