KeePass-auditointi: kriittisiä tietoturva-aukkoja ei löydy

• Luokka: Turvallisuus

Kokeile Instrumenttia Ongelmien Poistamiseksi

Valitse Käyttöjärjestelmä Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Valitse Projektio -Ohjelma (Valinnaisesti) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Kuvaile Ongelmasi

Saada Vastausta

Lähetä Minut Sähköpostitse Näytä Sivustolla

Raportoimme kesäkuussa 2016, että suosittu salasanahallintaohjelma KeePass, oli saamassa turvatarkastusta Euroopan komission ilmaisen ja avoimen lähdekoodin ohjelmistojen auditointihanke (EU-FOSSA).

EU-FOSSA on pilottihanke muodollisen prosessin luomiseksi ohjelmistotietoturvakatsausten tekemiseksi avoimen lähdekoodin yhteisöille.

Hankkeessa luotiin luettelo komission käyttämistä avoimen lähdekoodin ratkaisuista, julkaistiin tutkimuksia 14 avoimen lähdekoodin yhteisön turvallisuuskäytännöistä ja tarkasteltiin kahta suosittua avoimen lähdekoodin ratkaisua.

KeePass on Windowsille luotu salasananhallintaohjelma - joka toimii myös Linuxissa - ja käyttää paikallisesti tallennettua salattua tietokantaa.

Ohjelma toimitetaan vaikuttavalla listalla vaihtoehtoja. Voit ottaa käyttöön globaali kirjautumis pikakuvake esimerkiksi tai parantaa KeePassin tietoturvaa muuttamalla asetukset.

Salasananhallinta tukee laajennuksia ja haarukoita avoimen lähdekoodin luonteen ansiosta. Laajennusten avulla käyttäjät voivat laajentaa ohjelman toiminnallisuutta esimerkiksi integroimalla sen web-selaimiin tai synkronoimalla tietokannan online-tallennuspalveluiden tarjoajien avulla.

KeePass-tarkastus

Tutkimusryhmä tarkasti KeePass 1.31 -koodia, ei KeePass 2.34 -koodia. Vaikka KeePass 2.34: tä ei mainita missään raportissa, vaikuttaa kohtuulliselta, että KeePass 2.34 olisi samanlainen hintakooditarkastuksessa.

KeePass 1.x on salasanahallinnan vanha versio. Versio ei vaadi Microsoft .NET -sovellusta, mutta siinä ei ole ominaisuuksia, joiden mukana toimitetaan vain KeePass 2.x. Se ei tue KeePassin yhdistämistä Windows-käyttäjätiliin tai esimerkiksi kertaluonteisiin salasanoihin. Löydät täyden painosvertailun taulukko täällä .

KeePass-tarkastus läpäisi kaikki 84622 koodiriviä eikä löytänyt koodista mitään kriittisiä tai korkean riskin ongelmia. Se löysi kuitenkin viisi keskitasoa, kolme matalaa ja kuusi tietoa arvioi vain ongelmat.

Kriittisiä tai korkean riskin havaintoja ei havaittu. Jäljellä olevista löydöksistä havaittiin viisi keskitason ja kolme alhaisen riskin tulosta. Loput kuusi olivat luonteeltaan informatiivisia.

Tutkijoiden löytämät asiat on yksityiskohtaisesti tarkastusraportissa, jonka voit ladata projektitoimitussivu EU-Fossa-verkkosivustolla. Sieltä löydät myös luettelon Apache-tietoturvatarkastuksesta (katso WP6: n malli: koodikoodikatsaus sivun alaosaan).

Loppu sanat

KeePass on erinomainen, turvallinen, salasanojen hallintaohjelma Windowsille. Kooditarkastuksen tulokset viittaavat siihen, että se on hyvin suunniteltu ohjelma, jossa ei ole kriittisiä tai suuririskisiä ongelmia.

Nyt sinä : Mitä salasanahallintaa käytät ja miksi?