De laatste paragraaf is het "doe dit"-antwoord, de rest is "waarom dan?"-uitleg.
Even heel snel gezocht en het ligt er kennelijk nogal aan welke versie en zelfs welk formaat je gebruikt; er zijn nogal wat mogelijke opties in excel die toch niet zo sterk zijn. En als je moet vragen "of het wel veilig is" dan is het dus puur geluk of je de juiste combinatie te pakken hebt.
Daarnaast is excel wel vreselijk makkelijk want aanwezig en wordt het dus vrijwel automatisch te pas en te onpas ingezet, maar dat wil nog niet zeggen dat het een geschikt gereedschap is. Het is bijvoorbeeld niet geschikt voor lange termijnopslag want iedere nieuwe versie heeft weer een nieuw en net even ander formaat en deze fabrikant heeft een lange historie van matig tot slechte interoperabiliteit met andere formaten, zelfs met oudere versies van eigen formaten. Wil je dus over tien jaar nog je wachtwoordlijstje kunnen lezen ben je beter af met een kale tekstbestand in notepad.
Verder hebben (win)rar (in de shell integratie) en excel gemeen dat je niet weet wat er met tijdelijke- en wisselbestanden gebeurt. Die encryptie is dus hooguit geschikt voor beveiligen tegen pottenkijkers tijdens het sturen naar iemand anders. Heeft een neuzig iemand dus toegang tot jouw computer dan kan hij wellicht een tijdelijke, onversleutelde versie terughalen uit de prullenbak of als die geleegd is via undelete of wellicht uit een wisselbestand. Het is maar de vraag of excel en zelfs winrar daar iets aan gedaan hebben. Een specifiek gereedschap als keepass hoort daartegen te beveiligen.
Eerlijkheid gebiedt me te zeggen dat ik niet weet of dat gebeurt en ook niet hoe het met het archiveren van keepass bestanden zit. De laatste keer dat ik er naar keek bestond er alleen een windows versie van dus als je over tien jaar geen windows meer gebruikt (omdat wellicht niemand dat meer doet, wie weet) is het nog maar helemaal de vraag of je oude wachtwoordbestanden nog kan lezen. Het is wel weer open source, ook als je daar zelf niets mee kan is dat een pluspunt. Iets als kale tekst in rar heeft is daar practischer, omdat het rar formaat door meerdere progammas op verschillende platformen gelezen kan worden. Keepass kan dan weer wel naar allerlei formaten exporteren waaronder kale tekst, dus dat kan je wellicht combineren met rar.
Of liever nog, gpg, want je kan je archiveringsbestanden per publieke sleutel "naar jezelf" versleutelen zonder dat de geheime sleutel aanwezig moet zijn op de machine waar gearchiveerd wordt. Wel, zoals altijd en met alles, regelmatig je archieven op leesbaarheid testen en dus ook netjes op je offline geheime sleutel passen. Maar het is er dan maar een.
Het formaat dat gnupg produceert is open (nouja, ze implementeren openpgp, maar daar zitten dan toch weer de typische gnu uitbreidingen in) en de implementatie is ook aggresief open (je kan de broncode inzien en gebruiken; dat zien ze al gauw als vrijbrief voor hun eigen uitbreidingen--IMO een marginaal betere reden dan die softwarefabrikant ook berucht om hun "embrace and extend") en het is dan ook breed beschikbaar op vele platformen, en het probeert zelfs netjes met sleutelmateriaal om te gaan. Voorzover het OS dat toelaat dan. Omdat je je bestand toch echt eerst moet uitpakken en er dan met een ander programma op los om het te wijzigen zit je daar nog steeds met de tijdelijke- en wisselbestandenproblematiek. Voor alleen inzien is er de "eyes only" optie,. maar de vraag is alweer hoeveel het echt helpt in de praktijk. In ieder geval is het een specifiek encryptieprogramma en niet iets anders waar encryptie achteraf aan vastgeniet geworden is.
Het zou best kunnen zijn dat malware specifiek op zoek zou kunnen gaan naar wachtwoordbeheerprogrammas en die dan leeg zou kunnen proberen te trekken. Kan ook met excel of word of notepad of wat dan ook, natuurlijk, maar als we specifiek gaan zoeken dan liefst (ook!) naar iets met de grootste kans van slagen. Persoonlijk heb ik nog niet gehoord dat dit ook echt gebeurt. Dit is dan ook pure speculatie, maar wel van het soort van "wat als"-spelletjes die horen bij het vakgebied. Dit is ook waar de "mischien wellicht eventueel"-terreurwaarschuwingen vandaankomen. Verschil hier is dat ik duidelijk zeg dat het speculatie is, en het niet inzet om, bijvoorbeeld, mijn budget veilig te stellen. Maar ik dwaal af.
Je kan het ook afdoen met "als er malware op mijn computer zit dan is het game over", wat zeker voor de leek best wel waarheidsgetrouw is. Blijft de vraag of je je beveiligingsvragen dan wel serieus genoeg neemt. Waarom gebruik je dan nog het meest malware-gevoelige platform? Waarom ben je zelfs nog leek? De prijs voor goede beveiliging is inderdaad vooralsnog toch minstens jezelf van leekstatus af te helpen.
Met andere woorden, zo simpel is het allemaal nog niet. De meeste, zeg maar alle, windowsgebruikers zullen beter af zijn met keepass dan met winrar en excel (in die volgorde) voor het bewaren van wachtwoorden. Voor archiveren dan regelmatig een tekstuitvoer naar gpg sturen en die "offline" bewaren. Niet vergeten ook je gpg sleutel op een veilige manier te archiveren en regelmatig je archieven op terughalen te testen.
1GYYopciYLMZB1mUTgZta7WpgMa78Smwt3