NOTA: questa domanda è una sottoparte della domanda originale su un Gestore password di Windows registrato su Cryptography.StackExchange. Come suggerito da @SEJPM , lo sto postando qui dall'argomento della domanda è più adatto per InformationSecurity.StackExchange.
Dopo aver letto molti articoli su come aumentare la sicurezza dei miei account web, ho iniziato a utilizzare aWallet Password Manager per Android per backup le mie password. Mi piace per i seguenti motivi:
- Sono in grado di avere abbastanza password di buona entropia : sono in grado di inserire un mix di caratteri minuscoli e amp; MAIUSCOLI alfabeti, cifre, caratteri speciali (spazi inclusi) e password abbastanza lunghe (10 caratteri)
- Il salvataggio sicuro delle mie password mi consente di avere password distinte per ogni account web che altrimenti sarebbero impossibili. Questo eviterebbe un effetto a cascata (rivelando le credenziali di tutti gli account) che verrebbe creato se uno dei miei account, le cui credenziali di accesso condivido con diversi account, viene compromesso.
Inutile dire che il secondo punto è discutibile perché avere tutte le credenziali archiviate in una singola posizione introduce un single-point of failure e pone lo stesso rischio di < em> reazione a catena menzionata in precedenza.
Data la mia conoscenza limitata della crittografia e dei dubbi sulla privacy (dati i recenti episodi di furti online), voglio testimoniare la sicurezza di un Gestore password di Windows prima di archiviare i miei dettagli bancari / carta . Ecco cosa rivendicano nella pagina Google PlayStore :
SECURITY FEATURES
• All data is encrypted, including Entry names, Category definitions and the data itself.
• Encrypts data using AES and Blowfish algorithms with key sizes of 256, 192 and 128 bits.
• When the data file is decrypted, up to all combinations of algorithm, key size and cipher mode of operation (CBC, CFB, OFB and ECB) are tried with the Master password to unlock the data file. This makes brute force attacks longer. The app itself does not store any hint to the actual cipher, key size or cipher mode of operation.
• Uses a randomly generated 'salt' combined with the Master password. Salt helps to protect from off-line dictionary attacks.
• The key to open the data file is created by combining your master password with the 512-bit 'salt'. The result is hashed 1000 times by SHA-256. Repetitive hashing makes a brute force attack more difficult.
Sebbene nessuno di questi punti abbia senso per me, il poco che so di Cryptography mi dice che [correggimi se ho torto] ripetendo una tecnica di crittografia più volte non Matematicamente migliorare la sicurezza ; può solo dare una falsa impressione di maggiore sicurezza.
E a causa di questa incoerenza, ho iniziato a dubitare della validità delle loro altre affermazioni. Le mie domande sono: -
- Esiste uno strumento / tecnica che potrei utilizzare per tentare di decrittografare il file
data.crypt
utilizzato da un'appWallet per verificarne la sicurezza? - aWallet non offre spazio di archiviazione sul cloud e ci consente di (facoltativamente) eseguire il backup del file
data.crypt
su Google Drive o Dropbox. Quanto sarebbe sicuro che io utilizzi l'autenticazione a 2 fattori per il mio account Google? - In generale, è sicuro memorizzare credenziali di accesso o dettagli bancari o entrambi in un gestore di password?