Est-il sûr de conserver le fichier de la base de données des mots de passe de KeePass dans Dropbox ? La base de données peut contenir un mot de passe long (plus de 14 caractères alpha, numériques et spéciaux) et un fichier de clé local sur un ordinateur ou un téléphone portable qui n'est pas partagé dans Dropbox ?
Réponses
Trop de publicités?
La question ici n'est pas de savoir si vous faites confiance à Dropbox, mais si vous faites confiance à Keypass. Si votre coffre-fort de mots de passe livre ses secrets lorsque quelqu'un d'autre s'en empare, alors vous voudrez trouver autre chose.
Keypass utilise AES-256 pour le cryptage, qui reste la norme de facto, et SHA-256 pour créer une clé à partir de votre phrase de passe et d'un sel.
Donc la méthode de cryptage est bonne. Vous devez donc vous demander s'il existe des faiblesses de mise en œuvre qui pourraient être exploitées par quelqu'un qui mettrait la main sur votre coffre-fort. keepass semble utiliser une méthode de chiffrement par roulement, où le fichier est divisé en blocs et chiffré plusieurs fois. Une attaque par force brute prendrait du temps, et vous pouvez augmenter les clés par seconde qui peuvent être testées lors de la création de la base de données. Choisissez de lui faire faire de nombreux tours. Cela signifie qu'il faut du temps pour qu'une clé soit testée. Pour vous, cela signifie que vous devez attendre environ une seconde pour que la base de données s'ouvre. Pour un attaquant, cela signifie qu'il doit attendre une seconde environ pour tester sa prochaine clé.
D'autres méthodes de protection sont employées, mais ne sont pas pertinentes pour ce scénario, comme le fait de garder le contenu du coffre crypté en mémoire lorsque le coffre est ouvert.
Examinez les méthodes de sécurité utilisées et, si vous avez la certitude que vous serez en sécurité si le coffre-fort tombe entre de mauvaises mains, choisissez-le.
CauselessEffect
Points
211
Il existe différents degrés de sécurité, et vous devrez évaluer vous-même la commodité de Dropbox par rapport à la sécurité de ce que vous essayez de faire.
En outre, la sécurité dépend du point le plus faible. Si l'un des points suivants est compromis, vos fichiers sont exposés :
- Vous (oubliez de vous déconnecter, laissez votre mot de passe sur un autocollant, partagez votre dropbox avec quelqu'un d'autre)
- Chaque ordinateur sur lequel vous avez synchronisé Dropbox. Utilisent-ils des mots de passe forts ? Les logiciels sont-ils à jour ? Leurs disques sont-ils chiffrés ? L'identification automatique est-elle activée ?
- Votre connexion réseau à Dropbox. Disposez-vous d'un pare-feu ? Le micrologiciel/logiciel de votre modem/routeur est-il à jour ? Sont-ils configurés correctement ?
- Le logiciel, le réseau et les ordinateurs de Dropbox.
- Amazon S3 (où vos fichiers sont stockés).
Considérez les points suivants et vous serez peut-être en mesure de prendre cette décision :
- Le fichier de la base de données sera stocké sur chaque ordinateur sur lequel vous avez installé votre Dropbox.
- Dropbox conserve localement une copie de sauvegarde du fichier, même lorsque vous le supprimez.
- Vous vous devez vous assurer que le dossier dans lequel vous stockez le fichier n'est pas marqué public.
- Il est possible pour que quelqu'un de l'entreprise puisse lire vos fichiers. D'après les informations figurant sur le lien, seules quelques personnes ont accès à vos données et elles ne sont censées y accéder que sur assignation.
- Dropbox stocke vos fichiers sur Amazon S3, ce qui signifie qu'il est possible (bien que très improbable : il faudrait pouvoir les décrypter) que quelqu'un chez Amazon accède à vos données.
