KeePass密钥文件-它提供任何有意义的安全性吗?
KeePass可以选择主密码和密钥文件(以及windows登录)。但我不知道这对安全有多大帮助。
我可以看到几个场景:
- 数据库和密钥位于一个系统上:基本是一个敞开的门。
- PC是你的,数据库在它上,钥匙在usb卡上:只要你的系统不被破坏,它就安全。
所以只有当你使用USB卡时,它才是安全的。但它并不比拥有密码更安全,对吧?记住一个复杂的密码是非常可能的。如果用暴力强制使用复杂的密码,那么密钥文件有一个更长更复杂的密码就没有意义了,对吧?
如果这个系统是妥协的,那么无论是哪种方式,它都不重要。只有一个密码可以防止这种情况发生。
那么,我是不是完全搞错了,而且密钥文件实际上更安全?或者是更多的事情,一些人更喜欢把USB卡在他们的电脑,而不是输入密码?
最后,既然您可以同时使用,如果我不愿意插入或插入USB卡(从而将密钥文件留在硬盘上(或者让USB卡保持24/7连接),那么拥有密钥文件和主密码有什么意义吗?或者,这只会让它在默默无闻的情况下得到一点安全感吗?
回答 1
Security用户
发布于 2019-02-04 10:37:47
KeePass的密钥文件只是另一种密码,如Keepass文档中所述:
密钥文件基本上是文件中的主密码。密钥文件通常比主密码强,因为密钥可能要复杂得多;然而,将它们保密也很困难。
密钥文件更多的是你拥有的东西(尽管它可能被对手复制),密码是你知道的东西。因此,通过将两者结合起来,您可能在某些场景中获得一些额外的安全性。如果攻击者拥有数据库,并通过肩部冲浪获得您的密码,则USB上的附加密钥文件将使您更加安全。
将密钥文件存储在计算机硬盘上也不会真正提高安全性,因为文档正确地指出:
位置...重点不是将密钥文件的位置保密--从硬盘上的数千个文件中选择一个文件根本不会增加安全性,因为恶意软件/攻击者很容易找到正确的文件(例如,通过观察文件的最后访问时间、最近使用的Windows文件列表、恶意软件扫描日志等等)。试图将密钥文件的位置保密是通过不透明的方式进行的,即不太有效。
但是您是正确的,如果您的计算机被破坏,密码和密钥文件将在某一时刻被攻击者访问,因此需要在此方案中被视为不安全。
https://security.stackexchange.com/questions/202852
复制相似问题
腾讯云开发者
