aWallet Password Manager (Română)

NOTĂ: Această întrebare este o sub-parte a întrebare originală pe un Manager de parole Wallet postat pe Cryptography.StackExchange. Așa cum sugerat de @SEJPM , îl postez aici, deoarece subiectul întrebării este mai potrivit pentru InformationSecurity.StackExchange.


După ce am citit o mulțime de articole despre creșterea securității conturilor mele web, am început să folosesc aWallet Password Manager pentru Android pentru backup parolele mele. Îmi place din următoarele motive:

  • „Pot să am destul de parole de bună entropie : Pot” arunca o combinație de litere minuscule & MAJUSCULE alfabete, cifre, caractere speciale (inclusiv spații) și am parole destul de lungi (peste 10 caractere) )
  • Salvarea sigură a parolelor îmi permite să am parole distincte pentru fiecare cont web care altfel ar fi imposibil. Acest lucru ar evita un efect în cascadă (oferind acreditările tuturor conturilor) care ar fi creat verificat dacă unul dintre conturile mele, ale cărui acreditări de conectare le împărtășesc cu mai multe conturi, este compromis.

Inutil să spun că al doilea punct este discutabil deoarece are toate acreditările stocat într-un singur loc introduce un punct unic de eșec și prezintă un risc egal de reacție în lanț menționat anterior.


Având în vedere cunoștințele mele limitate despre criptografie și îndoielile legate de confidențialitate (având în vedere incidentele recente de furturi online), vreau să depun mărturie despre securitatea unui Manager de parole Wallet înainte de a-mi stoca Detalii bancare / Card în acesta. Iată ce susțin despre pagina Google PlayStore :

CARACTERISTICI DE SECURITATE

• Toate datele sunt criptate, inclusiv numele intrărilor, definițiile categoriilor și datele în sine.

• Criptează datele folosind algoritmi AES și Blowfish cu dimensiuni cheie de 256, 192 și 128 biți.

• Când fișierul de date este decriptat, până la toate combinațiile de algoritm, dimensiunea cheii și modul de operare cifrat (CBC, CFB, OFB și ECB) sunt încercate cu parola Master pentru a debloca fișierul de date. face atacurile cu forță brută mai lungi. Aplicația în sine nu stochează niciun indiciu pentru cifrul real, dimensiunea cheii sau modul de operare a cifrării.

• Folosește o „sare” generată aleatoriu combinată cu parola principală. Sarea ajută pentru a vă proteja de atacurile din dicționar off-line.

• Cheia pentru deschiderea fișierului de date este creată prin combinarea parolei master cu „sare” de 512 biți. Rezultatul este hash de 1000 de ori de SHA-256 . Hash-ul repetitiv produce o forță brută la abordare mai dificilă.

Deși niciunul dintre aceste puncte nu are mult sens pentru mine, puținul pe care îl știu despre criptografie îmi spune că [te rog corectează eu dacă „greșesc] repetarea unei tehnici de criptare de mai multe ori nu îmbunătățește matematic securitatea ; poate să dea o impresie falsă de securitate suplimentară.


Și din cauza acestei inconsecvențe, am început să mă îndoiesc de validitatea celorlalte revendicări ale acestora. Întrebările mele sunt: –

  1. Există un instrument / tehnică pe care aș putea să-l folosesc pentru a încerca să descifrez fișierul data.crypt folosit de aplicația aWallet pentru a testați securitatea?
  2. aWallet nu oferă propriul spațiu de stocare în cloud și ne permite (opțional) să backupăm fișierul data.crypt pe Google Drive sau Dropbox. Cât de sigur ar fi acest lucru dacă folosesc autentificarea cu 2 factori pentru contul meu Google?
  3. În general, este sigur să stochezi datele de conectare sau detaliile bancare sau ambele într-un manager de parole?

Comentarii

  • Este hashingul repetitiv care v-a făcut suspicios? Nu este același lucru cu criptarea repetitivă și este într-adevăr o practică standard. Vedeți aceasta .
  • Is it safe to store login credentials or banking details or both in a password manager Nu ‘ t trebuie să fie o securitate perfectă, trebuie să fie mai bine decât să-ți creezi propria parolă și să o reții.
  • ” toate combinațiile de algoritm, dimensiunea cheii și modul de operare cifrat (CBC, CFB, OFB și ECB) sunt încercate ” Acest lucru sună idiot … de ce nu folosiți o funcție adecvată de derivare a cheii?Faptul că aparent vă permit să utilizați BCE este un steag roșu imens (și dacă nu vă permit ‘ să vă permită să utilizați BCE, atunci încercarea de a decripta cu acesta nu ‘ oricum nu faceți nimic pentru a încetini atacatorul)
  • Îmi place ‘ să indic pe oricine dorește să comenteze detaliile criptografice din acest ” manager de parole ” la postare legată pe Crypto.SE , unde aceste probleme sunt evaulate și discutate.

Răspuns

Vă rugăm să rețineți: Această postare răspunde de fapt la întrebarea (întrebările) din întrebare și nu comentează (mult) despre securitatea unui portofel. Vă sugerez să vizitați Versiunea Crypto.SE a acestei întrebări pentru o examinare a detaliilor criptografice.

Există un instrument / tehnică pe care aș putea să-l folosesc pentru a încerca să decriptați fișierul data.crypt folosit de o aplicație Wallet pentru a-i testa securitatea?

O căutare rapidă nu a arătat nimic, așa că am să presupunem că acest manager de parole nu este suficient de mare / nu a văzut suficiente cercetări pentru a fi făcut pe altcineva să scrie un instrument pentru a ataca acest manager de parole.

aWallet nu oferă propriile spații de stocare în cloud și ne permite să (opțional) să facem backup fișierului data.crypt pe Google Drive sau Dropbox. Cât de sigur ar fi dat faptul că folosesc 2-Factor-Authentication pentru contul meu Google?

Acest lucru depinde foarte mult.
Presupunând un Wallet măsurile de securitate sunt de fapt bune și utilizați o parolă puternică și / sau un fișier de chei locale, apoi încărcarea bazei de date de parole criptate într-un serviciu cloud nu afectează securitatea, deoarece parola și / sau fișierul cheie încă protejați parolele. Desigur, autentificarea suplimentară și controlul accesului acestor servicii cloud înseamnă că este posibil ca dvs. și furnizorul să aveți acces și este de obicei în interesul furnizorului să nu scape fișierele utilizatorului.

În general, este sigur să stocați acreditările de autentificare sau detaliile bancare sau ambele într-un manager de parole?

Da, foarte mult, dacă managerul de parole este decent.
Utilizarea unui manager de parole vă permite să aveți cu ușurință unic, parole puternice pe site, ceea ce înseamnă că este necesar un compromis al bazei de date cu parole sau a clientului dvs. local. Așa cum am stabilit deja, compromiterea copiei de rezervă este împiedicată de parola puternică, deci acest lucru lasă compromisul clientului ca vector pentru a afla parola. Dar de îndată ce clientul dvs. este compromis, toate pariurile sunt dezactivate oricum, deoarece atacatorul ar putea doar să vă adulmece tastatura sau să vă monitorizeze / intercepteze datele de rețea! Deci, în general, aveți puțin de pierdut și mult de câștigat folosind manageri (buni) de parole.

Dacă aWallet este un bun manager de parole, este o întrebare diferită (și a cărei răspuns este pe Crypto.SE).

Răspuns

aWallet specific: nu-l utilizați. Creatorul evident nu știe ce fac. Voi alege doar o preocupare (există mai multe care vor fi probabil mai evidente pentru Oamenii mai inteligenți decât mine): ar putea să vă cripteze baza de date în modul BCE (uneori, dar nu întotdeauna).

Modul BCE nu este în special sigur, deoarece același text simplu criptează întotdeauna la același text cifru. Prin urmare, modul BCE „nu ascunde bine modelele de date … nu oferă confidențialitate serioasă a mesajului și nu este deloc recomandat pentru utilizare în protocoale criptografice „.

Administratorii de parole în general: utilizați unul. Dar alegeți unul cunoscut, cu reputație bună, cum ar fi 1Password, LastPass, KeePass, Dashlane etc. Sau cel puțin folosiți unul creat sau recomandat de o companie de securitate bine cunoscută sau de un cercetător în domeniul securității dacă nu știți unde să mai căutați. Un bun manager de parole cu criptare competentă ( nu a Wallet aparent) este perfect sigur pentru păstrarea stocării în cloud, cu condiția ca parola principală să fie puternică.


Editați: OK Nu pot rezista să aleg câteva alte puncte care săresc spre mine pentru a țipa” stai departe „:

  • În ceea ce privește transformarea parolei principale într-o cheie de criptare: „Rezultatul este hash de 1000 de ori de către SHA-256.” Acest lucru este ridicol de insuficient. Făcute corect, cel puțin ar folosi PBKDF cu 10.000 de runde sau mai mult, mai degrabă decât cu o buclă de hash personalizată de doar 1000. Chiar și asta ar fi abia suficient și s-ar compara slab cu managerii de parole implementați corect. Sute de mii sau mai multe runde ar fi mai asemănătoare. Sau abandonați hashul de parolă bazat pe SHA și utilizați ceva de genul bcrypt sau argon2. Acest software nu se poate compara cu instrumentele moderne.
  • „Sprijină distrugerea automată a fișierului de date după ce a fost încercat un număr predefinit de deblocări nereușite.” Acest lucru nu afectează deloc un atacator. Singura persoană care poate fi rănită este utilizatorul legitim. Un atacator va face o copie a bazei de date sau va utiliza un software modificat pentru a elimina limita de presupunere. Tu pe cealaltă mână îți poate pierde din greșeală toate parolele, pentru a nu mai fi văzute niciodată, prin activarea accidentală a majusculului sau a unei chei moarte sau ceva de genul acesta.

Răspuns

Răspunsul specific la întrebarea dvs.:

Există un instrument / tehnică pe care aș putea să-l folosesc pentru a încerca să decriptați fișierul data.crypt folosit de o aplicație Wallet pentru a-i testa securitatea?

Aici „s un mic script în python care decriptează fișierele data.crypt și tipărește conținutul pe stdout. Rețineți că nu este sigur, deoarece totul este vizibil în text simplu, așa că nu aceasta pe o mașină sigură sau cu un fișier de date fals.

Scriptul a fost construit utilizând documentație tehnică pe awallet.org.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *