原因:我希望能够使用便携式 USB 驱动器在任何机器和操作系统上访问我的密码。TrueCrypt 似乎是唯一在所有主要平台上都有足够支持的程序。所以我想我会将我的密码存储在 TrueCrypt 容器中的隐藏卷中,该容器以纯 .txt 文件的形式存储在驱动器上,因此我可以确保在任何机器上都可以访问它。
我的问题是:存储我的密码是否足够(合理)安全?还是我应该使用更多的加密层?如果我松开驱动器,访问密码有多容易?
(除了在机器上键入“主”密码的明显尝试之外,让我们假设我将使用该驱动器的所有机器都是干净的)
这和加密一样好。TrueCrypt 是一款经过严格审查、备受推崇的磁盘加密软件。生活中没有任何保证,但 TrueCrypt 和今天一样好。
剩下的主要风险不是有人会发现 TrueCrypt 的密码分析弱点并破坏 TrueCrypt 的加密算法。相反,主要的剩余风险是:
你将为 TrueCrypt 选择一个糟糕的密码。防御:为 TrueCrypt 选择一个长而强大的密码。
您使用的其中一台机器上有恶意软件。如果您在任何感染了恶意软件的机器上输入您的 TrueCrypt 密码,您就不再有任何理由期望您是安全的。那么,您是否相信您的机器可能没有恶意软件?
(更多的加密层对这些风险没有任何作用。)
简短的回答是:如果您认为您的机器没有恶意软件,那么这种方法可能足够安全。
PS如果您丢失了驱动器,并且没有任何备份,那么您将不走运。因此,请在其他地方保留文件的备份:可能是您保存在安全位置的打印输出,可能是驱动器的另一个副本,也已加密,或者可能完全是其他东西。
我有一个类似的问题,我需要一种以便携式方式加密 USB 记忆棒上的数据的方法。
首先,我考虑购买其中一个加密的 USB 记忆棒。有两种类型:一些依赖于软件应用程序,而另一些则具有物理挂锁。我放弃了软件选项,因为这些仅适用于 Windows,并且因为我不能 100% 确定该软件是安全的并且不会被黑客入侵,或者带有后门,甚至是“电话回家”。我也丢弃了挂锁的,因为一些用户报告数据丢失并且需要不时格式化驱动器。我也不能指望挂锁在使用中不会被打破。
所以我目前正在使用 TrueCrypt 在常规 USB 记忆棒上加密基于容器文件的卷。但这不是一个完全可移植的解决方案,因为 TrueCrypt 需要管理员权限(因此,如果您去网吧,或者尝试使用公共终端,它将无法工作)。另一方面,这些卷可以配置为自动挂载(这是一件好事,但只有在计算机受到保护的情况下),它可以在 Windows 和 Linux 上运行,所以我用它来将数据从家里移动到工作。TrueCrypt 也是开源的,因此您可以检查代码并确保它按照它所说的那样做。
要加密帐户密码,我建议使用也支持加密的更标准的文件格式(如 zip)。一个很好的例子是支持 AES-256 并且也是开源的 7-zip。优点:您可以在 USB 中携带便携式 7-zip 版本以及加密文件,您可以在任何计算机上运行它而无需关心权限(因此它是一种完全可移植的方法)。缺点:每次需要在 zip 容器中添加或修改文件时,都需要对容器文件进行解密、修改并再次加密所有内容。如您所见,除非您记得将临时未加密的 zip 文件切碎,否则任何人都可以恢复它。所以是的,这是一个很好的方法,但对于只读文件,只要你知道你在做什么。
将来,我可能会编写自己的类似 Dropbox 的解决方案,包括桌面版和移动版。
攻击者可以恢复您的 Truecrypt 密码的另一种方法(需要物理访问您的计算机,并且该卷最近已安装):在关闭电源后从 RAM 恢复密码。在适当的物理条件下,RAM 可以将信息保留几分钟甚至更长时间。
参见例如对加密密钥的冷启动攻击