Quanto sono sicuri i file password utilizzati da Password Safe e Password Gorilla?

Per veloce, significano che una volta impostata una chiave di decodifica (ad es., inserita la tua passphrase), puoi decifrare un file grande o piccolo molto rapidamente. Il tempo necessario per controllare una singola passphrase di twofish e DES sono entrambi simili (vedi tempo / cicli per impostare la chiave e IV - vettore di inizializzazione):

link

(questi sono benchmark per la crittografia, ma dovrebbero essere simili)

Wikipedia elenca alcuni progressi sugli attacchi di due volte, ma conclude citando il primo autore del decennio pubblicato parziale attacco:

"But even from a theoretical perspective, Twofish isn't even remotely broken. There have been no extensions to these results since they were published in 2000".

Tuttavia, hai detto che hai una password complessa. Probabilmente dovresti usare una passphrase. Otto caratteri casuali (maiuscolo / minuscolo + numeri) ~ 2 ⁴⁷ ~ 10 ¹⁴ ? Il benchmark quotato può richiedere ~ 10 microsecondi (10 ^-5 s) per provare una password; quindi potresti provare 10 ^ 14 password in 10 ⁹ s ~ 100 anni di tempo della CPU; che è nel regno della fattibilità per dire che il governo alla fine si spezzerà. Se avessi pronunciato una passphrase diceware di 6 parole (77 bit di entropia) ci vorrebbero 100 miliardi di anni di tempo di CPU di oggi per interrompere.

Quando si esegue la crittografia mentre si utilizza una password come chiave, ci sono due fasi:

1. La password viene trasformata in una chiave adatta all'algoritmo di crittografia simmetrica che deve essere utilizzato.
2. L'algoritmo di crittografia viene applicato a tutti i dati che devono essere crittografati.

I sali e la lentezza configurabile, i due mantra di buona elaborazione della password, devono essere applicati al passo 1, non al passo 2. Se la crittografia era intrinsecamente lenta, allora sarebbe molto lento per te, perché il tempo di crittografia è proporzionale alla dimensione dei dati da crittografare o decrittografare. D'altra parte, l'utente malintenzionato deve solo decrittografare il primo blocco per escludere rapidamente password errate.

In altre parole, se la crittografia stessa fosse lenta, non saresti in grado di farlo seminare come vorresti, e l'aggressore non sarebbe molto ostacolato. Quando si fa la lentezza nel passaggio di hashing della password, d'altra parte, è possibile rendere le cose più uguali tra voi e l'attaccante. Non ho guardato cosa utilizzi Password Safe per quel passaggio, ma i soliti consigli sono bcrypt e PBKDF2 .

In pratica , la velocità di crittografia non è importante. 3DES è "lento", il che significa che la decrittografia di tutta la password memorizzata richiederebbe 500 microsecondi anziché 50 con un algoritmo più veloce, ma comunque non si vedrebbe la differenza. La battuta di Scheneier sulla velocità di Twofish è solo un vecchio pezzo di pubblicità commerciale che aveva senso 15 anni fa quando Twofish era coinvolto nel concorso AES (ma, alla fine, Rijndael vinse e divenne "l'AES").

Non conosco alcuna valutazione indipendente di Password Safe e della sua sicurezza. Tuttavia il fatto che il codice sorgente del programma sia aperto è di una certa comodità quando si tratta di backdoor nascosti, comportamento di "chiamare a casa" ecc.

Finché non sarà disponibile un'analisi completa e indipendente, terrei il mio file protetto da password racchiuso in un contenitore di file TrueCrypt . In questo modo, le potenziali vulnerabilità nell'implementazione di Password Safe dovrebbero essere un problema minore.

Ecco alcune informazioni aggiuntive, non intese a sminuire le precedenti risposte eccellenti.

Un'analisi del formato di file Password Safe può essere trovata nel documento "Formati di database sulla sicurezza dei gestori delle password" di Gasti e Rasmussen. Al momento della stesura di questo articolo, è disponibile online all'indirizzo link , ma non lo faccio so per quanto tempo quel collegamento sarà live. C'è una carta più lunga degli stessi autori che approfondisce l'analisi matematica effettiva di quel formato di file; L'ho trovato solo su siti accademici che richiedono il download di un documento, quindi non l'ho ancora letto. Si fa riferimento nel documento sopra, se qualcuno vuole provarci.

Inoltre ... Si potrebbe voler leggere un bel po 'di passphrase di diceware rispetto alla creazione di passcode più brevi ma comunque crittograficamente forti (che non dovrebbero contenere parole di dizionario). Entrambi gli approcci hanno vantaggi e svantaggi. I database di Password Safe devono essere tenuti allo stato bloccato quando possibile, il che significa che la passphrase / passcode Master deve essere immessa frequentemente. È importante resistere alla tentazione di fare qualsiasi cosa che lo indebolisca.

TL; DR? Il documento ha esaminato 9 diversi formati di database delle password:

• Google Chrome
• Firefox
• Microsoft Internet Explorer
• 1Password
• KDB (aka KeePass 1.x)
• KDBX4 (aka KeePass 2.x)
• PIN
• PasswordSafe v3
• Roboform

Di questi, il formato di PasswordSafe era di gran lunga il più strong e l'unico resiliente contro tutti gli attacchi proposti dallo scrittore.

La maggior parte degli attacchi discussi in altre risposte sono attacchi di forza bruta che indovinano la password. A parte questo, è stato verificato :

Password Safe protects passwords with the Twofish encryption algorithm, a fast, free alternative to DES. The program's security has been thoroughly verified by Counterpane Labs under the supervision of Bruce Schneier, author of Applied Cryptography and creator of the Twofish algorithm.

Ma stai usando Password Safe o una porta, come questa per Mac ? Se lo sei, ecco le brutte notizie di Schneier di Counterpane

Various third-party ports, clones, and readers are also available. I haven't looked at any of these programs, and can't vouch for their compatibility or their security.

Quindi la risposta è "molto".