Quanto è sicuro un file protetto da password?

Quale versione di Excel stai usando? Da Office 2007, la crittografia utilizzata in MS Excel è AES a 128 bit con almeno un hash SHA-1 di almeno 50.000 interazioni. Se si utilizza la crittografia integrata con una password sufficientemente complessa, non dovresti preoccuparti degli attacchi offline. Come definire "sufficientemente difficile" probabilmente cambierà leggermente ogni pochi anni, ma se sei davvero paranoico vai con 15 o anche 20 caratteri e poi puoi dormire bene la notte.

Per quanto riguarda ciò che faccio, ho usato un documento MS Word con crittografia come descritto. Ora uso invece un gestore di password. La differenza principale è che il gestore usa AES 256 anziché 128, SHA-256 invece di SHA-1 per l'hash e un numero configurabile di iterazioni che ho impostato su 5M. Sono ancora fiducioso che il documento MS Word sia estremamente sicuro. Il motivo principale per cui sono passato è che mi piace l'interfaccia utente del manager meglio di quella di un documento word che non è progettato per la sicurezza una volta che il documento è stato aperto.

Dovrò spiegare alcune cose prima di rispondere alle tue domande.

Ok, quindi la password può essere 2 cose, per cui intendo che può essere solo Autenticazione o può essere Autenticazione con Crittografia.

Solo autenticazione: solo l'autenticazione significa che c'è solo un muro di difesa tra i file e l'utente che sta tentando di accedervi. Solo l'Autenticazione contiene un'alta probabilità di vulnerabilità poiché gli hacker possono scavalcare quel muro (bypassare l'Autenticazione), quindi è come impostare una password per il proprio sistema operativo Windows, questo manterrà il sistema operativo sicuro dall'usare non i file, i file possono essere facilmente accesso tramite altri sistemi operativi, forse anche un sistema operativo attivo. Microsoft ha risolto questa vulnerabilità rendendo il dispositivo in stato di ibernazione in modo tale che i dvd live del sistema operativo non possano montare l'HDD, ma questo può anche essere rotto, comunque il punto è che solo l'autenticazione significa che c'è solo una guardia in piedi tra i file innocenti e l'utente che è cercando di accedervi, non rende i file autoprotetti, questi file non possono difendersi, sono tutti dipendenti dal sistema di autenticazione per la loro sicurezza, se la guardia è inattiva o bypassata, i file sono aperti come il cielo !, quindi questo è male

Autenticazione con crittografia: La crittografia è come una pistola data a quei file innocenti per l'autodifesa, quindi supponiamo che l'hacker ignori l'autenticazione, non sarà comunque in grado di accedere a quei file così come sono crittografati !, si difenderanno da soli, sarà tutto spazzatura finché l'hacker non troverà la password, in pratica i file non devono essere dipendenti dal sistema di autenticazione per la loro sicurezza, possono proteggersi, è così che le persone possono memorizza i dati crittografati anche nel sistema che non ha alcun tipo di autenticazione per gli utenti perché gli utenti non possono accedere a quel file se non hanno la password corretta.

Quindi ora sai la differenza, sai quale scegliere, 1) solo Autenticazione o 2) Autenticazione con Crittografia? andrai con il numero 2

He or she should be able to easily crack the password?

ANS : ci sono molti modi e strumenti per farlo, un hacker non ha bisogno di crackare necessariamente la tua password per poter accedere ai file, come ti ho detto, gli hacker possono bypassare autenticazione, quindi se la sua sola autenticazione allora l'hacker può scegliere di crackare la password o bypassare l'autenticazione e accedere al tuo cielo come i file aperti.

then what would be considered the most secure way to keep the password file?

ANS : come ho detto prima, l'autenticazione con la crittografia, in realtà non importa quale estensione di file memorizzi le tue password, può essere un file txt o documento docx o magari un HTML pagina, purché sia crittografata - il tuo file è sicuro ma per favore! non utilizzare password stupide come 12345 o I_LOVE_YOU per crittografare la tua password, è come dare un coltello da cucina ai tuoi file innocenti mentre l'hacker ho un RPG-7, quindi per favore crea una password principale con sale e pepe inclusi (e non sto parlando di cucinare qui). Una volta che hai crittografato il file con una password vera, devi andare avanti con un sistema di autenticazione privo di scappatoie, qui devi stare attento, Facebook è sicuro grazie al suo bel sistema di autenticazione, quindi devi trovare qualche Il sistema di autenticazione che puoi utilizzare, in genere il cloud storage lo fornisce, quindi ti suggerisco di crittografare prima il file e poi consegnarlo a un sistema di archiviazione su cloud con una buona sicurezza di autenticazione

Per crittografare, puoi usare algoritmi simmetrici o asimmetrici, le persone di solito usano simmetriche per crittografare i file, quindi dovresti usare AES-128 o qualcosa di più alto, se vuoi e per asimmetrico puoi usare RSA-2048, la scelta è tua.

Utilizzare una funzione di derivazione chiave (ad esempio PBKDF2) per creare una chiave di crittografia per un codice (ad esempio AES) utilizzato per crittografare il file della password. Fornisce protezione contro gli attacchi di forza bruta (ovviamente PBKDF2 non è il miglior KDF, ma è ampiamente disponibile).

MA fai attenzione a cose come i dati che trovano il modo nel file di paging o in un file temporaneo da qualche parte.

Affidare tutta la tua sicurezza in un singolo file è pericoloso. Il file può essere facilmente decodificato anche se si utilizzano password complesse. Il motivo è perché la quantità di attacchi che possono essere eseguiti al secondo è incredibilmente alta (più se si considera che una copia del file può essere attaccata da più computer contemporaneamente).

Come ha sottolineato Alexander, esiste un software specializzato (gestori di password) che ti aiuta già in questo compito.

Raccomando vivamente di mettere tutto in un posto criptato (directory, unità, ecc.), quindi chiunque desideri ottenere le tue informazioni deve passare attraverso 2 livelli.

(Nota: ho rimosso la spiegazione del modo in cui lo faccio, in quanto non voglio suggerirti di eseguire il tuo metodo fatto in casa. Se vuoi imparare come costruire il tuo gestore di password, dovresti essere in un'altra domanda ). Grazie ragazzi per tutta la discussione.

Un'altra situazione se si archivia il file di password crittografato nel cloud è nella rara situazione in cui il provider cloud viene chiuso, come link eseguito per violazione del copyright; alcune società legittime disponevano di dati su tale sito oltre a tutti i film illegali, ecc.

Puoi usare un coltello, un cacciavite, un HDD o un cellulare per mettere un chiodo in posizione, ma è meglio usare un martello. E per memorizzare le password, usa un gestore di password.

La unica missione di un gestore password è quella di memorizzare in modo sicuro le password. Non modificano i testi, non calcolano nulla, non mostrano i film. Memorizzano solo le password, ogni funzione ha la sicurezza in mente e ogni dato memorizzato è sicuro. Anche se ci sono dei bug su di loro, sono più sicuri delle alternative, dato che il loro codebase è molto più piccolo di qualsiasi word processor o foglio di calcolo.

Un hacker potrebbe battere la password dei file Excel crittografati? Probabilmente, probabilmente no. Ma anche se le tue password sono al sicuro all'interno di un file xls, il posto giusto per loro è all'interno di un gestore di password con una password master sicura che protegge il suo database.