web-dev-qa-db-ja.com

パスワードで保護されたファイルはどのくらい安全ですか?

他の個人用パスワードを保存する、パスワードで保護されたExcelファイルがあります。

明らかに、パスワードを解読する方法はいくつかあります。

community.spiceworks.com

重要なパスワードはどこに保存していますか?たとえば、会社のITを管理している場合は、あらゆる種類のパスワードを覚えておく必要があります。サーバー上のパスワードで保護されたファイルに保存します。

パスワードで保護されたExcelをUSBまたはクラウドに配置した場合、それらがハッキングされ、攻撃者がExcelファイルを入手したと言います。彼または彼女は簡単にパスワードを解読できるはずですか?それでは、パスワードファイルを保持するための最も安全な方法は何でしょうか。

3
PaddyKim

どのバージョンのExcelを使用していますか? Office 2007以降、 MS Excelで使用される暗号化 は128ビットAESであり、少なくとも50,000のインタラクションSHA-1ハッシュを備えています。十分に難しいパスワードを備えた組み込みの暗号化を使用する場合は、オフライン攻撃を心配する必要はありません。 「十分に難しい」と定義する方法は、おそらく数年ごとにわずかに変更されますが、本当に偏執的である場合は、15文字または20文字で行けば、夜はぐっすり眠ることができます。

私が何をするかについては、私は説明されているように暗号化されたMS Wordドキュメントを使用していました。現在、代わりにパスワードマネージャを使用しています。主な違いは、マネージャーがハッシュの代わりに128の代わりにAES 256、SHA-1の代わりにSHA-256を使用し、設定可能な反復回数を5Mに設定したことです。 MS Wordのドキュメントは非常に安全であると私はまだ確信しています。私が切り替えた主な理由は、ドキュメントを開いたときにセキュリティ用に設計されていないWordドキュメントよりも、マネージャーのユーザーインターフェイスの方が好きだからです。

4
TTT

すべてのセキュリティを単一のファイルに依存することは危険です。強力なパスワードを使用していても、ファイルは簡単に復号化できます。その理由は、1秒間に実行できる攻撃の量が非常に多いためです(ファイルのコピーが同時に複数のコンピューターによって攻撃される可能性があると考えると、さらに多くなります)。

アレクサンダーが指摘したように、そのタスクですでにあなたを助ける特別なソフトウェア(パスワードマネージャー)があります。

すべてを暗号化された場所(ディレクトリ、ドライブなど)に置くことを強くお勧めします。そのため、情報を取得したい人は2層を通過する必要があります。

(注:独自の自家製メソッドを実行することを勧めたくないので、私はそれを行う方法の説明を削除しました。独自のパスワードマネージャーを構築する方法を学びたい場合、それは- 別の質問 )。すべての議論をありがとう。

0
lepe

ナイフ、ドライバー、HDD、または携帯電話を使用して釘を固定できますが、ハンマーを使用することをお勧めします。パスワードを保存するには、パスワードマネージャーを使用します。

パスワードマネージャーの唯一の使命は、パスワードを安全に保存することです。彼らはテキストを編集したり、何も計算したり、映画を見せたりしません。それらはパスワードのみを保存し、すべての機能はセキュリティを念頭に置いており、保存されたすべてのデータは安全であることが保証されています。それらにバグがあったとしても、コードベースはワープロやスプレッドシートよりもはるかに小さいため、それらは他の方法よりも安全です。

ハッカーが暗号化されたExcelファイルのパスワードを破ることができますか?おそらく、そうではないでしょう。ただし、パスワードがxlsファイル内で安全である場合でも、それらの正しい場所は、データベースを保護する強力なマスターパスワードを持つパスワードマネージャー内です。

0
ThoriumBR

鍵導出関数(PBKDF2など)を使用して、パスワードファイルの暗号化に使用される暗号(AESなど)の暗号鍵を作成します。それはブルートフォース攻撃に対する保護を提供します(確かにPBKDF2は最高のKDFではありませんが、広く利用可能です)。

ただし、データがページファイルまたは一時ファイルのどこかにあることを検出するようなデータには注意してください。

0
Swashbuckler

暗号化されたパスワードファイルをクラウドに保存する場合のもう1つの状況は、 https://en.wikipedia.org/wiki/Megaupload のように、クラウドプロバイダーがシャットダウンするというまれな状況です。 ;一部の合法企業は、すべての違法な映画などに加えて、そのサイトにデータを持っています。

0
Mark Stewart