KeePassi audit: kriitilisi turvaauke ei leitud

2016. aasta juunis teatasime, et populaarne paroolide haldur KeePass, saime turvakontrolli Euroopa Komisjoni EL-i vaba ja avatud lähtekoodiga tarkvara auditeerimise projekti (EU-FOSSA) poolt.

EL-FOSSA on pilootprojekt, mille eesmärk on luua ametlik protsess tarkvara turvalisuse ülevaadete panustamiseks avatud lähtekoodiga kogukondadele.

Projektiga loodi komisjoni kasutatud avatud lähtekoodiga lahenduste loend, avaldati uuringud 14 avatud lähtekoodiga kogukonna turbepraktikate kohta ja vaadati üle kaks populaarset avatud lähtekoodiga lahendust.

KeePass on Windowsi jaoks loodud paroolide haldur - mis töötab ka Linuxis -, mis kasutab lokaalselt salvestatud krüptitud andmebaasi.

Programm pakub muljetavaldavat valikut võimalusi. Saate lubada a globaalne sisselogimise otsetee näiteks või parandage KeePassi turvalisust, muutes seda seaded.

Paroolide haldur toetab pluginaid ja kahvleid tänu avatud lähtekoodiga olemusele. Pistikprogrammid võimaldavad kasutajatel programmi funktsioone laiendada, näiteks integreerides selle veebibrauseritesse või sünkroonides andmebaasi veebisalvestuse pakkujate abil.

KeePassi audit

keepass source audit

Uurimisrühm auditeeris KeePass 1.31, mitte KeePass 2.34 koodi. Ehkki KeePass 2.34 ei ole aruandes kuskil mainitud, näib mõistlik, et KeePass 2.34 maksab sarnaselt koodiauditiga.

KeePass 1.x on paroolide halduri pärandversioon. Versioon ei vaja Microsoft .NET-i, kuid puudub funktsioonid, millega ainult KeePass 2.x kaasas oleks. See ei toeta KeePassi linkimist Windowsi kasutajakontoga ega näiteks ühekordseid paroole. Leiate täieliku väljaande võrdluse tabel siin .

keepass audit

KeePassi audit läbis kõik 84622 koodiread ega tuvastanud koodis kriitilisi ega kõrge riskiga probleeme. Sellegipoolest leiti viis keskmist, kolm madala reitinguga ja kuus teavet, mis hindas siiski ainult probleeme.

Kriitilisi ega kõrge riskiga leide ei tuvastatud. Ülejäänud leidude hulgas tuvastati viis keskmise ja kolme madala riskiga tulemust. Ülejäänud kuus olid informatiivse iseloomuga.

Teadlaste leitud probleemid on üksikasjalikult esitatud auditiaruandes, mille saate veebisaidilt alla laadida projekti tarnete leht EL-Fossa veebisaidil. Seal leiate ka Apache'i turbeauditi (vaadake WP6: koodi näidisülevaade lehe allosas).

Sõnade sulgemine

KeePass on Windowsi jaoks suurepärane, turvaline paroolide haldur. Koodide auditi tulemused viitavad sellele, et see on hästi kavandatud programm, milles pole kriitilisi ega kõrge riskiga probleeme.

Nüüd sina : Millist paroolide haldurit te kasutate ja miks?