KeePass Vs OneNote

20

Nella mia vita personale, uso KeePassX per generare / archiviare tutte le mie password. Ho visto alcune persone utilizzare una sezione di OneNote protetta da password.

La sezione OneNote protetta da password fornisce un livello di sicurezza paragonabile a KeePass? O la protezione della password è una farsa?

    
posta pat 03.11.2016 - 15:05
fonte

5 risposte

43

Per quanto riguarda lo storage, penso che qualsiasi file crittografato correttamente avrà lo stesso livello di sicurezza. Il problema è che le password sono pensate per essere utilizzate, e quindi i vault delle password dedicati hanno più funzionalità:

  • possibilità di simulare la pressione dei tasti per evitare di memorizzare la password negli appunti - e addizionalmente consente di utilizzarli su un sito Web mal progettato che non consente di incollare nel campo della password
  • anche se si utilizzano gli Appunti, questo viene pulito dopo un breve periodo di tempo per impedire che la password venga incollata inavvertitamente in un posto sbagliato
  • alcuni gestori di password includono un generatore di password (keypass) in grado di generare password casuali con elevata entropia - resistente agli attacchi di dizionario

Per tutti questi motivi, penso che un buon gestore di password sia migliore di un semplice file crittografato, anche se i motori di crittografia sono equivalenti.

    
risposta data 03.11.2016 - 15:55
fonte
16

Una breve occhiata dice che usa AES, che è robusto e gli strumenti di exploit che vedo sembrano come se facessero attacchi a dizionario e forza bruta, piuttosto che attaccare qualcosa di sistematicamente rotto.

Tuttavia, gli strumenti KeePass / LastPass / simili sono specificamente progettati per affrontare la situazione. Supportano l'autenticazione a più fattori / 2 fattori, che è un bonus. Consiglierei comunque questi strumenti sulla protezione con password di OneNote solo per le buone integrazioni e la facilità d'uso, ma non vedo alcun problema di sicurezza.

    
risposta data 03.11.2016 - 15:15
fonte
9

Oltre alle preoccupazioni sull'usabilità menzionate da @Serge Ballesta nella sua risposta , sorgono i seguenti problemi di sicurezza:

  • KeePass ha una sicurezza ben documentata. Documentano la funzione di derivazione chiave che usano e la tecnologia di crittografia utilizzata
  • KeePass è un software Open Source, il che significa che puoi verificare che non ci sono backdoor nel software
  • Un database KeePass rimane sull'unità locale, a meno che non lo si inserisca attivamente in qualche archivio cloud. La sincronizzazione automatica potrebbe non essere auspicabile per dati molto sensibili, come le password.
risposta data 03.11.2016 - 16:17
fonte
2

Un gestore di password e un semplice database / file di testo crittografato / qualsiasi sono approssimativamente equivalenti per le minacce più rilevanti per l'utente medio (supponendo che la crittografia sia stata eseguita in modo decente, ad esempio utilizzando un metodo sufficientemente lento): attacchi basati sul riutilizzo della password ( per esempio qualcuno crea un sito web honeypot o rompe un sito debolmente protetto e verifica i nomi utente + password su gmail) e l'entropia della password bassa (ad esempio la password può essere indovinata generando un enorme elenco di stringhe simili a password e provandone tutte di loro).

La grande differenza è contro le minacce in cui il tuo computer è parzialmente compromesso: ad esempio, qualcuno installa un keylogger (i gestori di password possono auto-digitare usando un mix di azioni copia-incolla e pressioni di tasti simulati che rendono difficile il log), oppure loro spruzzano azoto liquido sul computer e strappano i chip di memoria mentre sei in bagno (buoni gestori di password evitare di conservare in memoria le password non crittografate).

Tutto sommato, se non vi è alcun motivo valido contro di esso, è necessario utilizzare un gestore di password appropriato come KeePass (o OnePass o LastPass). Se trovi qualche altra generazione casuale di password + metodo di archiviazione crittografato che si adatta meglio al tuo flusso di lavoro / è più facile da spiegare a tua nonna, usalo e non preoccuparti troppo. Rubare la tua password da un sito e riutilizzarla in un altro ha una probabilità abbastanza elevata di accadere, mentre infettarti con un keylogger è molto meno probabile se usi un antivirus e il buon senso (e se vieni infettato, le password non saranno il tuo più grande problema: saranno le carte di credito o il furto d'identità.

    
risposta data 04.11.2016 - 06:17
fonte
0

Suggerirei di creare il proprio generatore di password, cioè se si sa come creare un semplice database di Access, l'ho fatto, e posso scegliere il numero di ciascun tipo di caratteri o numeri o caratteri estesi che occorrerebbe, poi mescolali {li riorganizzi}, forse più di una volta se vuoi, e poi salvali nel tuo database per ogni sito che vuoi creare. Tuttavia, devi proteggere questo database in modo che nessuno possa trovarlo sul tuo HD o magari archiviarlo in una chiavetta USB. Saluti.

    
risposta data 08.11.2016 - 19:38
fonte

Leggi altre domande sui tag