aWallet 비밀번호 관리자

참고 : 이 질문은 Cryptography.StackExchange에 게시 된 aWallet Password Manager에 대한 원래 질문 의 하위 부분. @SEJPM에서 제안 한 것처럼 질문의 주제가 InformationSecurity.StackExchange에 더 적합하기 때문에 여기에 게시하겠습니다.


웹 계정의 보안 강화에 대한 많은 기사를 읽은 후 Android 용 aWallet Password Manager 를 사용하여 백업 내 비밀번호입니다. 다음과 같은 이유로 마음에 듭니다.

  • 나는 상당히 좋은 엔트로피 비밀번호 : 소문자 & 대문자 알파벳, 숫자, 특수 문자 (공백 포함)를 혼용 할 수 있으며 상당히 긴 암호 (10 자 이상 )
  • 비밀번호를 안전하게 저장하면 각 웹 계정에 대한 고유 한 비밀번호 를 가질 수 있습니다. 불가능합니다. 이는 연속적인 효과 (모든 계정의 자격 증명 제공)를 방지합니다. 로그인 자격 증명을 여러 계정과 공유하는 내 계정 중 하나가 도용되면 ted.

물론 두 번째 점은 모든 자격 증명을 가지고 있기 때문에 논쟁의 여지가 있습니다 . 단일 위치에 저장하면 단일 실패 지점 이 발생하고 연쇄 반응 <과 동일한 위험이 발생합니다. / em> 앞서 언급했습니다.


암호화에 대한 제한된 지식과 개인 정보 보호에 대한 의구심을 감안할 때 (최근 온라인 도난 사건을 감안할 때) 을 저장하기 전에 aWallet Password Manager의 보안을 증언하고 싶습니다. > 은행 / 카드 세부 정보 가 있습니다. Google PlayStore 페이지 에서 주장하는 내용은 다음과 같습니다.

보안 기능

• 항목 이름, 범주 정의 및 데이터 자체를 포함한 모든 데이터가 암호화됩니다.

• 256, 192 및 128 비트의 키 크기를 사용하여 AES 및 Blowfish 알고리즘을 사용하여 데이터를 암호화합니다.

• 데이터 파일의 암호를 해독 할 때 알고리즘, 키 크기 및 암호 작동 모드 (CBC, CFB, OFB 및 ECB)의 모든 조합을 마스터 암호로 시도하여 데이터 파일 잠금을 해제합니다. 무차별 대입 공격을 더 오래 만듭니다. 앱 자체는 실제 암호, 키 크기 또는 암호 작동 모드에 대한 힌트를 저장하지 않습니다.

• 마스터 암호와 결합 된 무작위로 생성 된 “솔트”를 사용합니다. 솔트는 도움이됩니다. 오프라인 사전 공격으로부터 보호합니다.

• 데이터 파일을 여는 키는 마스터 비밀번호와 512 비트 “소금”을 결합하여 생성됩니다. 결과는 SHA-256에 의해 1000 번 해시됩니다. . 반복적 인 해싱은 좀 더 어렵습니다.

이러한 요점 중 어느 것도 이해가되지는 않지만 암호화에 대해 제가 아는 약간의 정보는 [수정하십시오. 내가 틀렸다면 나에게] 암호화 기술을 여러 번 반복해도 수학적으로 보안이 향상되지는 않습니다 ; 보안 강화에 대한 잘못된 인상 만 줄 수 있습니다.


그리고 이러한 불일치 때문에 다른 주장의 타당성을 의심하기 시작했습니다. 내 질문은 다음과 같습니다 .-

  1. aWallet 앱에서 사용하는 data.crypt 파일을 해독하는 데 사용할 수있는 도구 / 기술이 있습니까? 보안을 테스트 하시겠습니까?
  2. aWallet은 자체 클라우드 스토리지를 제공하지 않으며 선택적으로 data.crypt 파일을 Google 드라이브 또는 드롭 박스. 내 Google 계정에 2 단계 인증을 사용하면 얼마나 안전합니까?
  3. 일반적으로 비밀번호 관리자에 로그인 자격 증명이나 은행 정보 또는 둘 다를 저장하는 것이 안전한가요?

댓글

  • 반복적 인 해싱 때문에 의심 스럽습니까? 이는 반복 암호화와 동일하지 않으며 실제로 표준 관행입니다. 를 참조하세요.
  • Is it safe to store login credentials or banking details or both in a password manager 그렇지 않습니다. ' 완벽한 보안 일 필요는 없습니다. 비밀번호를 직접 만들어 기억하는 것보다 낫습니다.
  • " 알고리즘, 키 크기 및 암호 작동 모드 (CBC, CFB, OFB 및 ECB)를 시도합니다. " 어리석게 들립니다. 적절한 키 유도 기능을 사용하지 않는 이유는 무엇입니까?ECB 사용을 허용한다는 사실은 큰 위험 신호입니다 (그리고 ' ECB 사용을 허용하지 않으면 ECB로 복호화 할 수 없습니다. ' 어쨌든 공격자의 속도를 늦추기 위해 아무것도하지 마십시오.)
  • ' 암호화 세부 정보에 대해 의견을 말하고 싶은 사람을 가리키고 싶습니다. 이 " 비밀번호 관리자 "의 Crypto.SE의 링크 된 게시물

a>, 이러한 문제를 평가하고 논의합니다.

답변

참고 :이 게시물은 실제로 질문에 대한 답변을 제공하며 aWallet의 보안에 대해 언급하지 않습니다. 를 방문하시기 바랍니다. 이 질문의 Crypto.SE 버전 은 암호화 세부 정보를 검토 할 수 있습니다.

내가 사용할 수있는 도구 / 기술이 있습니까 보안을 테스트하기 위해 지갑 앱에서 사용하는 data.crypt 파일의 암호를 해독하려고하나요?

빠른 검색에서 아무것도 나오지 않아서 이 암호 관리자가 “충분히 크지 않거나”다른 사람이이 암호 관리자를 공격하는 도구를 작성하도록 만들만큼 충분한 조사를 보지 못했다고 가정합니다.

aWallet은 자체 클라우드 스토리지를 제공하지 않으며 (선택적으로) data.crypt 파일을 Google Drive 또는 Dropbox에 백업 할 수 있습니다. 내 Google 계정에 2 단계 인증을 사용하면 얼마나 안전할까요?

이것은 매우 다릅니다.
aWallet “s 가정 보안 조치는 실제로 유용하며 강력한 암호 및 / 또는 로컬 키 파일을 사용하고 암호화 된 암호 데이터베이스를 클라우드 서비스에 업로드해도 암호 및 / 또는 키 파일이 여전히 유지되므로 보안에 해가되지 않습니다. 암호를 보호하십시오. 물론 이러한 클라우드 서비스의 추가 된 인증 및 액세스 제어는 귀하와 공급자 만이 액세스 할 수있는 기회이며 사용자 파일을 유출하지 않는 것이 “보통 공급자”에게 가장 큰 이익이된다는 것을 의미합니다.

일반적으로 비밀번호 관리자에 로그인 자격 증명이나 은행 정보 또는 둘 다를 저장하는 것이 안전한가요?

예, 비밀번호 관리자가 괜찮다면 매우 그렇습니다.
비밀번호 관리자를 사용하면 쉽게 고유하게 만들 수 있습니다. 웹 사이트 당 강력한 암호. 즉, 암호 데이터베이스 또는 로컬 클라이언트의 손상이 필요합니다. 이미 확립했듯이 강력한 암호로 백업 손상을 방지하므로 클라이언트 손상이 암호를 학습하는 벡터로 남게됩니다. 그러나 클라이언트가 손상되면 공격자가 키보드를 스니핑하거나 네트워크 데이터를 모니터링 / 간섭 할 수 있기 때문에 모든 베팅이 해제됩니다! 따라서 (좋은) 암호 관리자를 사용하면 거의 잃을 것이없고 많은 것을 얻을 수 있습니다.

AWallet이 좋은 암호 관리자인지 여부는 다른 질문입니다 (Crypto.SE에서 답변).

p>

답변

aWallet 구체적으로 : 사용하지 마십시오. 제작자는 분명히 자신이 무엇을하는지 알지 못합니다. 저는 한 가지 문제를 선택하겠습니다 (People Smarter Than Me에게 더 분명한 것이 몇 가지 있습니다). ECB 모드에서 데이터베이스를 암호화 할 수 있습니다 (때로는 항상 그런 것은 아님).

ECB 모드 동일한 일반 텍스트가 항상 동일한 암호 텍스트로 암호화되기 때문에 특히 안전하지 않습니다. 따라서 ECB 모드 “는 데이터 패턴을 잘 숨기지 않습니다. 심각한 메시지 기밀성을 제공하지 않습니다. , 암호화 프로토콜에서는 사용하지 않는 것이 좋습니다. “.

일반적인 비밀번호 관리자 : 하나를 사용하세요. 그러나 1Password, LastPass, KeePass, Dashlane 등과 같이 평판이 좋은 잘 알려진 것을 선택하십시오. 아니면 적어도 잘 알려진 보안 회사 또는 보안 연구원이 만들거나 추천 한 것을 사용하십시오. 강력한 암호화 기능을 갖춘 우수한 비밀번호 관리자 (분명히 aWallet이 아님 )는 마스터 비밀번호가 강력한 경우 클라우드 저장소에 보관하기에 완벽하게 안전합니다.


편집 : 좋습니다.”물러나세요 “라고 외치려고 튀어 나오는 몇 가지 다른 점을 고르는 것을 거부 할 수 없습니다.

  • 마스터 비밀번호를 암호화 키로 변환하는 방법 : “결과는 SHA-256에 의해 1000 번 해시됩니다.” 이것은 웃기게 부족합니다. 제대로 수행하면 최소한 사용자 정의 해시 루프가 1000 개가 아니라 10,000 회 이상인 PBKDF를 사용할 것입니다. 이것만으로도 충분하지 않으며 적절하게 구현 된 암호 관리자와 비교할 수 없습니다. 수십만 라운드 이상이 더 비슷할 것입니다. 또는 SHA 기반 암호 해싱을 포기하고 bcrypt 또는 argon2와 같은 것을 사용하십시오. 이 소프트웨어는 최신 도구와 비교할 수 없습니다.
  • “미리 정의 된 횟수만큼 잠금 해제에 실패한 후 데이터 파일의 자동 제거를 지원합니다.” 이것은 공격자에게 전혀 영향을주지 않습니다. 이로 인해 해를 입힐 수있는 유일한 사람은 합법적 인 사용자입니다. 공격자는 데이터베이스를 복사하거나 수정 된 소프트웨어를 사용하여 추측 제한을 제거합니다. 귀하 는 다른 한편으로는 실수로 Capslock을 켜거나 데드 키 등을 사용하여 실수로 모든 비밀번호를 잃어 버리거나 다시는 볼 수 없게 될 수 있습니다.

답변

구체적으로 질문에 대한 답변 :

사용할 수있는 도구 / 기술이 있습니까? 보안을 테스트하기 위해 지갑 앱에서 사용하는 data.crypt 파일을 복호화 하시겠습니까?

여기에 data.crypt 파일을 해독하고 내용을 stdout에 인쇄하는 Python의 작은 스크립트가 있습니다. 모든 것이 일반 텍스트로 표시되므로 안전하지 않습니다. 이것은 안전한 시스템이나 더미 데이터 파일에 있습니다.

스크립트는 기술 문서

답글 남기기

이메일 주소를 발행하지 않을 것입니다. 필수 항목은 *(으)로 표시합니다

Deep Theme Powered by WordPress