En tal situación, ¿hay alguna forma de seguir utilizando KeePass, pero protegerse contra ataques especializados?
Absolutamente; el más simple y el más básico se llama protección de "espacio de aire".
- Tome una computadora sin conexión de red, sin altavoz y sin micrófono, como una Raspberry Pi 2.
- Use teclados cableados, ratones, monitores, etc. ¡No hay nada inalámbrico!
- Configúrelo con el software mínimo requerido: si insiste o para una prueba de concepto básica, puede comenzar con NOOBS Raspbian.
- Colóquelo, idealmente fuera de línea (consulte a continuación para las transferencias en una sola dirección), pero puede hacerlo en línea antes de comenzar a usar KeePass en absoluto.
- Rellena el conector Ethernet con epoxi; NUNCA debe usarse.
- Instala KeepassX
- NUNCA VUELVES a mover cualquier dato de esta máquina de manera electrónica. Las actualizaciones pueden entrar, pero nada sale electrónicamente. Lea la pantalla y el tipo de mano.
- grabe los CD-ROM con cualquier actualización que necesite para pasar a la única máquina KeePass y luego use un CD-ROM USB para leerlos, luego destruya el CD (en caso de que algo se haya escrito).
- o use algo como un unidad flash Apricorn ; elimínelo, establezca una contraseña, coloque los datos en él, ingréselo y utilícelo en la máquina KeePass, luego bórrelo de nuevo ANTES de ingresar en cualquier otra máquina.
- Para los verdaderamente paranoicos, use un monitor dedicado, un mouse y un teclado que nunca se utilicen para nada más; cuanto más viejo y menos avanzado, mejor.
- No lo use donde cualquier cámara electrónica, como su computadora portátil / cámara web / monitor de videoconferencia elegante, pueda ver las emisiones de la pantalla.
De esta manera, incluso suponiendo que algún software especializado ingresa a la máquina, alguien tiene que estar razonablemente cerca para poder extraer datos; escuche los sonidos que hacen los chips y / o la fuente de alimentación, observe los patrones térmicos, vea las emisiones de la máquina, el monitor, el teclado, etc., pero la máquina en sí no tiene redes ni radios en absoluto, ni bluetooth, ni wifi, ni celular módem, sin cable ethernet, etc.
CRÍTICO: haga una copia de seguridad de ese archivo KeePass con regularidad a algo como Apricorn mencionado anteriormente, o en papel (impresora dedicada, sin conexión de red, no capacidad inalámbrica), etc.
CRÍTICO si usa un Pi: ejecute Raspberry Pi en algún tipo de UPS - Raspbian reacciona muy mal a la pérdida repentina de energía cuando se enciende parte del tiempo.