Qualcuno ha convalidato se KeePass è sicuro da usare? Ha delle backdoor?

C'è un paper di Paolo Gasti e Kasper Bonne Rasmussen dell'Università di California, che osserva i formati di archiviazione utilizzati dai vari gestori di password, evidenzia alcuni problemi relativi al formato Keepass 2.x, ma questi sono stati risolti dal momento della pubblicazione del documento.

C'era anche uno strumento rilasciato, KeeFarce che sosteneva di essere in grado di estrarre le password dalla memoria di Running Keepass le istanze.

Tuttavia, non riesco a trovare alcuna prova di un'analisi di sicurezza indipendente eseguita contro il codice. Non riesco a trovare alcuna prova di uno contro PasswordSafe, che è probabilmente anche il concorrente più diretto.

In questo caso, tuttavia, sospetto che anche una password sicura con difetti locali (ad esempio i dati in memoria da recuperare) sia migliore della ripetizione di password su più siti, dati i più comuni vettori di attacco. È raro che gli attaccanti di stato non-nazione / spionaggio vadano a cercare password specifiche. Tendono ad andare per i dump di database con un sacco di password diverse, alla ricerca di dati potenzialmente utili che possono utilizzare per ottenere valore, sotto forma di siti più utili, o in beni. Anche un file di testo non crittografato con password specifiche del sito, memorizzato nel tuo sistema locale ( per favore non farlo! ) offre una buona protezione contro questo metodo di attacco, rispetto alla memorizzazione di una password veramente strong e usando ovunque Chiaramente, questo non si applicherebbe se la cassastrong stava inviando dati di password a terzi, ma questo è anche più facile da controllare - eseguire l'applicazione su una macchina collegata tramite un interruttore di monitoraggio, e vedere se invia qualcosa che non si è mi aspetto durante l'uso.

Sarei tutto pronto per un'analisi indipendente della sicurezza di vari sistemi di sicurezza delle password open source, ma questo richiede conoscenze specialistiche e deve essere ripetuto in caso di modifiche importanti a qualsiasi parte della base di codice. Questo è probabilmente fuori budget per qualsiasi sviluppatore open source solitario. Fino ad allora, preferirei che le persone usassero una password univoca per ogni sito al quale si collegano, e anche un'implementazione locale imperfetta è probabilmente nel complesso più sicura.

Personalmente non sono qualificato per rivedere il codice e commentarlo, tuttavia, posso dirti che inviare il codice ("pacchetti") dalla rete da un computer non è un compito facile: devi fornire una rete indirizzare e superare sia il firewall del SO che il firewall antivirus. Ho anche trovato un documento che sembra suggerire che gli autori hanno esaminato l'attuazione di questo programma. A parte questi ASSUNTI ecco il test che ho condotto:

Ho installato KeePass su un computer di prova che non ha programmi ad eccezione del sistema operativo e dei driver installati su di esso. Tutti i driver sono bloccati dall'ottenere aggiornamenti da Internet. Ho esaminato il traffico di rete utilizzando i log del mio firewall (firewall Sophos Enterprise) e non ho trovato alcuna comunicazione da parte di KeePass a nessuna delle parti esterne della rete. Inoltre, non ho trovato alcuna comunicazione dal mio computer a Internet eccetto alcuni processi host / windows.