Ho archiviato una copia del mio database KeePass su un disco rigido portatile e ho perso l'unità. Dovrei preoccuparmi di questo?

7

Utilizzo KeePass da anni e ho molti account. Ho bisogno di accedervi ovunque io lavori, quindi conservo una copia del mio database su un disco rigido portatile.

L'unità non è crittografata. Il database è crittografato usando AES-256 con milioni di cicli di crittografia, ma io uso solo una singola password per aprirlo.

La password è una combinazione di caratteri maiuscoli e minuscoli, numeri e segni speciali, ed è basata su un numero di parole casuali, non correlate.

Ho perso l'unità. Dovrei preoccuparmi del crack del database?

    
posta LQ2' 08.04.2016 - 11:29
fonte

1 risposta

10

TL; DR: puoi rilassarti: il tuo database è assolutamente sicuro.

Dettagli tecnici:
La crittografia utilizzata da KeePass non è interrotta a partire da oggi. Forza Brute: la chiave AES-256 non è fattibile. Supponendo che la tua password abbia più di 80 bit di entropia, i milioni di round di derivazione delle chiavi rendono la brute-forzando la password anche in questo modo.

L'entropia della tua password dipende da quanto bene hai scelto le tue parole. Facciamo un altro esempio:
Hai scelto 5 parole distinte. L'attaccante deve assumere un set di circa 7000 parole inglesi per non perdere una delle tue parole. Le sole parole compensano 10 ^ 19 combinazioni possibili. Supponiamo inoltre di aver cambiato due lettere per parola con un numero o un carattere speciale. Hai scelto numeri simili alla lettera e caratteri speciali casuali da un set di 10. Lo scambio di lettere da solo compensa (13 * 13) ^ 5 = 137 * 10 ^ 9 combinazioni possibili. Tutto sommato, si tratta di 1,3 * 10 ^ 30 combinazioni possibili; equivalente a circa 100 bit di entropia.

Brute-Forcing 100 bit non è completamente impossibile imo (128 è considerato pre-quantum impossibile, ma da 100 a 128 è un passo enorme). Questo sforzo è ben lontano oltre fattibile per chiunque altro che grandi governi o imprese. A meno che tu non sia Edward Snowden (che sono sicuro non lo sei da quando hai fatto questa domanda), nessuno passerà attraverso quel dolore.
Il numero elevato di round di derivazione si aggiunge a quello, anche.

    
risposta data 08.04.2016 - 11:35
fonte

Leggi altre domande sui tag