¿Cómo puedo asegurarme de que mi cliente de Keepass esté seguro?

4

He estado jugando con una imagen de disco cifrada localmente durante años y creo que finalmente es hora de usar un administrador de contraseñas. Keepass es con lo que quiero ir, pero no soy un fanático de la interfaz de usuario del proyecto oficial.

Noté que hay un buen número de clientes que admiten el formato de base de datos de keepass, pero ¿cómo puedo evaluar si es seguro usar uno? Si inhabilito el acceso de red al cliente, ¿podría estar razonablemente seguro de que no llamará a casa con mis secretos?

    
pregunta codehearts 30.06.2018 - 03:24
fuente

2 respuestas

4

¿Cómo sabes confiar en cualquier implementación de KeePass? De la misma manera que sabe cómo confiar en el software any . Para mí, estos son factores que considero:

  • Código abierto
    • Todos los puertos principales están abiertos.
    • Probablemente evite las aplicaciones aleatorias de la Tienda Windows sin fuente disponible.
  • auditado por un tercero
    • AFAIK, solo la versión oficial tiene esto. Podría estar equivocado.
  • Desarrollo activo, transparente.
    • La versión oficial tiene un desarrollo activo, pero es bastante opaco.
    • KeePassX, si lo comprendo correctamente, ya no está muy activo.
    • Varias de las aplicaciones de Android e iOS parecen abandonadas.
    • KeePassXC y KeeWeb son activos y transparentes.
  • comunidad activa
    • Creo que todos los grandes en una computadora tienen esto.
    • Aplicaciones para teléfonos inteligentes: difícil de decir.
  • Ubicación: dependiendo de dónde se encuentre usted , saber si el software está desarrollado en su mayoría en Alemania vs. Rusia vs. los Estados Unidos de América puede hacer una diferencia en su confianza.
    • KeePass se desarrolla en Alemania
    • No sé de ninguno de los otros. Sé que he buscado las aplicaciones de Android que he usado y las extensiones del navegador, pero no las recuerdo.
  • Desarrollador: ¿es solo una persona (que podría estar comprometida), una comunidad (que puede vigilar a otros miembros según sea necesario) o una compañía (que puede ser considerada responsable por otros)?
    • Sinceramente, creo que KeePassXC lo hace mejor en esta área.
    • El KeePass oficial tiene un solo mantenedor, y creo que KeeWeb también.
    • Creo que todas las aplicaciones de teléfonos inteligentes tienen un solo mantenedor.
  • Popularidad: ¿qué probabilidades hay de que un compromiso sea observado por alguien e informado por noticias de tecnología?
    • El propio KeePass definitivamente se notaría y se informaría.
    • KeePassXC, en virtud de ser un proyecto comunitario, también tiene una buena oportunidad en mi opinión.
    • No estoy seguro de KeeWeb. Que yo sepa, ve mucho menos uso.
    • Para las aplicaciones de teléfonos inteligentes, las que se mencionan específicamente en los foros de KeePass en forma regular son muy populares, pero es probable que no se noten en los sitios de noticias tecnológicas.
respondido por el Ben 20.07.2018 - 16:29
fuente
1
  

no soy un fan de la interfaz de usuario del proyecto oficial

Puedo simpatizar aquí. G nu PG es un ejemplo para mí, en el que se utilizan interfaces de usuario gráficas de terceros. Pero no estás seguro de si están seguros.

Para este escenario, puedes usar software de código abierto. Sin embargo, la verdad desafortunada es que usted debe revisar el código usted mismo y luego usar ese código. La mayoría de los desarrolladores proporcionarán el código fuente en su sitio web o a través de GitHub que puede compilar usted mismo.

  

Si inhabilito el acceso de red al cliente, ¿puedo estar razonablemente seguro de que no llamará a casa con mis secretos?

Suponiendo que el cliente del programa intenta "llamar a casa" no tendrá acceso a Internet. Por lo tanto, si mantiene el acceso a la red deshabilitado de forma permanente , puede asegurarse de que no podrá informar su información "a casa".

Lo que describiste anteriormente sonaba como impedir que el programa acceda a tu red, esa es una alternativa viable. Otro podría ser usar una máquina virtual (menos segura) o una máquina física (más segura) para configurar un espacio de aire .

    
respondido por el safesploit 20.07.2018 - 16:47
fuente

Lea otras preguntas en las etiquetas