Jag har en textfil där jag lagrar alla mina bankuppgifter. Jag komprimerar och krypterar den med 7-Zip med följande parametrar:
Komprimering parametrar:
- Arkivformat : 7z
- Kompressionsnivå : Ultra
- Komprimeringsmetod : LZMA2
- Ordboksstorlek : 64 MB
- Solid blockstorlek : 4 GB
- Antal CPU-trådar : 4
Krypteringsparametrar:
- Krypteringsmetod : AES-256
- Kryptera filnamn : Sant
Lösenordet för krypteringen väljs så att det inte finns i någon ordlista och snarare är en nästan slumpmässig sträng (består av 15 -20 stora och små bokstäver, siffror och symboler). Jag lagrar inte detta lösenord någonstans.
Dessutom sparas filnamnet på textfilen så att ingen kommer att kunna berätta att filen är relaterad till bank detai Jag är alls.
Är det tillräckligt säkert i följande scenarier?
- Angriparen tar full kontroll över systemet, men vet inte att just den här filen är av någon betydelse för honom.
- Angriparen har filen, och försöker aktivt att dekryptera den med vetskap om att den har bankuppgifter.
Kommentarer
- I fråga 1, om angriparen kan hitta den okrypterade versionen av filen (dvs. originaltextfilen raderas inte från lagringsmedia), hans jobb är ganska enkelt!
- Nu när internet vet om den här filen, tror jag att vi kan styra ut scenario 1;)
- @AnmolSinghJaggi: Ja, du lagrar inte den okrypterade filen någonstans, men 7-zip gör det automatiskt för dig (hur bekvämt är det inte ' t it?;)) I Windows Temp-katalogen så att filen är tillgänglig och kan öppnas av en extern textredigeringsprogramvara. Det värre fallet är att en sådan applikation ofta inte ens tar hand om att ta bort filen, och förlitar sig på automatisk Windows-rengöring för att göra detta någon gång i framtiden … (Windows Temp-katalog, som webbläsaren ' s cache-katalog, kan vara en verklig grotta för underverk för angriparna!)
- @WhiteWinterWolf Du har rätt. Jag märkte den tillfälliga filen när jag öppnade den krypterade filen. Dessutom raderar 7-Zip den tillfälliga filen efter att jag har fått åtkomst till den krypterade filen.
- @AnmolSinghJaggi: Ja (de försöker göra saker ordentligt :)), men detta kommer bara att vara sant om du stänger textredigeraren före 7zip. Om 7zip av någon anledning stängs medan filen fortfarande öppnas förblir filen här tills nästa allmänna temporära filer rengörs.
Svar
7-zip (eller andra liknande verktyg) kryptering är utformad för att skydda arkiverade filer. Så länge som verktygsdesignerna gjorde sitt jobb bra är du säker i det andra fallet (någon får tag i den krypterade filen och försöker knäcka den).
Ett sådant verktyg är dock inte utformat för att skydda dig mot ditt förstnämnda fall (någon som får tillgång till dina kontodata på din maskin och / eller att du får tillgång till filinnehållet regelbundet). Faktum är att någon som har tagit full (eller till och med bara minimal, inget behov av att eskalera privilegier) åtkomst till ditt system ser att du använder den här filen och kommer också att kunna fånga dina tangenttryckningar medan du skriver ditt lösenord. Ännu värre: en angripare kommer faktiskt inte ens att behöva bry sig om detta eftersom filen troligen kommer att finnas i tydlig form i din Windows Temp-katalog.
Så för ditt första hot skulle jag definitivt rekommendera dig att använda ett verktyg som är utformat för denna användning, som KeePass som undviker att lagra dekrypterad data i tillfälliga filer och ger ett minimiskydd när du skriver lösenordet .
Kommentarer
- Skulle det vara bättre att hålla programvaran på en bärbar lagringsenhet (för att kräva fysisk åtkomst)?
- @ Alpha3031: I ' m inte säker på om du med " programvaran " menar 7zip eller KeePass. Personligen skulle jag föredra att ha körbara filer installerade i rätt katalog så att operativsystemet kan förhindra oväntad modifiering av deras filer, vilket inte är fallet med extern lagringsenhet. Om jag använder en extern enhet skulle jag antingen lägga till den krypterade data eller en extra nyckelfil som behövde kopplas till lösenordet för att dekryptera data (en funktion som erbjuds av KeyPass).
Svar
För att fortsätta med det aggressiva scenariot.
Det kan antas att den ursprungliga textfilen raderas och med kännedom om temp-filen kan den också raderas.
Det finns dock några verktyg som hittar borttagna filer och som enkelt kan återställas om du inte använder ett ”makuleringsprogram” som fyller de ”tomma” utrymmena på enheten med slumpmässiga bitar som skriver över den ursprungliga informationen.
Medan din zip-gömningsmetod skulle vara användbar mot den avslappnade datoranvändaren, kan en allvarlig gärningsmännen använda den här programvaran, återställa den raderade informationen och få tillgång till den känsliga filen. på din textfil skulle ”hackaren” sannolikt återställa alla raderade filer de kunde hitta och använda ett verktyg för att snabbt söka i alla vanliga textfiler efter nyckelord eller siffror som rör bank.
Svar
Problemet med att använda 7z eller annan sådan programvara för att spara krypterad textfil med bankinformation är att när du behöver data måste du öppna filen och packa upp den. Vid den tiden kommer 7z att dumpa en okrypterad kopia av den i Windows temp-katalog. Du (eller 7z-programvaran) måste rensa temp-katalogen ordentligt varje gång du öppnar filen.
Det här är inte den bästa lösningen för att spara bankuppgifter. Använd programvara som är särskilt utformad för detta. Jag föreslår att du använder Keepass istället. Du behöver inte ta itu med allt okrypterat som dumpas i Windows temp-katalog.
Kommentarer
- 7zip har haft ett fel för detta i flera år och ägaren ' t verkar tro att det är ett problem, även om många har kommit fram och pratat om hur stort ett säkerhetsproblem det är. sourceforge.net/p/sevenzip/bugs/1448
Svar
Se länkarna nedan för information om flera buggar som rapporterades under 2019 om svag slumptalsgenerering, och en brist på hur IV genereras, i versioner av 7zip vid den tiden:
https://threadreaderapp.com/thread/1087848040583626753.html
https://sourceforge.net/p/sevenzip/bugs/2176/
Det verkar som om dessa buggar har fixats i senare versioner av 7zip.