Auditoria KeePass: no s'ha trobat cap vulnerabilitat de seguretat crítica

Al juny de 2016 vam informar que KeePass, un popular gestor de contrasenyes, estava aconseguint una auditoria de seguretat del projecte d’Auditoria de Programari Lliure i Obert (EU-FOSSA) de la Comissió Europea.

EU-FOSSA és un projecte pilot per crear un procés formal per contribuir a revisions de seguretat de programari a comunitats de codi obert.

El projecte va crear un inventari de solucions de codi obert utilitzades per la Comissió, va publicar estudis sobre les pràctiques de seguretat de 14 comunitats de codi obert i va revisar dues solucions populars de codi obert.

KeePass és un gestor de contrasenyes creat per a Windows, que també treballa en Linux, que utilitza una base de dades xifrada emmagatzemada localment.

El programa s’envia amb una llista d’opcions impressionant. Podeu habilitar una drecera d’inici de sessió global per exemple, o millorar la seguretat de KeePass modificant configuració.

El gestor de contrasenyes admet forquets i plugins gràcies a la naturalesa de codi obert. Els connectors permeten als usuaris estendre la funcionalitat del programa, per exemple, integrant-lo en navegadors web o sincronitzant la base de dades mitjançant proveïdors d’emmagatzematge en línia.

Auditoria KeePass

keepass source audit

L’equip d’investigació va auditar el codi de KeePass 1.31, i no de KeePass 2.34. Si bé KeePass 2.34 no es menciona enlloc de l'informe, sembla raonable que KeePass 2.34 surti de forma similar en una auditoria de codi.

KeePass 1.x és la versió antiga del gestor de contrasenyes. La versió no requereix Microsoft .NET però manca de característiques amb les quals només s’envia KeePass 2.x. No és compatible l’enllaç de KeePass amb el compte d’usuari de Windows ni les contrasenyes d’un sol ús per exemple. Trobeu una comparació d’edició completa taula aquí .

keepass audit

L’auditoria de KeePass va recórrer totes les 84622 línies de codi i no va trobar problemes crítics ni d’alt risc al codi. No obstant això, es van trobar cinc temes de valoració mitjana, tres de baixa puntuació i sis informacions.

No es van detectar cap resultat crític ni d’alt risc. Entre els descobriments restants, es van detectar cinc resultats de risc mitjà i tres de baix risc. Els sis restants eren de caràcter informatiu.

Els problemes que han trobat els investigadors es detallen a l'informe d'auditoria que podeu descarregar de la web Lliura de projectes al lloc web UE-Fossa. Aquí també es troba enumerada l’auditoria de seguretat d’Apache (consulteu WP6: revisió del codi de mostra a la part inferior de la pàgina).

Paraules clausura

KeePass és un administrador de contrasenyes excel·lent i segur per a Windows. Els resultats de l'auditoria del codi suggereixen que és un programa ben dissenyat i sense problemes crítics ni d'alt risc.

Ara tu : Quin gestor de contrasenyes utilitzeu i per què?