Come posso essere sicuro che il mio client Keepass sia sicuro?

Naviga le tue risposte
4

Da anni mi sto cimentando con un'immagine disco crittografata localmente e penso che sia finalmente giunto il momento di utilizzare un gestore di password. Keepass è ciò che voglio fare, ma non sono un fan dell'interfaccia utente del progetto ufficiale.

Ho notato che c'è un buon numero di client che supporta il formato del database di keepass, ma come posso valutare se uno è sicuro da usare? Se disattivo l'accesso alla rete al client potrei essere ragionevolmente sicuro che non telefonerà a casa con i miei segreti?

    
posta codehearts 30.06.2018 - 03:24
fonte

2 risposte

4

Come sai come fidarti di una determinata implementazione di KeePass? Allo stesso modo in cui sai come fidarti di qualsiasi software. Per me, questi sono fattori che considero:

  • Open Source
    • Tutte le porte principali sono aperte.
    • Probabilmente evitare app casuali di Windows Store senza fonte disponibile.
  • Revisionato da una terza parte
    • AFAIK, solo la versione ufficiale ha questo. Potrei sbagliarmi.
  • Sviluppo attivo, trasparente
    • La versione ufficiale ha uno sviluppo attivo, ma è piuttosto opaco.
    • KeePassX, se ho capito bene, non è più molto attivo.
    • Diverse app per Android e iOS sembrano abbandonate.
    • KeePassXC e KeeWeb sono sia attivi che trasparenti.
  • Comunità attiva
    • Penso che tutti i più grandi su un computer abbiano questo.
    • App per smartphone: difficile da dire.
  • Località: a seconda di dove si trova tu , sapere se il software è sviluppato principalmente in Germania o in Russia rispetto agli Stati Uniti d'America può fare la differenza nella tua fiducia.
    • KeePass è sviluppato in Germania
    • Non so di nessuno degli altri. So che ho cercato le app Android che ho utilizzato e le estensioni del browser ma non le ricordo.
  • Sviluppatore: è solo una persona (che potrebbe essere compromessa), una comunità (che può controllare altri membri se necessario) o una società (che può essere ritenuta responsabile da altri)?
    • Onestamente penso che KeePassXC funzioni meglio in questo settore.
    • KeePass ufficiale ha un solo manutentore e anche KeeWeb.
    • Penso che tutte le app per smartphone abbiano un solo maintainer.
  • Popolarità: quanto è probabile che un compromesso venga notato da qualcuno e segnalato da notizie tecnologiche?
    • KeePass stesso verrebbe sicuramente notato e segnalato.
    • KeePassXC, in virtù del fatto di essere un progetto per la comunità, è anche una buona alternativa secondo me.
    • Non sono sicuro di KeeWeb. Per quanto ne so, ne vede molto meno l'uso.
    • Per le app per smartphone, quelle menzionate in modo specifico nei forum di KeePass su base regolare sono molto popolari, ma probabilmente hanno meno probabilità di essere notate nei siti di notizie tecnologiche.
risposta data 20.07.2018 - 16:29
fonte
1

not a fan of the UI of the official project

Posso simpatizzare qui. G nu PG è un esempio per me, in cui vengono utilizzate interfacce utente grafiche di terze parti. Ma sei incerto se sono sicuri.

Per questo scenario, è possibile utilizzare il software open source. Tuttavia, la sfortunata verità è che devi rivedere il codice da solo e quindi utilizzare quel codice. La maggior parte degli sviluppatori fornirà il codice sorgente sul proprio sito Web o tramite GitHub che è possibile compilare da soli.

If I disable network access to the client could I be reasonably sure it won't phone home with my secrets?

Supponendo che il client del programma tenti di "telefonare a casa" non avrà accesso a Internet. Quindi, se si mantiene l'accesso alla rete disabilitato in modo permanente , si può garantire che non sarà in grado di riportare le informazioni indietro "home".

Quello che hai descritto sopra sembrava bloccare quel programma dall'accesso alla tua rete, questa è un'alternativa praticabile. Un altro potrebbe utilizzare una macchina virtuale (meno sicura) o una macchina fisica (più sicura) per configurare un spazio aereo .

    
risposta data 20.07.2018 - 16:47
fonte

Leggi altre domande sui tag

OpenSSH-server: ci sono implicazioni di sicurezza e / o valore di / per 'TCPKeepAlive sì' Quale è più sicuro: sviluppare un'app mobile nella sua lingua nativa o utilizzare l'interfaccia utente multipiattaforma?