web-dev-qa-db-fra.com

Conserver un fichier KeePass dans Dropbox est-il sécurisé?

Est-il prudent de conserver le fichier de base de données de mots de passe KeePass dans Dropbox? La base de données peut avoir un mot de passe long (14+ caractères alphanumériques, numériques, spéciaux) et un fichier de clé local sur la machine ou sur le mobile qui n'est pas partagé dans Dropbox?

dropboxkeepass
56
TusharG

La question ici n'est pas de savoir si vous faites confiance à Dropbox, mais plutôt si vous faites confiance à keypass. Si votre coffre de mots de passe renonce à ses secrets lorsque quelqu'un d'autre s'en empare, vous voudrez alors trouver autre chose.

Keypass utilise AES-256 pour le chiffrement (qui reste la norme de facto) et SHA-256 pour créer une clé à partir de votre phrase secrète avec un sel.

Donc, la méthode de cryptage est bonne. Dans ce cas, vous voudrez peut-être déterminer s’il existe des faiblesses dans l’implémentation pouvant être exploitées par une personne s’emparant de votre centre de sauvegarde. Keepass semble utiliser une méthode de cryptage progressive, dans laquelle le fichier est divisé en blocs et crypté plusieurs fois. Une attaque par force brute prendrait du temps et vous pouvez augmenter le nombre de clés par seconde pouvant être testées lors de la création de la base de données. Choisissez pour cela faire beaucoup de tours. Cela signifie qu'il faut du temps pour qu'une clé soit testée. Pour vous, cela signifie que vous devez attendre une seconde environ pour que la base de données s'ouvre. Pour un attaquant, cela signifie qu'il doit attendre une seconde ou plus pour tester sa prochaine clé.

D'autres méthodes de protection sont utilisées, mais ne sont pas pertinentes pour ce scénario, par exemple, le contenu chiffré du coffre-fort doit être chiffré en mémoire lorsque le coffre-fort est ouvert.

Vous devriez revoir les méthodes de sécurité utilisées et, si vous vous sentez content que si le coffre-fort tombe entre de mauvaises mains, vous serez en sécurité, foncez.

43
Paul

Il existe différents degrés de sécurité et la commodité de Dropbox par rapport à la sécurité de ce que vous essayez de faire est quelque chose que vous devez évaluer pour vous-même.

En outre, la sécurité dépend du point le plus faible. Si l'un des éléments suivants est compromis, vos fichiers sont exposés:

  • Vous (oubliez de vous déconnecter, laissez votre mot de passe sur un sticky, partagez votre dropbox avec quelqu'un d'autre)
  • Tous les ordinateurs sur lesquels vous avez synchronisé Dropbox. Utilisent-ils des mots de passe forts? Logiciel à jour? Est-ce que leurs disques sont cryptés? Ont-ils la connexion automatique activée?
  • Votre connexion réseau à Dropbox. As-tu un pare-feu? Le micrologiciel/logiciel de votre modem/routeur est-il à jour? Sont-ils configurés correctement?
  • Le logiciel, le réseau et les ordinateurs de Dropbox.
  • Amazon S3 (où sont stockés vos fichiers).

Considérez ce qui suit et qui pourrait vous aider à prendre cette décision:

  1. Le fichier de base de données sera stocké sur chaque ordinateur sur lequel votre Dropbox est installée.
  2. Dropbox stocke une copie de sauvegarde du fichier localement, même lorsque vous supprimez le fichier.
  3. Vous devez vous assurer que le dossier dans lequel vous stockez le fichier n'est pas marqué comme public.
  4. Il est possible pour quelqu'un de l'entreprise de lire vos fichiers. Selon les informations figurant sur le lien, seules quelques personnes ont accès à vos données et ne sont censées y accéder que si elles sont assignées à comparaître.
  5. Dropbox stocke vos fichiers sur Amazon S3, ce qui signifie qu'il est possible (bien que très improbable: ils doivent pouvoir le déchiffrer) pour que quelqu'un chez Amazon puisse accéder à vos données.
5
BryanH