REMARQUE: Cette question est une sous-partie de la question originale sur aWallet Password Manager publiée sur Cryptography.StackExchange. Comme suggéré par @SEJPM , je le publie ici car le sujet de la question convient mieux à InformationSecurity.StackExchange.
Après avoir lu de nombreux articles sur le renforcement de la sécurité de mes comptes Web, jai commencé à utiliser aWallet Password Manager pour Android pour sauvegarder mes mots de passe. Je laime pour les raisons suivantes:
- Je « suis capable davoir assez mots de passe de bonne entropie : Je » suis capable de mélanger des alphabets minuscules & UPPERCASE, des chiffres, des caractères spéciaux (y compris les espaces) et jai des mots de passe raisonnablement longs (plus de 10 caractères) )
- Lenregistrement sécurisé de mes mots de passe me permet davoir mots de passe distincts pour chaque compte Web qui autrement serait impossible. Cela éviterait un effet en cascade (divulgation des identifiants de tous les comptes) qui serait créé ted si lun de mes comptes, dont je partage les identifiants de connexion avec plusieurs comptes, est compromis.
Inutile de dire que ce deuxième point est discutable car avoir tous les identifiants stocké à un seul endroit introduit un point de défaillance unique et présente un risque égal de réaction en chaîne mentionné précédemment.
Compte tenu de ma connaissance limitée de la cryptographie et des doutes sur la confidentialité (compte tenu dincidents récents de vols en ligne), je souhaite témoigner de la sécurité dun Wallet Password Manager avant de stocker mon Détails bancaires / de carte dedans. Voici ce quils prétendent sur leur page Google PlayStore :
FONCTIONNALITÉS DE SÉCURITÉ
• Toutes les données sont cryptées, y compris les noms dentrée, les définitions de catégorie et les données elles-mêmes.
• Crypte les données à laide des algorithmes AES et Blowfish avec des tailles de clé de 256, 192 et 128 bits.
• Lorsque le fichier de données est déchiffré, toutes les combinaisons dalgorithme, de taille de clé et de mode de chiffrement (CBC, CFB, OFB et ECB) sont essayées avec le mot de passe principal pour déverrouiller le fichier de données. rend les attaques par force brute plus longues. Lapplication elle-même ne stocke aucun indice sur le chiffrement, la taille de la clé ou le mode de fonctionnement du chiffrement.
• Utilise un « salt » généré aléatoirement combiné avec le mot de passe principal. Salt aide pour se protéger des attaques de dictionnaire hors ligne.
• La clé pour ouvrir le fichier de données est créée en combinant votre mot de passe principal avec le « salt » de 512 bits. Le résultat est haché 1000 fois par SHA-256 . Le hachage répétitif crée une force brute virement plus difficile.
Bien quaucun de ces points nait beaucoup de sens pour moi, le peu que je sais sur la cryptographie me dit que [veuillez corriger moi si je me trompe] répéter une technique de chiffrement plusieurs fois naméliore pas mathématiquement la sécurité ; cela ne peut donner quune fausse impression de sécurité supplémentaire.
Et à cause de cette incohérence, jai commencé à douter de la validité de leurs autres affirmations. Mes questions sont: –
- Existe-t-il un outil / une technique que je pourrais utiliser pour tenter de décrypter le fichier
data.crypt
utilisé par une application Wallet afin de tester sa sécurité? - aWallet noffre pas de stockage dans le cloud et nous permet de sauvegarder (éventuellement) le fichier
data.crypt
sur Google Drive ou Dropbox. Dans quelle mesure serait-il sûr dutiliser lauthentification à 2 facteurs pour mon compte Google? - En général, est-il sûr de stocker les identifiants de connexion ou les coordonnées bancaires ou les deux dans un gestionnaire de mots de passe?
Commentaires
Réponse
Remarque: ce message répond en fait à la (aux) question (s) de la question et ne commente pas (beaucoup) la sécurité dun portefeuille. Je vous suggère de visiter le Version Crypto.SE de cette question pour un examen des détails cryptographiques.
Y a-t-il un outil / une technique que je pourrais utiliser pour tenter de décrypter le fichier data.crypt utilisé par une application Wallet afin de tester sa sécurité?
Une recherche rapide na rien trouvé, donc je supposons que ce gestionnaire de mots de passe n’est pas assez grand / n’a pas vu assez de recherches pour que quelquun d’autre écrive un outil pour attaquer ce gestionnaire de mots de passe.
aWallet noffre aucun stockage dans le cloud et nous permet de (éventuellement) sauvegarder le fichier data.crypt sur Google Drive ou Dropbox. Dans quelle mesure cela serait-il sûr que jutilise lauthentification à 2 facteurs pour mon compte Google?
Cela dépend beaucoup.
En supposant un portefeuille « s les mesures de sécurité sont en fait bonnes et vous utilisez un mot de passe fort et / ou un fichier de clé local, puis le téléchargement de la base de données de mots de passe cryptés sur un service cloud ne nuit pas à la sécurité, car votre mot de passe et / ou votre fichier de clés protégez les mots de passe. Bien entendu, lauthentification et le contrôle daccès supplémentaires de ces services cloud signifient que seuls vous et le fournisseur y avez accès et quil est généralement dans le meilleur intérêt du fournisseur de ne pas divulguer les fichiers utilisateur.
En général, est-il sécuritaire de stocker les identifiants de connexion ou les coordonnées bancaires ou les deux dans un gestionnaire de mots de passe?
Oui, tout à fait, si le gestionnaire de mots de passe est correct.
Lutilisation dun gestionnaire de mots de passe vous permet davoir facilement des uniques, mots de passe forts par site Web, ce qui signifie quun compromis de votre base de données de mots de passe ou de votre client local est nécessaire. Comme nous lavons déjà établi, un compromis de la sauvegarde est empêché par le mot de passe fort, ce qui laisse le compromis client comme vecteur pour apprendre le mot de passe. Mais dès que votre client est compromis, tous les paris sont de toute façon ouverts, car lattaquant pourrait simplement renifler votre clavier ou surveiller / intercepter vos données réseau! Donc, dans lensemble, vous avez peu à perdre et beaucoup à gagner en utilisant de (bons) gestionnaires de mots de passe.
Savoir si aWallet est un bon gestionnaire de mots de passe est une question différente (et répondue sur Crypto.SE).
Réponse
aWallet spécifiquement: ne lutilisez pas. Le créateur ne sait évidemment pas ce quil fait. Je vais juste choisir une préoccupation (il y en a plusieurs qui seront probablement plus évidentes pour People Smarter Than Me): cela pourrait crypter votre base de données en mode ECB (parfois, mais pas toujours).
Mode ECB nest notamment pas sécurisé car le même texte en clair crypte toujours le même texte chiffré. Par conséquent, le mode ECB « ne cache pas bien les modèles de données … il nassure pas une confidentialité sérieuse des messages , et son utilisation dans les protocoles cryptographiques nest pas du tout recommandée « .
Gestionnaires de mots de passe en général: utilisez-en un. Mais choisissez-en un bien connu avec une bonne réputation comme 1Password, LastPass, KeePass, Dashlane, etc. Ou au moins utilisez-en un créé ou recommandé par une société de sécurité bien connue ou un chercheur en sécurité si vous ne savez pas où chercher. Un bon gestionnaire de mots de passe avec un cryptage compétent ( pas un portefeuille apparemment) est parfaitement sûr à conserver sur le stockage cloud, à condition que votre mot de passe principal soit fort.
Edit: OK, je ne peux » pas résister à la sélection de quelques autres points qui me sautent aux yeux pour crier « rester à lécart »:
- Concernant la transformation du mot de passe principal en clé de chiffrement: « Le résultat est haché 1000 fois par SHA-256. » Cest ridiculement insuffisant. Si elles étaient faites correctement, elles utiliseraient au minimum PBKDF avec 10 000 tours ou plus plutôt quune boucle de hachage personnalisée de seulement 1 000. Même cela serait à peine suffisant et se comparerait mal aux gestionnaires de mots de passe correctement implémentés. Des centaines de milliers de tours ou plus seraient plus comme ça. Ou abandonnez le hachage de mot de passe basé sur SHA et utilisez quelque chose comme bcrypt ou argon2. Ce logiciel ne peut pas se comparer aux outils modernes.
- « Prend en charge la destruction automatique du fichier de données après un nombre prédéfini de déverrouillages infructueux ont été essayés. » Cela naffecte pas du tout un attaquant. La seule personne que cela peut blesser est lutilisateur légitime. Un attaquant fera une copie de la base de données ou utilisera un logiciel modifié pour supprimer la limite de supposition. Vous sur le dautre part peut perdre accidentellement tous vos mots de passe, pour ne plus jamais être revu, en activant accidentellement le verrouillage des majuscules, ou une clé morte, ou quelque chose comme ça.
Réponse
Pour répondre spécifiquement à votre question:
Y a-t-il un outil / une technique que je pourrais utiliser pour essayer décrypter le fichier data.crypt utilisé par une application Wallet afin de tester sa sécurité?
Voici un petit script en python qui décrypte les fichiers data.crypt
et imprime le contenu sur stdout. Notez quil nest pas sécurisé car tout est visible en texte brut, alors ne le faites que ceci sur une machine sécurisée ou avec un fichier de données factice.
Le script a été construit en utilisant documentation technique sur awallet.org.
Is it safe to store login credentials or banking details or both in a password manager
Cela ne fonctionne pas ‘ t doit être une sécurité parfaite, cela doit être mieux que de créer votre propre mot de passe et de sen souvenir.