KeePass audit: walang nakitang kritikal na kahinaan sa seguridad

• Kategorya: Seguridad

Subukan Ang Aming Instrumento Para Sa Pagtanggal Ng Mga Problema

Piliin Ang Operating System Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Pumili Ng Isang Programa Ng Projection (Opsyonal) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Ilarawan Ang Iyong Problema

Kumuha Ng Sagot

Ipadala Ako Sa Pamamagitan Ng Email Ipakita Sa Site

Naiulat namin noong Hunyo 2016 na ang KeePass, isang tanyag na tagapamahala ng password, ay nakakakuha ng isang security audit sa pamamagitan ng European Commission at Open Source Software Auditing ng European Commission ng European Commission (EU-FOSSA).

EU-FOSSA ay isang proyekto ng pilot upang lumikha ng isang pormal na proseso para sa pag-aambag ng mga pagsusuri sa seguridad ng software upang buksan ang mga mapagkukunan na komunidad.

Ang proyekto ay lumikha ng isang imbentaryo ng mga bukas na mapagkukunan ng solusyon na ginagamit ng Komisyon, naglathala ng mga pag-aaral sa mga gawi sa seguridad ng 14 bukas na mga mapagkukunan na pinagmulan, at sinuri ang dalawang tanyag na solusyon sa open source.

Ang KeePass ay isang tagapamahala ng password na nilikha para sa Windows - nagtatrabaho din sa Linux - na gumagamit ng isang lokal na naka-imbak na naka-encrypt na database.

Ang programa ay nagpapadala ng isang kahanga-hangang listahan ng mga pagpipilian. Maaari mong paganahin ang isang shortcut sa pandaigdigang pag-login halimbawa, o pagbutihin ang seguridad ng KeePass sa pamamagitan ng pagbabago setting.

Sinusuportahan ng manager ng password ang mga plugin at tinidor salamat sa bukas na likas na mapagkukunan nito. Pinapagana ng mga plugin ang mga gumagamit na palawakin ang pag-andar ng programa, halimbawa sa pamamagitan ng pagsasama nito sa mga web browser o pag-synchronize ng database gamit ang mga online provider ng imbakan.

KeePass audit

Sinuri ng pangkat ng pananaliksik ang code ng KeePass 1.31, at hindi ng KeePass 2.34. Habang ang KeePass 2.34 ay hindi nabanggit kahit saan sa ulat, tila makatwiran na ang KeePass 2.34 ay magkakasabay sa pamasahe sa isang code audit.

Ang KeePass 1.x ay ang bersyon ng pamana ng tagapamahala ng password. Ang bersyon ay hindi nangangailangan ng Microsoft .NET ngunit kakulangan ng mga tampok na KeePass 2.x ship na may. Hindi nito sinusuportahan ang pag-link sa KeePass sa Windows user account o isang beses na mga password para sa halimbawa. Nakakahanap ka ng isang buong paghahambing sa edisyon talahanayan dito .

Ang audit ng KeePass ay dumaan sa lahat ng 84622 na linya ng code at walang nakitang kritikal o high-risk na mga isyu sa code. Natagpuan nito ang limang daluyan na na-rate, tatlong mababang rate, at anim na impormasyon lamang ang nag-rate ng mga isyu gayunpaman.

Walang natuklasan na kritikal o mataas na peligro. Kabilang sa natitirang mga natuklasan, napansin ang limang daluyan at tatlong mababang mga resulta ng panganib. Ang natitirang anim ay may kaalaman sa kalikasan.

Ang mga isyu na natagpuan ng mga mananaliksik ay detalyado sa ulat ng pag-audit na maaari mong i-download mula sa pahina ng paghahatid ng proyekto sa website ng EU-Fossa. Doon mo nakita na nakalista din ang Apache security audit (tingnan sa ilalim ng WP6: pagsusuri ng sample code na malapit sa ilalim ng pahina).

Pagsasara ng Mga Salita

Ang KeePass ay isang mahusay, ligtas, tagapamahala ng password para sa Windows. Ang mga resulta ng pag-audit ng code ay nagmumungkahi na ito ay isang mahusay na dinisenyo na programa na walang mga kritikal o mataas na mga isyu sa peligro.

Ngayon Ikaw : Aling mga tagapamahala ng password ang ginagamit mo at bakit?