Come conservare le password in un file di testo in USB in modo sicuro?

In realtà computer quantistici non rappresentano una minaccia per la crittografia simmetrica . Per dirla in termini semplici (e un po 'semplicistici):

• Un computer quantistico, se mai esistesse, interromperà totalmente gli algoritmi asimmetrici di crittografia e scambio di chiavi più utilizzati (RSA, ElGamal, Diffie-Hellman ...) ma non tutti gli algoritmi asimmetrici (il QC non infrange concetto di crittografia asimmetrica, solo alcune delle sue incarnazioni).

• Per la crittografia simmetrica, la ricerca approfondita dello spazio chiave è più veloce , ma comunque costosa. In parole povere, un tasto n offre resistenza 2 ^{n / 2} contro un QC (rispetto a 2 ⁿ per un computer classico).

Nel contesto della crittografia basata su password di un file, in cui la chiave (derivata da) è una password, ci si trova nel mondo "simmetrico", quindi se temi i computer quantistici, allora "è sufficiente" che tu scelga un password con il doppio di entropia. Dì, punta a 120 bit di entropia della password e dovresti stare tutto bene. Vedi questa risposta per esempi di calcoli di entropia della password.

Si può dire che i computer quantistici in realtà non esistono (non il "vero" controllo di qualità, il tipo che può mangiare RSA a colazione), e quando esistono (se ciò dovesse accadere) allora saranno molto costosi all'inizio. È improbabile che qualcuno che può permettersi i pochi miliardi di dollari per un controllo di qualità di lavoro sia interessato alle tue password.

Ad ogni modo, a meno che non sia stato fatto con incompetenza disordinata, la crittografia simmetrica sarà il punto più strong del sistema, non il più debole. Qualsiasi crittografia si basa su alcuni software, da qualche parte, che esegue la crittografia e la decrittografia. Quel sarà il punto debole; malware e keylogger sono una minaccia molto più plausibile di un hacker che in qualche modo ha ottenuto la chiavetta USB e decide di attaccare la crittografia in anticipo. Più probabilmente, un tale aggressore potrebbe scrivere un virus malvagio sulla chiavetta USB e rimetterlo in tasca.

(Che è un modo per dire che questo non è un gioco: non ci sono regole tra attaccante e difensore, e nulla costringe l'attaccante a giocare bene e tenta di infrangere la crittografia solo .)

Inoltre, non dimenticare usabilità : tenere l'attaccante lontano dalle tue password va bene; ma non chiuderti. Una penna USB non è il componente hardware più affidabile di sempre e può essere persa. Devi conservare i backup.

In passato ho utilizzato un metodo simile: avevo un file di testo semplice contenente le mie credenziali e l'ho crittografato con Cifra Blowfish .

Ora utilizzo KeePass , un gestore di password offline. Lo consiglio vivamente, poiché è

1. Molto più user friendly di un file di testo crittografato e
2. Molto più sicuro di un file di testo crittografato solo una volta ( N = 1, vedi sotto). KeePass supporta l'autenticazione multifunzione e la protezione contro i keylogger, solo per citare alcuni vantaggi.

Il database crittografato contenente le mie credenziali viene memorizzato in una directory di cui viene eseguito automaticamente il backup su Wuala , un servizio di archiviazione sicura dei file oppure potresti utilizzare servizi simili come Dropbox, Google Drive o OneDrive.

Raccomando anche di usare un file chiave, che è come una seconda password molto strong (almeno 256 bit di entropia), e memorizzarlo su un dispositivo di archiviazione di massa USB (qualcosa che hai ). Combinato con una password master strong (qualcosa che conosci ), hai essenzialmente impostato un meccanismo di autenticazione a 2 fattori che è molto difficile da violare.

Assicurati di non salvare il database e il file chiave nella stessa posizione. È essenziale tenere il file chiave segreto, quindi su un supporto che è sulla tua persona e un backup (ad esempio su carta) in un deposito o simile posizione sicura. Se perdi il supporto su cui è archiviato il file chiave, puoi semplicemente utilizzare KeePass per generare un nuovo file chiave, rendendo inutilizzabile la chiave persa. E anche se un utente malintenzionato può ottenere il file di chiavi E del database, il database è ancora protetto con la tua password principale complessa.

KeePass rende molto più difficile l'accesso al database da attacchi brute-force o di dizionario. Lo fa crittografando il database non una volta, ma molte volte. La raccomandazione è di impostare il numero di round N così alti, che decifrare il database impiega 1 secondo sul tuo sistema (su hardware moderno N supera facilmente i 10 milioni). Questo potrebbe non sembrare molto, e in effetti non lo è per l'uso quotidiano, ma per un utente malintenzionato ciò renderà la forza bruta o l'attacco al dizionario richiedere N più tempo.

Vedi KeePass Security per una spiegazione di tutte le funzionalità di sicurezza.

Puoi anche utilizzare un YubiKey anziché il file chiave. KeePass supporta YubiKey tramite OtpKeyProv plug-in . In effetti:

All generator tokens that follow the OATH HOTP standard (RFC 4226) are supported.

Quindi non sei limitato a un YubiKey.

C'è una analisi di sicurezza di EncFS che dice che può essere attaccata se l'attaccante si impossessa di più versioni di il testo cifrato. Perché non utilizzare gpg per crittografare il file di testo? Stai seriamente pensando di sfidare un avversario che è in grado di costruire un computer quantico? Sembra abbastanza ridicolo. Con lo 0,001% del denaro che ho bisogno di costruire quel computer posso assumere un team di professionisti che ottiene i tuoi dati segreti, che si tratti di spear phishing, violenza, qualsiasi cosa ...

Un buon metodo di crittografia come AES o RSA è più che sufficiente. Niente è sicuro al 100%, ma l'utilizzo di RSA-1024 o RSA-2048 dovrebbe essere sufficiente.

Recentemente ho creato uno "strumento" (file) chiamato Bobsie-Crypter per eliminare finalmente lo stesso problema, puoi trovarlo qui:

link

In pratica è solo un file html con qualche interfaccia per una facile gestione e crittografa i dati con AES. Non è ancora una prova ultra super NSA, ma fa un buon lavoro.