aWallet Password Manager

4

NOTA: questa domanda è una sottoparte della domanda originale su un Gestore password di Windows registrato su Cryptography.StackExchange. Come suggerito da @SEJPM , lo sto postando qui dall'argomento della domanda è più adatto per InformationSecurity.StackExchange.

Dopo aver letto molti articoli su come aumentare la sicurezza dei miei account web, ho iniziato a utilizzare aWallet Password Manager per Android per backup le mie password. Mi piace per i seguenti motivi:

  • Sono in grado di avere abbastanza password di buona entropia : sono in grado di inserire un mix di caratteri minuscoli e amp; MAIUSCOLI alfabeti, cifre, caratteri speciali (spazi inclusi) e password abbastanza lunghe (10 caratteri)
  • Il salvataggio sicuro delle mie password mi consente di avere password distinte per ogni account web che altrimenti sarebbero impossibili. Questo eviterebbe un effetto a cascata (rivelando le credenziali di tutti gli account) che verrebbe creato se uno dei miei account, le cui credenziali di accesso condivido con diversi account, viene compromesso.

Inutile dire che il secondo punto è discutibile perché avere tutte le credenziali archiviate in una singola posizione introduce un single-point of failure e pone lo stesso rischio di < em> reazione a catena menzionata in precedenza.

Data la mia conoscenza limitata della crittografia e dei dubbi sulla privacy (dati i recenti episodi di furti online), voglio testimoniare la sicurezza di un Gestore password di Windows prima di archiviare i miei dettagli bancari / carta . Ecco cosa rivendicano nella pagina Google PlayStore :

SECURITY FEATURES

• All data is encrypted, including Entry names, Category definitions and the data itself.

• Encrypts data using AES and Blowfish algorithms with key sizes of 256, 192 and 128 bits.

• When the data file is decrypted, up to all combinations of algorithm, key size and cipher mode of operation (CBC, CFB, OFB and ECB) are tried with the Master password to unlock the data file. This makes brute force attacks longer. The app itself does not store any hint to the actual cipher, key size or cipher mode of operation.

• Uses a randomly generated 'salt' combined with the Master password. Salt helps to protect from off-line dictionary attacks.

• The key to open the data file is created by combining your master password with the 512-bit 'salt'. The result is hashed 1000 times by SHA-256. Repetitive hashing makes a brute force attack more difficult.

Sebbene nessuno di questi punti abbia senso per me, il poco che so di Cryptography mi dice che [correggimi se ho torto] ripetendo una tecnica di crittografia più volte non Matematicamente migliorare la sicurezza ; può solo dare una falsa impressione di maggiore sicurezza.

E a causa di questa incoerenza, ho iniziato a dubitare della validità delle loro altre affermazioni. Le mie domande sono: -

  1. Esiste uno strumento / tecnica che potrei utilizzare per tentare di decrittografare il file data.crypt utilizzato da un'appWallet per verificarne la sicurezza?
  2. aWallet non offre spazio di archiviazione sul cloud e ci consente di (facoltativamente) eseguire il backup del file data.crypt su Google Drive o Dropbox. Quanto sarebbe sicuro che io utilizzi l'autenticazione a 2 fattori per il mio account Google?
  3. In generale, è sicuro memorizzare credenziali di accesso o dettagli bancari o entrambi in un gestore di password?
posta y2k-shubham 09.04.2018 - 05:27
fonte

2 risposte

2

Nota: questo post risponde effettivamente alle domande nella domanda e non commenta (molto) sulla sicurezza di un Wallet. Ti suggerisco di visitare la versione di Crypto.SE di questa domanda per una revisione dei dettagli crittografici.

Is there a tool / technique that I could use to attempt to decrypt the data.crypt file used by aWallet app so as to test it's security?

Una ricerca rapida non ha restituito nulla, quindi suppongo che questo gestore di password non sia abbastanza grande / non abbia visto abbastanza ricerche da aver fatto qualcun altro a scrivere uno strumento per attaccare questo gestore di password.

aWallet doesn't offer any cloud storage of their own and allows us to (optionally) backup the data.crypt file onto Google Drive or Dropbox. How safe would that be given that I use 2-Factor-Authentication for my Google account?

Questo dipende molto.
Supponendo che le misure di sicurezza di un Wallet siano effettivamente buone e si usi una password complessa e / o un file chiave locale, quindi caricare il database delle password crittografato su un servizio cloud non danneggia la sicurezza, come la password e / o il keyfile protegge ancora le password. Naturalmente l'aggiunta dell'autenticazione e il controllo degli accessi di questi servizi cloud significa che è possibile accedere solo a te e al provider e che di solito è nell'interesse del provider non perdere file utente.

In general, is it safe to store login credentials or banking details or both in a password manager?

Sì, moltissimo, se il gestore della password è decente.
L'utilizzo di un gestore di password consente di avere facilmente password uniche e forti per sito Web, vale a dire una compromissione del database delle password o del client locale. Come abbiamo già stabilito, un compromesso del backup è impedito dalla password complessa, quindi questo lascia al cliente un compromesso come vettore per imparare la password. Ma non appena il tuo cliente viene compromesso, tutte le scommesse vengono comunque rimosse, poiché l'autore dell'attacco potrebbe annusare la tua tastiera o monitorare / intercettare i dati della tua rete! Quindi tutto sommato è poco da perdere e molto da guadagnare usando (buoni) gestori di passowrd.

Se unWallet è un buon gestore di password è una domanda diversa (e ha risposto su Crypto.SE).

    
risposta data 09.04.2018 - 19:08
fonte
2

aWallet in particolare: non usarlo. Il creatore ovviamente non sa cosa stanno facendo. Scoprirò solo una preoccupazione (ce ne sono diverse che saranno probabilmente più ovvie a People Smarter Than Me): potrebbe cifrare il tuo database in modalità ECB (a volte, ma non sempre).

La modalità ECB non è particolarmente sicura perché lo stesso testo in chiaro cripta sempre allo stesso testo cifrato. Pertanto, la modalità ECB "non nasconde bene i modelli di dati ... non fornisce un serio riserbo sui messaggi, ed è non consigliato per l'uso in tutti i protocolli crittografici ".

Gestori di password in generale: usarne uno. Scegli un noto con una buona reputazione come 1Password, LastPass, KeePass, Dashlane, ecc. O almeno usane uno creato o consigliato da una nota società di sicurezza o ricercatore di sicurezza se non sai dove cercare. Un buon gestore di password con crittografia competente (apparentemente not aWallet) è perfettamente sicuro per conservare il cloud storage, a condizione che la master password sia strong.

Modifica: OK Non posso resistere alla scelta di alcuni altri punti che mi saltano addosso per urlare "stai lontano":

  • Per quanto riguarda la trasformazione della password principale in una chiave di crittografia: "Il risultato è stato cancellato 1000 volte da SHA-256." Questo è ridicolmente insufficiente. Fatto correttamente, al minimo usano PBKDF con 10.000 round o più, piuttosto che un loop hash personalizzato di soli 1000. Anche quello sarebbe appena sufficiente, e si confronterebbe male con i gestori di password correttamente implementati. Centinaia di migliaia o più round sarebbero più simili. Oppure abbandonare l'hashing della password basata su SHA e utilizzare qualcosa come bcrypt o argon2. Questo software non può essere paragonato a strumenti moderni.
  • "Supporta la distruzione automatica del file di dati dopo che è stato provato un numero predefinito di sbloccaggi non riusciti." Questo non ha alcun effetto su un utente malintenzionato. L'unica persona che può ferire è l'utente legittimo. Un utente malintenzionato eseguirà una copia del database o utilizzerà il software modificato per rimuovere il limite di probabilità. Tu d'altra parte puoi perdere accidentalmente tutte le tue password, non essere mai più visto, accidentalmente avendo il Caps Lock acceso, una chiave morta o qualcosa del genere.
risposta data 09.04.2018 - 18:51
fonte

Leggi altre domande sui tag